Cisco Identity Services Engine (ISE) est le serveur de politiques de nouvelle génération de Cisco qui fournit une infrastructure d'authentification et d'autorisation à la solution Cisco TrustSec. Il offre également deux autres services essentiels :
Le premier service consiste à fournir un moyen de profiler le type de périphérique de point d'extrémité automatiquement en fonction des attributs que Cisco ISE reçoit de différentes sources d'informations. Ce service (appelé Profiler) fournit des fonctions équivalentes à celles que Cisco a précédemment proposées avec l'appliance Cisco NAC Profiler.
Un autre service important fourni par Cisco ISE est l'analyse de la conformité des terminaux ; par exemple, l'installation du logiciel AV/AS et sa validité de fichier de définition (appelée Posture). Cisco ne fournissait auparavant cette fonction de posture exacte qu'avec l'appliance Cisco NAC.
Cisco ISE offre un niveau de fonctionnalité équivalent et est intégré aux mécanismes d'authentification 802.1X.
Cisco ISE intégré aux contrôleurs LAN sans fil (WLC) peut fournir des mécanismes de profilage des périphériques mobiles tels que les iDevices d'Apple (iPhone, iPad et iPod), les smartphones Android, etc. Pour les utilisateurs 802.1X, Cisco ISE peut fournir le même niveau de services, tels que le profilage et l'analyse de position. Les services invités sur Cisco ISE peuvent également être intégrés au WLC Cisco en redirigeant les demandes d'authentification Web vers Cisco ISE pour l'authentification.
Ce document présente la solution sans fil pour le BYOD (Bring Your Own Device), par exemple en fournissant un accès différencié en fonction des terminaux connus et de la politique de l'utilisateur. Ce document ne fournit pas la solution complète pour le BYOD, mais sert à démontrer un exemple simple d'utilisation de l'accès dynamique. D'autres exemples de configuration incluent l'utilisation du portail de sponsor ISE, où un utilisateur privilégié peut sponsoriser un invité pour provisionner l'accès invité sans fil.
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Contrôleur LAN sans fil Cisco 2504 ou 2106 avec la version logicielle 7.2.103
Catalyst 3560 - 8 ports
WLC 2504
Identity Services Engine 1.0MR (version de l'image du serveur VMware)
Windows 2008 Server (image VMware) - 512 Mo, disque 20 Go
Active Directory
DNS
DHCP
Services de certificats
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Ce paramètre permet au WLC de rechercher les paires AV de redirection d'URL provenant du serveur RADIUS ISE. Ceci est uniquement sur un WLAN lié à une interface avec le paramètre RADIUS NAC activé. Lorsque la paire AV de Cisco pour la redirection d'URL est reçue, le client est placé dans l'état POSTURE_REQD. C'est essentiellement la même chose que l'état WEBAUTH_REQD en interne dans le contrôleur.
Lorsque le serveur RADIUS ISE estime que le client est conforme à Posture_Compliant, il émet une CoA ReAuth. L'ID de session est utilisé pour le lier. Avec cette nouvelle AuthC (re-Auth) il n'envoie pas les paires AV-Redirect URL. Comme il n'y a pas de paires AV de redirection d'URL, le WLC sait que le client ne nécessite plus Posture.
Si le paramètre RADIUS NAC n'est pas activé, le WLC ignore les VSA de redirection d'URL.
CoA-ReAuth : Ceci est activé avec le paramètre RFC 3576. La fonctionnalité ReAuth a été ajoutée aux commandes CoA existantes précédemment prises en charge.
Le paramètre RADIUS NAC s'exclut mutuellement de cette fonctionnalité, bien qu'il soit nécessaire pour que la CoA fonctionne.
Liste de contrôle d'accès pré-Posture : Lorsqu'un client est dans l'état POSTURE_REQ, le comportement par défaut du WLC est de bloquer tout le trafic sauf DHCP/DNS. La liste de contrôle d’accès pré-Posture (appelée dans la paire AV-acl url-redirect-acl) est appliquée au client, et ce qui est autorisé dans cette liste de contrôle d’accès est ce que le client peut atteindre.
Liste de contrôle d'accès pré-authentification et remplacement de VLAN : Un VLAN de quarantaine ou d'authentification différent du VLAN d'accès n'est pas pris en charge dans 7.0MR.1. Si vous définissez un VLAN à partir du serveur de stratégies, il sera le VLAN pour l'ensemble de la session. Aucune modification de VLAN n'est nécessaire après la première AuthZ.
La figure ci-dessous fournit des détails sur l'échange de messages lorsque le client est authentifié sur le serveur principal et la validation de la position NAC.
Le client s'authentifie à l'aide de l'authentification dot1x.
RADIUS Access Accept transporte l'URL redirigée pour le port 80 et les listes de contrôle d'accès pré-authentification qui incluent l'autorisation des adresses IP et des ports, ou le VLAN de quarantaine.
Le client sera redirigé vers l'URL fournie dans access accept et mis dans un nouvel état jusqu'à ce que la validation de la position soit effectuée. Le client dans cet état communique avec le serveur ISE et se valide par rapport aux stratégies configurées sur le serveur ISE NAC.
L'agent NAC sur le client lance la validation de position (trafic vers le port 80) : L'agent envoie une requête de détection HTTP au port 80, que le contrôleur redirige vers l'URL fournie dans access accept. L'ISE sait que le client tente d'atteindre le client et répond directement à celui-ci. De cette manière, le client apprend l'adresse IP du serveur ISE et, désormais, le client parle directement avec le serveur ISE.
WLC autorise ce trafic car la liste de contrôle d'accès est configurée pour autoriser ce trafic. En cas de remplacement de VLAN, le trafic est ponté de sorte qu'il atteigne le serveur ISE.
Une fois l'évaluation du client ISE terminée, une demande de CoA RADIUS avec service de sauvegarde est envoyée au WLC. Ceci initie la réauthentification du client (en envoyant EAP-START). Une fois la réauthentification réussie, l'ISE envoie l'accès accepté avec une nouvelle liste de contrôle d'accès (le cas échéant) et aucune redirection d'URL, ou un VLAN d'accès.
Le WLC prend en charge CoA-Req et Disconnect-Req conformément à la RFC 3576. Le WLC doit prendre en charge CoA-Req pour le service de réauthentification, conformément à la RFC 5176.
Au lieu des listes de contrôle d'accès téléchargeables, les listes de contrôle d'accès préconfigurées sont utilisées sur le WLC. Le serveur ISE envoie simplement le nom de la liste de contrôle d'accès, qui est déjà configuré dans le contrôleur.
Cette conception doit fonctionner pour les cas VLAN et ACL. En cas de remplacement de VLAN, nous redirigons simplement le port 80 est redirigé et autorise (pont) le reste du trafic sur le VLAN de quarantaine. Pour la liste de contrôle d’accès, la liste de contrôle d’accès pré-authentification reçue dans access accept est appliquée.
Cette figure fournit une représentation visuelle de ce flux de fonctionnalités :
Le service de profileur ISE de Cisco permet de découvrir, localiser et déterminer les capacités de tous les points d'extrémité connectés sur votre réseau, quels que soient leurs types de périphériques, afin de garantir et de maintenir un accès approprié à votre réseau d'entreprise. Il collecte principalement un attribut ou un ensemble d'attributs de tous les points d'extrémité de votre réseau et les classe en fonction de leurs profils.
Le profileur se compose des composants suivants :
Le capteur contient un certain nombre de sondes. Les sondes capturent les paquets réseau en interrogeant les périphériques d'accès réseau et transmettent les attributs et leurs valeurs d'attribut qui sont collectés des points d'extrémité à l'analyseur.
Un analyseur évalue les points de terminaison à l'aide des stratégies configurées et des groupes d'identité pour qu'ils correspondent aux attributs et à leurs valeurs d'attribut collectées, ce qui classe les points de terminaison au groupe spécifié et stocke les points de terminaison avec le profil correspondant dans la base de données Cisco ISE.
Pour la détection des appareils mobiles, il est recommandé d'utiliser une combinaison de ces sondes pour identifier correctement les appareils :
RADIUS (Calling-Station-ID) : Fournit l'adresse MAC (OUI)
DHCP (nom d'hôte) : Nom d'hôte : le nom d'hôte par défaut peut inclure le type de périphérique ; par exemple : jsmith-ipad
DNS (recherche IP inversée) : FQDN : le nom d'hôte par défaut peut inclure le type de périphérique
HTTP (User-Agent) : Détails sur le type d'appareil mobile spécifique
Dans cet exemple d'iPad, le profileur capture les informations du navigateur Web à partir de l'attribut User-Agent, ainsi que d'autres attributs HTTP à partir des messages de requête, et les ajoute à la liste des attributs de point de terminaison.
MS Active Directory (AD) n'est pas nécessaire pour une simple preuve de concept. ISE peut être utilisé comme seul magasin d'identité, ce qui inclut la différenciation de l'accès des utilisateurs pour l'accès et le contrôle granulaire des politiques.
À la version d'ISE 1.0, à l'aide de l'intégration AD, ISE peut utiliser des groupes AD dans les stratégies d'autorisation. Si le magasin d'utilisateurs internes ISE est utilisé (pas d'intégration AD), les groupes ne peuvent pas être utilisés dans les stratégies en conjonction avec les groupes d'identité de périphérique (bogue identifié à résoudre dans ISE 1.1). Par conséquent, seuls les utilisateurs individuels peuvent être différenciés, tels que les employés ou les sous-traitants, lorsqu'ils sont utilisés en plus des groupes d'identité de périphérique.
Procédez comme suit :
Ouvrez une fenêtre de navigateur pour accéder à l'adresse https://ISEip.
Accédez à Administration > Identity Management > Identities.
Sélectionnez Utilisateurs, puis cliquez sur Ajouter (Utilisateur d'accès au réseau). Entrez ces valeurs utilisateur et affectez-les au groupe Employé :
Name : employé
Mot de passe : XXXX
Cliquez sur Submit.
Name : entrepreneur
Mot de passe : XXXX
Confirmez que les deux comptes sont créés.
Tout périphérique qui initie des requêtes RADIUS à l'ISE doit avoir une définition dans ISE. Ces périphériques réseau sont définis en fonction de leur adresse IP. Les définitions de périphériques réseau ISE peuvent spécifier des plages d'adresses IP, ce qui permet à la définition de représenter plusieurs périphériques réels.
Au-delà de ce qui est requis pour la communication RADIUS, les définitions de périphériques réseau ISE contiennent des paramètres pour d'autres communications ISE/périphériques, telles que SNMP et SSH.
Un autre aspect important de la définition des périphériques réseau est le regroupement approprié des périphériques afin que ce regroupement puisse être exploité dans la politique d'accès au réseau.
Dans cet exercice, les définitions de périphériques requises pour vos travaux pratiques sont configurées.
Procédez comme suit :
À partir de ISE, accédez à Administration > Network Resources > Network Devices.
Dans Périphériques réseau, cliquez sur Ajouter. Saisissez adresse IP, paramètre d'authentification de vérification de masque, puis saisissez cisco pour le secret partagé.
Enregistrez l'entrée WLC et confirmez le contrôleur dans la liste.
L'ISE doit être configuré pour authentifier les clients sans fil 802.1x et utiliser Active Directory comme magasin d'identité.
Procédez comme suit :
Depuis ISE, accédez à Policy > Authentication.
Cliquez pour développer Dot1x > Wired_802.1X (-).
Cliquez sur l'icône d'engrenage pour ajouter une condition à partir de la bibliothèque.
Dans la liste déroulante de sélection des conditions, sélectionnez Condition composée > Wireless_802.1X.
Définissez la condition Express sur OR.
Développez l'option après autoriser les protocoles et acceptez les utilisateurs internes par défaut (par défaut).
Laissez tout le reste par défaut. Cliquez sur Enregistrer pour terminer les étapes.
Un guide de déploiement du contrôleur LAN sans fil Cisco 2500 est également disponible sur le Guide de déploiement du contrôleur sans fil Cisco 2500.
Configurer le contrôleur à l'aide de l'assistant de démarrage
(Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated -- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): ISE-Podx Enter Administrative User Name (24 characters max): admin Enter Administrative Password (3 to 24 characters): Cisco123 Re-enter Administrative Password: Cisco123 Management Interface IP Address: 10.10.10.5 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.10.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 10.10.10.10 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: ISE Network Name (SSID): PODx Configure DHCP Bridging Mode [yes][NO]: no Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the ntp system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... Restarting system.
Configuration du commutateur voisin
Le contrôleur est connecté au port Ethernet du commutateur voisin (Fast Ethernet 1). Le port de commutateur voisin est configuré comme une agrégation 802.1Q et autorise tous les VLAN sur l’agrégation. Le VLAN 10 natif permet de connecter l'interface de gestion du WLC.
La configuration du port de commutateur 802.1Q est la suivante :
switchport switchport trunk encapsulation dot1q switchport trunk native VLAN 10 switchport mode trunk end
L'ISE doit être ajouté au WLC afin d'activer la fonctionnalité 802.1X et CoA pour les points d'extrémité sans fil.
Procédez comme suit :
Ouvrez un navigateur, puis connectez-vous au WLC pod (à l'aide de HTTP sécurisé) > https://wlc.
Accédez à Sécurité > Authentification > Nouveau.
Entrez les valeurs suivantes :
Adresse IP du serveur: 10.10.10.70 (affectation de vérification)
Secret partagé : cisco
Prise en charge de RFC 3576 (CoA) : Activé (par défaut)
Tout le reste : Par défaut
Cliquez sur Apply pour continuer.
Sélectionnez Comptabilité RADIUS > Ajouter NOUVEAU.
Entrez les valeurs suivantes :
Adresse IP du serveur: 10.10.10.70
Secret partagé : cisco
Tout le reste : Par défaut
Cliquez sur Apply, puis enregistrez la configuration pour le WLC.
Complétez ces étapes afin d'ajouter une nouvelle interface dynamique pour le WLC et de la mapper au VLAN Employé :
À partir du WLC, accédez à Controller > Interfaces. Cliquez ensuite sur Nouveau.
À partir du WLC, accédez à Controller > Interfaces. Saisissez les informations suivantes :
Nom de l'interface : Employé
ID de VLAN: 11
Saisissez les informations suivantes pour l'interface Employé :
Port number (numéro de port) : 1
Identificateur VLAN : 11
Adresse IP: 10.10.11.5
Masque de réseau: 255.255.255.0
Passerelle : 10.10.11.1
DHCP : 10.10.10.10
Confirmez que la nouvelle interface dynamique d'employé est créée.
Complétez ces étapes afin d'ajouter une nouvelle interface dynamique pour le WLC et de la mapper au VLAN invité :
À partir du WLC, accédez à Controller > Interfaces. Cliquez ensuite sur Nouveau.
À partir du WLC, accédez à Controller > Interfaces. Saisissez les informations suivantes :
Nom de l'interface : Invité
ID de VLAN: 12
Entrez les éléments suivants pour l'interface invité :
Port number (numéro de port) : 1
Identificateur VLAN : 12
Adresse IP: 10.10.12.5
Masque de réseau: 255.255.255.0
Passerelle : 10.10.12.1
DHCP : 10.10.10.10
Vérifiez que l'interface invité a été ajoutée.
À partir du bootstrap initial du WLC, un WLAN par défaut a peut-être été créé. Si oui, modifiez-le ou créez un nouveau WLAN pour prendre en charge l'authentification 802.1X sans fil, comme indiqué dans le guide.
Procédez comme suit :
À partir du WLC, accédez à WLAN > Create New.
Pour le WLAN, saisissez ce qui suit :
Nom du profil : pod1x
SSID : Identique
Pour l'onglet WLAN settings > General, utilisez les options suivantes :
Politique radio : all
Interface/groupe : gestion
Tout le reste : par défaut
Dans l'onglet WLAN > Security > Layer 2, définissez les éléments suivants :
Sécurité de couche 2:WPA+WPA2
Politique WPA2 / Cryptage : Activé / AES
Gestion des clés d'authentification : 802.1X
Dans l'onglet WLAN > Security > AAA Servers, définissez les paramètres suivants :
Interface de remplacement du serveur radio : Désactivé
Serveurs d'authentification/de comptabilité : Activée
Serveur 1 : 10.10.10.70
Dans l'onglet WLAN > Advanced, définissez les éléments suivants :
Autoriser la substitution AAA : Activée
État NAC : Radius NAC (sélectionné)
Revenez à l'onglet WLAN > General > Enable WLAN (WLAN) (WLAN > Général > Enable WLAN (Activer WLAN) (case à cocher).
Vous devez vérifier rapidement les interfaces d'employé et d'invité valides. Utilisez n'importe quel périphérique pour vous associer au WLAN, puis modifiez l'affectation d'interface WLAN.
À partir du WLC, accédez à WLAN > WLAN. Cliquez pour modifier votre SSID sécurisé créé lors de l'exercice précédent.
Modifiez l'interface/groupe d'interfaces en Employé, puis cliquez sur Appliquer.
Si configuré correctement, un périphérique reçoit une adresse IP du VLAN employé (10.10.11.0/24). Cet exemple montre un périphérique iOS qui obtient une nouvelle adresse IP.
Une fois l'interface précédente confirmée, modifiez l'affectation de l'interface WLAN en Guest, puis cliquez sur Apply.
Si configuré correctement, un périphérique reçoit une adresse IP du VLAN invité (10.10.12.0/24). Cet exemple montre un périphérique iOS qui obtient une nouvelle adresse IP.
IMPORTANT : Remplacez l'affectation d'interface par la gestion d'origine.
Cliquez sur Apply et enregistrez la configuration pour le WLC.
Associer au WLC via un SSID authentifié un utilisateur INTERNE (ou un utilisateur AD intégré) à l'aide d'un appareil iOS tel qu'un iPhone, un iPad ou un iPod. Ignorez ces étapes si elles ne sont pas applicables.
Sur le périphérique iOS, accédez aux paramètres WLAN. Activez WIFI, puis sélectionnez le SSID 802.1X activé créé dans la section précédente.
Fournir ces informations afin de se connecter :
username (nom d’utilisateur) : employé (interne - employé) ou entrepreneur (interne - entrepreneur)
Mot de passe : XXXX
Cliquez pour accepter le certificat ISE.
Vérifiez que le périphérique iOS reçoit une adresse IP de l'interface de gestion (VLAN10).
Sur le WLC > Monitor > Clients, vérifiez les informations du point de terminaison, notamment l'utilisation, l'état et le type EAP.
De même, les informations sur le client peuvent être fournies par ISE > Monitor > Authentication page.
Cliquez sur l'icône Détails afin d'accéder à la session pour obtenir des informations détaillées sur la session.
La liste de contrôle d'accès de redirection de posture est configurée sur le WLC, où ISE utilisera pour restreindre la position du client. La liste de contrôle d’accès autorise au moins le trafic entre ISE. Des règles facultatives peuvent être ajoutées à cette liste de contrôle d’accès si nécessaire.
Accédez à WLC > Security > Access Control Lists > Access Control Lists. Cliquez sur New.
Indiquez un nom (ACL-POSTURE-REDIRECT) pour la liste de contrôle d’accès.
Cliquez sur Ajouter une nouvelle règle pour la nouvelle liste de contrôle d'accès. Définissez les valeurs suivantes sur la séquence 1 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.
Source : tous les modèles
Destination : Adresse IP 10.10.10.70, 255.255.255.255
Protocole : tous les modèles
Action : Autoriser
La séquence de confirmation a été ajoutée.
Cliquez sur Ajouter une nouvelle règle. Définissez les valeurs suivantes sur la séquence 2 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.
Source : Adresse IP 10.10.10.70, 255.255.255.255
Destination : tous les modèles
Protocole : tous les modèles
Action : Autoriser
La séquence de confirmation a été ajoutée.
Définissez les valeurs suivantes sur la séquence 3 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.
Source : tous les modèles
Destination : tous les modèles
Protocole : UDP
Port source : DNS
Port de destination : tous les modèles
Action : Autoriser
La séquence de confirmation a été ajoutée.
Cliquez sur Ajouter une nouvelle règle. Définissez les valeurs suivantes sur la séquence 4 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.
Source : tous les modèles
Destination : tous les modèles
Protocole : UDP
Port source : tous les modèles
Port de destination : DNS
Action : Autoriser
La séquence de confirmation a été ajoutée.
Enregistrez la configuration actuelle du WLC.
L'ISE doit être configurée comme sondes pour profiler efficacement les terminaux. Par défaut, ces options sont désactivées. Cette section explique comment configurer ISE pour être des sondes.
À partir de la gestion ISE, accédez à Administration > System > Deployment.
Choisissez ISE. Cliquez sur Modifier l'hôte ISE.
Dans la page Modifier le noeud, sélectionnez la configuration de profilage et configurez les éléments suivants :
DHCP : Activé, Tout (ou par défaut)
DHCPSPAN : Activé, Tout (ou par défaut)
HTTP : Activé, Tout (ou par défaut)
RADIUS: Activé, N/D
DNS: Activé, N/D
Réassocier les périphériques (iPhone/iPads/Droids/Mac, etc.).
Confirmez les identités des points de terminaison ISE. Accédez à Administration > Identity Management > Identities. Cliquez sur Endpoints pour afficher la liste des profils.
Remarque : le profilage initial provient des sondes RADIUS.
Hors de la boîte, ISE fournit une bibliothèque de différents profils de terminaux. Complétez ces étapes afin d'activer les profils pour les périphériques :
Dans ISE, accédez à Policy > Profilage.
Dans le volet gauche, développez Stratégies de profilage.
Cliquez sur Apple Device > Apple iPad, puis définissez les paramètres suivants :
Stratégie activée : Activée
Créer un groupe d'identités correspondant : Sélectionné
Cliquez sur Apple Device > Apple iPhone, définissez les paramètres suivants :
Stratégie activée : Activée
Créer un groupe d'identités correspondant : Sélectionné
Cliquez sur Android, définissez les paramètres suivants :
Stratégie activée : Activée
Créer un groupe d'identités correspondant : Sélectionné
Complétez ces étapes afin de configurer une redirection de la position de stratégie d'autorisation permet de rediriger de nouveaux périphériques vers ISE pour une détection et un profilage appropriés :
Dans ISE, accédez à Policy > Policy Elements > Results.
Développez Autorisation. Cliquez sur Profils d'autorisation (volet gauche) et cliquez sur Ajouter.
Créez le profil d'autorisation avec les éléments suivants :
Name : Posture_Remediation
Type d'accès : Access_Accepter
Outils courants :
Découverte de la position, activée
Découverte de position, ACL ACL-POSTURE-REDIRECT
Cliquez sur Soumettre pour terminer cette tâche.
Confirmez que le nouveau profil d'autorisation est ajouté.
L'ajout d'un profil d'autorisation pour un employé permet à ISE d'autoriser et d'autoriser l'accès avec les attributs assignés. Le VLAN 11 de l'employé est attribué dans ce cas.
Procédez comme suit :
Dans ISE, accédez à Policy > Results. Développez Authorization, puis cliquez sur Authorization Profiles et cliquez sur Add.
Saisissez les informations suivantes pour le profil d'autorisation Employé :
Name : Employé_Sans fil
Tâches courantes :
VLAN, activé
VLAN, sous-valeur 11
Cliquez sur Soumettre pour terminer cette tâche.
Confirmez que le nouveau profil d'autorisation des employés a été créé.
L'ajout d'un profil d'autorisation pour un fournisseur permet à ISE d'autoriser et d'autoriser l'accès avec les attributs attribués. Le VLAN 12 de l'entrepreneur est attribué dans ce cas.
Procédez comme suit :
Dans ISE, accédez à Policy > Results. Développez Authorization, puis cliquez sur Authorization Profiles et cliquez sur Add.
Saisissez les informations suivantes pour le profil d'autorisation Employé :
Name : Employé_Sans fil
Tâches courantes :
VLAN, activé
VLAN, sous-valeur 12
Cliquez sur Soumettre pour terminer cette tâche.
Confirmez que le profil d'autorisation de l'entrepreneur a été créé.
Peu d'informations sont connues sur un nouveau périphérique lorsqu'il arrive sur le réseau pour la première fois, un administrateur crée la stratégie appropriée pour permettre l'identification des points de terminaison inconnus avant d'autoriser l'accès. Dans cet exercice, la politique d'autorisation sera créée de sorte qu'un nouvel appareil soit redirigé vers ISE pour l'évaluation de la posture (pour les appareils mobiles n'ayant pas d'agent, seul le profilage est pertinent); les terminaux seront redirigés vers le portail captif ISE et identifiés.
Procédez comme suit :
Dans ISE, accédez à Policy > Authorization.
Il existe une politique pour les téléphones IP Cisco profilés. C'est sorti de la boîte. Modifiez-le en tant que stratégie de posture.
Entrez les valeurs suivantes pour cette stratégie :
Nom de la règle : Posture_Remediation
Groupes d'identités : tous les modèles
Autres conditions > Créer : (Avancé) Session > PostureStatus
PostureStatus > Equals : Inconnu
Définissez les autorisations suivantes :
Autorisations > Standard : Posture_Remediation
Click Save.
Remarque : Vous pouvez également créer des éléments de stratégie personnalisés afin d'en faciliter l'utilisation.
Une démonstration simple peut être effectuée pour montrer que l'ISE profile correctement un nouveau périphérique en fonction de la politique de position.
Depuis ISE, accédez à Administration > Identity Management > Identities.
Cliquez sur Terminaux. Associez et connectez un périphérique (un iPhone dans cet exemple).
Actualiser la liste des terminaux. Observez les informations fournies.
À partir du périphérique d'extrémité, accédez à :
URL: http://www (ou 10.10.10.10)
Le périphérique est redirigé. Acceptez toute invite de certificats.
Une fois l'appareil mobile complètement redirigé, actualisez à nouveau la liste des terminaux à partir de ISE. Observez ce qui a changé. Le terminal précédent (par exemple, Apple-Device) aurait dû passer à Apple-iPhone, etc. La raison en est que la sonde HTTP obtient efficacement les informations utilisateur-agent, dans le cadre du processus de redirection vers le portail captif.
Après avoir testé avec succès l'autorisation de position, continuez à élaborer des stratégies pour prendre en charge un accès différencié pour l'employé et l'entrepreneur avec des périphériques connus et une affectation de VLAN différente spécifique au rôle utilisateur (dans ce scénario, Employé et entrepreneur).
Procédez comme suit :
Accédez à ISE > Policy > Authorization.
Ajoutez/insérez une nouvelle règle au-dessus de la ligne/de la politique de correction de poste.
Entrez les valeurs suivantes pour cette stratégie :
Nom de la règle : Employé
Groupes d'identités (extension) : Groupes d'identités de point de terminaison
Groupes d'identités de point de terminaison : Profilé
Profilé : Android, Apple-iPad ou Apple-iPhone
Afin de spécifier des types de périphériques supplémentaires, cliquez sur le + et ajoutez d'autres périphériques (si nécessaire) :
Groupes d'identités de point de terminaison : Profilé
Profilé : Android, Apple-iPad ou Apple-iPhone
Spécifiez les valeurs d'autorisations suivantes pour cette stratégie :
Autres conditions (extension) : Créer une nouvelle condition (option avancée)
Condition > Expression (à partir de la liste) : InternalUser > Name
InternalUser > Name : employé
Ajouter une condition pour la session de posture Conforme :
Autorisations > Profils > Standard : Employé_Sans fil
Click Save. Vérifiez que la stratégie a été ajoutée correctement.
Poursuivez en ajoutant la stratégie de fournisseur. Dans ce document, la stratégie précédente est dupliquée afin d'accélérer le processus (ou, vous pouvez configurer manuellement pour les bonnes pratiques).
Dans la stratégie Employé > Actions, cliquez sur Dupliquer ci-dessous.
Modifiez les champs suivants pour cette stratégie (copie dupliquée) :
Nom de la règle : Contractant
Autres conditions > InternalUser > Nom : entrepreneur
Autorisations : Contractant_Sans fil
Click Save. Vérifiez que la copie dupliquée précédente (ou la nouvelle stratégie) est correctement configurée.
Afin d'afficher un aperçu des stratégies, cliquez sur Aperçu de la stratégie.
La vue Aperçu des politiques fournit un résumé consolidé et des politiques faciles à voir.
Avec les profils d'autorisation et les politiques préparés pour différencier l'accès, il est temps de tester. Avec un WLAN sécurisé unique, un employé se verra attribuer le VLAN employé et un entrepreneur sera affecté au VLAN fournisseur. Un iPhone/iPad Apple est utilisé dans les exemples suivants.
Procédez comme suit :
Connectez-vous au WLAN sécurisé (POD1x) avec l'appareil mobile et utilisez les informations d'identification suivantes :
username (nom d’utilisateur) : employé
Mot de passe : XXXXX
Cliquez sur Joindre. Vérifiez que le VLAN 11 (VLAN employé) est attribué à l'employé.
Cliquez sur Oublier ce réseau. Confirmez en cliquant sur Oublier.
Accédez au WLC et supprimez les connexions client existantes (si elles ont été utilisées lors des étapes précédentes). Accédez à Monitor > Clients > MAC address, puis cliquez sur Remove.
Une autre façon sûre d'effacer les sessions client précédentes est de désactiver/activer le WLAN.
Accédez à WLC > WLANs > WLAN, puis cliquez sur le WLAN à modifier.
Désactivez Activé > Appliquer (pour désactiver).
Cochez la case Activé > Appliquer (pour réactiver).
Revenir à l'appareil mobile. Connectez-vous à nouveau au même WLAN avec les informations d'identification suivantes :
username (nom d’utilisateur) : entrepreneur
Mot de passe : XXXX
Cliquez sur Joindre. Vérifiez que le VLAN 12 (VLAN entrepreneur/invité) est attribué à l'utilisateur du fournisseur.
Vous pouvez consulter la vue du journal en temps réel ISE dans ISE > Monitor > Authorization. Vous devriez voir des utilisateurs individuels (employés, sous-traitants) obtenir des profils d'autorisation différenciés (Employee_WirelessvsContractant_Wireless) dans différents VLAN.
Complétez ces étapes afin d'ajouter un WLAN invité pour permettre aux invités d'accéder au portail d'invité du sponsor ISE :
À partir du WLC, accédez à WLANs > WLANs > Add New.
Saisissez les informations suivantes pour le nouveau WLAN invité :
Nom du profil : pod1guest
SSID : pod1guest
Cliquez sur Apply.
Saisissez ce qui suit sous l'onglet WLAN invité > General :
État : Désactivé
Groupe interface/interface : Invité
Accédez à WLAN invité > Security > Layer2 et saisissez les informations suivantes :
Sécurité de couche 2 : Aucune
Accédez à l'onglet WLAN invité > Security > Layer3 et saisissez ce qui suit :
Sécurité de couche 3 : Aucune
Stratégie Web : Activée
Sous-valeur de la stratégie Web : Authentification
Liste de contrôle d'accès de préauthentification : ACL-POSTURE-REDIRECT
Type d'authentification Web : Externe (rediriger vers un serveur externe)
URL: https://10.10.10.70:8443/guestportal/Login.action
Cliquez sur Apply.
Veillez à enregistrer la configuration du WLC.
Vous pouvez maintenant tester la configuration du WLAN invité. Il doit rediriger les invités vers le portail des invités ISE.
Procédez comme suit :
À partir d'un appareil iOS tel qu'un iPhone, accédez à Réseaux Wi-Fi > Activer. Sélectionnez ensuite le réseau d'invités POD.
Votre périphérique iOS doit afficher une adresse IP valide du VLAN invité (10.10.12.0/24).
Ouvrez le navigateur Safari et connectez-vous à :
URL: http://10.10.10.10
Une redirection d'authentification Web s'affiche.
Cliquez sur Continuer jusqu'à ce que vous soyez arrivé à la page du portail d'invité ISE.
L'exemple suivant montre le périphérique iOS sur une connexion au portail invité. Ceci confirme que la configuration correcte pour le WLAN et ISE Guest Portal est active.
ISE peut être configuré pour permettre aux invités d'être sponsorisés. Dans ce cas, vous allez configurer les stratégies d'invité ISE pour permettre aux utilisateurs internes ou du domaine AD (si intégré) de parrainer l'accès invité. Vous allez également configurer ISE pour permettre aux sponsors d'afficher le mot de passe invité (facultatif), ce qui est utile pour ces travaux pratiques.
Procédez comme suit :
Ajoutez l'utilisateur employé au groupe SponsorAllAccount. Il existe différentes manières de le faire : accédez directement au groupe ou modifiez l'utilisateur et affectez le groupe. Pour cet exemple, accédez à Administration > Identity Management > Groups > User Identity Groups. Ensuite, cliquez sur SponsorAllAccount et ajoutez l'utilisateur employé.
Accédez à Administration > Guest Management > Sponsor Groups.
Cliquez sur Modifier, puis sélectionnez SponsorAllAccounts.
Sélectionnez Niveaux d'autorisation et définissez les éléments suivants :
Afficher le mot de passe de l'invité : Oui
Cliquez sur Enregistrer pour terminer cette tâche.
Auparavant, vous avez configuré la stratégie d'invité et les groupes appropriés pour permettre à l'utilisateur du domaine AD de parrainer des invités temporaires. Ensuite, vous accéderez au portail des sponsors et créerez un accès invité temporaire.
Procédez comme suit :
À partir d'un navigateur, accédez à l'une des URL suivantes : http://<ise ip> : 8080/sponsoring portal/ ou https://<ise ip> : 8443/sponsoring portal/. Ensuite, connectez-vous avec les éléments suivants :
username (nom d’utilisateur) : aduser (Active Directory), employé (utilisateur interne)
Mot de passe : XXXX
Dans la page Sponsor, cliquez sur Create Single Guest User Account (Créer un compte d'utilisateur invité unique).
Pour un invité temporaire, ajoutez ce qui suit :
Prénom : Obligatoire (par exemple, Sam)
Nom : Obligatoire (par exemple, Jones)
Rôle de groupe : Invité
Profil temporel : Par défautUneHeure
Fuseau horaire : Tout/par défaut
Cliquez sur Submit.
Un compte d'invité est créé en fonction de votre entrée précédente. Notez que le mot de passe est visible (à partir de l'exercice précédent) par opposition au hachage ***.
Laissez cette fenêtre ouverte indiquant le nom d'utilisateur et le mot de passe de l'invité. Vous les utiliserez pour tester la connexion au portail invité (suivant).
Avec le nouveau compte invité créé par un utilisateur/sponsor AD, il est temps de tester le portail invité et l'accès.
Procédez comme suit :
Sur un périphérique préféré (dans ce cas un iOS/iPad Apple), connectez-vous au SSID Pod Guest et vérifiez l'adresse IP/connectivité.
Utilisez le navigateur et essayez de naviguer jusqu'à http://www.
Vous êtes redirigé vers la page de connexion du portail invité.
Connectez-vous à l'aide du compte invité créé lors de l'exercice précédent.
En cas de succès, la page Stratégie d'utilisation acceptable s'affiche.
Cochez Accepter les termes et conditions, puis cliquez sur Accepter.
L'URL d'origine est terminée et le point de terminaison est autorisé à accéder en tant qu'invité.
Afin de sécuriser les communications avec ISE, déterminez si la communication est liée à l'authentification ou à la gestion ISE. Par exemple, pour la configuration à l'aide de l'interface utilisateur Web ISE, les certificats X.509 et les chaînes d'approbation de certificat doivent être configurés pour activer le chiffrement asymétrique.
Procédez comme suit :
À partir de votre ordinateur connecté par câble, ouvrez une fenêtre de navigateur sur https://AD/certsrv.
Remarque : utilisez le protocole HTTP sécurisé.
Remarque : utilisez Mozilla Firefox ou MS Internet Explorer pour accéder à ISE.
Connectez-vous en tant qu'administrateur/Cisco123.
Cliquez sur Télécharger un certificat CA, une chaîne de certificats ou une liste de révocation de certificats.
Cliquez sur Télécharger le certificat de l'Autorité de certification et enregistrez-le (notez l'emplacement d'enregistrement).
Ouvrez une fenêtre de navigateur sur https://<Pod-ISE>.
Accédez à Administration > System > Certificates > Certificates Authority Certificates.
Sélectionnez l'opération Certificats d'autorité de certification et accédez au certificat d'autorité de certification précédemment téléchargé.
Sélectionnez Trust for client with EAP-TLS, puis envoyez.
Confirmez que l'autorité de certification a été ajoutée en tant qu'autorité de certification racine.
À partir d'un navigateur, accédez à Administration > System > Certificates > Certificates Authority Certificates.
Cliquez sur Ajouter, puis Générez une demande de signature de certificat.
Envoyez ces valeurs :
Objet du certificat : CN=ise.corp.rf-demo.com
Longueur de la clé : 2048
ISE demande que le CSR soit disponible dans la page CSR. Click OK.
Sélectionnez le CSR dans la page CSR ISE et cliquez sur Exporter.
Enregistrer le fichier à n'importe quel emplacement (par exemple, Téléchargements, etc.)
Le fichier sera enregistré sous *.pem.
Recherchez le fichier CSR et modifiez-le à l'aide du Bloc-notes/Wordpad/TextEdit.
Copier le contenu (Sélectionner tout > Copier).
Ouvrez une fenêtre de navigateur sur https://<Pod-AD>/certsrv.
Cliquez sur Demander un certificat.
Cliquez pour soumettre une demande de certificat avancée.
Collez le contenu CSR dans le champ Requête enregistrée.
Sélectionnez Serveur Web comme modèle de certificat, puis cliquez sur Soumettre.
Sélectionnez DER encoded, puis cliquez sur Télécharger le certificat.
Enregistrer le fichier à un emplacement connu (par exemple, Téléchargements)
Accédez à Administration > System > Certificates > Certificates Authority Certificates.
Cliquez sur Add > Bind CA Certificate.
Accédez au certificat CA précédemment téléchargé.
Sélectionnez Protocol EAP et Management Interface, puis cliquez sur Submit.
Confirmez que l'autorité de certification a été ajoutée en tant qu'autorité de certification racine.
ISE peut communiquer directement avec Active Directory (AD) pour l'authentification utilisateur/machine ou pour la récupération des informations d'autorisation des attributs utilisateur. Pour communiquer avec AD, ISE doit être « joint » à un domaine AD. Dans cet exercice, vous allez rejoindre ISE à un domaine AD et confirmer que la communication AD fonctionne correctement.
Procédez comme suit :
Pour rejoindre ISE au domaine AD, à partir d'ISE, allez à Administration > Identity Management > External Identity Sources.
Dans le volet de gauche (Sources d'identité externes), sélectionnez Active Directory.
Sur le côté droit, sélectionnez l'onglet Connexion et saisissez les informations suivantes :
le nom de domaine: corp.rf-demo.com
Nom du magasin d'identités : AD1
Cliquez sur Tester la connexion. Entrez le nom d'utilisateur AD (aduser/Cisco123), puis cliquez sur OK.
Vérifiez que l'état du test indique Test réussi.
Sélectionnez Afficher le journal détaillé et observez les détails utiles pour le dépannage. Cliquez sur OK pour continuer.
Cliquez sur Enregistrer la configuration.
Cliquez sur Joindre. Entrez l'utilisateur AD (administrateur/Cisco123), puis cliquez sur OK.
Vérifiez que l'état de l'opération de jointure indique Réussite, puis cliquez sur OK pour continuer.
L'état de la connexion au serveur indique CONNECTED. Si cet état change à tout moment, une connexion de test permet de résoudre les problèmes liés aux opérations AD.
Lorsque des groupes AD sont ajoutés, un contrôle plus granulaire est autorisé sur les stratégies ISE. Par exemple, les groupes AD peuvent être différenciés par des rôles fonctionnels, tels que les groupes Employés ou Entrepreneurs, sans que le bogue associé ne soit détecté dans les exercices précédents d'ISE 1.0 où les politiques étaient limitées aux utilisateurs uniquement.
Au cours de ces travaux pratiques, seuls les utilisateurs du domaine et/ou le groupe Employés sont utilisés.
Procédez comme suit :
Dans ISE, accédez à Administration > Identity Management > External Identity Sources.
Sélectionnez Active Directory > onglet Groupes.
Cliquez sur +Ajouter, puis sélectionnez Groupes dans le répertoire.
Dans la fenêtre de suivi (Sélectionner des groupes de répertoires), acceptez les valeurs par défaut pour le domaine (corp-rf-demo.com) et le filtre (*). Ensuite, cliquez sur Récupérer les groupes.
Sélectionnez les zones des groupes Utilisateurs de domaine et Employés. Cliquez sur OK lorsque vous avez terminé.
Confirmez que les groupes ont été ajoutés à la liste.
Par défaut, ISE est configuré pour utiliser Utilisateurs internes pour le magasin d'authentification. Si AD est ajouté, un ordre de séquence prioritaire peut être créé pour inclure la distance administrative que ISE utilisera pour vérifier l'authentification.
Procédez comme suit :
Depuis ISE, accédez à Administration > Identity Management > Identity Source Sequences.
Cliquez sur +Ajouter afin d'ajouter une nouvelle séquence.
Entrez le nouveau nom : AD_Interne. Ajoutez toutes les sources disponibles au champ Sélectionné. Ensuite, réorganisez le cas échéant afin que AD1 soit déplacé en haut de la liste. Cliquez sur Submit.
Vérifiez que la séquence a été ajoutée à la liste.
ISE peut être configuré pour permettre aux invités d'être sponsorisés avec des stratégies afin de permettre aux utilisateurs du domaine AD de parrainer l'accès invité.
Procédez comme suit :
Dans ISE, accédez à Administration > Guest Management > Settings.
Développez Sponsor, puis cliquez sur Authentication Source. Ensuite, sélectionnez AD_Internal en tant que séquence de magasin d'identités.
Confirmez AD_Internal en tant que séquence de magasin d'identités. Click Save.
Accédez à Administration > Guest Management > Sponsor Group Policy.
Insérer une nouvelle stratégie au-dessus de la première règle (cliquez sur l'icône Actions à droite).
Pour la nouvelle stratégie de groupe de sponsors, créez les éléments suivants :
Nom de la règle : Utilisateurs du domaine
Groupes d'identités : tous les modèles
Autres conditions : (Créer / Avancé) > AD1
AD1 : Groupes externes
Groupes externes AD1 > Égaux > corp.rf-demo.com/Users/Domain Utilisateurs
Dans Groupes de sponsors, définissez les éléments suivants :
Groupes de sponsors : SponsorAllAccounts
Accédez à Administration > Guest Management > Sponsor Groups.
Sélectionnez Edition > SponsorAllAccounts.
Sélectionnez Niveaux d'autorisation et définissez les éléments suivants :
Afficher le mot de passe de l'invité : Oui
Configure SPAN - ISE mgt/probe interface est L2 adjacent à l'interface de gestion WLC. Le commutateur peut être configuré sur SPAN et d'autres interfaces, telles que les VLAN d'interface employé et invité.
Podswitch(config)#monitor session 1 source vlan10 , 11 , 12 Podswitch(config)#monitor session 1 destination interface Fa0/8 ISE virtual probe interface.
Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Apple Mac OS X. Ignorer si non applicable.
Sur un Mac, accédez aux paramètres WLAN. Activez WIFI, puis sélectionnez et connectez-vous au SSID POD 802.1X activé créé dans l'exercice précédent.
Fournir les informations suivantes pour la connexion :
username (nom d’utilisateur) : auditeur (si vous utilisez AD), employé (interne - employé), entrepreneur (interne - entrepreneur)
Mot de passe : XXXX
802.1X : Automatique
Certificat TLS : Aucune
Pour le moment, il se peut que l'ordinateur portable ne se connecte pas. En outre, ISE peut lancer un événement défaillant comme suit :
Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain
Accédez au paramètre System Preference > Network > Airport > 802.1X et définissez le nouveau SSID/profil WPA Authentication comme suit :
TLS : Désactivé
PEAP : Activée
TTLS : Désactivé
EAP-FAST : Désactivé
Cliquez sur OK pour continuer et autoriser l'enregistrement du paramètre.
Dans l'écran Network (Réseau), sélectionnez le SSID approprié + profil WPA 802.1X, puis cliquez sur Connect (Connexion).
Le système peut demander un nom d'utilisateur et un mot de passe. Entrez l'utilisateur et le mot de passe AD (aduser/XXXX), puis cliquez sur OK.
Le client doit afficher Connected via PEAP avec une adresse IP valide.
Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Windows XP. Ignorer si non applicable.
Procédez comme suit :
Sur l'ordinateur portable, accédez aux paramètres WLAN. Activez WIFI et connectez-vous au SSID POD 802.1X activé créé lors de l'exercice précédent.
Accédez aux propriétés réseau de l'interface WIFI.
Accédez à l'onglet Réseaux sans fil. Sélectionnez les propriétés du réseau SSID pod > onglet Authentication > EAP type = Protected EAP (PEAP).
Cliquez sur les propriétés EAP.
Définissez les éléments suivants :
Valider le certificat du serveur : Désactivé
Méthode d'authentification : Mot de passe sécurisé (EAP-MSCHAP v2)
Cliquez sur OK dans toutes les fenêtres pour terminer cette tâche de configuration.
Le client Windows XP demande le nom d'utilisateur et le mot de passe. Dans cet exemple, il est aduser/XXXX.
Confirmer la connectivité réseau et l'adressage IP (v4).
Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Windows 7.
Sur l'ordinateur portable, accédez aux paramètres WLAN. Activez WIFI et connectez-vous au SSID POD 802.1X activé créé lors de l'exercice précédent.
Accédez au Wireless Manager et modifiez le nouveau profil sans fil POD.
Définissez les éléments suivants :
Méthode d'authentification : PEAP
Rappelez-vous mes informations d'identification... : Désactivé
Valider le certificat du serveur (paramètre avancé) : Désactivé
Authentication Method (avancé). Paramètre) : EAP-MSCHAP v2
Utiliser automatiquement mon ouverture de session Windows.. : Désactivé