Configurazione dell'autenticazione Web centrale (CWA) su Catalyst 9800 WLC e ISE

Introduzione

Questo documento descrive come configurare una LAN wireless CWA su uno switch Catalyst 9800 WLC e ISE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza della configurazione dei Wireless LAN Controller (WLC) 9800.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
• Identity Service Engine (ISE) v3.0

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Il processo CWA è illustrato di seguito, ad esempio il processo CWA di un dispositivo Apple:

Configurazione

Esempio di rete

Configurazione AAA sui controller 9800 WLC

Passaggio 1. Aggiungere il server ISE alla configurazione WLC 9800.

Passa a  Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add  e immettere le informazioni sul server RADIUS come mostrato nelle immagini.

Verificare che l'opzione Support for CoA (Supporto per CoA) sia abilitata se si pensa di usare in futuro l'autenticazione Web centralizzata o altro tipo di sicurezza che richieda una modifica di autorizzazione, o CoA (Change of Authorization). 

Passaggio 2. Creare un elenco di metodi di autorizzazione.

Passa a  Configuration > Security > AAA >  AAA Method List > Authorization > + Add  come mostrato nell'immagine.

Passaggio 3. (Facoltativo) Creare un elenco di metodi contabili come mostrato nell'immagine.

Nota: CWA non funziona se si decide di bilanciare il carico (dalla configurazione CLI di Cisco IOS XE) dei server radius a causa dell'ID bug Cisco CSCvh03827. L'utilizzo dei servizi di bilanciamento del carico esterni è corretto.

Passaggio 4. (Facoltativo) È possibile definire la policy AAA per inviare il nome SSID come attributo ID stazione chiamata. Questa condizione può essere utile se si desidera sfruttare questa condizione su ISE in un secondo momento del processo.

Passa a  Configuration > Security > Wireless AAA Policy e modificare la policy AAA predefinita o crearne una nuova.

È possibile scegliere  SSID 1. Tenere presente che anche quando si sceglie solo SSID, l'ID stazione chiamato continua ad aggiungere l'indirizzo MAC AP al nome SSID.

Configurazione della WLAN

Passaggio 1. Creare la WLAN.

Passa a  Configuration > Tags & Profiles > WLANs > + Add  e configurare la rete in base alle esigenze.

Passaggio 2. Immettere le informazioni generali sulla WLAN.

Passaggio 3. Passare alla  Security  e scegliere il metodo di protezione necessario. In questo caso, solo 'Filtro MAC' e l'elenco di autorizzazioni AAA (creato nel Passaggio 2. del  AAA Configuration  sezione).

CLI:

#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

Configurazione del profilo di policy

All'interno di un profilo di policy, è possibile decidere di assegnare ai client la VLAN desiderata, tra le altre impostazioni (ad esempio, Access Controls List (ACL), Quality of Service (QoS), Mobility Anchor, Timer e così via).

È possibile usare il profilo di policy predefinito oppure crearne uno nuovo.

GUI:

Passaggio 1. Crea un nuovo  Policy Profile.

Passa a  Configuration > Tags & Profiles > Policy  e configurare  default-policy-profile  o crearne uno nuovo.

Verificare che il profilo sia abilitato.

Passaggio 2. Selezionare la VLAN.

Passare alla  Access Policies  e scegliere il nome della VLAN dall'elenco a discesa o digitare manualmente l'ID VLAN. Non configurare un ACL nel profilo di policy.

Passaggio 3. Configurare il profilo della policy in modo che accetti le sostituzioni ISE (consenti override AAA) e la modifica dell'autorizzazione (CoA) (stato NAC). È possibile anche specificare un metodo di accounting.

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

Configurazione del tag di policy

Il tag di policy permette di collegare l'SSID al profilo di policy. È possibile creare un nuovo tag o utilizzare il tag predefinito.

Nota: il tag default-policy mappa automaticamente qualsiasi SSID con ID WLAN compreso tra 1 e 16 al profilo default-policy. Non può essere modificata o eliminata. Se si dispone di una WLAN con ID 17 o successivo, il tag default-policy non può essere utilizzato.

GUI:

Passa a  Configuration > Tags & Profiles > Tags > Policy  e aggiungerne uno nuovo, se necessario, come mostrato nell'immagine.

Associare il profilo WLAN al profilo di policy desiderato.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Assegnazione di un tag di policy

Assegnare il tag di policy agli access point desiderati.

GUI:

Per assegnare il tag a un punto di accesso, passare a  Configuration > Wireless > Access Points > AP Name > General Tags, creare l'assegnazione necessaria e quindi fare clic su  Update & Apply to Device.

Nota: dopo aver modificato il tag di policy su un access point, quest'ultimo perde l'associazione con il WLC 9800 e si unisce di nuovo entro circa 1 minuto.

Per assegnare lo stesso codice di matricola a più access point, passare a  Configuration > Wireless > Wireless Setup > Advanced > Start Now.

Scegliere gli access point a cui assegnare il tag e fare clic su  + Tag APs  come mostrato nell'immagine.

Scegliete il tag whished e fate clic su  Save & Apply to Device come mostrato nell'immagine.

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configurazione degli ACL di reindirizzamento

Passaggio 1. Passa a  Configuration > Security > ACL > + Add  per creare un nuovo ACL. 

Scegliere un nome per l'ACL e impostarlo  IPv4 Extended  digitate e aggiungete ogni regola come sequenza, come mostrato nell'immagine.

È necessario bloccare il traffico diretto ai nodi ISE PSN e al DNS; tutto il resto del traffico può essere autorizzato. Questo ACL di reindirizzamento non è un ACL di sicurezza, ma un ACL punt che definisce il traffico diretto alla CPU (sui permessi) per un ulteriore trattamento (come il reindirizzamento) e il traffico rimanente sul piano dati (su rifiuto) e impedisce il reindirizzamento.

L'ACL deve essere simile al seguente (sostituire 10.48.39.28 con l'indirizzo IP ISE nell'esempio):

Nota: per l'ACL di reindirizzamento, pensare alla  deny come un reindirizzamento di negazione (non di negazione del traffico) e  permit azione come reindirizzamento dell'autorizzazione. Il WLC analizza solo il traffico che può reindirizzare (per impostazione predefinita, le porte 80 e 43).

CLI:

ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

Nota: se si termina l'ACL con un  permit ip any any invece di un permesso focalizzato sulla porta 80, il WLC reindirizza anche HTTPS, che è spesso indesiderabile in quanto deve fornire il proprio certificato e crea sempre una violazione del certificato. Questa è l'eccezione alla dichiarazione precedente che dice che non è necessario un certificato sul WLC nel caso di CWA: ne serve uno se l'intercettazione HTTPS è abilitata, ma non è mai considerata valida in ogni caso.

È possibile migliorare l'ACL intervenendo per negare solo la porta guest 8443 al server ISE.

Abilita reindirizzamento per HTTP o HTTPS

La configurazione del portale di amministrazione Web è collegata alla configurazione del portale di autenticazione Web e deve essere in ascolto sulla porta 80 per poter essere reindirizzata. Per il corretto funzionamento del reindirizzamento, è pertanto necessario attivare il protocollo HTTP. È possibile scegliere di attivarla globalmente (con il comando  ip http server) oppure attivare HTTP per solo modulo di autenticazione web (con l'uso del comando  webauth-http-enable nella mappa dei parametri).

Per essere reindirizzati quando si tenta di accedere a un URL HTTPS, aggiungere il comando  intercept-https-enable nella mappa dei parametri, ma si noti che questa non è una configurazione ottimale, che ha un impatto sulla CPU del WLC e genera comunque errori di certificato:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

È possibile farlo anche tramite la GUI con l'opzione 'Web Auth intercept HTTPS' selezionata nella mappa dei parametri (Configuration > Security > Web Auth).
  

Configurazione di ISE

Aggiunta di controller 9800 WLC a ISE

Passaggio 1. Aprire la console ISE e selezionareAdministration > Network Resources > Network Devices > Add come mostrato nell'immagine.

Passaggio 2. Configurare il dispositivo di rete.

Facoltativamente, è possibile specificare il nome del modello, la versione del software e la descrizione, nonché assegnare gruppi di dispositivi di rete in base al tipo di dispositivo, alla posizione o ai WLC.

L'indirizzo IP corrisponde all'interfaccia WLC che invia le richieste di autenticazione. Per impostazione predefinita è l'interfaccia di gestione, come mostrato nell'immagine:

Per ulteriori informazioni sui gruppi di dispositivi di rete, vedere il capitolo della guida per l'amministratore di ISE: Manage Network Devices: ISE - Network Device Groups.

Creazione di un nuovo utente in ISE

Passaggio 1. Passa a  Administration > Identity Management > Identities > Users > Add  come mostrato nell'immagine.

Passaggio 2. Immettere le informazioni.

In questo esempio, l'utente appartiene a un gruppo denominato  ALL_ACCOUNTS ma può essere regolata in base alle necessità, come mostrato nell'immagine.

Creazione del profilo di autorizzazione

Il profilo dei criteri è il risultato assegnato a un client in base ai relativi parametri, ad esempio indirizzo MAC, credenziali, WLAN utilizzata e così via. Può assegnare impostazioni specifiche come VLAN (Virtual Local Area Network), elenchi di controllo di accesso (ACL), reindirizzamenti URL (Uniform Resource Locator) e così via.

Tenere presente che nelle versioni recenti di ISE esiste già un profilo di autorizzazione Cisco_Webauth. Qui è possibile modificarlo per cambiare il nome dell'ACL di reindirizzamento in modo che corrisponda a quello configurato nel WLC.

Passaggio 1. Passa a  Policy > Policy Elements > Results > Authorization > Authorization Profiles. Fare clic su   add per creare o modificare il  Cisco_Webauth risultato predefinito.

Passaggio 2. Immettere le informazioni di reindirizzamento. Verificare che il nome ACL sia lo stesso di quello configurato sul WLC 9800.

Configurazione della regola di autenticazione

Passaggio 1. Un set di criteri definisce un insieme di regole di autenticazione e autorizzazione. Per crearne uno, passare aPolicy > Policy Sets, fare clic sull'ingranaggio del primo set di criteri nell'elenco e scegliereInsert new row or click the blue arrow on the right to choose the defaut Policy Set.


Passaggio 2. Espansione  Authentication policy. Per il  MAB regola (corrispondenza su MAB cablato o wireless), espandere  Optionse scegliere il pulsante  CONTINUE nel caso in cui venga visualizzato 'Se l'utente non è stato trovato'.

Passaggio 3. Fare clic su   Save  per salvare le modifiche.

Configurazione delle regole di autorizzazione

La regola di autorizzazione permette di stabilire quali autorizzazioni (ovvero quale profilo di autorizzazione) vengono applicate al client.

Passaggio 1. Nella stessa pagina di set di criteri, chiudere il  Authentication Policy ed espandi  Authorziation Policy  come mostrato nell'immagine.

Passaggio 2. Le versioni ISE recenti iniziano con una regola precreata chiamata  Wifi_Redirect_to_Guest_Login per soddisfare le nostre esigenze. Ruotare il simbolo grigio a sinistra per  enable.

Passaggio 3. Questa regola corrisponde solo a Wireless_MAB e restituisce gli attributi di reindirizzamento CWA. Ora, è possibile aggiungere una piccola torsione e far corrispondere solo l'SSID specifico. Scegliere la condizione (Wireless_MAB a partire da questo momento) per visualizzare Conditions Studio (Studio condizioni). Aggiungere una condizione a destra e scegliere  Radius dizionario con  Called-Station-ID attributo. facendo corrispondere la condizione al nome SSID. Convalida con Use nella parte inferiore dello schermo, come illustrato nell'immagine.

Passaggio 4. È ora necessaria una seconda regola, definita con una priorità più alta, che corrisponda alla  Guest Flow condizione per restituire i dettagli di accesso alla rete dopo l'autenticazione dell'utente sul portale. È possibile utilizzare il  Wifi Guest Access che viene creata in precedenza per impostazione predefinita anche sulle versioni ISE recenti. Per abilitare la regola, è sufficiente inserire un segno di spunta verde a sinistra.   È possibile restituire il valore predefinito di PermitAccess o configurare restrizioni più precise per gli elenchi degli accessi.

Passaggio 5. Salvate le regole.

Fare clic su   Save  in fondo alle regole.

SOLO FlexConnect Access Point con switching locale

Qual è la procedura per i FlexConnect Access Point con switching locale e WLAN? Le sezioni precedenti sono ancora valide. Tuttavia, è necessario un passaggio aggiuntivo per eseguire il push dell'ACL di reindirizzamento agli access point in anticipo.

Passa a  Configuration > Tags & Profiles > Flex e scegliere il profilo Flex. Passare quindi alla  Policy ACL scheda.

Fare clic su   Add  come mostrato nell'immagine.

Scegliere il nome dell'ACL di reindirizzamento e abilitare l'autenticazione Web centrale. Questa casella di controllo inverte automaticamente l'ACL sull'access point (in quanto un'istruzione 'deny' significa 'non reindirizzare a questo IP' sul WLC in Cisco IOS XE). Tuttavia, nell'AP l'istruzione 'deny' significa il contrario. Pertanto, questa casella di controllo scambia automaticamente tutti i permessi e li nega quando esegue il push nell'access point. È possibile verificare questa condizione con un  show ip access list dalla CLI).

Nota: nello scenario di switching locale per Flexconnect, l'ACL deve menzionare specificamente le istruzioni return (che non sono necessariamente richieste in modalità locale), in modo che tutte le regole ACL coprano entrambe le modalità di traffico (ad esempio, da e verso l'ISE).

Non dimenticare di premere  Save e poi  Update and apply to the device.

Certificati

Affinché il client consideri attendibile il certificato di autenticazione Web, non è necessario installare alcun certificato sul WLC, poiché l'unico certificato presentato è il certificato ISE (che deve essere considerato attendibile dal client).

Verifica

Usare questi comandi per verificare la configurazione corrente.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Di seguito è riportata la parte pertinente della configurazione del WLC che corrisponde al presente esempio:

aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
 address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy default-policy-profile
 aaa-override
 nac
 vlan 1416
 no shutdown
wireless tag policy cwa-policy-tag
 wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server

Risoluzione dei problemi

Elenco di controllo

• Verificare che il client si connetta e ottenga un indirizzo IP valido.
• Se il reindirizzamento non è automatico, aprire un browser e provare con un indirizzo IP casuale. Ad esempio, 10.0.0.1. Se il reindirizzamento funziona, è possibile che si sia verificato un problema di risoluzione DNS. Verificare di disporre di un server DNS valido fornito tramite DHCP e che sia in grado di risolvere i nomi host. 
• Assicurarsi di disporre del comando  ip http server configurato per il reindirizzamento su HTTP. La configurazione del portale di amministrazione Web è collegata alla configurazione del portale di autenticazione Web e deve essere elencata sulla porta 80 per poter essere reindirizzata. È possibile scegliere di attivarla globalmente (con il comando  ip http server) oppure attivare HTTP per solo modulo di autenticazione web (con l'uso del comando  webauth-http-enable nella mappa dei parametri).
• Se non si viene reindirizzati quando si tenta di accedere a un URL HTTPS e questo è necessario, verificare di disporre del comando  intercept-https-enable nella mappa dei parametri:
  
  

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

È inoltre possibile verificare tramite la GUI che l'opzione 'Web Auth intercept HTTPS' sia selezionata nella mappa dei parametri:
  

Supporto porta servizio per RADIUS

Cisco Catalyst serie 9800 Wireless Controller ha una porta servizio che viene indicata come  GigabitEthernet 0port. A partire dalla versione 17.6.1, questa porta supporta RADIUS (che include CoA).

Se si desidera utilizzare la porta di servizio per RADIUS, è necessaria la configurazione seguente:

aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

Raccogli debug

WLC 9800 offre funzionalità di traccia ALWAYS-ON. In questo modo, tutti gli errori, gli avvisi e i messaggi relativi alla connettività del client vengono registrati costantemente ed è possibile visualizzare i registri relativi a un evento imprevisto o a una condizione di errore dopo che si è verificato.

Nota: è possibile tornare indietro di alcune ore a diversi giorni nei log, ma dipende dal volume dei log generati.

Per visualizzare le tracce raccolte per impostazione predefinita dal protocollo 9800 WLC, è possibile connettersi al protocollo 9800 WLC tramite SSH/Telnet e procedere come segue (accertarsi di registrare la sessione su un file di testo).

Passaggio 1. Controllare l'ora corrente del WLC in modo da poter tenere traccia dei log nel tempo che precede il momento in cui si è verificato il problema.

# show clock

Passaggio 2. Raccogliere i syslog dal buffer WLC o dal syslog esterno in base alla configurazione del sistema. In questo modo è possibile visualizzare rapidamente lo stato del sistema e gli eventuali errori.

# show logging

Passaggio 3. Verificare se sono abilitate le condizioni di debug.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Nota: se nell'elenco è presente una condizione, le tracce vengono registrate a livello di debug per tutti i processi che soddisfano le condizioni abilitate (indirizzo MAC, indirizzo IP e così via). In questo modo si aumenta il volume dei registri. Pertanto, si consiglia di cancellare tutte le condizioni quando non si esegue il debug attivo.

Passaggio 4. Supponendo che l'indirizzo MAC in fase di test non sia stato elencato come condizione nel passaggio 3., raccogliere le tracce del livello di avviso always on per l'indirizzo MAC specifico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

È possibile visualizzare il contenuto della sessione oppure copiare il file su un server TFTP esterno.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Debug condizionale e traccia Radioactive (RA) 

Se le tracce sempre attive non forniscono informazioni sufficienti per determinare il trigger del problema in esame, è possibile abilitare il debug condizionale e acquisire la traccia Radio attiva (RA), che fornisce le tracce a livello di debug per tutti i processi che interagiscono con la condizione specificata (in questo caso l'indirizzo MAC del client). Per abilitare il debug condizionale, procedere come segue.

Passaggio 5. Verificare che non vi siano condizioni di debug abilitate.

# clear platform condition all

Passaggio 6. Abilitare la condizione di debug per l'indirizzo MAC del client wireless che si desidera monitorare.

Questi comandi iniziano a monitorare l'indirizzo MAC fornito per 30 minuti (1800 secondi). È possibile aumentare questo tempo fino a 2085978494 secondi.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Nota: per monitorare più client alla volta, eseguire debug wireless mac   per indirizzo mac.

Nota: non è possibile visualizzare l'output dell'attività del client nella sessione terminale, in quanto tutto viene memorizzato internamente nel buffer per essere visualizzato successivamente.

Passaggio 7". Riprodurre il problema o il comportamento che si desidera monitorare.

Passaggio 8. Interrompere i debug se il problema viene riprodotto prima che il tempo di monitoraggio predefinito o configurato sia attivo.

# no debug wireless mac <aaaa.bbbb.cccc>

Allo scadere del tempo di monitoraggio o dopo aver interrotto il debug wireless, il WLC 9800 genera un file locale con il nome:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Passaggio 9. Raccogliere il file dell'attività dell'indirizzo MAC. È possibile copiare  ra trace .log su un server esterno o visualizzare l'output direttamente sullo schermo.

Controllare il nome del file delle tracce RA.

# dir bootflash: | inc ra_trace

Copiare il file su un server esterno:

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

Visualizzare il contenuto:

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

Passaggio 10. Se la causa principale non è ancora ovvia, raccogliere i log interni che offrono una visualizzazione più dettagliata dei log a livello di debug. non è necessario eseguire di nuovo il debug del client. Per ulteriori informazioni, vedere i log di debug già raccolti e archiviati internamente.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Nota: questo output del comando restituisce tracce per tutti i livelli di log per tutti i processi ed è piuttosto voluminoso. Coinvolgere Cisco TAC per analizzare queste tracce.

È possibile copiare  ra-internal-FILENAME.txt su un server esterno o visualizzare l'output direttamente sullo schermo.

Copiare il file su un server esterno:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Visualizzare il contenuto:

# more bootflash:ra-internal-<FILENAME>.txt

Passaggio 11. Rimuovere le condizioni di debug.

# clear platform condition all

Nota: assicurarsi di rimuovere sempre le condizioni di debug dopo una sessione di risoluzione dei problemi.

Esempi

Se il risultato dell'autenticazione non è quello previsto, è importante passare all'ISE  Operations > Live logs e ottenere i dettagli del risultato dell'autenticazione.

Viene visualizzato il motivo dell'errore (se si verifica un errore) e tutti gli attributi Radius ricevuti da ISE.

Nell'esempio seguente, ISE ha rifiutato l'autenticazione perché non ha trovato una regola di autorizzazione corrispondente. Questo perché l'attributo ID stazione chiamata viene inviato come nome SSID aggiunto all'indirizzo MAC dell'access point, mentre l'autorizzazione corrisponde esattamente al nome SSID. Viene corretto quando la regola viene modificata in 'contains' anziché 'equal'.

Dopo aver risolto questo problema, il client wifi non può ancora associarsi all'SSID mentre ISE dichiara che l'autorizzazione è riuscita e ha restituito gli attributi CWA corretti.

È possibile passare alla  Troubleshooting > Radioactive trace della pagina Web WLC.

nella maggior parte dei casi, è possibile fare affidamento sui log sempre attivi e persino ottenere log da tentativi di connessione precedenti senza la riproduzione del problema ancora una volta.

Aggiungere l'indirizzo MAC del client e fare clic su  Generate  come mostrato nell'immagine.

In questo caso, il problema è che è stato digitato un nome ACL non corrispondente al nome ACL restituito dall'ISE oppure il WLC lamenta che non esiste alcun ACL come quello richiesto da ISE:

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.