概要
このドキュメントでは、Chromebook のオンボーディングに対して Cisco Identity Service Engine(ISE)バージョン 2.1 およびワイヤレス LAN コントローラ(WLC)を設定する方法について説明します。
前提条件
要件
以下に関する基本的な知識があることが推奨されます。
- Cisco Identity Services Engine
- Google 管理コンソール
- Chromebook 用のドメイン登録ライセンスとデバイス ライセンスの購入およびインストール
使用するコンポーネント
- ISE 2.1
- WLC バージョン 8.0.133.0
- Chromebook(ドメイン登録ライセンスとデバイス ライセンスを購入済み)
フローの概要
フローは、Cisco Network Setup Assistant(NSA)をクライアントにプッシュする時期に応じて異なります。
(ユーザがプロビジョニング SSID に接続する前に)Cisco NSA がアウトオブバンドで拡張機能に追加された場合
1. デバイスがドメインに登録され、Google 管理コンソールの設定に基づいて、Cisco NSA、WiFi 設定、証明書などが Chromebook によりダウンロードされます。
2. ユーザが MAB SSID に接続し、CWA にリダイレクトされます。
3. ユーザがクレデンシャルを入力します。 認証に成功すると、ユーザは BYOD ポータルにリダイレクトされます。
4. BYOD が開始されると、クライアントによって CSR が ISE に送信されます。
5. ISE によって証明書が生成され、ユーザ証明書がクライアントにプッシュされます。
6. クライアントにプッシュされた証明書を使用して、Chromebook が TLS SSID に再接続されます。
プロビジョニング SSID に接続した後に、Cisco NSA がダウンロードされた場合
1. ユーザが MAB SSID に接続し、CWA にリダイレクトされます。 リダイレクト ACL には、DNS、ISE、Google サーバ、Google ドメインへのアクセス権があります。
2. Google 管理コンソールで設定された Cisco NSA、WiFi 設定、証明書がデバイスによってダウンロードされます。
3. ユーザがゲスト ポータル ページでレデンシャルを入力します。 認証に成功すると、ユーザは BYOD ポータルにリダイレクトされます。
4. BYOD が開始されると、クライアントによって CSR が ISE に送信されます。
5. ISE によって証明書が生成され、ユーザ証明書がクライアントにプッシュされます。
6. クライアントにプッシュされた証明書を使用して、Chromebook が TLS SSID に再接続されます。
ネットワーク図
次のフローは、プロビジョニング SSID に接続する前に、Cisco NSA がエンドポイントに追加されるシナリオを示しています。

設定
MAB SSID への接続によるオンボーディング
ユーザは MAB SSID に接続し、プロビジョニングされた証明書を取得して EAP-TLS に接続します。
Google 管理コンソールの設定
ステップ1: https://admin.Google.com にアクセスして、Google 管理コンソールにログインします。
ステップ2: [Device management] > [Networks] > [Wifi] を参照して 2 つの WiFi 設定を追加します(一方はプロビジョニング SSID 用、もう一方は EAP-TLS 用)。
サーバ認証局: EAP-TLS WiFi の設定項目を設定する際に、EAP に内部 CA を使用している場合は、[Device Management] > [Network] > [Certificates] で、CA 証明書チェーンを管理コンソールにアップロードしなければなりません。 アップロードした CA チェーンは、[Server Certificate Authority] でマッピングする必要があります。 サードパーティの CA を使用している場合は、CA チェーンを管理コンソールにインポートする必要はなく、[Server Certificate Authority] のドロップダウンから [Use any default Certificate Authority] オプションを選択します。
発行者パターン/件名パターン: [Issuer Pattern] または [Subject Pattern] の 1 つ以上の属性が、インストールされている証明書の属性と一致しなければなりません。
MAB SSID WifI の設定: Chrome-MAB

EAP-TLS SSID WiFi の設定: Chrome-TLS


ステップ3: [Device Management] > [Chrome] > [User Settings] > [Apps and Extensions] を参照し、[Force-Installed Apps and Extensions] で [Manage Force-Installed Apps] をクリックします。 Chrome ウェブストアで「Cisco Network Setup Assistant」を検索して追加します。


ISE 設定
ステップ 1: MAB と EAP_TLS の認証ルール。

ステップ 2: ゲスト リダイレクト用の認可プロファイル、および CWA と EAP-TLS 用の認可ルールの作成。


ステップ3: Google 管理コンソールで WiFi の設定を作成するときに件名パターン属性を選択した場合は、件名パターン属性と一致するように証明書テンプレートを編集します。 この例では、[Organization] が「Cisco」になっています。
[Organization] が「Cisco」になっている証明書テンプレート

ステップ 4: NSP プロファイルを作成するか、既存の NSP プロファイルを使用します。

ステップ 5: 作成した NSP プロファイルをクライアントのプロビジョニング ルールにマッピングします。 [Policy] > [Client Provisioning] を参照します。

ステップ 6: ゲストポータルの設定で BYOD を有効にします。 [Work Centers] > [Guest Access] > [Configure] > [select the guest portal] を参照し、BYOD の設定を編集します。 [Allow Employees to use personal devices on the network] を有効にします。

コントローラ コンフィギュレーション
ステップ 1: 管理コンソールで作成した WiFi 設定と一致する MAB と Dot1x の SSID を作成します。 この例では、MAB 用に MAC フィルタリングが有効な「Chrome MAB」が作成され、802.1x 用に「Chrome-TLS」が作成されます。
ステップ 2: リダイレクト ACL を作成します。
Cisco Network Setup Assistant をアウトバンドで Chromebook にプッシュする場合は、リダイレクト ACL に DNS、DHCP、ISE サーバへのアクセス権を設定するだけ済みます。 このシナリオは、通常、プロビジョニング SSID に接続する前に Chromebook をドメインに登録する場合に該当します。 しかし、プロビジョニング SSID に接続することによって Cisco Network Setup Assistant をダウンロードするシナリオでは、DNS、ISE、Google サーバ ホワイトリスト、および Google ドメインへのアクセス権を設定する必要があります。
注: DNS ベースの ACL は、外部アンカー シナリオおよび FlexConnect ローカル スイッチングではサポートされません。 DNS ベースの ACL 制限の詳細については、次の記事を参照してください。 DNS ベースの ACL 制限
リダイレクト ACL:プロビジョニング SSID に接続する前に Cisco Network Setup Assistant をダウンロードする場合

リダイレクト ACL:プロビジョニング SSID を使用して Cisco Network Setup Assistant をダウンロードする場合 Google サーバ ホワイトリストと Google ドメインの URL ベースの ACL を追加します。


Chromebook のオンボーディング
ステップ 1: 管理コンソールで作成したドメインに属するユーザを使って、Chromebook にログインします。
作成したドメインに当該デバイスを登録済みの場合、そのデバイスを消去する必要はありません。 ただし、デバイスが別のドメインに登録されている場合は、デバイスをリセットして、Google 管理コンソールで新たに設定したドメインに登録します。
このテストでは、プロビジョニング SSID に接続する前に Cisco Network Setup Assistant がダウンロードされています。
chrome://extensions をチェックして、Cisco Network Setup Assistant が拡張機能に含まれていることを確認します。
ステップ 2: 次の MAB WiFi 設定に接続します。 Chrome-MAB
手順 3:参照するとゲスト ポータル ページにリダイレクトされるので、ユーザ クレデンシャルを入力します(ユーザは AD/ISE 内部ユーザに含まれている必要があります)。
ステップ 4: ゲスト認証に成功すると、ユーザは BYOD ポータルにリダイレクトされます。 [Start] をクリックします。

ステップ 5: [Device name] にデバイス名を追加し、[Continue] をクリックします。

ステップ 6: 証明書のインストールを求められたら、[Yes] をクリックします。

ステップ 7: 証明書がインストールされます。

ステップ 8: EAP-TLS SSID に再接続します。 この例では、その Chrome-TLS。
その他の使用例
PEAP SSID への接続によるオンボーディング
次の手順には、「MAB SSID への接続によるオンボーディング」での設定とは異なる設定のみが示されています。 その他の手順については、上記の設定を参照してください。
Google 管理コンソールでの WiFi の設定
PEAP SSID の WiFi プロファイルの追加


ISE の認可

確認
ISE のライブ ログには、最初に MAB 要求、その次に成功したゲスト認証、最後に EAP-TLS の成功が示されます。

クライアント側で、ユーザは Chrome-TLS SSID に接続されます。 証明書が検証されます。


トラブルシューティング
ISE でのデバッグ
ISE のログを確認するために、次のコンポーネントのロギングをデバッグ レベルに変更します。
[ca-service]、[client-webapp]、[portal]、[portal-session-manager]、[provisioning]、[runtime-AAA]、[prrt-JNI]

オンボーディング プロセスを確認するためのログ:ise-psc.log と caservice.log
ise-psc.log
2016-06-30 15:33:57,009 DEBUG [http-bio-10.201.228.86-8445-exec-3][] cisco.cpm.provisioning.cache.FlowStateCacheManager -:::john:- Initialized byod flow state for A4-C4-94-C5-1D-4A
2016-06-30 15:33:57,009 DEBUG [http-bio-10.201.228.86-8445-exec-3][] cisco.cpm.provisioning.nsp.NSPProvisionRuntime -:::john:- BYODStatus:INIT
2016-06-30 15:34:03,475 DEBUG [http-bio-10.201.228.86-8445-exec-3][] cpm.provisioning.admin.impl.ResourceManagerImpl -::::- CP:DEBUG Filename read = Cisco-ISE-Chrome-NSP.xml
2016-06-30 15:34:08,078 DEBUG [portal-http-service11][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Found incoming certifcate request for internal CA. Increasing Cert Request counter.
2016-06-30 15:34:08,120 DEBUG [portal-http-service11][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Key type is RSA, retrieving ScepCertRequestProcessor for caProfileName=ISE Internal CA
2016-06-30 15:34:08,121 INFO [portal-http-service11][] com.cisco.cpm.scep.ScepCertRequestProcessor -::::- About to forward certificate request CN=john,OU=Example unit,O=Cisco,L=City,ST=State,C=US with transaction id Voz???=qfw to server http://127.0.0.1:9444/caservice/scep
2016-06-30 15:34:09,664 DEBUG [portal-http-service13][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Performing doGetCertInitial found Scep certificate processor for txn id Voz???=qfw
2016-06-30 15:34:09,667 DEBUG [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- Fetching the Certificate attributes to be added to an Endpoint.
2016-06-30 15:34:09,697 DEBUG [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- BYODStatus:COMPLETE_CERT_PROVISIONING
2016-06-30 15:34:09,709 DEBUG [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- Storing Endpoint Certificate in the Endpoint Certificate table. (mac a4:c4:94:c5:1d:4a)
2016-06-30 15:34:09,789 DEBUG [portal-http-service13][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- BYODStatus:COMPLETE_OTA_CWA
ca-service.log
2016-06-30 15:34:08,160 DEBUG [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request] com.cisco.cpm.caservice.CrValidator -:::::- performing certificate request validation:
version [0]
subject [CN=john,OU=Example unit,O=Cisco,L=City,ST=State,C=US]
2016-06-30 15:34:08,162 DEBUG [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- CA SAN Extensions = GeneralNames:
1: A4-C4-94-C5-1D-4A
2016-06-30 15:34:08,191 INFO [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- issuing Certificate Services Endpoint Certificate:
class [com.cisco.cpm.caservice.CaResultHolder] [515937322]: result: [CA_OK]
subject [C=US, ST=State, L=City, O=Cisco, OU=Example unit, CN=john]
version [3]
serial [0x7d68df87-8c214973-bf32078b-6f2e561b]
validity [after [2016-06-29T15:34:08+0000] before [2018-06-30T15:34:08+0000]]
keyUsages [ digitalSignature nonRepudiation keyEncipherment ]
Chromebook のログ
Chromebook のコンソール ログの場合は、ブラウザで「chrome://extensions」と入力します。 右上の [Developer mode] をオンにして、[Cisco Network Setup] セクションまでスクロールし、[Inspect Views:] の [background page] をクリックしてロギング コンソールを開きます。 [Console] タブを選択します。

有用な Chromebook ブラウザ コマンド
Chrome://extensions:Cisco Network Setup Assistant を表示したり、コンソール ログを収集します。
Chrome://settings/certificates:証明書を表示します。
Chrome://downloads:[Downloads] フォルダを開きます。
よくある問題
1. EAP 認証時に Chromebook で ISE サーバ証明書が拒否される。 Error: 「Authentication Certificate rejected Locally」

ソリューション: EAP 証明書の CA チェーンが内部 CA の場合は、管理コンソールで WiFi 設定を作成する際に CA 証明書を [Server Certificate Authority] にマッピングする必要があります。 内部 CA 証明書がマッピングされていない場合、Chromebook はデフォルトでルート証明書のみを確認します。
2. ACL よって必要なアクセスが許可されているのに、Cisco Network Setup Assistant をダウンロードできない。
ソリューション: ユーザはそのドメインに属している必要があります。 管理コンソールへのロギングにより、ユーザがドメインに属していることを確認します。