Dit document beschrijft hoe u het autorisatiebeleid in Cisco Identity Services Engine (ISE) kunt configureren om onderscheid te maken tussen verschillende serviceset-id’s (SSID’s). Het is heel gebruikelijk voor een organisatie om meerdere SSID's in hun draadloze netwerk te hebben voor verschillende doeleinden. Een van de meest voorkomende doelen is om een bedrijfs-SSID voor medewerkers en een gast-SSID voor bezoekers van de organisatie te hebben.
Deze gids gaat ervan uit dat:
De draadloze LAN-controller (WLC) is ingesteld en werkt voor alle betrokken SSID’s.
Verificatie werkt op alle betrokken SSID’s tegen ISE.
Andere documenten in deze serie
Configuratievoorbeeld van Central Web Verification met een Switch en Identity Services Engine
Configuratievoorbeeld van centrale webverificatie op WLC en ISE
ISE Guest-accounts voor RADIUS/802.1x-verificatieconfiguratievoorbeeld
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Draadloze LAN-controllerrelease 7.3.10.0
Identity Services Engine release 1.1.2.145
Eerdere versies hebben beide kenmerken.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Dit document gebruikt de volgende configuraties:
Methode 1: Airespace-WLAN-ID
Methode 2: Call-Station-ID
Er mag niet meer dan één configuratiemethode tegelijk worden gebruikt. Als beide configuraties tegelijkertijd worden geïmplementeerd, wordt de hoeveelheid die door ISE wordt verwerkt, verhoogd en is dit van invloed op de leesbaarheid van regels. In dit document worden de voor- en nadelen van elke configuratiemethode besproken.
Methode 1: Airespace-WLAN-ID
Elk Wireless Local Area Network (WLAN) dat op de WLC is gemaakt, heeft een WLAN-id. De WLAN-id wordt weergegeven op de overzichtspagina van WLAN.
Wanneer een client verbinding maakt met de SSID, bevat het RADIUS-verzoek naar ISE het kenmerk Aironet-WLAN-ID. Deze eenvoudige eigenschap wordt gebruikt om beleidsbesluiten in ISE te nemen. Een nadeel van deze eigenschap is als de WLAN-id niet overeenkomt op een SSID die over meerdere controllers wordt verspreid. Als dit uw plaatsing beschrijft, ga verder naar Methode 2.
In dit geval wordt Airespace-WLAN-ID als voorwaarde gebruikt. Het kan worden gebruikt als een eenvoudige voorwaarde (op zichzelf) of in een samengestelde voorwaarde (samen met een ander attribuut) om het gewenste resultaat te bereiken. Dit document heeft betrekking op beide gebruikssituaties. Met de twee SSIDs hierboven, kunnen deze twee regels worden tot stand gebracht.
A) Gastgebruikers moeten inloggen op de Guest SSID.
B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" van Active Directory zitten en moeten inloggen bij de Corporate SSID.
Regel A
Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëert u een nieuwe voorwaarde.
Typ in het veld Naam een naam voor de voorwaarde
Typ in het veld Description een omschrijving (optioneel).
Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Kenmerken.
Kies Gelijken in de vervolgkeuzelijst Operator.
Kies 2 in de vervolgkeuzelijst Waarde.
Klik op Save (Opslaan).
Regel B
Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Compound conditions en creëert u een nieuwe voorwaarde.
Typ in het veld Naam een naam voor de voorwaarde.
Typ in het veld Description een omschrijving (optioneel).
Kies Nieuwe voorwaarde maken (geavanceerde optie).
Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Kenmerken.
Kies Gelijken in de vervolgkeuzelijst Operator.
Kies 1 in de vervolgkeuzelijst Waarde.
Klik op het tandwiel rechts en kies Kenmerk/waarde toevoegen.
Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerken.
Kies Gelijken in de vervolgkeuzelijst Operator.
Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.
Klik op Save (Opslaan).
Opmerking: in dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.
Nu we aan de voorwaarden voldoen, kunnen we ze toepassen op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Bepaal waar u de regel in de lijst wilt invoegen of waar u uw bestaande regel wilt bewerken.
Guest Rule
Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.
Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.
Kies onder Voorwaardennaam Eenvoudige Voorwaarde > GuestSSID.
Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.
Klik op Gereed.
Corporate Rule
Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.
Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.
Kies onder Voorwaardennaam Samengestelde toestand > CorporateSSID.
Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.
Klik op Gereed.
Opmerking: Totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht toegepast op uw implementatie.
Methode 2: Call-Station-ID
De WLC kan worden geconfigureerd om de SSID-naam te verzenden in het kenmerk RADIUS Call-Station-ID, dat op zijn beurt kan worden gebruikt als voorwaarde op ISE. Het voordeel van deze eigenschap is dat het kan worden gebruikt ongeacht wat de WLAN-id is ingesteld op de WLC. Standaard stuurt de WLC de SSID niet in het attribuut Calling-Station-ID. Om deze functie in te schakelen op de WLC, gaat u naar Security > AAA > RADIUS > Verificatie en stelt u het Call Station ID-type in op AP MAC-adres:SSID. Hiermee wordt de notatie van de opgeroepen-Station-ID ingesteld op <MAC van het toegangspunt waarmee de gebruiker verbinding maakt>:<SSID Name>.
U kunt zien welke SSID Name gaat worden verzonden vanaf de WLAN-overzichtspagina.
Aangezien het kenmerk Call-Station-ID ook het MAC-adres van het toegangspunt bevat, wordt een Regular Expression (REGEX) gebruikt om de SSID-naam in het ISE-beleid aan te passen. De operator 'Matches' in de conditieconfiguratie kan een REGEX lezen uit het veld Waarde.
REGEX-voorbeelden
'Begint met'—gebruik bijvoorbeeld de REGEX-waarde van ^(Acme).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie past bij 'Acme' (elke match met een voorwaarde die begint met 'Acme').
'Eindigt met'—bijvoorbeeld, gebruik de REGEX waarde van .*(mktg)$—deze voorwaarde wordt geconfigureerd als CERTIFICAAT:Organisatie MATCHES 'mktg' (elke match met een voorwaarde die eindigt met "mktg").
'Bevat'—gebruik bijvoorbeeld de REGEX-waarde van .*(1234).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie KOMT OVEREEN met '1234' (elke overeenkomst met een voorwaarde die '1234' bevat, zoals Eng1234, 1234Dev en Corp1234Mktg).
'Begint niet met'—gebruik bijvoorbeeld de REGEX-waarde van ^(?!LDAP).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie matcht 'LDAP' (elke match met een voorwaarde die niet begint met 'LDAP', zoals usLDAP of CorpLDAPmktg).
Oproep-Station-ID eindigt met de SSID-naam, dus de REGEX in dit voorbeeld is .*(:<SSID NAME>)$. Houd dit in gedachten als u door de configuratie gaat.
Met de twee SSIDs hierboven, kunt u twee regels met deze vereisten tot stand brengen:
A) Gastgebruikers moeten inloggen op de Guest SSID.
B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" zijn en moeten inloggen bij de Corporate-SSID.
Regel A
Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëert u een nieuwe voorwaarde.
Typ in het veld Naam een naam voor de voorwaarde.
Typ in het veld Description een omschrijving (optioneel).
Kies in de vervolgkeuzelijst Kenmerken de optie Radius -> Oproepen-Station-ID -[30].
Kies Overeenkomsten in de vervolgkeuzelijst Operator.
Kies in de vervolgkeuzelijst Waarde de optie .*(:Guest)$. Dit is hoofdlettergevoelig.
Klik op Save (Opslaan).
Regel B
Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Compound conditions en creëert u een nieuwe voorwaarde.
Typ in het veld Naam een naam voor de voorwaarde.
Typ in het veld Description een omschrijving (optioneel).
Kies Nieuwe voorwaarde maken (geavanceerde optie).
Kies in de vervolgkeuzelijst Kenmerken de optie Radius -> Oproepen-Station-ID—[30].
Kies Overeenkomsten in de vervolgkeuzelijst Operator.
Kies in de vervolgkeuzelijst Waarde .*(:Corporate)$. Dit is hoofdlettergevoelig.
Klik op het tandwiel rechts en kies Kenmerk/waarde toevoegen.
Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerken.
Kies Gelijken in de vervolgkeuzelijst Operator.
Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.
Klik op Save (Opslaan).
Opmerking: in dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.
Nu de voorwaarden zijn geconfigureerd, past u deze toe op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Plaats de regel in de lijst op de juiste locatie of bewerk een bestaande regel.
Guest Rule
Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.
Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.
Kies onder Voorwaardennaam Eenvoudige Voorwaarde > GuestSSID
Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.
Klik op Gereed.
Corporate Rule
Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.
Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.
Kies onder Voorwaardennaam Samengestelde toestand > CorporateSSID.
Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.
Klik op Gereed.
Klik op Opslaan onder in de lijst Beleid.
Opmerking: Totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht toegepast op uw implementatie.
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Om te weten te komen of het beleid goed is gemaakt en om ervoor te zorgen dat ISE de juiste kenmerken ontvangt, moet u het gedetailleerde verificatierapport bekijken voor een doorgegeven of mislukte verificatie voor de gebruiker. Kies Operations > Verificaties en klik vervolgens op het pictogram Details voor een verificatie.
Controleer eerst het verificatieoverzicht. Hierin worden de basisbeginselen van de verificatie getoond, waaronder het aan de gebruiker verstrekte autorisatieprofiel.
Als het beleid niet correct is, zullen de verificatiedetails tonen wat Airespace-WLAN-Id is en wat Calling-Station-ID is verzonden vanuit de WLC. Pas uw regels dienovereenkomstig aan. De overeenkomende regel voor autorisatiebeleid bevestigt of de authenticatie overeenkomt met uw beoogde regel.
Deze regels zijn doorgaans verkeerd ingesteld. Om het configuratiekwestie te openbaren, stem de regel tegen wat in de authentificatiedetails wordt gezien. Als u de kenmerken niet ziet in het veld Andere kenmerken, moet u ervoor zorgen dat de WLC correct is geconfigureerd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Dec-2012 |
Eerste vrijgave |