Guide de déploiement du BYOD sans fil pour FlexConnect

Introduction

Les appareils mobiles deviennent de plus en plus puissants sur le plan informatique et populaires auprès des consommateurs. Des millions de ces appareils sont vendus aux consommateurs grâce à la technologie Wi-Fi haut débit, qui permet aux utilisateurs de communiquer et de collaborer. Les consommateurs sont désormais habitués à l'amélioration de la productivité que ces appareils mobiles apportent dans leur vie et cherchent à intégrer leur expérience personnelle dans l'espace de travail. Cela crée les besoins fonctionnels d'une solution BYOD sur le lieu de travail.

Ce document fournit le déploiement des filiales pour la solution BYOD. Un employé se connecte à un identifiant SSID (Service Set Identifier) d'entreprise avec son nouvel iPad et est redirigé vers un portail d'auto-inscription. Cisco Identity Services Engine (ISE) authentifie l'utilisateur par rapport à Active Directory (AD) d'entreprise et télécharge un certificat avec une adresse MAC iPad intégrée et un nom d'utilisateur sur l'iPad, ainsi qu'un profil de demandeur qui applique l'utilisation de la sécurité de la couche de transport EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) comme méthode de connectivité dot1x. En fonction de la politique d'autorisation dans ISE, l'utilisateur peut alors se connecter à l'utilisation de dot1x et accéder aux ressources appropriées.

Les fonctionnalités ISE des versions antérieures à la version 7.2.110.0 du logiciel Cisco Wireless LAN Controller ne prenaient pas en charge les clients de commutation locaux qui s'associent via les points d'accès FlexConnect. La version 7.2.110.0 prend en charge ces fonctionnalités ISE pour les points d'accès FlexConnect pour la commutation locale et les clients authentifiés de manière centralisée. En outre, la version 7.2.110.0 intégrée à ISE 1.1.1 fournit (mais sans s'y limiter) les fonctionnalités de la solution BYOD sans fil suivantes :

• Détermination du profil et de la position des périphériques
• Enregistrement des périphériques et provisionnement du demandeur
• Intégration des périphériques personnels (fourniture de périphériques iOS ou Android)

Note: Bien que pris en charge, d'autres périphériques, tels que des ordinateurs portables et des stations de travail sans fil PC ou Mac, ne sont pas inclus dans ce guide.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Commutateurs Cisco Catalyst
• Contrôleurs LAN sans fil (WLAN) Cisco
• Logiciel Cisco WLAN Controller (WLC) version 7.2.110.0 et ultérieure
• Points d'accès 802.11n en mode FlexConnect
• Logiciel Cisco ISE version 1.1.1 et ultérieure
• Windows 2008 AD avec autorité de certification (CA)
• Serveur DHCP
• Serveur DNS (Domain Name System)
• NTP (Network Time Protocol)
• Ordinateur portable, smartphone et tablettes client sans fil (Apple iOS, Android, Windows et Mac)

Note: Reportez-vous aux Notes de version des contrôleurs de réseau local sans fil Cisco et des points d'accès légers pour la version 7.2.110.0 pour obtenir des informations importantes sur cette version du logiciel. Connectez-vous au site Cisco.com pour obtenir les dernières notes de version avant de charger et de tester le logiciel.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Topologie

Une configuration réseau minimale, comme illustré dans ce schéma, est requise pour implémenter et tester correctement ces fonctionnalités :

Pour cette simulation, vous avez besoin d'un réseau avec un AP FlexConnect, un site local/distant avec DHCP local, DNS, le WLC et l'ISE. Le point d'accès FlexConnect est connecté à une agrégation afin de tester la commutation locale avec plusieurs VLAN.

Enregistrement des périphériques et mise en service du demandeur

Un périphérique doit être enregistré pour que son demandeur natif puisse provisionner l'authentification dot1x. En fonction de la stratégie d'authentification appropriée, l'utilisateur est redirigé vers la page d'invité et authentifié par les informations d'identification des employés. L'utilisateur voit la page d'enregistrement du périphérique, qui demande des informations sur le périphérique. Le processus de provisionnement des périphériques commence ensuite. Si le système d'exploitation (SE) n'est pas pris en charge pour le provisionnement, l'utilisateur est redirigé vers le portail d'enregistrement des ressources afin de marquer ce périphérique pour l'accès MAB (MAC Authentication Bypass). Si le système d'exploitation est pris en charge, le processus d'inscription commence et configure le demandeur natif du périphérique pour l'authentification dot1x.

Portail d'enregistrement des actifs

Le portail d'enregistrement des ressources est l'élément de la plate-forme ISE qui permet aux employés d'initier l'intégration des terminaux via un processus d'authentification et d'enregistrement.

Les administrateurs peuvent supprimer des ressources de la page d'identités des points de terminaison. Chaque employé peut modifier, supprimer et mettre en liste noire les ressources qu'il a enregistrées. Les points de terminaison de liste noire sont affectés à un groupe d'identité de liste noire et une stratégie d'autorisation est créée afin d'empêcher l'accès au réseau par les points de terminaison de liste noire.

Portail d'auto-inscription

Dans le flux CWA (Central Web Authentication), les employés sont redirigés vers un portail qui leur permet d'entrer leurs informations d'identification, de s'authentifier et d'entrer les détails de l'actif particulier qu'ils souhaitent enregistrer. Ce portail s'appelle Self Provisioning Portal et est similaire au portail d'enregistrement des périphériques. Il permet aux employés d'entrer l'adresse MAC ainsi qu'une description significative du point de terminaison.

Authentification et provisionnement

Une fois que les employés ont sélectionné le portail d'auto-inscription, ils doivent fournir un ensemble d'informations d'identification valides pour pouvoir passer à la phase d'approvisionnement. Après une authentification réussie, le point de terminaison peut être provisionné dans la base de données des points de terminaison et un certificat est généré pour le point de terminaison. Un lien sur la page permet à l'employé de télécharger l'Assistant pilote du demandeur (SPW).

Note: Reportez-vous à l'article FlexConnect Feature Matrix Cisco afin d'afficher la dernière matrice de fonctionnalités FlexConnect pour le BYOD.

Provisioning pour iOS (iPhone/iPad/iPod)

Pour la configuration EAP-TLS, ISE suit le processus d'inscription Apple Over-the-Air (OTA) :

• Une fois l'authentification réussie, le moteur d'évaluation évalue les stratégies d'approvisionnement du client, ce qui génère un profil de demandeur.
• Si le profil du demandeur correspond au paramètre EAP-TLS, le processus OTA détermine si l'ISE utilise l'authentification ou la signature d'une autorité de certification inconnue. Si l'une des conditions est vraie, l'utilisateur est invité à télécharger le certificat d'ISE ou de CA avant que le processus d'inscription puisse commencer.
• Pour d'autres méthodes EAP, ISE repousse le profil final une fois l'authentification réussie.

Provisionnement pour Android

Pour des raisons de sécurité, l'agent Android doit être téléchargé à partir du site de marché Android et ne peut pas être provisionné à partir d'ISE. Cisco télécharge une version candidate de l'assistant vers le marché Android via le compte d'éditeur du marché Cisco Android.

Il s'agit du processus d'approvisionnement d'Android :

1. Cisco utilise le kit de développement logiciel (SDK) afin de créer le package Android avec une extension .apk.
2. Cisco télécharge un package sur le marché Android.
3. L'utilisateur configure la stratégie dans le provisionnement du client avec les paramètres appropriés.
4. Après l'enregistrement du périphérique, l'utilisateur final est redirigé vers le service d'approvisionnement du client en cas d'échec de l'authentification dot1x.
5. La page du portail d'approvisionnement fournit un bouton qui redirige l'utilisateur vers le portail du marché Android, où il peut télécharger le SPW.
6. Le SPW Cisco est lancé et assure le provisionnement du demandeur :
   1. SPW détecte l'ISE et télécharge le profil à partir d'ISE.
   2. SPW crée une paire cert/key pour EAP-TLS.
   3. SPW passe un appel de requête proxy SCEP (Simple Certificate Enrollment Protocol) à ISE et obtient le certificat.
   4. SPW applique les profils sans fil.
   5. SPW déclenche une nouvelle authentification si les profils sont appliqués avec succès.
   6. SPW quitte.

Enregistrement automatique du BYOD sans fil SSID double

Il s'agit du processus d'auto-enregistrement du BYOD sans fil SSID double :

1. L'utilisateur s'associe au SSID invité.
2. L'utilisateur ouvre un navigateur et est redirigé vers le portail ISE CWA Guest Portal.
3. L'utilisateur entre un nom d'utilisateur et un mot de passe d'employé dans le portail invité.
4. ISE authentifie l'utilisateur et, en fonction du fait qu'il s'agit d'un employé et non d'un invité, redirige l'utilisateur vers la page d'accueil de l'enregistrement des périphériques des employés.
5. L'adresse MAC est pré-renseignée dans la page d'invité Device Registration pour DeviceID. L'utilisateur entre une description et accepte la politique d'utilisation acceptable (AUP) si nécessaire.
6. L'utilisateur sélectionne Accepter et commence à télécharger et installer le SPW.
7. Le demandeur du périphérique de cet utilisateur est provisionné avec tous les certificats.
8. La CoA se produit et le périphérique s'associe au SSID d'entreprise (CORP) et s'authentifie avec EAP-TLS (ou toute autre méthode d'autorisation utilisée pour ce demandeur).

Inscription automatique du BYOD sans fil SSID unique

Dans ce scénario, il existe un SSID unique pour l'accès d'entreprise (CORP) qui prend en charge les protocoles PEAP (Protected Extensible Authentication Protocol) et EAP-TLS. Il n'y a pas de SSID invité.

Il s'agit du processus d'auto-enregistrement du BYOD sans fil SSID unique :

1. L'utilisateur s'associe à CORP.
2. L'utilisateur entre un nom d'utilisateur et un mot de passe d'employé dans le demandeur pour l'authentification PEAP.
3. L'ISE authentifie l'utilisateur et, en fonction de la méthode PEAP, fournit une politique d'autorisation d'acceptation avec redirection vers la page d'invité Employee Device Registration.
4. L'utilisateur ouvre un navigateur et est redirigé vers la page Invité Enregistrement de périphérique employé.
5. L'adresse MAC est pré-renseignée dans la page d'invité Device Registration pour DeviceID. L'utilisateur entre une description et accepte l'AUP.
6. L'utilisateur sélectionne Accepter et commence à télécharger et installer le SPW.
7. Le demandeur du périphérique de cet utilisateur est provisionné avec tous les certificats.
8. CoA se produit et le périphérique se réassocie au SSID CORP et s'authentifie avec EAP-TLS.

Configuration des fonctionnalités

Exécutez ces étapes afin de commencer la configuration :

1. Pour ce guide, assurez-vous que la version du WLC est 7.2.110.0 ou ultérieure.
   
   
   
   
2. Accédez à Security > RADIUS > Authentication, et ajoutez le serveur RADIUS au WLC.
   
   
   
   
3. Ajoutez l'ISE 1.1.1 au WLC :
   
   
   • Saisissez un secret partagé.
   • Réglez la prise en charge de RFC 3576 sur Activé.
     
     
   
   
   
4. Ajoutez le même serveur ISE qu'un serveur de comptabilité RADIUS.
   
   
   
   
5. Créez une liste de contrôle d'accès pré-authentification WLC à utiliser ultérieurement dans la stratégie ISE. Accédez à WLC > Security > Access Control Lists > FlexConnect ACL, puis créez une nouvelle ACL FlexConnect nommée ACL-REDIRECT (dans cet exemple).
   
   
   
   
6. Dans les règles de liste de contrôle d’accès, autorisez tout le trafic en provenance et à destination de l’ISE et autorisez le trafic client pendant le provisionnement du demandeur.
   
   
   1. Pour la première règle (séquence 1) :
      
      
      • Définissez Source sur Any.
      • Définissez IP (adresse ISE)/ Masque de réseau 255.255.255.255.
      • Définir l'action sur Autoriser.
      
      
      
      
   2. Pour la deuxième règle (séquence 2), définissez l'adresse IP source (adresse ISE)/ masque 255.255.255.255 sur Any et Action to Permit.
      
      
      
      
7. Créez un groupe FlexConnect nommé Flex1 (dans cet exemple) :
   
   
   1. Accédez à l'onglet FlexConnect Group > WebPolicies.
   2. Sous le champ WebPolicy ACL, cliquez sur Add, puis sélectionnez ACL-REDIRECT ou FlexConnect ACL créé précédemment.
   3. Vérifiez qu'il remplit le champ Listes de contrôle d'accès WebPolicy.
      
      
   
   
   
8. Cliquez sur Apply et Save Configuration.

Configuration WLAN

Complétez ces étapes afin de configurer le WLAN :

1. Créez un SSID WLAN ouvert pour l'exemple de SSID double :
   
   
   • Entrez un nom de réseau local sans fil : DemoCWA (dans cet exemple).
   • Sélectionnez l'option Enabled pour Status.
   
   
   
   
2. Accédez à l'onglet Sécurité > Couche 2 et définissez les attributs suivants :
   
   
   • Sécurité de couche 2 : Aucune
   • Filtrage MAC : Activé (case cochée)
   • Transition rapide : Désactivé (la case n'est pas cochée)
   
   
   
   
3. Accédez à l'onglet Serveurs AAA et définissez les attributs suivants :
   
   
   • Serveurs d'authentification et de compte : Activée
   • Serveur 1 : <Adresse IP ISE>
   
   
   
   
4. Faites défiler l'onglet Serveurs AAA. Sous Ordre de priorité d'authentification pour l'utilisateur d'authentification Web, assurez-vous que RADIUS est utilisé pour l'authentification et que les autres ne sont pas utilisés.
   
   
   
   
5. Accédez à l'onglet Avancé et définissez les attributs suivants :
   
   
   • Autoriser la substitution AAA : Activée
   • État NAC : Radius NAC
   
   

   Note: Le contrôle d'admission au réseau RADIUS (NAC) n'est pas pris en charge lorsque l'AP FlexConnect est en mode déconnecté. Ainsi, si l'AP FlexConnect est en mode autonome et perd la connexion au WLC, tous les clients sont déconnectés et le SSID n'est plus annoncé.

6. Faites défiler l'onglet Avancé et définissez la commutation locale FlexConnect sur Activé.
   
   
   
   
7. Cliquez sur Apply et Save Configuration.
   
   
   
   
8. Créez un SSID WLAN 802.1X nommé Demo1x (dans cet exemple) pour les scénarios SSID simple et double.
   
   
   
   
9. Accédez à l'onglet Sécurité > Couche 2 et définissez les attributs suivants :
   
   
   • Sécurité de couche 2 : WPA+WPA2
   • Transition rapide : Désactivé (la case n'est pas cochée)
   • Gestion des clés d'authentification : 802.lX : activer
   
   
   
   
10. Accédez à l'onglet Avancé et définissez les attributs suivants :
    
    
    • Autoriser la substitution AAA : Activée
    • État NAC : Radius NAC
    
    
    
    
11. Faites défiler la page vers le bas dans l'onglet Advanced, puis définissez FlexConnect Local Switching sur Enabled.
    
    
    
    
12. Cliquez sur Apply et Save Configuration.
    
    
    
    
13. Vérifiez que les deux nouveaux WLAN ont été créés.
    
    

Configuration du point d'accès FlexConnect

Complétez ces étapes afin de configurer le point d'accès FlexConnect :

1. Accédez à WLC > Wireless, puis cliquez sur le point d'accès FlexConnect cible.
   
   
   
   
2. Cliquez sur l'onglet FlexConnect.
   
   
   
   
3. Activez la prise en charge VLAN (case à cocher), définissez l'ID de VLAN natif, puis cliquez sur Mappages VLAN.
   
   
   
   
4. Définissez l'ID de VLAN sur 21 (dans cet exemple) pour le SSID de la commutation locale.
   
   
   
   
5. Cliquez sur Apply et Save Configuration.

Configuration ISE

Complétez ces étapes afin de configurer l'ISE :

1. Connectez-vous au serveur ISE : <https://ise>.
   
   
   
   
2. Accédez à Administration > Gestion des identités > Sources d'identité externes.
   
   
   
   
3. Cliquez sur Active Directory.
   
   
   
   
4. Dans l'onglet Connexion :
   
   
   1. Ajoutez le nom de domaine de corp.rf-demo.com (dans cet exemple) et remplacez le nom de magasin d'identités par défaut par AD1.
   2. Cliquez sur Enregistrer la configuration.
   3. Cliquez sur Joindre, puis indiquez le nom d'utilisateur et le mot de passe du compte Administrateur AD requis pour rejoindre.
   4. L'état doit être vert. Activer Connecté à : (case à cocher).
   
   
   
   
5. Exécuter un test de connexion de base à AD avec un utilisateur de domaine actif.
   
   
   
   
6. Si la connexion à l'AD est réussie, une boîte de dialogue confirme que le mot de passe est correct.
   
   
   
   
7. Accédez à Administration > Gestion des identités > Sources d'identité externes :
   
   
   1. Cliquez sur Certificate Authentication Profile.
   2. Cliquez sur Ajouter pour un nouveau profil d'authentification de certificat (CAP).
   
   
   
   
8. Entrez le nom de CertAuth (dans cet exemple) pour le CAP ; pour l'attribut Nom d'utilisateur principal X509, sélectionnez Nom commun ; Puis, cliquez sur Submit.
   
   
   
   
9. Confirmez que le nouveau CAP est ajouté.
   
   
   
   
10. Accédez à Administration > Identity Management > Identity Source Sequences, puis cliquez sur Add .
    
    
    
    
11. Donnez à la séquence un nom de TestSequence (dans cet exemple).
    
    
    
    
12. Faites défiler jusqu'à Authentification basée sur les certificats :
    
    
    1. Activer Sélectionner le profil d'authentification de certificat (case cochée).
    2. Sélectionnez CertAuth (ou un autre profil CAP créé précédemment).
    
    
    
    
13. Faites défiler jusqu'à Authentication Search List :
    
    
    1. Déplacer AD1 de Disponible vers Sélectionné.
    2. Cliquez sur le bouton Haut afin de déplacer AD1 vers la priorité supérieure.
    
    
    
    
14. Cliquez sur Soumettre afin d'enregistrer.
    
    
    
    
15. Confirmez que la nouvelle séquence de source d'identité est ajoutée.
    
    
    
    
16. Utilisez AD afin d'authentifier le portail Mes périphériques. Accédez à ISE > Administration > Identity Management > Identity Source Sequence, et modifiez MyDevices_Portal_Sequence.
    
    
    
    
17. Ajoutez AD1 à la liste Sélectionné, puis cliquez sur le bouton Haut afin de déplacer AD1 vers la priorité supérieure.
    
    
    
    
18. Click Save.
    
    
    
    
19. Vérifiez que la séquence de magasin d'identités pour MyDevices_Portal_Sequence contient AD1.
    
    
    
    
20. Répétez les étapes 16 à 19 afin d'ajouter AD1 pour Guest_Portal_Sequence, puis cliquez sur Enregistrer.
    
    
    
    
21. Vérifiez que Guest_Portal_Sequence contient AD1.
    
    
    
    
22. Afin d'ajouter le WLC au périphérique d'accès au réseau (WLC), accédez à Administration > Network Resources > Network Devices, puis cliquez sur Add.
    
    
    
    
23. Ajoutez le nom du WLC, l'adresse IP, le masque de sous-réseau, etc.
    
    
    
    
24. Faites défiler jusqu'à Authentication Settings, puis saisissez Shared Secret. Ceci doit correspondre au secret partagé du WLC RADIUS.
    
    
    
    
25. Cliquez sur Submit.
    
    
26. Accédez à ISE > Policy > Policy Elements > Results.
    
    
    
    
27. Développez Résultats et Autorisation, cliquez sur Profils d'autorisation, puis cliquez sur Ajouter pour un nouveau profil.
    
    
    
    
28. Donnez ces valeurs à ce profil :
    
    
    • Name : CWA
      
      
      
      
    • Activer l'authentification Web (case cochée) :
      
      
      • Authentification Web : Centralisé
      • ACL : ACL-REDIRECT (Ce nom doit correspondre au nom de la liste de contrôle d'accès pré-authentification du WLC.)
      • Redirection : Par défaut
        
        
      
      
      
29. Cliquez sur Soumettre, puis vérifiez que le profil d'autorisation CWA a été ajouté.
    
    
    
    
30. Cliquez sur Ajouter afin de créer un nouveau profil d'autorisation.
    
    
    
    
31. Donnez ces valeurs à ce profil :
    
    
    • Name : Disposition
      
      
      
      
    • Activer l'authentification Web (case cochée) :
      
      
      • Valeur d'authentification Web : Provisionnement du demandeur
        
        
        
        
      • ACL : ACL-REDIRECT (Ce nom doit correspondre au nom de la liste de contrôle d'accès pré-authentification du WLC.)
        
        
        
        
32. Cliquez sur Soumettre, puis confirmez que le profil d'autorisation Provisionnement a été ajouté.
    
    
    
    
33. Faites défiler les résultats vers le bas, développez Approvisionnement du client, puis cliquez sur Ressources.
    
    
    
    
34. Sélectionnez Profil du demandeur natif.
    
    
    
    
35. Donnez au profil un nom de WirelessSP (dans cet exemple).
    
    
    
    
36. Entrez les valeurs suivantes :
    
    
    • Type de connexion : Solutions sans fil
    • SSID : Démo1x (cette valeur provient de la configuration WLAN du WLC 802.1x)
    • Protocole autorisé : TLS
    • Taille de clé : 1024
    
    
    
    
37. Cliquez sur Submit.
    
    
38. Click Save.
    
    
    
    
39. Confirmez que le nouveau profil a été ajouté.
    
    
    
    
40. Accédez à Policy > Client Provisioning.
    
    
    
    
41. Entrez les valeurs suivantes pour la règle d'approvisionnement des périphériques iOS :
    
    
    • Nom de la règle : IOS
    • Groupes d'identités : tous les modèles
      
      
      
      
    • Systèmes d'exploitation : Mac iOS All
      
      
      
      
    • Résultats : WirelessSP (il s'agit du profil du demandeur natif créé précédemment)
      
      
      
      
      • Accédez à Résultats > Profil de l'Assistant (liste déroulante) > WirelessSP.
        
        
        
        
        
        
42. Vérifiez que le profil de provisionnement iOS a été ajouté.
    
    
    
    
43. Sur le côté droit de la première règle, recherchez la liste déroulante Actions, puis sélectionnez Dupliquer ci-dessous (ou au-dessus).
    
    
    
    
44. Remplacez le nom de la nouvelle règle par Android.
    
    
    
    
45. Remplacez les systèmes d'exploitation par Android.
    
    
    
    
46. Laissez les autres valeurs inchangées.
    
    
47. Cliquez sur Enregistrer (en bas à gauche).
    
    
    
    
48. Accédez à ISE > Policy > Authentication.
    
    
    
    
49. Modifiez la condition pour inclure Wireless_MAB, puis développez Wired_MAB.
    
    
    
    
50. Cliquez sur la liste déroulante Nom de la condition.
    
    
    
    
51. Sélectionnez Dictionnaires > Condition composée.
    
    
    
    
52. Sélectionnez Wireless_MAB.
    
    
    
    
53. À droite de la règle, sélectionnez la flèche à développer.
    
    
    
    
54. Sélectionnez ces valeurs dans la liste déroulante :
    
    
    • Source d'identité : TestSequence (valeur créée précédemment)
    • Si l'authentification a échoué : Rejeter
    • Si l'utilisateur est introuvable : Continuer
    • Si le processus a échoué : Déposer
    
    
    
    
55. Accédez à la règle Dot1X et modifiez ces valeurs :
    
    
    
    

    • Condition : Sans fil 802.1X

      
      
      
    • Source d'identité : SéquenceTest
      
      
      
      
56. Click Save.
    
    
    
    
57. Accédez à ISE > Policy > Authorization.
    
    
    
    
58. Les règles par défaut (telles que Black List Default, Profile et Default) sont déjà configurées à partir de l'installation ; les deux premiers peuvent être ignorés ; la règle par défaut sera modifiée ultérieurement.
    
    
    
    
59. À droite de la deuxième règle (Téléphones IP Cisco profilés), cliquez sur la flèche vers le bas en regard de Modifier, puis sélectionnez Insérer une nouvelle règle ci-dessous.
    
    
    
    

    Un nouveau numéro de règle standard est ajouté.

    
    
    
60. Remplacez le nom de la règle par OpenCWA (Standard Rule #). Cette règle initie le processus d'enregistrement sur le WLAN ouvert (SSID double) pour les utilisateurs qui accèdent au réseau invité afin que les périphériques soient provisionnés.
    
    
    
    
61. Cliquez sur le signe plus (+) pour Condition(s), puis cliquez sur Sélectionner une condition existante dans la bibliothèque.
    
    
    
    
62. Sélectionnez Conditions composées > Wireless_MAB.
    
    
    
    
63. Dans le profil AuthZ, cliquez sur le signe plus (+), puis sélectionnez Standard.
    
    
    
    
64. Sélectionnez le CWA standard (il s'agit du profil d'autorisation créé précédemment).
    
    
    
    
65. Confirmez que la règle est ajoutée avec les conditions et l'autorisation correctes.
    
    
    
    
66. Cliquez sur Terminé (à droite de la règle).
    
    
    
    
67. À droite de la même règle, cliquez sur la flèche vers le bas en regard de Modifier, puis sélectionnez Insérer une nouvelle règle en dessous.
    
    
    
    
68. Remplacez le nom de la règle par PEAPrule (dans cet exemple). Cette règle permet à PEAP (également utilisé pour un seul scénario SSID) de vérifier que l'authentification 802.1X sans TLS (Transport Layer Security) et que le provisionnement du demandeur réseau est initié avec le profil d'autorisation Provisionnement créé précédemment.
    
    
    
    
69. Remplacez la condition par Wireless_802.1X.
    
    
    
    
70. Cliquez sur l'icône de rapport située à droite de la condition, puis sélectionnez Ajouter attribut/valeur. Il s'agit d'une condition et non d'une condition ou.
    
    
    
    
71. Recherchez et sélectionnez Accès réseau.
    
    
    
    
72. Sélectionnez AuthenticationMethod, et entrez ces valeurs :
    
    
    
    
    • AuthenticationMethod : Égal à
      
      
      
      
    • Sélectionnez MSCHAPV2.
      
      
      

    Ceci est un exemple de la règle ; assurez-vous que la condition est un ET.

    
    
    
73. Dans Profil AuthZ, sélectionnez Standard > Provisionnement (il s'agit du profil d'autorisation créé précédemment).
    
    
    
    
    
    
74. Cliquez sur Done.
    
    
    
    
75. À droite de la règle PEAP, cliquez sur la flèche vers le bas en regard de Edit, puis sélectionnez Insert New Rule Below.
    
    
    
    
76. Remplacez le nom de la règle par AllowRule (dans cet exemple). Cette règle sera utilisée afin d'autoriser l'accès aux périphériques enregistrés avec des certificats installés.
    
    
    
    
77. Sous Condition(s), sélectionnez Conditions composées.
    
    
    
    
78. Sélectionnez Wireless_802.1X.
    
    
    
    
79. Ajoutez un attribut AND.
    
    
    
    
80. Cliquez sur l'icône de rapport située à droite de la condition, puis sélectionnez Ajouter attribut/valeur.
    
    
    
    
81. Recherchez et sélectionnez Rayon.
    
    
    
    
82. Sélectionnez Calling-Station-ID—[31].
    
    
    
    
83. Sélectionnez Equals.
    
    
    
    
84. Accédez à CERTIFICAT, puis cliquez sur la flèche droite.
    
    
    
    
85. Sélectionnez Autre nom de sujet.
    
    
    
    
86. Pour le profil AuthZ, sélectionnez Standard.
    
    
    
    
87. Sélectionnez Autoriser l'accès.
    
    
    
    
88. Cliquez sur Done.
    
    
    
    Voici un exemple de règle :
    
    
    
    
89. Recherchez la règle par défaut afin de modifier PermitAccess en DenyAccess.
    
    
    
    
90. Cliquez sur Modifier afin de modifier la règle par défaut.
    
    
    
    
91. Accédez au profil AuthZ existant de PermitAccess.
    
    
    
    
92. Sélectionnez Standard.
    
    
    
    
93. Sélectionnez DenyAccess.
    
    
    
    
94. Vérifiez que la règle par défaut a DenyAccess si aucune correspondance n'est trouvée.
    
    
    
    
95. Cliquez sur Done.
    
    
    
    Il s'agit d'un exemple des principales règles requises pour cet essai ; elles s'appliquent à un seul SSID ou à un double SSID.
    
    
    
    
96. Click Save.
    
    
    
    
97. Accédez à ISE > Administration > System > Certificates afin de configurer le serveur ISE avec un profil SCEP.
    
    
    
    
98. Dans Opérations de certificat, cliquez sur Profils d'autorité de certification SCEP.
    
    
    
    
99. Cliquez sur Add.
    
    
    
    
100. Entrez les valeurs suivantes pour ce profil :
     
     
     • Name : mySCEP (dans cet exemple)
     • URL: https://<ca-server>/CertSrv/mscep/ (Vérifiez la configuration de votre serveur AC pour connaître l'adresse correcte.)
     
     
     
     
101. Cliquez sur Test de connectivité afin de tester la connectivité de la connexion SCEP.
     
     
     
     
102. Cette réponse montre que la connectivité du serveur est réussie.
     
     
     
     
103. Cliquez sur Submit.
     
     
     
     
104. Le serveur répond que le profil d'autorité de certification a été créé avec succès.
     
     
     
     
105. Confirmez que le profil d'autorité de certification SCEP est ajouté.
     
     

Expérience utilisateur - Provisioning d'iOS

SSID double

Cette section traite du double SSID et décrit comment se connecter à l'invité à provisionner et comment se connecter à un WLAN 802.1x.

Complétez ces étapes afin de provisionner iOS dans le scénario SSID double :

1. Sur le périphérique iOS, accédez à Réseaux Wi-Fi, puis sélectionnez DemoCWA (WLAN ouvert configuré sur WLC).
   
   
   
   
2. Ouvrez le navigateur Safari sur le périphérique iOS et visitez une URL accessible (par exemple, serveur Web interne/externe). L'ISE vous redirige vers le portail. Cliquez sur Continue.
   
   
   
   
3. Vous êtes redirigé vers le portail invité pour vous connecter.
   
   
   
   
4. Connectez-vous avec un compte utilisateur et un mot de passe AD. Installez le profil de l'autorité de certification lorsque vous y êtes invité.
   
   
   
   
5. Cliquez sur Installer le certificat approuvé du serveur AC.
   
   
   
   
6. Cliquez sur Terminé une fois le profil complètement installé.
   
   
   
   
7. Revenez au navigateur, puis cliquez sur Register. Notez l'ID de périphérique qui contient l'adresse MAC du périphérique.
   
   
   
   
8. Cliquez sur Installer afin d'installer le profil vérifié.
   
   
   
   
9. Cliquez sur Installer maintenant.
   
   
   
   
10. Une fois le processus terminé, le profil WirelessSP confirme que le profil est installé. Cliquez sur Done.
    
    
    
    
11. Accédez à Réseaux Wi-Fi, puis remplacez le réseau par Démo1x. Votre périphérique est maintenant connecté et utilise TLS.
    
    
    
    
12. Sur ISE, accédez à Operations > Authentications. Les événements indiquent le processus dans lequel le périphérique est connecté au réseau invité ouvert, passe par le processus d'enregistrement avec le provisionnement du demandeur et est autorisé à accéder à l'autorisation après l'enregistrement.
    
    
    
    
13. Accédez à ISE > Administration > Gestion des identités > Groupes > Groupes d'identités de point de terminaison > RegisteredDevices. L'adresse MAC a été ajoutée à la base de données.
    
    

SSID unique

Cette section couvre un SSID unique et décrit comment se connecter directement à un WLAN 802.1x, fournir un nom d'utilisateur/mot de passe AD pour l'authentification PEAP, approvisionner via un compte invité et se reconnecter à TLS.

Complétez ces étapes afin de provisionner iOS dans le scénario SSID unique :

1. Si vous utilisez le même périphérique iOS, supprimez le point de terminaison des périphériques enregistrés.
   
   
   
   
2. Sur le périphérique iOS, accédez à Paramètres > Généraux > Profils. Supprimez les profils installés dans cet exemple.
   
   
   
   
3. Cliquez sur Supprimer afin de supprimer les profils précédents.
   
   
   
   
   
   
4. Connectez-vous directement au 802.1x avec le périphérique existant (effacé) ou avec un nouveau périphérique iOS.
   
   
5. Connectez-vous à Dot1x, saisissez un nom d'utilisateur et un mot de passe, puis cliquez sur Joindre.
   
   
   
   
6. Répétez les étapes 90 et suivantes de la section Configuration ISE jusqu'à ce que les profils appropriés soient complètement installés.
   
   
7. Accédez à ISE > Operations > Authentications afin de surveiller le processus. Cet exemple montre le client qui est connecté directement au WLAN 802.1X lors de son provisionnement, se déconnecte et se reconnecte au même WLAN avec l'utilisation de TLS.
   
   
   
   
8. Accédez à WLC > Monitor > [Client MAC]. Dans les détails du client, notez que le client est à l'état EXÉCUTÉ, que sa commutation de données est définie sur local et que l'authentification est centrale. Ceci est vrai pour les clients qui se connectent au point d'accès FlexConnect.
   
   

Expérience utilisateur - Provisionnement d'Android

SSID double

Cette section traite du double SSID et décrit comment se connecter à l'invité à provisionner et comment se connecter à un WLAN 802.1x.

Le processus de connexion du périphérique Android est très similaire à celui d'un périphérique iOS (SSID simple ou double). Cependant, une différence importante est que le périphérique Android nécessite un accès à Internet pour accéder à Google Marketplace (maintenant Google Play) et télécharger l'agent demandeur.

Complétez ces étapes afin de provisionner un appareil Android (tel que le Samsung Galaxy dans cet exemple) dans le scénario SSID double :

1. Dans le périphérique Android, utilisez le Wi-Fi afin de vous connecter à DemoCWA et ouvrez le WLAN invité.
   
   
   
   
2. Acceptez tout certificat afin de vous connecter à l'ISE.
   
   
   
   
3. Entrez un nom d'utilisateur et un mot de passe sur le portail invité afin de vous connecter.
   
   
   
   
4. Cliquez sur Register. Le périphérique tente d'accéder à Internet afin d'accéder à Google Marketplace. Ajoutez des règles supplémentaires à la liste de contrôle d'accès pré-authentification (comme ACL-REDIRECT) dans le contrôleur afin d'autoriser l'accès à Internet.
   
   
   
   
5. Google répertorie Cisco Network Setup comme une application Android. Cliquez sur Install.
   
   
   
   
6. Connectez-vous à Google, puis cliquez sur INSTALLER.
   
   
   
   
7. Click OK.
   
   
   
   
8. Sur le périphérique Android, recherchez l'application Cisco SPW installée et ouvrez-la.
   
   
   
   
9. Vérifiez que vous êtes toujours connecté au portail invité à partir de votre appareil Android.
   
   
10. Cliquez sur Start afin de démarrer l'assistant de configuration Wi-Fi.
    
    
    
    
11. Le SPW de Cisco commence à installer des certificats.
    
    
    
    
12. Lorsque vous y êtes invité, définissez un mot de passe pour le stockage des informations d'identification.
    
    
    
    
13. Le logiciel Cisco SPW renvoie un nom de certificat, qui contient la clé utilisateur et le certificat utilisateur. Cliquez sur OK afin de confirmer.
    
    
    
    
14. Cisco SPW continue et demande un autre nom de certificat, qui contient le certificat de l'autorité de certification. Entrez le nom iseca (dans cet exemple), puis cliquez sur OK pour continuer.
    
    
    
    
15. Le périphérique Android est maintenant connecté.
    
    

Portail Mes périphériques

My Devices Portal permet aux utilisateurs de mettre en liste noire les périphériques précédemment enregistrés en cas de perte ou de vol d'un périphérique. Il permet également aux utilisateurs de s'inscrire à nouveau si nécessaire.

Complétez ces étapes afin de mettre un périphérique en liste noire :

1. Afin de vous connecter à My Devices Portal, ouvrez un navigateur, connectez-vous à https://ise-server:8443/mydevices (notez le numéro de port 8443) et connectez-vous avec un compte AD.
   
   
   
   
2. Recherchez le périphérique sous ID de périphérique, puis cliquez sur Perdu ? afin de lancer la liste noire d'un périphérique.
   
   
   
   
3. Lorsque l'ISE invite un avertissement, cliquez sur Oui pour continuer.
   
   
   
   
4. ISE confirme que le périphérique est marqué comme perdu.
   
   
   
   
5. Toute tentative de connexion au réseau avec le périphérique précédemment enregistré est maintenant bloquée, même si un certificat valide est installé. Voici un exemple de périphérique sur liste noire qui échoue à l'authentification :
   
   
   
   
6. Un administrateur peut accéder à ISE > Administration > Identity Management > Groups, cliquez sur Endpoint Identity Groups > Blacklist et voyez que le périphérique est mis sur liste noire.
   
   

Complétez ces étapes afin de rétablir un périphérique sur liste noire :

1. Dans le portail Mes périphériques, cliquez sur Rétablir pour ce périphérique.
   
   
   
   
2. Lorsque ISE invite un avertissement, cliquez sur Oui pour continuer.
   
   
   
   
3. ISE confirme que le périphérique a été rétabli avec succès. Connectez le périphérique rétabli au réseau afin de vérifier que le périphérique est désormais autorisé.
   
   

Référence - Certificats

ISE nécessite non seulement un certificat racine CA valide, mais également un certificat valide signé par CA.

Complétez ces étapes afin d'ajouter, lier et importer un nouveau certificat CA approuvé :

1. Accédez à ISE > Administration > System > Certificates, cliquez sur Local Certificates, puis cliquez sur Add.
   
   
   
   
2. Sélectionnez Générer une demande de signature de certificat (CSR).
   
   
   
   
3. Entrez le sujet du certificat CN=<ISE-SERVER hostname.FQDN>. Pour les autres champs, vous pouvez utiliser les valeurs par défaut ou les valeurs requises par la configuration de votre autorité de certification. Cliquez sur Submit.
   
   
   
   
4. ISE vérifie que le CSR a été généré.
   
   
   
   
5. Afin d'accéder au CSR, cliquez sur les opérations Requêtes de signature de certificat.
   
   
   
   
6. Sélectionnez le CSR récemment créé, puis cliquez sur Exporter.
   
   
   
   
7. ISE exporte le CSR vers un fichier .pem. Cliquez sur Enregistrer le fichier, puis sur OK afin d'enregistrer le fichier sur l'ordinateur local.
   
   
   
   
8. Recherchez et ouvrez le fichier de certificat ISE à l'aide d'un éditeur de texte.
   
   
   
   
9. Copiez l'intégralité du contenu du certificat.
   
   
   
   
10. Connectez-vous au serveur AC et connectez-vous avec un compte administrateur. Le serveur est une autorité de certification Microsoft 2008 à l'adresse https://10.10.10.10/certsrv (dans cet exemple).
    
    
    
    
11. Cliquez sur Demander un certificat.
    
    
    
    
12. Cliquez sur demande de certificat avancée.
    
    
    
    
13. Cliquez sur la deuxième option afin de soumettre une demande de certificat en utilisant un CMC codé en base 64 ou ... .
    
    
    
    
14. Collez le contenu du fichier de certificat ISE (.pem) dans le champ Demande enregistrée, assurez-vous que le modèle de certificat est Web Server, puis cliquez sur Soumettre.
    
    
    
    
15. Cliquez sur Télécharger le certificat.
    
    
    
    
16. Enregistrer le fichier certnew.cer ; il sera utilisé ultérieurement afin de se lier à l'ISE.
    
    
    
    
17. Dans Certificats ISE, accédez à Certificats locaux, puis cliquez sur Ajouter > Lier un certificat CA.
    
    
    
    
18. Accédez au certificat qui a été enregistré sur l'ordinateur local à l'étape précédente, activez les protocoles EAP et Management Interface (les cases sont cochées), puis cliquez sur Soumettre. ISE peut prendre plusieurs minutes ou plus pour redémarrer les services.
    
    
    
    
19. Revenez à la page de renvoi de l'AC (https://CA/certsrv/), puis cliquez sur Télécharger un certificat, une chaîne de certificats ou une LCR de l'AC.
    
    
    
    
20. Cliquez sur Download CA certificate.
    
    
    
    
21. Enregistrez le fichier sur l'ordinateur local.
    
    
    
    
22. Avec le serveur ISE en ligne, accédez à Certificates, puis cliquez sur Certificate Authority Certificates.
    
    
    
    
23. Cliquez sur Import.
    
    
    
    
24. Recherchez le certificat de l'autorité de certification, activez Confiance pour l'authentification du client (case à cocher activée), puis cliquez sur Envoyer.
    
    
    
    
25. Confirmez que le nouveau certificat CA approuvé est ajouté.
    
    

Informations connexes

• Guide d'installation matérielle de Cisco Identity Services Engine, version 1.0.4
• Contrôleurs de LAN sans fil de la gamme Cisco 2000
• Contrôleurs de réseau LAN fil de la gamme Cisco 4400
• Gamme Cisco Aironet 3500
• Guide de déploiement du contrôleur de filiale sans fil Flex 7500
• Apportez votre propre périphérique - Authentification unifiée et accès homogène
• BYOD sans fil avec Identity Services Engine
• Support et documentation techniques - Cisco Systems

Revision History