在WLC和ISE的中央Web认证配置示例

Introduction

本文描述使用为了完成中央Web认证的配置示例(CWA)在无线局域网控制器(WLC)。

它由可用更加完全的客户的部署指南取代这里：https://communities.cisco.com/docs/DOC-77590

Prerequisites

Requirements

There are no specific requirements for this document.

Components Used

本文档中的信息基于以下软件和硬件版本：

• Cisco Identity Services Engine Software Release 2.0
  
  
• Cisco WLC Software Release 8.2.141.0

Configure

Web认证第一种方法是本地Web认证。在这种情况下， WLC重定向HTTP数据流到提示验证用户的一个内部或外部服务器。WLC然后拿来证件(被退还通过HTTP GET请求一旦一个外部服务器)并且做RADIUS认证。一旦客人身份的用户，一个外部服务器(例如身份服务引擎(ISE)或NAC客户服务器(NGS))因为门户提供功能例如设备注册和自设置，需要。流包括这些步骤：

1. 用户联合对Web认证服务集标识(SSID)。
   
   
2. 用户打开浏览器。
   
   
3. 对客户门户的WLC重定向(例如ISE或NGS)，当URL被输入。
   
   
4. 用户在门户验证。
   
   
5. 回到WLC的客户门户重定向与被输入的证件。
   
   
6. WLC通过RADIUS验证客人身份的用户。
   
   
7. 回到原始URL的WLC重定向。

此流包括几重定向。新的方法将使用CWA。此方法与ISE (版本一起使用晚于1.1)和WLC (版本晚于7.2)。流包括这些步骤：

1. 用户联合对Web认证SSID，实际上是open+macfiltering和没有第3层安全。
   
   
2. 用户打开浏览器。
   
   
3. 对客户门户的WLC重定向。
   
   
4. 用户在门户验证。
   
   
5. ISE发送授权(CoA的RADIUS更改- UDP端口1700)表明到控制器用户是有效的和最终推进RADIUS属性例如访问控制表(ACL)。
   
   
6. 提示用户再试原始URL。

使用的设置是：

WLC 配置

WLC配置是相当简单的。窍门用于(同一样在交换机)为了获得从ISE的动态认证URL (因为使用授权(CoA)的更改，必须创建会话，并且会话ID是URL的一部分)。配置SSID为了使用MAC过滤。配置ISE为了返回access-accept，即使没找到MAC地址，因此发送所有用户的重定向URL。 

除此之外， ISE网络准入控制(NAC)和验证、授权和统计(AAA)覆盖一定是启用的。ISE NAC允许ISE发送表明的CoA请求用户当前验证并且能访问网络。在ISE更改根据状态结果情况下的用户配置文件它也使用状态评估。

保证RADIUS服务器有“”被启用的CoA的技术支持，默认情况下是。

最终步骤将创建重定向ACL。此ACL被参考ISE的access-accept并且定义了应该重定向不应该重定向什么数据流(拒绝由ACL)，并且什么数据流(允许由ACL)。您防止往ISE的重定向数据流。您也许要是更加特定的和只防止到/从ISE的数据流在端口8443 (客户门户)，但是仍然重定向，如果用户设法访问在端口80/443的ISE。

Note:WLC软件的更早版本例如7.2或7.3没有要求您指定域名系统(DNS)，但是代码版本要求您允许在该重定向ACL的DNS数据流。

配置当前完成在WLC。

ISE配置

创建授权配置文件

在ISE，必须创建授权配置文件。然后，配置认证和授权策略。应该已经配置WLC作为网络设备。

在授权配置文件，请输入在WLC创建的前ACL的名字。

1. 点击策略，然后点击策略元素。
   
   
2. 点击结果。
   
   
3. 扩展授权，然后点击授权配置文件。
   
   
4. 点击Add按钮为了创建中央webauth的一个新的授权配置文件。
   
   
5. 在名称字段，请输入一个名字对于配置文件。此示例使用WLC_CWA。
   
   
6. 从访问类型下拉列表选择ACCESS_ACCEPT。
   
   
7. 检查Web重定向复选框，并且从下拉列表选择集中化Web Auth。
   
   
8. 在ACL字段，请输入ACL的名字在定义了将重定向的数据流的交换机的。此示例使用cwa_redirect。
   
   
9. 在值字段，一个能从下拉列表选择被赞助的客户门户或自注册的客户门户。在被赞助的客户门户，赞助商创建客户帐户，并且客户访问网络使用他们的给定用户名和密码，当在自注册客户门户时，使用他们的给定用户名和密码，客户允许创建他们自己的帐户和访问网络。此示例使用被赞助的客户门户。

创建认证规则

保证ISE接受所有从WLC的MAC验证并且确定继续处理认证，即使没有找到用户。

在策略菜单下，请点击认证。

下个镜像显示示例如何配置认证策略规则。在本例中的规则触发配置，当发现时MAB。

1. 输入一个名字对于您的认证规则。此示例使用MAB，默认情况下在ISE版本1.2已经存在。
   
   
2. 选择正(+)在的图标，如果情况字段。
   
   
3. 选择复合条件，然后选择Wired_MAB或Wireless_MAB。
   
   
4. 点击箭头被找出在旁边和…为了进一步扩展规则。
   
   
5. 点击+在身份Source字段的图标，并且选择内部终端。
   
   
6. 选择从继续，如果用户没被找到的下拉列表。

Note:默认情况下现在有在ISE创建的MAB认证规则。

创建授权策略

配置授权策略。要了解的一个重要点是有两个认证/授权：

• 第一是，当用户联合对SSID (“CWA”在这种情况下)时，并且CWA配置文件返回。
  在此示例Airespace WLAN Id中使用作为情况。 当客户端连接到SSID时，对ISE的RADIUS访问请求包含Airespace-WLAN-Id属性。此属性用于做出在ISE的政策决策。因此，当一个未知客户端连接到SSID CWA时， ISE发送与重定向URL (Web门户)和ACL的一acceess接受。使用Airespace WLAN Id规则保证入口页面被提交给只连接到CWA SSID的用户。 

• 第二是，当用户在Web门户时验证。这一个匹配默认规则(内部用户)在此配置(可以配置为了符合您的要求)。重要的是授权零件不再匹配CWA配置文件。否则，将有重定向循环。网络访问：UseCase等于客户流属性可以用于为了匹配此第二个认证。结果如下所示:

如早先镜像所显示，完成这些步骤为了创建授权规则：

1. 创建一新规则，并且输入名字。此示例使用客户重定向。
   
   
2. 点击正(+)在情况字段的图标，并且选择创造新的条件。
   
   
3. 扩展表达式下拉列表。
   
   
4. 选择Airespace，并且扩展它。
   
   
5. 点击Airespace WLAN Id[1]，并且选择等于运算符。
   
   
6. 输入WLAN ID在右边的字段，在本例中1。 
   
   
7. 在一般授权页，请在然后词右边选择WLC_CWA (授权配置文件)在字段。
   
   此步骤允许ISE继续，即使用户(或MAC地址)不知道，当连接到CWA SSID并且提交他们与登录门户。
   
   
8. 点击Action按钮查找在客户重定向规则结束时，并且选择在它前插入新规则。
   
   

   Note:重要的是非常此新规则在客户重定向规则前来。

   
   
   
9. 输入一个名字对于新规则。此示例使用客户门户Auth。
   
   
10. 在情况字段，请点击正(+)图标，并且选择创造新的条件。
    
    
11. 选择网络访问，并且点击UseCase。
    
    
12. 选择等于作为运算符。
    
    
13. 选择GuestFlow作为正确的操作数。
    
    
14. 在授权页，请点击正(+)图标(位于在然后旁边)为了选择您的规则的一个结果。
    
    您能选择许可证访问选项或创建一个自定义配置文件为了返回您喜欢的VLAN或属性。如果GuestFlow，您能添加更多情况为了返回根据用户组的多种authz配置文件请注意在顶部。按照第7步所述，此在ISE以后被起动的在成功的门户登录以后和第二MAC地址验证的客户门户Auth规则匹配发送CoA为了重新鉴别客户端。与此第二个认证的区别是，而不是来到与其MAC地址的ISE， ISE切记在门户产生的用户名。您能做此授权规则考虑到在客户门户以前输入的一些毫秒证件。

Note:在一个多控制器环境里WLAN-ID应该是相同的在WLCs间。如果一不要使用Airespace WLAN Id属性作为情况，则匹配Wireless_MAB (内置的情况)最好的请求。 

Enable (event) IP续订(可选-不推荐)

如果分配VLAN，最终步骤是为了客户端PC机能更新其IP地址。此步骤由Windows客户端的客户门户达到。如果没有设置第2个AUTH规则的VLAN前，您能跳到此步骤。这不是一个推荐的设计作为更改客户端VLAN，在已经获得了IP地址将打乱连接后，一些客户端也许错误起反应到它，并且要求高的Windows权限良好工作。

如果分配VLAN，请完成这些步骤为了enable (event) IP续订：

1. 点击访客访问，然后点击配置。
   
   
2. 点击客户门户。
   
   
3. 点击被赞助的客户门户(用于此示例)，然后扩展VLAN DHCP版本页定位。
   
   
4. 点击VLAN DHCP Release复选框。
   
   

   Note:此选项为Windows客户端仅工作。

锚点外国方案

此设置能也与WLCs的自动锚点功能一起使用。唯一的抓住是那，因为此Web认证方法是第2层，您必须知道完成所有RADIUS工作的它将是外国WLC。仅外国WLC与ISE联系，并且重定向ACL一定也是存在外国WLC。

正如在其他情况下，外国WLC迅速显示客户端在运转状态，不是完全地真的。意味着数据流被发送到锚点从那里。实际客户端状态在它应该显示CENTRAL_WEBAUTH_REQD的锚点能被看到。

这是在一个锚点外国设置的流：

1. 客户端连接到在外国WLC的SSID。外国WLC联系MAB的ISE服务器。ISE发送与重定向URL和重定向ACL的access-accept到外国。
2. 现在客户端在CENTRAL_WEBAUTH_REQD停住对它获得IP地址的锚点WLC和放置。
3. 当客户端设法访问网站时，锚点WLC重定向客户端对ISE入口页面。客户端看到登录页。
4. 在成功的登录以后， ISE发送CoA到外国WLC。
5. 外国WLC在运转状态与锚点WLC联系告诉它放置客户端。
6. 所有客户端的流量从外国转发停住，并且出去锚点WLC。

要求允许WLC和ISE之间的通信的防火墙端口是：

• UDP:1645， 1812 (RADIUS认证)
• UDP:1646， 1813 (RADIUS认为)
• UDP:1700 (RADIUS CoA)
• TCP:8443门户的客户或8905，如果有摆姿势。 

Note:与中央Web认证(CWA)的锚点外国设置在版本7.3或以上只运作。

Note:因为导致 描出成为不正确由于潜在的缺乏IP对MAC捆绑，由于Cisco Bug ID CSCul83594，您不能运行在锚点的记帐和外国。它用客户门户的会话ID也创建许多问题。如果希望配置记帐，则请配置它在外国控制器。注意这不应该是再开始8.6会话ID将共享在锚点的WLC软件的案件和外国控制器和记帐之间然后将是可能的对在两个的enable (event)。

Verify

使用本部分可确认配置能否正常运行。

1. 一旦用户被关联对SSID， WLC与ISE联系(当配置MAC过滤)。配置ISE返回访问接受与重定向URL和ACL。这是第一个认证。

   在WLC的客户端详细资料表示，重定向URL和ACL适用。

   

   在WLC客户端和AAA中所有调试，您能看到访问接受与从ISE和ACL发送的重定向URL。

   *radiusTransportThread: 5c:c5:d4:b1:09:95 Access-Accept received from RADIUS server 10.48.39.161
   *radiusTransportThread: AVP[04] Cisco / Url-Redirect-Acl.................cwa_redirect (12 bytes)
   *radiusTransportThread: AVP[05] Cisco / Url-Redirect.....................DATA (177 bytes)
   
   *apfReceiveTask: 5c:c5:d4:b1:09:95 Redirect URL received for client from RADIUS.
    Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
   *apfReceiveTask: 5c:c5:d4:b1:09:95 AAA Override Url-Redirect-Acl 'cwa_redirect' 

   同一件事在ISE可能也被验证。选择操作> Radius livelogs。点击该MAC的详细资料。

   您能看到对于第一个认证(过滤的MAC) ISE返回AuthZ配置文件WLC_CWA，当击中认证规则MAB和authz策略客户重定向。 

   

2. 这时客户端获得IP地址。现在客户端是在CENTRAL_WEB_AUTH状态。当所有地址在客户端时被打开，浏览器重定向对ISE。保证DNS正确地设置。

   

3. 一旦正确的证件被输入，准许网络访问。这是第二个认证。

   

   当证件被输入时， ISE验证客户端并且发送CoA。 

   

   

   在WLC这在AAA能被看到所有调试。

   *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a30279c0000003b58887c51 
   *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.48.39.161
   
   *radiusCoASupportTransportThread: CoA - Received IP Address : 10.48.39.156
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Calling-Station-Id ---> 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Reauthenticating station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.48.39.161 

4. 在这客户端重新鉴别和对网络后的授权访问。 

   

5. 在控制器上，策略管理器状态和RADIUS NAC状态变换从CENTRAL_WEB_AUTH到RAN。

   Note:在版本7.2中或前，状态CENTRAL_WEB_AUTH称为POSTURE_REQD。

注意CoA的种类由在版本间演变的ISE返回了。ISE 2.0将请求WLC重新运行认证而不是无格式断开客户端。

ISE 2.0 CoA请求示例：

WLC然后不会发送分离帧到客户端，并且再请运行RADIUS认证并且适用新的结果透明地于客户端。

然而，如果PSK是在使用中的，事是不同的。从8.3， WLC支持设置在CWA SSID的WPA预共享密钥。由于亲切情况，当接收到从ISE的同样CoA后如上所述， WLC将必须再触发新的WPA密匙交换。所以在PSK的情况下， WLC将必须发送分离帧到将必须重新连接的客户端。在古典非PSK方案中， WLC不会发送一个分离帧到客户端，并且请适用新的授权结果。然而将发送“关联回应” ot客户端，虽然“关联申请”从客户端未被接受，也许似乎好奇，当分析嗅探器跟踪时。

Troubleshoot

完成这些步骤为了排除或查出CWA问题故障：

1. 输入调试client> on命令客户端< MAC地址控制器和监控程序为了确定客户端是否到达CENTRAL_WEBAUTH_REQD状态。不存在的常见问题被观察，当ISE返回重定向ACL时(或不适当地是输入)在WLC。如果这是实际情形，则客户端deauthenticated，一旦CENTRAL_WEBAUTH_REQD状态到达，造成进程再开始。
   
   
2. 如果正确的客户端状态可以到达，则请连接监控> WLC Web GUI的客户端和验证正确的重定向ACL和URL为客户端适用。
   
   
3. 验证使用正确的DNS。客户端应该有能力解决互联网网站和ISE主机名-。您能通过nslookup验证此。
   
   
4. 验证所有认证步骤在ISE发生：
   
   
   • MAC验证应该首先出现， CWA属性返回。
     
     
   • 门户登录认证出现。
     
     
   • 动态授权发生。
     
     
   • 最终认证是显示在ISE的门户用户名，最终授权结果返回的MAC验证(例如最终VLAN和ACL)。

停住的方案特别注意事项

考虑限制CWA进程效率在移动性方案的这些Cisco Bug ID (特别是当配置认为)时：

• CSCuo56780 - ISE RADIUS服务拒绝服务弱点
  
  
• CSCul83594 -，如果网络是开放的，会话ID没有在移动性间同步