Políticas do ISE baseadas em exemplos de configuração de SSID

Opções de download

  • PDF     (492.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (381.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (456.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de julho de 2014
ID do documento:115734

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar políticas de autorização no Cisco Identity Services Engine (ISE) para distinguir entre diferentes Service Set Identifiers (SSIDs). É muito comum uma organização ter vários SSIDs em sua rede sem fio para várias finalidades. Uma das finalidades mais comuns é ter um SSID corporativo para funcionários e um SSID de convidado para visitantes da organização.

Este guia pressupõe que:

  1. A controladora Wireless LAN (WLC) está configurada e funciona para todos os SSIDs envolvidos.

  2. A autenticação funciona em todos os SSIDs envolvidos no ISE.

Outros documentos nesta série

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Controlador de LAN sem fio versão 7.3.101.0

  • Identity Services Engine versão 1.1.2.145

As versões anteriores também têm esses dois recursos.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Este documento utiliza as seguintes configurações:

  • Método 1: Airespace-Wlan-Id

  • Método 2: ID da estação chamada

Somente um método de configuração deve ser usado de cada vez. Se ambas as configurações forem implementadas simultaneamente, a quantidade processada pelo ISE aumenta e afeta a legibilidade das regras. Este documento analisa as vantagens e desvantagens de cada método de configuração.

Método 1: Airespace-Wlan-Id

Cada rede local sem fio (WLAN) criada na WLC tem uma ID de WLAN. O ID da WLAN é exibido na página de resumo da WLAN.

ise-policies-ssid-01.gif

Quando um cliente se conecta ao SSID, a solicitação RADIUS ao ISE contém o atributo Airespace-WLAN-ID. Esse atributo simples é usado para tomar decisões de política no ISE. Uma desvantagem desse atributo é se o ID da WLAN não corresponder em um SSID espalhado por vários controladores. Se isso descrever sua implantação, continue com o Método 2.

Nesse caso, Airespace-Wlan-Id é usado como uma condição. Ele pode ser usado como uma condição simples (por si só) ou em uma condição composta (em conjunto com outro atributo) para alcançar o resultado desejado. Este documento abrange ambos os casos de uso. Com os dois SSIDs acima, essas duas regras podem ser criadas.

A) Os usuários convidados devem fazer login no SSID convidado.

B) Os usuários corporativos devem estar no grupo AD (Ative Diretory, diretório ativo) "Usuários do domínio" e devem fazer login no SSID corporativo.

Regra A

A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):

  1. No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.

  2. No campo Nome, insira um nome de condição

  3. No campo Descrição, insira uma descrição (opcional).

  4. Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].

  5. Na lista suspensa Operador, escolha Igual a.

  6. Na lista suspensa Valor, escolha 2.

  7. Click Save.

ise-policies-ssid-02.gif

Regra B

A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):

  1. No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.

  2. No campo Nome, insira um nome de condição.

  3. No campo Descrição, insira uma descrição (opcional).

  4. Escolha Criar Nova Condição (Opção Avançar).

  5. Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].

  6. Na lista suspensa Operador, escolha Igual a.

  7. Na lista suspensa Valor, escolha 1.

  8. Clique na engrenagem à direita e escolha Adicionar atributo/valor.

  9. Na lista suspensa Atributo, escolha AD1 > Grupos externos.

  10. Na lista suspensa Operador, escolha Igual a.

  11. Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.

  12. Click Save.

ise-policies-ssid-03.gif

Observação: neste documento, usamos perfis de autorização simples configurados em Policy > Policy Elements > Results > Authorization > Authorization Profiles. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.

Agora que temos as condições, podemos aplicá-las a uma Política de Autorização. Vá para Política > Autorização. Determine onde inserir a regra na lista ou edite a regra existente.

Regra de Convidado

  1. Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.

  2. Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.

  3. Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.

  4. Em Nome da condição, escolha Condição simples > GuestSSID.

  5. Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.

  6. Clique em Concluído.

Regra corporativa

  1. Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.

  2. Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.

  3. Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.

  4. Em Nome da condição, escolha Condição composta > CorporateSSID.

  5. Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.

  6. Clique em Concluído.

Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.

ise-policies-ssid-04.gif

Método 2: ID da estação chamada

A WLC pode ser configurada para enviar o nome SSID no atributo RADIUS Called-Station-ID, que, por sua vez, pode ser usado como uma condição no ISE. A vantagem desse atributo é que ele pode ser usado independentemente do ID da WLAN definido na WLC. Por padrão, a WLC não envia o SSID no atributo Called-Station-ID. Para habilitar esse recurso na WLC, vá para Security > AAA > RADIUS > Authentication e defina o Call Station ID Type como AP MAC Address:SSID. Isso define o formato do ID da estação chamada para <MAC do AP ao qual o usuário está se conectando>:<SSID Name>.

ise-policies-ssid-05.gif

Você pode ver qual nome SSID será enviado na página de resumo da WLAN.

ise-policies-ssid-06.gif

Como o atributo Called-Station-Id também contém o endereço MAC do AP, uma Expressão Regular (REGEX) é usada para corresponder ao nome SSID na política do ISE. O operador 'Matches' na configuração de condição pode ler um REGEX do campo Value.

Exemplos de REGEX

'Começa com' — por exemplo, use o valor REGEX de ^(Acme).* — essa condição é configurada como CERTIFICATE:Organization MATCHES 'Acme' (qualquer correspondência com uma condição que comece com "Acme").

'Termina com' — por exemplo, use o valor REGEX de .*(mktg)$ — essa condição é configurada como CERTIFICATE:Organization MATCHES 'mktg' (qualquer correspondência com uma condição que termine com "mktg").

'Contém' — por exemplo, use o valor REGEX de .*(1234).*—essa condição é configurada como CERTIFICATE:Organization MATCHES '1234' (qualquer correspondência com uma condição que contenha "1234", como Eng1234, 1234Dev e Corp1234Mktg).

'Não começa com' — por exemplo, use o valor REGEX de ^(?!LDAP).* — essa condição é configurada como CERTIFICATE:Organization MATCHES 'LDAP' (qualquer correspondência com uma condição que não comece com "LDAP", como usLDAP ou CorpLDAPmktg).

O ID da estação chamada termina com o nome SSID, portanto, o REGEX a ser usado neste exemplo é .*(:<NOME SSID>)$. Lembre-se disso ao executar a configuração.

Com os dois SSIDs acima, você pode criar duas regras com estes requisitos:

A) Os usuários convidados devem fazer login no SSID convidado.

B) Os usuários corporativos devem estar no grupo AD "Usuários do domínio" e devem fazer login no SSID corporativo.

Regra A

A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):

  1. No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.

  2. No campo Nome, insira um nome de condição.

  3. No campo Descrição, insira uma descrição (opcional).

  4. Na lista suspensa Atributo, escolha Radius -> Called-Station-ID—[30].

  5. Na lista suspensa Operador, escolha Correspondências.

  6. Na lista suspensa Valor, escolha .*(:Guest)$. Isso diferencia maiúsculas de minúsculas.

  7. Click Save.

ise-policies-ssid-07.gif

Regra B

A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):

  1. No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.

  2. No campo Nome, insira um nome de condição.

  3. No campo Descrição, insira uma descrição (opcional).

  4. Escolha Criar Nova Condição (Opção Avançar).

  5. Na lista suspensa Atributo, escolha Radius -> Called-Station-Id—[30].

  6. Na lista suspensa Operador, escolha Correspondências.

  7. Na lista suspensa Valor, escolha .*(:Corporate)$. Isso diferencia maiúsculas de minúsculas.

  8. Clique na engrenagem à direita e escolha Adicionar atributo/valor.

  9. Na lista suspensa Atributo, escolha AD1 > Grupos externos.

  10. Na lista suspensa Operador, escolha Igual a.

  11. Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.

  12. Click Save.

ise-policies-ssid-08.gif

Observação: neste documento, usamos perfis de autorização simples configurados em Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.

Agora que as condições estão configuradas, aplique-as a uma Política de Autorização. Vá para Política > Autorização. Insira a regra na lista no local apropriado ou edite uma regra existente.

Regra de Convidado

  1. Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.

  2. Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.

  3. Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.

  4. Em Nome da condição, escolha Condição simples > GuestSSID

  5. Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.

  6. Clique em Concluído.

Regra corporativa

  1. Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.

  2. Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.

  3. Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.

  4. Em Nome da condição, escolha Condição composta > CorporateSSID.

  5. Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.

  6. Clique em Concluído.

  7. Clique em Save na parte inferior da lista Policy.

Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.

ise-policies-ssid-09.gif

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Para descobrir se a política foi criada corretamente e para certificar-se de que o ISE está recebendo os atributos adequados, revise o relatório de autenticação detalhado para uma autenticação aprovada ou com falha para o usuário. Escolha Operations > Authentications e clique no ícone Details para obter uma autenticação.

ise-policies-ssid-10.gif

Primeiro, verifique o Resumo de autenticação. Mostra os fundamentos da autenticação, que incluem qual perfil de autorização foi fornecido ao usuário.

ise-policies-ssid-11.gif

Se a política estiver incorreta, os detalhes de autenticação mostrarão qual Airespace-Wlan-Id e qual Called-Station-Id foi enviado da WLC. Ajuste as regras de acordo. A Regra de correspondência de política de autorização confirma se a autenticação está ou não correspondendo à regra desejada.

ise-policies-ssid-12.gif

Essas regras são normalmente configuradas incorretamente. Para revelar o problema de configuração, compare a regra com o que é visto nos detalhes da autenticação. Se você não vir os atributos no campo Other Attributes, certifique-se de que a WLC esteja configurada corretamente.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
19-Dec-2012
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jesse Dubois
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos