ISE 2.0 3rd Party Integration configureren met Aruba Wireless

Downloadopties

  • PDF     (2.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.7 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 juli 2023
Document-id:200270

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen met de 3rd Party Integration-functie in de Cisco Identity Services Engine (ISE) kunt oplossen.

      

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Aruba IAP-configuratie
    • BYOD-stromen op ISE
    • ISE-configuratie voor wachtwoord- en certificaatverificatie

    Gebruikte componenten

    In dit document wordt beschreven hoe u problemen met de 3rd Party Integration-functie in de Cisco Identity Services Engine (ISE) kunt oplossen.

    Het kan worden gebruikt als een gids voor integratie met andere leveranciers en stromen. ISE versie 2.0 ondersteunt 3rd Party Integration.

    Dit is een configuratievoorbeeld dat laat zien hoe u een draadloos netwerk kunt integreren dat wordt beheerd door Aruba IAP 204 met ISE voor Bring Your Own Device (BYOD)-services.

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Aruba IAP 204-software 6.4.2.3
    • Cisco ISE, release 2.0 en hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    ise20-aruba

    Er zijn twee draadloze netwerken die worden beheerd door Aruba AP.

    De eerste (mgarcarz_byod) wordt gebruikt voor 802.1x Extensible Authentication Protocol-Protected EAP (EAP-PEAP)-toegang.

    Na een succesvolle verificatie moet de Aruba-controller de gebruiker omleiden naar de ISE BYOD-portal - Native Supplicant Provisioning (NSP)-stroom.

    Gebruiker wordt omgeleid, NSA-toepassing (Network Setup Assistant) wordt uitgevoerd en certificaat wordt geleverd en geïnstalleerd op Windows-client.

    ISE interne CA wordt gebruikt voor dat proces (standaardconfiguratie).

    NSA is ook verantwoordelijk voor het maken van een draadloos profiel voor de tweede Service Set Identifier (SSID) beheerd door Aruba (mgarcarz_byod_tls) - die wordt gebruikt voor 802.1x Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)-verificatie.

    Als gevolg hiervan kunnen zakelijke gebruikers onboarding van persoonlijke apparaten uitvoeren en beveiligde toegang krijgen tot het bedrijfsnetwerk.

    Dit voorbeeld kan eenvoudig worden aangepast voor verschillende soorten toegang, bijvoorbeeld:

    • Central Web Authentication (CWA) met BYOD-service
    • 802.1x-verificatie met Posture- en BYOD-omleiding
    • Voor EAP-PEAP-verificatie wordt doorgaans Active Directory gebruikt (om dit artikel kort te houden worden interne ISE-gebruikers gebruikt)
    • Meestal wordt voor Certificate Provisioning een externe Simple Certificate Enrollment Protocol (SCEP)-server gebruikt, gewoonlijk Microsoft Network Device Enrollment Service (NDES) om dit artikel kort te houden.

    Uitdagingen met ondersteuning van derde partijen

    Er zijn uitdagingen wanneer u ISE-gaststromen gebruikt (zoals BYOD, CWA, NSP, Client Provisioning Portal (CPP)) met apparaten van derden.

    Sessies

    Cisco Network Access Devices (NAD) gebruikt Radius cisco-av-pair genaamd audit-session-id om verificatie-, autorisatie- en boekhoudserver (AAA) te informeren over sessie-ID.

    Die waarde wordt door ISE gebruikt om de sessies bij te houden en de juiste services voor elke stroom te bieden. Andere leveranciers bieden geen ondersteuning voor cisco-av-paren. 

    ISE moet vertrouwen op de IETF-attributen die zijn ontvangen in Access-Request en Accounting Request.

    Nadat u Access-Request hebt ontvangen, maakt ISE gesynthetiseerde Cisco Session ID (van Calling-Station-ID, NAS-Port, NAS-IP-adres en gedeeld geheim). Die waarde heeft alleen een lokale betekenis (niet verzonden via het netwerk).

    Als gevolg hiervan wordt van elke stroom (BYOD, CWA, NSP, CPP) verwacht dat de juiste attributen worden gekoppeld - dus ISE is in staat om Cisco Session ID opnieuw te berekenen en een zoekopdracht uit te voeren om deze te correleren met de juiste sessie en de stroom voort te zetten.

    URL-omleiding

    ISE gebruikt Radius cisco-av-pair genaamd url-redirect en url-redirect-acl om NAD te informeren dat specifiek verkeer moet worden omgeleid.

    Andere leveranciers bieden geen ondersteuning voor cisco-av-paren. Dus meestal moeten die apparaten worden geconfigureerd met statische omleiding-URL die verwijst naar specifieke service (Autorisatieprofiel) op ISE.

    Zodra de gebruiker de HTTP-sessie heeft geïnitieerd, leiden die NAD's door naar de URL en voegen ze ook extra argumenten toe (zoals IP-adres of MAC-adres) om ISE in staat te stellen specifieke sessies te identificeren en de stroom voort te zetten.

    CoA

    ISE gebruikt Radius cisco-av-pair genaamd subscriber: command, subscriber: reauthenticate-type om aan te geven welke acties NAD moet ondernemen voor een specifieke sessie. 

    Andere leveranciers bieden geen ondersteuning voor cisco-av-paren. Dus meestal gebruiken die apparaten RFC CoA (3576 of 5176) en een van de twee gedefinieerde berichten: 

    • Verbinding verbreken Verzoek (ook wel Pakket verbreken genoemd) - dat ene wordt gebruikt om de verbinding met de sessie te verbreken (heel vaak om herverbinding af te dwingen)
    • CoA-push - die wordt gebruikt om de sessiestatus transparant te wijzigen zonder de verbinding te verbreken (bijvoorbeeld VPN-sessie en nieuwe ACL toegepast)

    ISE ondersteunt zowel Cisco CoA met cisco-av-pair als beide RFC CoA 3576/5176.

    Oplossing voor ISE

    Om 3rd party vendors te ondersteunen, introduceerde ISE 2.0 een concept van Network Device Profiles dat beschrijft hoe specifieke vendor zich gedraagt - hoe Sessions, URL Redirect en CoA worden ondersteund.

    Autorisatieprofielen zijn van een specifiek type (netwerkapparaatprofiel) en zodra de verificatie plaatsvindt, wordt het ISE-gedrag afgeleid van dat profiel.

    Hierdoor kunnen apparaten van andere leveranciers eenvoudig door ISE worden beheerd. Ook de configuratie op ISE is flexibel en maakt het mogelijk om nieuwe netwerkapparaatprofielen af te stemmen of te maken.

    Dit artikel geeft het gebruik van het standaardprofiel voor Aruba-apparaten weer.

    Meer informatie over de functie:

    Apparaatprofielen voor netwerktoegang met Cisco Identity Services Engine

    Cisco ISE

    Stap 1. Aruba draadloze controller toevoegen aan netwerkapparaten

    Navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten. Kies het juiste apparaatprofiel voor de geselecteerde leverancier, in dit geval: ArubaWireless.  Zorg ervoor dat u Shared Secret en CoA-poort configureert zoals in de afbeeldingen wordt weergegeven.

    aruba_network_device

    Als er geen profiel beschikbaar is voor de gewenste leverancier, kan dit worden geconfigureerd onder Beheer > Netwerkbronnen > Netwerkapparaatprofielen.

    Stap 2. Autorisatieprofiel configureren

    Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen en kies hetzelfde netwerkapparaatprofiel als in stap 1. Aruba Wireless. Het profiel is geconfigureerd als Aruba-redirect-BYOD met BYOD Portal en zoals weergegeven in de afbeeldingen.

    authz_profile_byod

    Ontbrekend deel van de Web Redirection-configuratie, waarbij statische koppeling naar het autorisatieprofiel wordt gegenereerd. Hoewel Aruba dynamische omleiding naar gastportaal niet ondersteunt, is er één link toegewezen aan elk Autorisatieprofiel, dat vervolgens wordt geconfigureerd op Aruba en zoals weergegeven in de afbeelding.

    nsp_byod

    Stap 3. Autorisatieregels configureren

    Navigeer naar Beleid > Autorisatieregels en de configuratie is zoals weergegeven in de afbeelding.

    rules_BYOD

    Ten eerste maakt de gebruiker verbinding met SSID mgracarz_aruba en retourneert ISE het Autorisatieprofiel Aruba-redirect-BYOD dat de client omleidt naar het standaard BYOD-portaal. Nadat het BYOD-proces is voltooid, maakt de client verbinding met EAP-TLS en wordt volledige toegang tot het netwerk verleend.

    In de nieuwere versies van ISE ziet hetzelfde beleid er als volgt uit:

    Screen Shot 2019-08-12 at 08.50.43

    Aruba AP

    Stap 1. Captive Portal-configuratie

    Om Captive Portal op Aruba 204 te configureren, navigeert u naar Beveiliging > Extern Captive Portal en voegt u een nieuwe toe. Voer deze informatie in voor de juiste configuratie en zoals weergegeven in de afbeelding.

    • Type: Radius-verificatie
    • IP- of hostnaam: ISE-server
    • URL: link die is gemaakt op ISE onder de configuratie van het autorisatieprofiel; deze is specifiek voor een bepaald autorisatieprofiel en kan hier worden gevonden onder de configuratie van de webomleiding

    url

    • Poort: poortnummer waarop het geselecteerde portaal wordt gehost op ISE (standaard: 8443), zoals weergegeven in de afbeelding.

    aruba_captive_portal

    Stap 2. Radius-serverconfiguratie

    Navigeer naar Beveiliging > Verificatieservers om ervoor te zorgen dat de CoA-poort hetzelfde is als die is geconfigureerd op ISE, zoals wordt weergegeven in de afbeelding.

    Op Aruba 204 is het standaard ingesteld op 5999, maar dat is niet in overeenstemming met RFC 5176 en het werkt ook niet met ISE.

    aruba_radius_server

    Opmerking: In Aruba versie 6.5 en nieuwer selecteer ook "Captive Portal" selectievakje.

    Stap 3. SSID-configuratie

    • Het tabblad Beveiliging wordt weergegeven in de afbeelding.

    essid_security

    • Tabblad Toegang: selecteer Netwerkgebaseerde toegangsregel om een intern portaal op de SSID te configureren.

    Gebruik een portaal in gevangenschap dat is geconfigureerd in stap 1. Klik op Nieuw, kies Regeltype: Captive-portal, Splash-paginatype: Extern zoals weergegeven in de afbeelding.

    essid_access_captive

    Sta bovendien al het verkeer naar de ISE-server toe (TCP-poorten in het bereik 1-20000), terwijl de regel standaard is geconfigureerd op Aruba: Alle bestemmingen toestaan lijkt niet goed te werken, zoals in de afbeelding wordt weergegeven.

    essid_access_tcp

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Stap 1. Verbinding met SSID mgarcarz_aruba met EAP-PEAP

    Eerste verificatielog op ISE wordt weergegeven. Er is een standaard verificatiebeleid gebruikt, het Aruba-redirect-BYOD-autorisatieprofiel is geretourneerd zoals weergegeven in de afbeelding.

    aruba8

    ISE retourneert Radius Access-Accept bericht met EAP Success. Merk op dat er geen extra attributen worden geretourneerd (geen Cisco av-pair url-redirect of url-redirect-acl) zoals weergegeven in de afbeelding.

    aruba12

    Aruba meldt dat de sessie tot stand is gebracht (EAP-PEAP-identiteit is cisco) en de geselecteerde rol is mgarcarz_aruba zoals weergegeven in de afbeelding.

    aruba14

    Die rol is verantwoordelijk voor de omleiding naar de ISE (captive portal functionaliteit op Aruba).  

    In Aruba CLI is het mogelijk om te bevestigen wat de huidige autorisatiestatus voor die sessie is:

    04:bd:88:c3:88:14# show datapath user 
    Datapath User Table Entries
    ---------------------------
    Flags: P - Permanent, W - WEP, T- TKIP, A - AESCCM
           R - ProxyARP to User, N - VPN, L - local, I - Intercept, D - Deny local routing
    FM(Forward Mode): S - Split, B - Bridge, N - N/A

           IP              MAC           ACLs    Contract   Location  Age    Sessions   Flags     Vlan  FM
    ---------------  -----------------  -------  ---------  --------  -----  ---------  -----     ----  --
    10.62.148.118    04:BD:88:C3:88:14   105/0      0/0     0         1        0/65535  P           1   N
    10.62.148.71     C0:4A:00:14:6E:31   138/0      0/0     0         0        6/65535              1   B
    0.0.0.0          C0:4A:00:14:6E:31   138/0      0/0     0         0        0/65535  P           1   B
    172.31.98.1      04:BD:88:C3:88:14   105/0      0/0     0         1        0/65535  P        3333   B
    0.0.0.0          04:BD:88:C3:88:14   105/0      0/0     0         0        0/65535  P           1   N
    04:bd:88:c3:88:14#

    En om ACL ID 138 te controleren op de huidige machtigingen:

    04:bd:88:c3:88:14# show datapath acl 138
    Datapath ACL 138 Entries
    -----------------------
    Flags: P - permit, L - log, E - established, M/e - MAC/etype filter
           S - SNAT, D - DNAT, R - redirect, r - reverse redirect m - Mirror
           I - Invert SA, i - Invert DA, H - high prio, O - set prio, C - Classify Media
           A - Disable Scanning, B - black list, T - set TOS, 4 - IPv4, 6 - IPv6
           K - App Throttle, d - Domain DA
    ----------------------------------------------------------------
     1:  any  any  17 0-65535 8209-8211  P4  
     2:  any  172.31.98.1 255.255.255.255  6 0-65535 80-80  PSD4  
     3:  any  172.31.98.1 255.255.255.255  6 0-65535 443-443  PSD4  
    4:  any  mgarcarz-ise20.example.com  6 0-65535 80-80  Pd4  
     5:  any  mgarcarz-ise20.example.com  6 0-65535 443-443  Pd4  
     6:  any  mgarcarz-ise20.example.com  6 0-65535 8443-8443  Pd4  hits 37
     7:  any  10.48.17.235 255.255.255.255  6 0-65535 1-20000  P4  hits 18
    <....some output removed for clarity ... >

    Dat komt overeen met wat is geconfigureerd in GUI voor die rol, zoals weergegeven in de afbeelding.

    aruba15

    Stap 2. Webbrowser Traffic Redirection voor BYOD

    Zodra de gebruiker de webbrowser opent en een adres typt, vindt omleiding plaats zoals weergegeven in de afbeelding.

    aruba17

    Kijkend naar de pakketopnames, wordt bevestigd dat Aruba de bestemming spoofs (5.5.5.5) en retourneert de HTTP omleiding naar ISE.

    Merk op dat het dezelfde statische URL is als geconfigureerd in ISE en gekopieerd naar Captive Portal op Aruba - maar daarnaast worden meerdere argumenten toegevoegd zoals weergegeven in de afbeelding:

    • CMD = aanmelden
    • MAC = C0:4A:00:14:6E:31
    • essid = mgarcarz_aruba
    • IP = 10,62,148,7
    • APNAME = 4BD88C38814 (MAC)
    • URL = http://5.5.5.5

    aruba18

    Vanwege deze argumenten is ISE in staat om Cisco Session ID opnieuw te maken, de bijbehorende sessie op ISE te achterhalen en door te gaan met BYOD (of een andere geconfigureerde stroom).

    Voor Cisco-apparaten zou audit_session_id normaal worden gebruikt, maar dat wordt niet ondersteund door andere leveranciers.

    Om te bevestigen dat van ISE-debugs, is het mogelijk om de generatie van audit-sessie-id-waarde (die nooit over het netwerk wordt verzonden) te zien:

    AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
    c04a00146e31,FramedIPAddress=10.62.148.71,MessageFormatter::appendValue() attrName: 
    cisco-av-pair appending value: 
    audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M

    En dan, correlatie daarvan na registratie van het apparaat op BYOD pagina 2:

    AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
    c04a00146e31,FramedIPAddress=10.62.148.71,Log_Message=[2015-10-29 23:25:48.533 +01:00 
    0000011874 88010 INFO  MyDevices: Successfully registered/provisioned the device 
    (endpoint), ConfigVersionId=145, UserName=cisco, MacAddress=c0:4a:00:14:6e:31, 
    IpAddress=10.62.148.71, AuthenticationIdentityStore=Internal Users, 
    PortalName=BYOD Portal (default), PsnHostName=mgarcarz-ise20.example.com, 
    GuestUserName=cisco, EPMacAddress=C0:4A:00:14:6E:31, EPIdentityGroup=RegisteredDevices
    Staticassignment=true, EndPointProfiler=mgarcarz-ise20.example.com, EndPointPolicy=
    Unknown, NADAddress=10.62.148.118, DeviceName=ttt, DeviceRegistrationStatus=Registered
    AuditSessionId=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M, 
    cisco-av-pair=audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M

    In volgende verzoeken wordt de client doorgestuurd naar BYOD pagina 3, waar NSA wordt gedownload en uitgevoerd.

    Stap 3. Uitvoering van Network Setup Assistant

    aruba4

    De NSA heeft dezelfde taak als de webbrowser. Eerst moet het detecteren wat het IP-adres van ISE is. Dit gebeurt door middel van HTTP redirection.

    Omdat deze keer de gebruiker geen mogelijkheid heeft om een IP-adres in te voeren (zoals in de webbrowser), wordt dat verkeer automatisch gegenereerd.

    Standaard gateway wordt gebruikt (ook enroll.cisco.com kan worden gebruikt) zoals weergegeven in de afbeelding.

    aruba19

    Het antwoord is precies hetzelfde als voor de webbrowser.

    Op deze manier kan de NSA verbinding maken met ISE, een XML-profiel met configuratie ophalen, een SCEP-verzoek genereren, het naar ISE verzenden, een ondertekend certificaat krijgen (ondertekend door de interne CA van ISE), een draadloos profiel configureren en ten slotte verbinding maken met de geconfigureerde SSID.

    Verzamel logs van de client (op Windows zijn in %temp%/spwProfile.log). Sommige uitgangen zijn weggelaten voor de duidelijkheid:

    Logging started
    SPW Version: 1.0.0.46
    System locale is [en]
    Loading messages for english...
    Initializing profile
    SPW is running as High integrity Process - 12288
    GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\ for file name = spwProfile.xml result: 0
    GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\Low for file name = spwProfile.xml result: 0
    Profile xml not found Downloading profile configuration...
    Downloading profile configuration...
    Discovering ISE using default gateway
    Identifying wired and wireless network interfaces, total active interfaces: 1
    Network interface - mac:C0-4A-00-14-6E-31, name: Wireless Network Connection, type: wireless
    Identified default gateway: 10.62.148.100
    Identified default gateway: 10.62.148.100, mac address: C0-4A-00-14-6E-31

    redirect attempt to discover ISE with the response url
    DiscoverISE - start
    Discovered ISE - : [mgarcarz-ise20.example.com, sessionId: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M]
    DiscoverISE - end
    Successfully Discovered ISE: mgarcarz-ise20.example.com, session id: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M, macAddress: C0-4A-00-14-6E-31

    GetProfile - start
    GetProfile - end
    Successfully retrieved profile xml
    using V2 xml version
    parsing wireless connection setting
    Certificate template: [keysize:2048, subject:OU=Example unit,O=Company name,L=City,ST=State,C=US, SAN:MAC]
    set ChallengePwd

    creating certificate with subject = cisco and subjectSuffix = OU=Example unit,O=Company name,L=City,ST=State,C=US
    Installed [LAB CA, hash: fd 72 9a 3b b5 33 72 6f  f8 45 03 58 a2 f7 eb 27^M
    ec 8a 11 78^M
    ] as rootCA
    Installed CA cert for authMode machineOrUser - Success

    HttpWrapper::SendScepRequest - Retrying: [1] time, after: [2] secs , Error: [0], msg: [ Pending]
    creating response file name C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer
    Certificate issued - successfully
    ScepWrapper::InstallCert start
    ScepWrapper::InstallCert: Reading scep response file  [C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer].
    ScepWrapper::InstallCert GetCertHash -- return val 1
    ScepWrapper::InstallCert end

    Configuring wireless profiles...
    Configuring ssid [mgarcarz_aruba_tls]
    WirelessProfile::SetWirelessProfile - Start

    Wireless profile: [mgarcarz_aruba_tls] configured successfully
    Connect to SSID
    Successfully connected profile: [mgarcarz_aruba_tls]
    WirelessProfile::SetWirelessProfile. - End

    Die logs zijn precies hetzelfde als voor het BYOD-proces met Cisco-apparaten.

    Opmerking: Radius CoA is hier niet vereist. Het is de toepassing (NSA) die de herverbinding met een nieuw geconfigureerde SSID afdwingt.

    In dat stadium kan de gebruiker zien dat het systeem probeert te koppelen aan een definitieve SSID. Als u meer dan één gebruikerscertificaat hebt, moet u het juiste certificaat selecteren (zoals weergegeven).

    aruba3

    Na een geslaagde verbinding worden NSA-rapporten weergegeven zoals in de afbeelding wordt weergegeven.

    aruba5

    Dat kan worden bevestigd op ISE - het tweede logboek raakt EAP-TLS-verificatie, die overeenkomt met alle voorwaarden voor Basic_Authenticated_Access (EAP-TLS, Employee en BYOD Registered true).

    aruba8

    Ook kan de endpointidentiteitsweergave bevestigen dat de markering voor het eindpunt BYOD Registered is ingesteld op true, zoals weergegeven in de afbeelding.

    aruba20

    Op Windows-pc is automatisch een nieuw profiel voor draadloze verbindingen gemaakt, zoals wordt aangegeven (en geconfigureerd voor EAP-TLS).

    aruba9

    In dat stadium bevestigt Aruba dat de gebruiker is verbonden met de uiteindelijke SSID.

    aruba11

    De rol die automatisch wordt gemaakt en dezelfde naam krijgt als Netwerk, biedt volledige netwerktoegang.

    aruba21

    Andere stromen en CoA-ondersteuning

    CWA met CoA

    Hoewel er in BYOD flow geen CoA-berichten zijn, wordt hier CWA flow met Self Registered Guest Portal gedemonstreerd:

    De autorisatieregels zijn geconfigureerd zoals in de afbeelding wordt weergegeven.

    rules_CWA

    Gebruiker maakt verbinding met de SSID met MAB-verificatie en zodra deze verbinding probeert te maken met een webpagina, wordt doorgestuurd naar het zelfgeregistreerde gastportaal, waar gast een nieuw account kan maken of een huidige account kan gebruiken.

    cwa1

    Nadat de gast met succes is verbonden, wordt een CoA-bericht verzonden van ISE naar Network Device om de autorisatiestatus te wijzigen.

    cwa2

    Het kan worden geverifieerd onder Bewerkingen > Authenticaties en zoals weergegeven in de afbeelding.

    cwa_flow_operations

     CoA-bericht in ISE-debugs:

    2015-11-02 18:47:49,553 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
    DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
    Processing incoming attribute vendor , name NAS-IP-Address, value=10.62.148.118.,
    DynamicAuthorizationFlow.cpp:708
    2015-11-02 18:47:49,567 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
     DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
     Processing incoming attribute vendor , name Acct-Session-Id, value=04BD88B88144-
    C04A00157634-7AD    .,DynamicAuthorizationFlow.cpp:708
    2015-11-02 18:47:49,573 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
     DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd] 
    Processing incoming attribute vendor , name cisco-av-pair, v
    alue=audit-session-id=0a3011ebisZXypODwqjB6j64GeFiF7RwvyocneEia17ckjtU1HI.,DynamicAuthorizationFlow.cpp:708
    2015-11-02 18:47:49,584 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
     DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::
    setConnectionParams] defaults from nad profile : NAS=10.62.148.118, port=3799, timeout=5,
     retries=2 ,DynamicAuthorizationRequestHelper.cpp:59
    2015-11-02 18:47:49,592 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
     DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::set
    ConnectionParams] NAS=10.62.148.118, port=3799, timeout=5, retries=1,
    DynamicAuthorizationRequestHelper.cpp:86
    2015-11-02 18:47:49,615 DEBUG  [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
     DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::onLocalHttpEvent]: 
    invoking DynamicAuthorization,DynamicAuthorizationFlow.cpp:246

    en Disconnect-ACK die afkomstig is van Aruba:

    2015-11-02 18:47:49,737 DEBUG  [Thread-147][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
    DynamicAuthorizationFlow,DEBUG,0x7fc0e9eb4700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
    -44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::
    onResponseDynamicAuthorizationEvent] Handling response 
    ID c59aa41a-e029-4ba0-a31b-44549024315e, error cause 0, Packet type 41(DisconnectACK).,
    DynamicAuthorizationFlow.cpp:303

     Pakketopnames met CoA Diconnect-Request (40) en Diconnect-ACK (41) zijn zoals getoond.

    aruba_CoA

    Opmerking: RFC CoA is gebruikt voor verificatie met betrekking tot Apparaatprofiel Aruba (standaardinstellingen). Voor verificatie met betrekking tot Cisco-apparaat zou het Cisco CoA-type opnieuw verifiëren zijn geweest.

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Aruba Captive Portal met IP-adres in plaats van FQDN

    Als Captive Portal op Aruba is geconfigureerd met een IP-adres in plaats van FQDN of ISE, mislukt PSN NSA:

    Warning - [HTTPConnection] Abort the HTTP connection due to invalid certificate 
    CN

    De reden hiervoor is strikte certificaatvalidatie wanneer u verbinding maakt met ISE. Wanneer u IP-adres gebruikt om verbinding te maken met ISE (als gevolg van omleiding URL met IP-adres in plaats van FQDN) en wordt gepresenteerd met ISE-certificaat met onderwerpnaam = FQDN-validatie mislukt.

    Opmerking: webbrowser gaat verder met BYOD-portal (met waarschuwing die moet worden goedgekeurd door de gebruiker).

    Aruba Captive Portal Onjuist toegangsbeleid

    Standaard is Aruba Access-Policy geconfigureerd met Captive Portal en is het mogelijk om tcp-poorten 80, 443 en 8080 te gebruiken.

    NSA kan geen verbinding maken met tcp-poort 8905 om het XML-profiel van ISE te verkrijgen. Deze fout wordt gemeld:

    Failed to get spw profile url using - url 
    [https://mgarcarz-ise20.example.com:8905/auth/provisioning/evaluate?
    typeHint=SPWConfig&referrer=Windows&mac_address=C0-4A-00-14-6E-31&spw_version=
    1.0.0.46&session=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M&os=Windows All] 
    - http Error: [2] HTTP response code: 0]
    GetProfile - end
    Failed to get profile. Error: 2

    Havennummer van Aruba CoA

    Standaard geeft Aruba het poortnummer voor CoA Air Group CoA poort 5999. Helaas heeft Aruba 204 niet gereageerd op dergelijke verzoeken (zoals weergegeven).

    coafailed1

    coa5999_ise

    Packet capture wordt weergegeven in de afbeelding.

    coa5999

    De beste optie om hier te gebruiken kan CoA-poort 3977 zijn zoals beschreven in RFC 5176.

    Omleiding op sommige Aruba-apparaten

    Op Aruba 3600 met v6.3 valt op dat de omleiding iets anders werkt dan op andere controllers. Packet capture en uitleg zijn hier te vinden.

    aruba200

    packet 1: PC is sending GET request to google.com
packet 2: Aruba is returning HTTP 200 OK with following content:
<meta http-equiv='refresh' content='1; url=http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5'>\n
packet 3: PC is going to link with  Aruba attribute returned in packet 2:
http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5
packet 4: Aruba is redirecting to the ISE (302 code):
https://10.75.89.197:8443/portal/g?p=4voD8q6W5Lxr8hpab77gL8VdaQ&cmd=login&mac=80:86:f2:59:d9:db&ip=10.75.94.213&essid=SC%2DWiFi&apname=LRC-006&apgroup=default&url=http%3A%2F%2Fwww%2Egoogle%2Ecom%2F

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Jul-2023
    hercertificering
    1.0
    21-Nov-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Michal Garcarz
      Cisco TAC Engineer
    • Wojciech Cecot
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten