Aruba ワイヤレスとの ISE 2.0 サードパーティ統合 - 設定例
目次
概要
Cisco Identity Services Engine(ISE)バージョン 2.0 は、サード パーティの統合をサポートします。 これは、Aruba 204 で管理されるワイヤレス ネットワークを ISE と統合して、Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)サービスを実現する方法を示す設定例です。
ドキュメントでは、ISE のサード パーティ統合機能をトラブルシュートする方法について説明します。このドキュメントを、他のベンダーやフローとの統合のガイドとして使用できます。
Notice: シスコは、他のベンダー製デバイスの設定やサポートに一切の責任を持ちません。
前提条件
要件
次の項目に関する知識が推奨されます。
- Aruba IAP 設定に関する基礎知識
- ISE 上の BYOD のフローに関する基礎知識
- Identity Services Engine(ISE)のパスワードおよび証明書認証の設定に関する基礎知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。
- Aruba IAP 204 ソフトウェア 6.4.2.3
- Cisco ISE リリース 2.0 以降
設定
ネットワーク図
Aruba AP が管理するワイヤレス ネットワークは 2 つあります。 1 つは mgarcarz_byod であり、802.1x EAP-PEAP のアクセスに使用されます。 認証に成功した後、Aruba コントローラがユーザを ISE BYOD ポータルの Native Supplicant Provisioning(NSP)フローにリダイレクトする必要があります。 ユーザがリダイレクトされ、Network Setup Assistant アプリケーションが実行され、証明書がプロビジョニングされて、Windows クライアントにインストールされます。 そのプロセスには SE 内部 CA が使用されます(デフォルト設定)。 さらに Network Setup Assistant は、Aruba が管理する 2 番目の SSID のワイヤレス プロファイル(mgarcarz_byod_tls)も作成します。これは 802.1x EAP-TLS の認証に使用されます。
その結果、社内ユーザは個人デバイスをシステムの一部として取り込むことが可能になり、社内ネットワークへのセキュアなアクセスを実現することができます。
次の例は、アクセスのタイプに合わせて簡単に変更できます。
- BYOD サービスを使用する中央 Web 認証(CWA)
- Posture および BYOD のリダイレクションを使用する 802.1x 認証
- EAP-PEAP 認証には一般的に、Active Directory が使用されます(この記事を簡潔にするために、内部 ISE ユーザを使用します)。
- 証明書のプロビジョニングには一般的に、外部 SCEP サーバ(一般的には Microsoft ネットワーク デバイス登録サービス(NDES))が使用されます(この記事を簡潔にするために、内部 ISE CA を使用します)。
サード パーティ サポートの課題
サード パーティ製デバイスとともに ISE ゲスト フロー(BYOD、CWA、NSP、CPP など)を使用するときの課題は何でしょうか。
セッション(Sessions)
シスコ ネットワーク アクセス デバイス(NAD)は、audit-session-id という Radius cisco-av-pair を使用して、セッション ID を AAA サーバに通知しています。この値は、ISE がセッションを追跡し、各フローに正しいサービスを提供するために使用されます。 他のベンダーは cisco-av-pair をサポートしていません。 そのため ISE は、Access-Request および Accounting Request で受信される IETF 属性に依存する必要があります。
Access-Request を受信した後、ISE は、合成されたシスコ セッション ID を作成します(Calling-Station-ID、NAS-Port、NAS-IP-Address、および共有秘密キーを使用)。 この値はローカルのみで意味を持ちます(ネットワーク経由では送信されません)。 その結果、すべてのフロー(BYOD、CWA、NSP、CPP)で適切な属性が付加されることが必要であるため、ISE は、シスコ セッション ID を再計算し、ルックアップを実行してそれを正しいセッションに関連付け、フローを続行します。
URL リダイレクト
ISE は、url-redirect および url-redirect-acl という Radius cisco-av-pair を使用して、特定のトラフィックをリダイレクトする必要があることを NAD に通知します。
他のベンダーは cisco-av-pair をサポートしていません。 そのため、通常は、ISE 上の特定のサービス(認証プロファイル)をポイントするスタティック リダイレクション URL を使用して、これらのデバイスを設定する必要があります。 ユーザが HTTP セッションを開始したら、これらの NAD がその URL をリダイレクトし、追加の引数(IP アドレス、MAC アドレスなど)を付加することによって、ISE が特定のセッションを識別してフローを続行することができます。
CoA
ISE は Radius cisco-av-pair として、subscriber: command、subscriber: reauthenticate-type を使用して、NAD が特定のセッションに対して実行するアクションを指示します。 他のベンダーは cisco-av-pair をサポートしていません。 そのため、通常、これらのデバイスは、RFC CoA(3576 または 5176)、および次の 2 つの定義済みメッセージのいずれかを使用します。
- disconnect request(パケット オブ ディスコネクトとも呼ばれる):セッションを切断するため(ほとんどの場合、強制的に再接続するため)に使用する
- coa push:切断せずにセッション ステータスを透過的に変更するために使用する(たとえば、VPN セッションや、新たに適用された ACL など)
ISE は、cisco-av-pair を使用する Cisco CoA も、CoA RFC 3576 と 5176 もサポートします。
ISE でのソリューション
ISE 2.0 には、サード パーティ ベンダーをサポートするために、ネットワーク デバイス プロファイルの概念が導入されました。この概念は、特定のベンダーがどのように動作するか、およびセッション、URL リダイレクト、CoA がどのようにサポートされるかを記述しています。
認証プロファイルは特定のタイプのプロファイル(ネットワーク デバイス プロファイル)であり、認証が実行されると、そのプロファイルから ISE の動作が取得されます。 そのため、他のベンダーのデバイスは ISE で簡単に管理できます。 また、ISE の設定には柔軟性があり、新しいネットワーク デバイス プロファイルを調整したり、作成したりすることもできます。
この記事では、Aruba デバイスのデフォルト プロファイルの使用法について説明します。
機能の詳細については、以下の情報を参照してください。
Cisco Identity Services Engine でのネットワーク アクセス デバイス プロファイル
Cisco ISE
手順 1:Aruba ワイヤレス コントローラをネットワーク デバイスに追加する
[Administration] > [Network Resources] > [Network Devices] に移動します。 選択したベンダーに対して適切なデバイス プロファイルを選択します。この例では ArubaWireless を選択します。 必ず [Shared Secret] と [CoA port] を設定します。
該当するベンダーに使用できるプロファイルがない場合は、[Administration] > [Network Resources] > [Network Device Profiles] で設定できます。
手順 2:認証プロファイルを設定する
[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] から [Network Device Profile] として手順 1 と同じプロファイル ArubaWireless を選択します。 次のプロファイルが設定されました。
- BYOD Portal を使用する Aruba-redirect-BYOD。以下にこれを示します。
[Web Redirection] 設定の欠落している部分では、認証プロファイルへのスタティック リンクが生成されます。 Aruba はゲスト ポータルへのダイナミック リダイレクションをサポートしませんが、各認証プロファイルに 1 つずつリンクが割り当てられており、Aruba 上で設定されます。
手順 3:認証規則を設定する
[Policy] > [Authorization rules] は次のように設定されています。
最初に、ユーザが SSID「mgracarz_aruba」に接続し、ISE が認証プロファイル「Aruba-redirect-BYOD」を返します。これにより、クライアントはデフォルトの BYOD ポータルにリダイレクトされます。 BYOD プロセスを完了したら、クライアントが EAP-TLS を使用して接続し、ネットワークへのフル アクセスが付与されます。
Aruba AP
手順 1:キャプティブ ポータルの設定
Aruba 204 上でキャプティブ ポータルを設定するには、[Security] > [External Captive Portal] に移動し、新規ポータルを追加します。 適切に設定するには、次のように入力する必要があります。
- Type: Radius Authentication
- IP or hostname: ISE サーバ
- URL: ISE において認証プロファイルの設定で作成したリンク。 これは、それぞれの認証プロファイルに固有のものであり、[Web Redirection] の設定の下にあります。
- Port: 選択したポータルがホストされている ISE 上のポート番号(デフォルト: 8443)。
手順 2:Radius サーバの設定
[Security] > [Authentication Servers] で、CoA ポートが ISE 上の設定と同じであることを確認します。 (Aruba 204 上ではデフォルトで 5999 に設定されますが、これは RFC 5176 に準拠しておらず、ISE では機能しません)。
手順 3:SSID の設定
- [Security] タブ:
- [Access] タブ: [Network-based Access Rule] を選択して、SSID 上のキャプティブ ポータルを設定します。
手順 1 で設定したキャプティブ ポータルを使用します。 これを追加するには、[New] ボタンを使用し、[Rule type] として [Captive portal] を、[Splash page type] として [External] を選択します。
さらに、ISE サーバへのすべてのトラフィックを許可します(範囲 1 ~ 20000 の TCP ポート)。ただし、Aruba でデフォルトで設定された規則 [Allow any to all destinations] は正しく機能しない可能性があります。
確認
手順 1:EAP-PEAP を使用した SSID mgarcarz_aruba への接続
ISE 上の最初の認証ログが表示されます。 デフォルトの認証ポリシーが使用され、認証プロファイル Aruba-redirect-BYOD が返されました。
ISE は Radius Access-Accept というメッセージを返し、EAP の成功が示されます。 属性はそれ以上返されないことに注意してください(Cisco av-pair url-redirect や url-redirect-acl は返されません)。
Aruba が、セッションが確立されたこと(EAP-PEAP の ID が cisco であること)、および選択された [Role] が mgarcarz_aruba であることを報告します。
この役割は、ISE へのリダイレクション(Aruba 上のキャプティブ ポータルの機能)を実行します。
Aruba CLI で、そのセッションの現在の認証ステータスを確認することができます。
04:bd:88:c3:88:14# show datapath user
Datapath User Table Entries
---------------------------
Flags: P - Permanent, W - WEP, T- TKIP, A - AESCCM
R - ProxyARP to User, N - VPN, L - local, I - Intercept, D - Deny local routing
FM(Forward Mode): S - Split, B - Bridge, N - N/A
IP MAC ACLs Contract Location Age Sessions Flags Vlan FM
--------------- ----------------- ------- --------- -------- ----- --------- ----- ---- --
10.62.148.118 04:BD:88:C3:88:14 105/0 0/0 0 1 0/65535 P 1 N
10.62.148.71 C0:4A:00:14:6E:31 138/0 0/0 0 0 6/65535 1 B
0.0.0.0 C0:4A:00:14:6E:31 138/0 0/0 0 0 0/65535 P 1 B
172.31.98.1 04:BD:88:C3:88:14 105/0 0/0 0 1 0/65535 P 3333 B
0.0.0.0 04:BD:88:C3:88:14 105/0 0/0 0 0 0/65535 P 1 N
04:bd:88:c3:88:14#
さらに、ACL ID 138 の現在のアクセス許可を確認できます。
04:bd:88:c3:88:14# show datapath acl 138
Datapath ACL 138 Entries
-----------------------
Flags: P - permit, L - log, E - established, M/e - MAC/etype filter
S - SNAT, D - DNAT, R - redirect, r - reverse redirect m - Mirror
I - Invert SA, i - Invert DA, H - high prio, O - set prio, C - Classify Media
A - Disable Scanning, B - black list, T - set TOS, 4 - IPv4, 6 - IPv6
K - App Throttle, d - Domain DA
----------------------------------------------------------------
1: any any 17 0-65535 8209-8211 P4
2: any 172.31.98.1 255.255.255.255 6 0-65535 80-80 PSD4
3: any 172.31.98.1 255.255.255.255 6 0-65535 443-443 PSD4
4: any mgarcarz-ise20.example.com 6 0-65535 80-80 Pd4
5: any mgarcarz-ise20.example.com 6 0-65535 443-443 Pd4
6: any mgarcarz-ise20.example.com 6 0-65535 8443-8443 Pd4 hits 37
7: any 10.48.17.235 255.255.255.255 6 0-65535 1-20000 P4 hits 18
<....some output removed for clarity ... >
これは、GUI でその役割について設定した内容と一致します。
手順 2:BYOD のための Web ブラウザ トラフィックのリダイレクション
ユーザが Web ブラウザを開き、アドレスを入力すると、リダイレクションが行われます。
パケット キャプチャを確認すると、Aruba が宛先(5.5.5.5)をスプーフィングしていること、および HTTP リダイレクションを ISE に返していることを確認できます。 これが ISE で設定されたのと同じスタティック URL であること、および Aruba 上でキャプティブ ポータルにコピーされたことに注目してください。ただし次のような複数の引数が追加されています。
- cmd = login
- mac = c0:4a:00:14:6e:31
- essid = mgarcarz_aruba
- ip = 10.62.148.7
- apname = 4bd88c38814 (mac)
- url = http://5.5.5.5
これらの引数が設定されたことにより、ISE はシスコ セッション ID を再作成できるようになり、ISE で対応するセッションを見つけ出すことや、BYOD フロー(または設定されたその他のフロー)を続行することもできます。 シスコ デバイスでは、通常は audit_session_id が使用されますが、これは他のベンダーではサポートされていません。
ISE のデバッグからこれを確認するには、audit-session-id 値の生成を確認します(この値はネットワーク上に送信されません)。
AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
c04a00146e31,FramedIPAddress=10.62.148.71,MessageFormatter::appendValue() attrName:
cisco-av-pair appending value:
audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M
さらにその相関関係を、BYOD の 2 ページ目でデバイスを登録後に確認します。
AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
c04a00146e31,FramedIPAddress=10.62.148.71,Log_Message=[2015-10-29 23:25:48.533 +01:00
0000011874 88010 INFO MyDevices: Successfully registered/provisioned the device
(endpoint), ConfigVersionId=145, UserName=cisco, MacAddress=c0:4a:00:14:6e:31,
IpAddress=10.62.148.71, AuthenticationIdentityStore=Internal Users,
PortalName=BYOD Portal (default), PsnHostName=mgarcarz-ise20.example.com,
GuestUserName=cisco, EPMacAddress=C0:4A:00:14:6E:31, EPIdentityGroup=RegisteredDevices
Staticassignment=true, EndPointProfiler=mgarcarz-ise20.example.com, EndPointPolicy=
Unknown, NADAddress=10.62.148.118, DeviceName=ttt, DeviceRegistrationStatus=Registered
AuditSessionId=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M,
cisco-av-pair=audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M
それ以降の要求では、クライアントが BYOD の 3 ページ目にリダイレクトされ、そのページで Network Setup Assistant がダウンロードされて、実行されます。
手順 3:Network Setup Assistant の実行
NSA には Web ブラウザと同じタスクがあります。 最初に ISE の IP アドレスを検出する必要があります。 この検出は HTTP リダイレクションによって実行されます。 ただし今回は、ユーザが IP アドレスを(Web ブラウザのように)入力できないため、トラフィックが自動的に生成されます。 デフォルト ゲートウェイが使用されます(enroll.cisco.com を使用することもできます)。
Web ブラウザの場合とまったく同じ方法で応答します。 この方法で NSA は、ISE に接続し、xml プロファイルを設定とともに取得し、SCEP 要求を生成し、それを ISE に送信して、署名付き証明書(ISE の内部 CA による署名)を取得し、ワイヤレス プロファイルを設定し、最終的に設定済み SSID に接続できます。 クライアントから取得したログを訂正します(Windows では %temp%/spwProfile.log 内にあります)。 一部の出力は、分かりやすくするために省略されています。
Logging started
SPW Version: 1.0.0.46
System locale is [en]
Loading messages for english...
Initializing profile
SPW is running as High integrity Process - 12288
GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\ for file name = spwProfile.xml result: 0
GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\Low for file name = spwProfile.xml result: 0
Profile xml not found Downloading profile configuration...
Downloading profile configuration...
Discovering ISE using default gateway
Identifying wired and wireless network interfaces, total active interfaces: 1
Network interface - mac:C0-4A-00-14-6E-31, name: Wireless Network Connection, type: wireless
Identified default gateway: 10.62.148.100
Identified default gateway: 10.62.148.100, mac address: C0-4A-00-14-6E-31
redirect attempt to discover ISE with the response url
DiscoverISE - start
Discovered ISE - : [mgarcarz-ise20.example.com, sessionId: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M]
DiscoverISE - end
Successfully Discovered ISE: mgarcarz-ise20.example.com, session id: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M, macAddress: C0-4A-00-14-6E-31
GetProfile - start
GetProfile - end
Successfully retrieved profile xml
using V2 xml version
parsing wireless connection setting
Certificate template: [keysize:2048, subject:OU=Example unit,O=Company name,L=City,ST=State,C=US, SAN:MAC]
set ChallengePwd
creating certificate with subject = cisco and subjectSuffix = OU=Example unit,O=Company name,L=City,ST=State,C=US
Installed [LAB CA, hash: fd 72 9a 3b b5 33 72 6f f8 45 03 58 a2 f7 eb 27^M
ec 8a 11 78^M
] as rootCA
Installed CA cert for authMode machineOrUser - Success
HttpWrapper::SendScepRequest - Retrying: [1] time, after: [2] secs , Error: [0], msg: [ Pending]
creating response file name C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer
Certificate issued - successfully
ScepWrapper::InstallCert start
ScepWrapper::InstallCert: Reading scep response file [C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer].
ScepWrapper::InstallCert GetCertHash -- return val 1
ScepWrapper::InstallCert end
Configuring wireless profiles...
Configuring ssid [mgarcarz_aruba_tls]
WirelessProfile::SetWirelessProfile - Start
Wireless profile: [mgarcarz_aruba_tls] configured successfully
Connect to SSID
Successfully connected profile: [mgarcarz_aruba_tls]
WirelessProfile::SetWirelessProfile. - End
これらのログは、シスコ デバイスでの BYOD プロセスとまったく同じです。
ここでは Radius CoA は不要です。 新しく設定された SSID に強制的に再接続するのは、アプリケーション(NSA)の役割です。
この段階でユーザは、システムが最終的な SSID に関連付けようとしていることを確認できます。 ユーザ証明書が複数ある場合は、適切な証明書を選択する必要があります。
正常に接続されると、NSA が以下を報告します。
これは ISE でも確認できます。2 番目のログが EAP-TLS 認証を検出し、Basic_Authenticated_Access のすべての条件を照合します(EAP-TLS、Employee、および BYOD Registered が true)。
また、エンドポイント アイデンティティ ビューでも、BYOD 登録フラグが true に設定されていることを確認できます。
Windows PC では、新しいワイヤレス プロファイルが自動的に作成され、優先的に使用されます(EAP-TLS 用に設定されます)。
この段階で Aruba は、ユーザが最終的な SSID に接続されていることを確認します。
自動作成されてネットワークと同じ名前が付けられた役割が、ネットワークへのフル アクセスを提供します。
その他のフローおよび CoA サポート
CoA を含む CWA
BYOD フロー内には、CoA メッセージはありません。以下は、ゲスト ポータルが自己登録された CWA フローです。
次の認証規則が設定されています。
ユーザは MAB 認証を使用して SSID に接続し、Web ページに接続しようすると、自己登録したゲスト ポータルにリダイレクトされます。このポータルでは、ゲストが新規アカウントを作成するか、既存アカウントを使用することができます。
ゲストが正常に接続されたら、認証状態を変更するために、ISE からネットワーク デバイスへ CoA メッセージが送信されます。
これは、[Operations] > [Authenitcations] で確認できます。
ISE デバッグ内の CoA メッセージは、次のようになります。
2015-11-02 18:47:49,553 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name NAS-IP-Address, value=10.62.148.118.,
DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,567 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name Acct-Session-Id, value=04BD88B88144-
C04A00157634-7AD.,DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,573 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name cisco-av-pair, v
alue=audit-session-id=0a3011ebisZXypODwqjB6j64GeFiF7RwvyocneEia17ckjtU1HI.,DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,584 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::
setConnectionParams] defaults from nad profile : NAS=10.62.148.118, port=3799, timeout=5,
retries=2 ,DynamicAuthorizationRequestHelper.cpp:59
2015-11-02 18:47:49,592 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::set
ConnectionParams] NAS=10.62.148.118, port=3799, timeout=5, retries=1,
DynamicAuthorizationRequestHelper.cpp:86
2015-11-02 18:47:49,615 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::onLocalHttpEvent]:
invoking DynamicAuthorization,DynamicAuthorizationFlow.cpp:246
Aruba から送られた Diconnect-ACK は、次のようになります。
2015-11-02 18:47:49,737 DEBUG [Thread-147][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9eb4700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::
onResponseDynamicAuthorizationEvent] Handling response
ID c59aa41a-e029-4ba0-a31b-44549024315e, error cause 0, Packet type 41(DisconnectACK).,
DynamicAuthorizationFlow.cpp:303
CoA Diconnect-Request(40)および Diconnect-ACK(41)が含まれているパケット キャプチャ:
デバイス プロファイル Aruba に関連する認証に、RFC CoA が使用されていることに注目してください(デフォルト設定)。 シスコ デバイスに関連する認証では、Cisco CoA タイプの再認証が行われています。
トラブルシューティング
Aruba キャプティブ ポータルが FQDN ではなく IP アドレスを使用
Aruba 上のキャプティブ ポータルが ISE PSN の FQDN ではなく IP アドレスを使用して設定されている場合は、Network Setup Assistant が失敗します。
Warning - [HTTPConnection] Abort the HTTP connection due to invalid certificate
CN
これは、ISE への接続時に証明書が厳しく検証されることが原因です。 IP アドレスを使用して ISE に接続し(FQDN ではなく IP アドレスを使用した URL リダイレクションを行った場合)、サブジェクト名 = FQDN が設定された ISE 証明書が提示されると、検証が失敗します。
Web ブラウザは引き続き BYOD ポータルを使用することに注目してください(ただし警告が出るので、ユーザの承認が必要になります)。
Aruba キャプティブ ポータルのアクセス ポリシーが正しくない
デフォルトでは、キャプティブ ポータルで設定された Aruba アクセス ポリシーは、TCP ポート 80、443、および 8080 を許可します。
Network Setup Assistant は、TCP ポート 8905 に接続して、ISE から xml プロファイルを取得することができません。 次のエラーが報告されます。
Failed to get spw profile url using - url
[https://mgarcarz-ise20.example.com:8905/auth/provisioning/evaluate?
typeHint=SPWConfig&referrer=Windows&mac_address=C0-4A-00-14-6E-31&spw_version=
1.0.0.46&session=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M&os=Windows All]
- http Error: [2] HTTP response code: 0]
GetProfile - end
Failed to get profile. Error: 2
Aruba CoA のポート番号
デフォルトでは、Aruba は CoA のポート番号として Air Group CoA ポート 5999 を提供します。 ただし Aruba 204 がこのような要求に応答していませんでした。
パケット キャプチャ:
この場合、RFC 5176 に記述されているとおりに CoA ポート 3799 を使用するのが最善策です。
Aruba デバイスでのリダイレクション
v6.3 を使用する Aruba 3600 では、リダイレクションが他のコントローラでの動作と少し異なることが分かりました。 以下は、パケット キャプチャと説明です。
packet 1: PC is sending GET request to google.com packet 2: Aruba is returning HTTP 200 OK with following content: <meta http-equiv='refresh' content='1; url=http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5'>\n packet 3: PC is going to link with Aruba attribute returned in packet 2: http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5 packet 4: Aruba is redirecting to the ISE (302 code): https://10.75.89.197:8443/portal/g?p=4voD8q6W5Lxr8hpab77gL8VdaQ&cmd=login&mac=80:86:f2:59:d9:db&ip=10.75.94.213&essid=SC%2DWiFi&apname=LRC-006&apgroup=default&url=http%3A%2F%2Fwww%2Egoogle%2Ecom%2F
フィードバック