ISE-beleid op basis van voorbeelden van SSID-configuratie

Downloadopties

  • PDF     (491.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (381.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (455.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 juli 2014
Document-id:115734

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u het autorisatiebeleid in Cisco Identity Services Engine (ISE) kunt configureren om onderscheid te maken tussen verschillende serviceset-id’s (SSID’s). Het is heel gebruikelijk voor een organisatie om meerdere SSID's in hun draadloze netwerk te hebben voor verschillende doeleinden. Een van de meest voorkomende doelen is om een bedrijfs-SSID voor medewerkers en een gast-SSID voor bezoekers van de organisatie te hebben.

Deze gids gaat ervan uit dat:

  1. De draadloze LAN-controller (WLC) is ingesteld en werkt voor alle betrokken SSID’s.

  2. Verificatie werkt op alle betrokken SSID’s tegen ISE.

Andere documenten in deze serie

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Draadloze LAN-controllerrelease 7.3.10.0

  • Identity Services Engine release 1.1.2.145

Eerdere versies hebben beide kenmerken.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Configuraties

Dit document gebruikt de volgende configuraties:

  • Methode 1: Airespace-WLAN-ID

  • Methode 2: Call-Station-ID

Er mag niet meer dan één configuratiemethode tegelijk worden gebruikt. Als beide configuraties tegelijkertijd worden geïmplementeerd, wordt de hoeveelheid die door ISE wordt verwerkt, verhoogd en is dit van invloed op de leesbaarheid van regels. In dit document worden de voor- en nadelen van elke configuratiemethode besproken.

Methode 1: Airespace-WLAN-ID

Elk Wireless Local Area Network (WLAN) dat op de WLC is gemaakt, heeft een WLAN-id. De WLAN-id wordt weergegeven op de overzichtspagina van WLAN.

ise-policies-ssid-01.gif

Wanneer een client verbinding maakt met de SSID, bevat het RADIUS-verzoek naar ISE het kenmerk Aironet-WLAN-ID. Deze eenvoudige eigenschap wordt gebruikt om beleidsbesluiten in ISE te nemen. Een nadeel van deze eigenschap is als de WLAN-id niet overeenkomt op een SSID die over meerdere controllers wordt verspreid. Als dit uw plaatsing beschrijft, ga verder naar Methode 2.

In dit geval wordt Airespace-WLAN-ID als voorwaarde gebruikt. Het kan worden gebruikt als een eenvoudige voorwaarde (op zichzelf) of in een samengestelde voorwaarde (samen met een ander attribuut) om het gewenste resultaat te bereiken. Dit document heeft betrekking op beide gebruikssituaties. Met de twee SSIDs hierboven, kunnen deze twee regels worden tot stand gebracht.

A) Gastgebruikers moeten inloggen op de Guest SSID.

B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" van Active Directory zitten en moeten inloggen bij de Corporate SSID.

Regel A

Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:

  1. In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëert u een nieuwe voorwaarde.

  2. Typ in het veld Naam een naam voor de voorwaarde

  3. Typ in het veld Description een omschrijving (optioneel).

  4. Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Kenmerken.

  5. Kies Gelijken in de vervolgkeuzelijst Operator.

  6. Kies 2 in de vervolgkeuzelijst Waarde.

  7. Klik op Save (Opslaan).

ise-policies-ssid-02.gif

Regel B

Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:

  1. In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Compound conditions en creëert u een nieuwe voorwaarde.

  2. Typ in het veld Naam een naam voor de voorwaarde.

  3. Typ in het veld Description een omschrijving (optioneel).

  4. Kies Nieuwe voorwaarde maken (geavanceerde optie).

  5. Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Kenmerken.

  6. Kies Gelijken in de vervolgkeuzelijst Operator.

  7. Kies 1 in de vervolgkeuzelijst Waarde.

  8. Klik op het tandwiel rechts en kies Kenmerk/waarde toevoegen.

  9. Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerken.

  10. Kies Gelijken in de vervolgkeuzelijst Operator.

  11. Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.

  12. Klik op Save (Opslaan).

ise-policies-ssid-03.gif

Opmerking: in dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.

Nu we aan de voorwaarden voldoen, kunnen we ze toepassen op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Bepaal waar u de regel in de lijst wilt invoegen of waar u uw bestaande regel wilt bewerken.

Guest Rule

  1. Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.

  2. Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.

  3. Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.

  4. Kies onder Voorwaardennaam Eenvoudige Voorwaarde > GuestSSID.

  5. Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.

  6. Klik op Gereed.

Corporate Rule

  1. Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.

  2. Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.

  3. Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.

  4. Kies onder Voorwaardennaam Samengestelde toestand > CorporateSSID.

  5. Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.

  6. Klik op Gereed.

Opmerking: Totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht toegepast op uw implementatie.

ise-policies-ssid-04.gif

Methode 2: Call-Station-ID

De WLC kan worden geconfigureerd om de SSID-naam te verzenden in het kenmerk RADIUS Call-Station-ID, dat op zijn beurt kan worden gebruikt als voorwaarde op ISE. Het voordeel van deze eigenschap is dat het kan worden gebruikt ongeacht wat de WLAN-id is ingesteld op de WLC. Standaard stuurt de WLC de SSID niet in het attribuut Calling-Station-ID. Om deze functie in te schakelen op de WLC, gaat u naar Security > AAA > RADIUS > Verificatie en stelt u het Call Station ID-type in op AP MAC-adres:SSID. Hiermee wordt de notatie van de opgeroepen-Station-ID ingesteld op <MAC van het toegangspunt waarmee de gebruiker verbinding maakt>:<SSID Name>.

ise-policies-ssid-05.gif

U kunt zien welke SSID Name gaat worden verzonden vanaf de WLAN-overzichtspagina.

ise-policies-ssid-06.gif

Aangezien het kenmerk Call-Station-ID ook het MAC-adres van het toegangspunt bevat, wordt een Regular Expression (REGEX) gebruikt om de SSID-naam in het ISE-beleid aan te passen. De operator 'Matches' in de conditieconfiguratie kan een REGEX lezen uit het veld Waarde.

REGEX-voorbeelden

'Begint met'—gebruik bijvoorbeeld de REGEX-waarde van ^(Acme).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie past bij 'Acme' (elke match met een voorwaarde die begint met 'Acme').

'Eindigt met'—bijvoorbeeld, gebruik de REGEX waarde van .*(mktg)$—deze voorwaarde wordt geconfigureerd als CERTIFICAAT:Organisatie MATCHES 'mktg' (elke match met een voorwaarde die eindigt met "mktg").

'Bevat'—gebruik bijvoorbeeld de REGEX-waarde van .*(1234).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie KOMT OVEREEN met '1234' (elke overeenkomst met een voorwaarde die '1234' bevat, zoals Eng1234, 1234Dev en Corp1234Mktg).

'Begint niet met'—gebruik bijvoorbeeld de REGEX-waarde van ^(?!LDAP).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie matcht 'LDAP' (elke match met een voorwaarde die niet begint met 'LDAP', zoals usLDAP of CorpLDAPmktg).

Oproep-Station-ID eindigt met de SSID-naam, dus de REGEX in dit voorbeeld is .*(:<SSID NAME>)$. Houd dit in gedachten als u door de configuratie gaat.

Met de twee SSIDs hierboven, kunt u twee regels met deze vereisten tot stand brengen:

A) Gastgebruikers moeten inloggen op de Guest SSID.

B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" zijn en moeten inloggen bij de Corporate-SSID.

Regel A

Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:

  1. In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëert u een nieuwe voorwaarde.

  2. Typ in het veld Naam een naam voor de voorwaarde.

  3. Typ in het veld Description een omschrijving (optioneel).

  4. Kies in de vervolgkeuzelijst Kenmerken de optie Radius -> Oproepen-Station-ID -[30].

  5. Kies Overeenkomsten in de vervolgkeuzelijst Operator.

  6. Kies in de vervolgkeuzelijst Waarde de optie .*(:Guest)$. Dit is hoofdlettergevoelig.

  7. Klik op Save (Opslaan).

ise-policies-ssid-07.gif

Regel B

Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:

  1. In ISE gaat u naar Policy > Policy Elements > Conditions > Authorisation > Compound conditions en creëert u een nieuwe voorwaarde.

  2. Typ in het veld Naam een naam voor de voorwaarde.

  3. Typ in het veld Description een omschrijving (optioneel).

  4. Kies Nieuwe voorwaarde maken (geavanceerde optie).

  5. Kies in de vervolgkeuzelijst Kenmerken de optie Radius -> Oproepen-Station-ID—[30].

  6. Kies Overeenkomsten in de vervolgkeuzelijst Operator.

  7. Kies in de vervolgkeuzelijst Waarde .*(:Corporate)$. Dit is hoofdlettergevoelig.

  8. Klik op het tandwiel rechts en kies Kenmerk/waarde toevoegen.

  9. Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerken.

  10. Kies Gelijken in de vervolgkeuzelijst Operator.

  11. Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.

  12. Klik op Save (Opslaan).

ise-policies-ssid-08.gif

Opmerking: in dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.

Nu de voorwaarden zijn geconfigureerd, past u deze toe op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Plaats de regel in de lijst op de juiste locatie of bewerk een bestaande regel.

Guest Rule

  1. Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.

  2. Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.

  3. Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.

  4. Kies onder Voorwaardennaam Eenvoudige Voorwaarde > GuestSSID

  5. Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.

  6. Klik op Gereed.

Corporate Rule

  1. Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.

  2. Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.

  3. Klik onder Voorwaarden op het plusteken en klik op Bestaande voorwaarde uit bibliotheek selecteren.

  4. Kies onder Voorwaardennaam Samengestelde toestand > CorporateSSID.

  5. Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.

  6. Klik op Gereed.

  7. Klik op Opslaan onder in de lijst Beleid.

Opmerking: Totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht toegepast op uw implementatie.

ise-policies-ssid-09.gif

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Om te weten te komen of het beleid goed is gemaakt en om ervoor te zorgen dat ISE de juiste kenmerken ontvangt, moet u het gedetailleerde verificatierapport bekijken voor een doorgegeven of mislukte verificatie voor de gebruiker. Kies Operations > Verificaties en klik vervolgens op het pictogram Details voor een verificatie.

ise-policies-ssid-10.gif

Controleer eerst het verificatieoverzicht. Hierin worden de basisbeginselen van de verificatie getoond, waaronder het aan de gebruiker verstrekte autorisatieprofiel.

ise-policies-ssid-11.gif

Als het beleid niet correct is, zullen de verificatiedetails tonen wat Airespace-WLAN-Id is en wat Calling-Station-ID is verzonden vanuit de WLC. Pas uw regels dienovereenkomstig aan. De overeenkomende regel voor autorisatiebeleid bevestigt of de authenticatie overeenkomt met uw beoogde regel.

ise-policies-ssid-12.gif

Deze regels zijn doorgaans verkeerd ingesteld. Om het configuratiekwestie te openbaren, stem de regel tegen wat in de authentificatiedetails wordt gezien. Als u de kenmerken niet ziet in het veld Andere kenmerken, moet u ervoor zorgen dat de WLC correct is geconfigureerd.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
19-Dec-2012
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Jesse Dubois
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten