Exemplo de autenticação da Web central no WLC e ISE

Opções de download

  • PDF     (1.4 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de Fevereiro de 2021
ID do documento:115732

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve um exemplo de configuração que é usado para concluir a CWA (Central Web Authentication) no Wireless LAN Controller (WLC).

    Ele é substituído pelo guia de implantação de convidado mais completo disponível aqui: https://communities.cisco.com/docs/DOC-77590

    Prerequisites

    Requirements

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • O software Cisco ® Identity Services Engine (ISE) versão 3.0

    • Software Cisco WLC versão 8.3.150.0

    Configurar

    O primeiro método de autenticação da Web é a autenticação da Web local. Nesse caso, a WLC redireciona o tráfego HTTP para um servidor interno ou externo onde o usuário é solicitado a autenticar. Em seguida, a WLC busca as credenciais (enviadas por meio de uma solicitação HTTP GET no caso de um servidor externo) e faz uma autenticação RADIUS. No caso de um usuário convidado, um servidor externo, como o Identity Services Engine (ISE), é necessário porque o portal fornece recursos como registro de dispositivos e autoprovisionamento. O fluxo inclui estas etapas:

    1. O usuário se associa ao SSID (Identificador do conjunto de serviços de autenticação da Web).

    2. O usuário abre o navegador.

    3. A WLC é redirecionada para o portal do convidado (como o ISE) assim que uma URL é inserida.

    4. O usuário se autentica no portal.

    5. O portal do convidado redireciona de volta para a WLC com as credenciais inseridas.

    6. A WLC autentica o usuário convidado via RADIUS.

    7. A WLC redireciona de volta para a URL original.

    Esse fluxo inclui vários redirecionamentos. A nova abordagem é usar o CWA. O fluxo inclui estas etapas:

    1. O usuário se associa ao SSID de autenticação da Web, que, na verdade, está aberto. Sem segurança de camada 2 e camada 3, somente a filtragem de Mac está habilitada.

    2. O usuário abre o navegador.

    3. A WLC é redirecionada para o portal do convidado.

    4. O usuário se autentica no portal.

    5. O ISE envia uma alteração de autorização RADIUS (CoA - UDP Port 1700) para indicar ao controlador que o usuário é válido e, eventualmente, envia atributos RADIUS como a Access Control List (ACL).

    6. O usuário é solicitado a repetir o URL original.

    A configuração usada é:

    Configuração de WLC

    A configuração da WLC é bastante simples. Um truque é usado (o mesmo que em switches) para obter o URL de autenticação dinâmica do ISE (já que ele usa a Alteração de autorização (CoA), uma sessão deve ser criada e o ID da sessão é parte do URL). O SSID é configurado para usar a filtragem de MAC. O ISE é configurado para retornar uma aceitação de acesso mesmo que o endereço MAC não seja encontrado para que ele envie a URL de redirecionamento para todos os usuários. 

    Além disso, o Controle de Admissão de Rede (NAC - Network Admission Control) do ISE e a Substituição de Autenticação, Autorização e Contabilidade (AAA - Authentication, Authorization, and Accounting) devem estar ativados. O ISE NAC permite que o ISE envie uma solicitação de CoA que indica que o usuário agora está autenticado e pode acessar a rede. Também é usado para avaliação de postura, caso em que o ISE altera o perfil do usuário com base no resultado da postura.

    Certifique-se de que o servidor RADIUS tenha suporte para CoA ativado, que é por padrão.

    A etapa final é criar uma ACL de redirecionamento. Essa ACL é referenciada na aceitação de acesso do ISE e define qual tráfego deve ser redirecionado (negado pela ACL) e qual tráfego não deve ser redirecionado (permitido pela ACL). Aqui você apenas evita redirecionar o tráfego para o ISE. Você pode querer ser mais específico e apenas impedir o tráfego de/para o ISE na porta 8443 (portal de convidado), mas ainda redirecionar se um usuário tentar acessar o ISE na porta 80/443.

    Note: As versões anteriores do software WLC, como 7.2 ou 7.3, não exigiam que você especificasse o Domain Name System (DNS), mas as versões posteriores do código exigem que você permita o tráfego DNS nessa ACL de redirecionamento.


    A configuração agora está completa na WLC.

    Configuração do ISE

    Criar o perfil de autorização

    No ISE, o perfil de autorização deve ser criado. Em seguida, as políticas de autenticação e autorização são configuradas. A WLC já deve estar configurada como um dispositivo de rede.

    No perfil de autorização, insira o nome da ACL criada anteriormente na WLC.

    1. Clique em Política e, em seguida, clique em Elementos de política.

    2. Clique em Results (Resultados).

    3. Expanda autorização e clique em perfil de autorização.

    4. Clique no botão Adicionar para criar um novo perfil de autorização para a webauth central.

    5. No campo Nome, digite um nome para o perfil. Este exemplo usa WLC_CWA.

    6. Escolha ACCESS_ACCEPT na lista suspensa Tipo de acesso.

    7. Marque a caixa de seleção Redirecionamento da Web e escolha Auditoria da Web centralizada na lista suspensa.

    8. No campo ACL, insira o nome da ACL no switch que define o tráfego a ser redirecionado. Este exemplo usa CWA_Redirect.

    9. No campo de valor, é possível escolher o Portal de Convidado Patrocinado ou o Portal de Convidado Autorregistrado na lista suspensa. No portal de convidados patrocinados, os patrocinadores criam contas de convidados e os convidados acessam a rede usando seu nome de usuário e senha atribuídos enquanto no portal de convidado de autorregistro, os convidados podem criar suas próprias contas e acessar a rede usando seu nome de usuário e senha atribuídos. Este exemplo usa o Portal de Convidado Patrocinado.

    Criar uma regra de autenticação

    Assegure-se de que o ISE aceite todas as autenticações MAC da WLC e certifique-se de que buscará a autenticação mesmo que o usuário não seja encontrado.

    Em Policy > Policy Sets > Default Policy Set (Política > Conjuntos de políticas > Conjunto de políticas padrão), clique em Authentication (Autenticação).

    A próxima imagem mostra um exemplo de como configurar a regra de política de autenticação. Neste exemplo, uma regra é configurada que dispara quando o MAB é detectado.

    1. Digite um nome para a sua regra de autenticação. Este exemplo usa MAB, que já existe por padrão no ISE.

    2. Selecione o ícone de mais (+) no campo condição.

    3. No Estúdio de Condições arraste Wireless_MAB na janela Editor e Salvar

    4. Usar endpoints internos.

    5. Clique em Opções e selecione Continuar na lista suspensa Se o usuário não encontrar

    Note: A regra de autenticação MAB já foi criada no ISE por padrão.

    Criar uma política de autorização

    Configure a política de autorização. Um ponto importante a ser compreendido é que há duas autenticações/autorizações:

    • A primeira é quando o usuário se associa ao SSID ("CWA" neste caso) e o perfil CWA é retornado.
      Neste exemplo, Airespace-Wlan-Id é usado como uma condição. Quando um cliente se conecta ao SSID, a solicitação de acesso RADIUS ao ISE contém o atributo Airespace-WLAN-ID. Este atributo é usado para tomar decisões de política no ISE. Assim, quando um cliente desconhecido se conecta ao SSID CWA, o ISE envia uma aceitação de acesso com URL de redirecionamento (portal da Web) e ACL. O uso da regra Airespace-Wlan-Id garante que a página do portal seja apresentada aos usuários que se conectam apenas ao SSID do CWA. 
    • O segundo é quando o usuário se autentica no portal da Web. Esta corresponde à regra padrão (usuários internos) nesta configuração (pode ser configurada para atender aos seus requisitos). É importante que a peça de autorização não corresponda novamente ao perfil CWA. Caso contrário, haverá um loop de redirecionamento. O atributo Network Access:UseCase é igual a Guest Flow pode ser usado para corresponder a essa segunda autenticação. O resultado é o seguinte:

    Conclua estes passos para criar as regras de autorização como mostrado nas imagens anteriores:

    1. Crie uma nova regra e digite um nome. Este exemplo usa o redirecionamento de convidado.

    2. Clique no ícone do lápis no campo condição e crie uma nova condição.

    3. Em Editor, clique para adicionar um atributo.

    4. Escolha Radius e expanda-o.

    5. Clique em Radius · Called-Station-ID e escolha o operador CONTAINS.

    6. Insira o CWA no campo à direita, neste exemplo 1. 

    7. Na página de autorização geral, escolha WLC_CWA (Authorization Profile) em Results (Resultados).

      Essa etapa permite que o ISE continue, mesmo que o usuário (ou o endereço MAC) não seja conhecido quando conectado ao SSID CWA e os apresente com o portal de login.

    8. Clique no botão Ações localizado no final da regra Redirecionamento de convidado e escolha inserir uma nova regra acima dela.

      Note: É muito importante que esta nova regra venha antes da regra de redirecionamento de convidados.



    9. Insira um nome para a nova regra. Este exemplo usa a autenticação do portal do convidado.

    10. No campo Condição, clique no ícone do lápis e escolha criar uma nova condição.

    11. Escolha Network Access e clique em UseCase.

    12. Escolha Igual ao operador.

    13. Escolha GuestFlow como o operando certo.

    14. Na página de autorização, clique na opção suspensa em Resultados

      Você pode escolher uma opção Perfil de autorização padrão PermitAccess ou criar um perfil personalizado para retornar a VLAN ou os atributos que desejar. Observe que, além de If GuestFlow, você pode adicionar mais condições para retornar vários perfis de aut com base no grupo de usuários. Como mencionado na Etapa 7, essa regra de autenticação do portal do convidado corresponde à segunda autenticação de endereço MAC iniciada após o login bem-sucedido do portal e depois que o ISE enviou um CoA para reautenticar o cliente. A diferença com essa segunda autenticação é que, em vez de vir ao ISE com apenas seu endereço MAC, o ISE lembra o nome de usuário fornecido no portal. Você pode fazer com que essa regra de autorização leve em conta as credenciais digitadas alguns milissegundos antes no portal do convidado.

    Note: Em um ambiente de vários controladores, o ID da WLAN deve ser o mesmo nas WLCs. Se você não quiser usar o atributo Airespace-Wlan-Id como uma condição, é melhor corresponder às solicitações Wireless_MAB (condição integrada). 


    Ative a renovação de IP (opcional - não recomendado)

    Se você atribuir uma VLAN, a etapa final é que o PC cliente renove seu endereço IP. Esta etapa é alcançada pelo portal de convidados para clientes Windows. Se você não configurou uma VLAN para a segunda regra AUTH antes, você pode ignorar esta etapa. Este não é um projeto recomendado, pois alterar a VLAN do cliente depois que ele já tiver um endereço IP interromperá a conectividade, alguns clientes podem reagir incorretamente a ela e exige privilégios elevados do Windows para funcionar bem.

    Se você atribuiu uma VLAN, faça o seguinte para habilitar a renovação do IP:

    1. Clique em Centros de trabalho > Acesso para convidados e clique em Portals & Components (Portais e componentes).

    2. Clique em Portais de convidados.

    3. Clique em Portal de Convidado Patrocinado (usado neste exemplo) e expanda VLAN DHCP Release Page Settings.

    4. Clique na caixa de seleção VLAN DHCP Release.

      Note: O suporte à versão de DHCP da VLAN está disponível somente para dispositivos Windows. Ele não está disponível para dispositivos móveis. Se o dispositivo que está sendo registrado for móvel e a opção VLAN DHCP Release estiver habilitada, o convidado será solicitado a renovar manualmente seu endereço IP. Para usuários de dispositivos móveis, recomendamos o uso de Access Control Lists (ACLs) na WLC, em vez de usar VLANs.

    Cenário âncora-estrangeiro

    Essa configuração também pode funcionar com o recurso de ancoragem automática das WLCs. O único problema é que como esse método de autenticação da Web é a camada 2, você deve estar ciente de que será a WLC externa que fará todo o trabalho do RADIUS. Somente a WLC externa entra em contato com o ISE, e a ACL de redirecionamento também deve estar presente na WLC externa. O estrangeiro só precisa ter o nome da ACL existente (não precisa de entradas da ACL). A WLC externa enviará o nome da ACL para a âncora e será a âncora aplicando o redirecionamento (e, portanto, precisa do conteúdo ALC correto).

    Assim como em outros cenários, a WLC estrangeira mostra rapidamente que o cliente está no estado RUN, o que não é inteiramente verdade. Significa simplesmente que o tráfego é enviado para a âncora de lá. O estado real do cliente pode ser visto na âncora onde deve exibir CENTRAL_WEBAUTH_REQD.

    Aqui está o fluxo em uma configuração âncora externa:

    1. O cliente se conecta ao SSID na WLC externa. A WLC externa entra em contato com o servidor ISE para MAB. O ISE envia access-accept com o URL de redirecionamento e redireciona a ACL para o estrangeiro.
    2. Agora o cliente está ancorado na WLC âncora, onde recebe um endereço IP e é colocado em CENTRAL_WEBAUTH_REQD.
    3. Quando o cliente tenta acessar um site, a WLC âncora redireciona o cliente para a página do portal do ISE. O cliente é apresentado com a página de login.
    4. Após o login bem-sucedido, o ISE envia um CoA à WLC externa.
    5. A WLC externa entra em contato com a WLC âncora para informá-la de colocar o cliente no estado RUN.
    6. Todo o tráfego do cliente é encaminhado de fora para ancorar e sai da WLC âncora.

    As portas de firewall necessárias para permitir a comunicação entre a WLC e o ISE são:

    • UDP:1645, 1812 (Autenticação RADIUS)
    • UDP:1646, 1813 (Contabilidade RADIUS)
    • UDP:1700 (RADIUS CoA)
    • TCP:8443 Guest Portal ou 8905 se você tiver Posturing. 

    Note: A configuração âncora externa com a autenticação da Web central (CWA) só funciona nas versões 7.3 ou posterior.

    Note: Devido à ID de bug da Cisco CSCul83594, você não pode executar a contabilização tanto na âncora quanto no estrangeiro porque isso faz com que o perfil se torne impreciso devido a uma possível falta de ligação IP-MAC. Também cria muitos problemas com a ID da sessão para portais de convidados. Se desejar configurar a contabilidade, configure-a no controlador externo. Observe que esse não deve mais ser o caso iniciando o software WLC 8.6, no qual a id da sessão será compartilhada entre a âncora e os controladores estrangeiros e a contabilidade será possível ativar em ambos.

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    1. Quando o usuário é associado ao SSID, a WLC entra em contato com o ISE (como a filtragem de MAC está configurada). O ISE foi configurado para retornar a aceitação de acesso com URL e ACL de redirecionamento. Esta é a primeira autenticação.

      Os detalhes do cliente na WLC mostram que a URL de redirecionamento e a ACL são aplicadas.


      No cliente WLC e no AAA all debug, você pode ver o acesso aceito com o URL de redirecionamento e a ACL enviados do ISE.

      *radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
      *radiusTransportThread: AuthorizationResponse: 0x166ab570


      *radiusTransportThread:  structureSize................................425

      *radiusTransportThread:  resultCode...................................0

      *radiusTransportThread:  protocolUsed.................................0x00000001

      *radiusTransportThread:  proxyState...................................D0:37:45:89:EF:64-00:00

      *radiusTransportThread:  Packet contains 4 AVPs:

      *radiusTransportThread:  AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)

      *radiusTransportThread:  AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)

      *radiusTransportThread:  AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)

      *radiusTransportThread:  AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)

      *radiusTransportThread:  d0:37:45:89:ef:64 processing avps[0]: attribute 1
      *radiusTransportThread:  d0:37:45:89:ef:64 username = D0-37-45-89-EF-64

      !
      *apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0

      A mesma coisa também pode ser verificada no ISE. Navegue até Operações > Livelogs Radius. Clique nos detalhes desse MAC.

      Você pode ver que para a primeira autenticação (filtragem de MAC) o ISE retorna o perfil AuthZ WLC_CWA, pois ele atinge a regra de autenticação MAB e a política de autenticação Redirecionamento de convidado


    2. Neste ponto, o cliente recebe um endereço IP. Agora o cliente está no estado CENTRAL_WEB_AUTH. Quando qualquer endereço é aberto no cliente, o navegador é redirecionado para o ISE. Verifique se o DNS está configurado corretamente.


    3. Depois que as credenciais corretas forem inseridas, o acesso à rede será concedido. Esta é a segunda autenticação.


      Quando as credenciais são inseridas, o ISE autentica o cliente e envia o CoA. 



      Na WLC, isso pode ser visto em AAA todas as depurações.

      *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
      *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974

      *radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
      *radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
      *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
      *radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
      *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)

      Depois disso, o cliente é reautenticado e recebe acesso à rede. 

    4. No controlador, o estado do Policy Manager e o estado do RADIUS NAC mudam de CENTRAL_WEB_AUTH para RUN.

      Note: Na versão 7.2 ou anterior, o estado CENTRAL_WEB_AUTH era chamado POSTURE_REQD.

    Observe que o tipo de CoA retornado pelo ISE evoluiu entre versões. O ISE 3.0 solicitará que a WLC inicie a reautenticação usando o último método, ou seja, MAB neste caso. A WLC autentica novamente o usuário quando ele envia a solicitação de acesso RADIUS com o atributo Authorize-Only.

    Exemplo de solicitação de CoA do ISE 3.0 :

    A WLC não enviará um quadro de desassociação ao cliente e executará uma autenticação radius novamente e aplicará o novo resultado de forma transparente ao cliente. Desde 8.3, a WLC suporta a definição de uma chave pré-compartilhada WPA em um SSID CWA. A experiência do usuário permanece a mesma nos cenários clássicos não PSK, a WLC não enviará um quadro de desassociação ao cliente e simplesmente aplicará o novo resultado de autorização. No entanto, uma "resposta de associação" ainda é enviada ao cliente, embora nenhuma "solicitação de associação" tenha sido recebida do cliente, o que pode parecer curioso ao analisar rastreamentos de farejador.

    Troubleshoot

    Conclua estes passos para solucionar ou isolar um problema de CWA:

    1. Insira o comando debug client <mac address of client> no controlador e no monitor para determinar se o cliente atinge o estado CENTRAL_WEBAUTH_REQD. Um problema comum é observado quando o ISE retorna uma ACL de redirecionamento que não existe (ou que não está corretamente inserida) na WLC. Se esse for o caso, o cliente será desautenticado quando o estado CENTRAL_WEBAUTH_REQD for alcançado, o que fará com que o processo comece novamente.

    2. Se o estado do cliente correto puder ser alcançado, navegue para monitor > clients na GUI da Web da WLC e verifique se a ACL e a URL de redirecionamento corretas estão aplicadas ao cliente.

    3. Verifique se o DNS correto está sendo usado. O cliente deve ter a capacidade de resolver sites da Internet e o nome de host do ISE. Você pode verificar isso por meio do nslookup.

    4. Verifique se todas as etapas de autenticação ocorrem no ISE:

      • A autenticação MAC deve ocorrer primeiro, à qual os atributos CWA são retornados.

      • A autenticação de login do portal ocorre.

      • A autorização dinâmica ocorre.

      • A autenticação final é uma autenticação MAC que mostra o nome de usuário do portal no ISE, para o qual os resultados finais da autorização são retornados (como a VLAN final e a ACL).

    Considerações especiais para cenários de ancoragem

    Considere estas IDs de bug da Cisco que limitam a eficiência do processo CWA em um cenário de mobilidade (especialmente quando a contabilidade é configurada):

    • CSCuo56780 - Vulnerabilidade de negação de serviço RADIUS do ISE

    • CSCul83594 - ID da sessão não é sincronizada através da mobilidade se a rede estiver aberta
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Nicolas Darchis
      Cisco TAC Engineer
    • Ritin Mahajan
      Cisco TAC Engineer
    • Poonam Garg
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos