مثال تكوين مصادقة الويب المحلية لمدخل الضيف الخاص ب Identity Services Engine

المقدمة

يصف هذا المستند كيفية تكوين مصادقة الويب المحلية (LWA) باستخدام مدخل ضيف محرك خدمات الهوية (ISE) من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• محرك خدمات كشف الهوية (ISE)
• وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• ISE الإصدار 1.4
• WLC، الإصدار 7.4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يصف هذا المستند تكوين LWA. ومع ذلك، توصي Cisco باستخدام مصادقة الويب المركزية (CWA) مع ISE كلما أمكن. هناك عدد قليل من السيناريوهات التي يفضل فيها إستخدام الأراضي المنخفضة (LWA) أو الخيار الوحيد، وبالتالي فإن هذا مثال تكوين لتلك السيناريوهات.

التكوين

تتطلب تقنية LwA متطلبات مسبقة معينة وتهيئة رئيسية على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بالإضافة إلى عدد قليل من التغييرات المطلوبة على معيار ISE.

وقبل تغطية هذه البنود، يرد فيما يلي موجز لعملية قانون المرأة مع معهد بليز للسلامة.

عملية LWa مع بوابة ضيف ISE

1. يحاول المستعرض إحضار صفحة ويب.
2. تعترض وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طلب (طلبات) HTTP وتعيد توجيهه إلى ISE.
   يتم تخزين العديد من المعلومات الأساسية في رأس إعادة توجيه HTTP هذا. هنا مثال من ال redirect URL:
   https://mlatosieise.wlaaan.com:8443/portal/PortalSetup.action?portal=27963fb0-e96e-11e4-a30a-005056bf01c9#&ui-state=dialog?switch_url=https://1.1.1.1/login.html&ap_mac=b8:be:bf:14:41:90&client_mac=28:cf:e9:13:47:cb&wlan=mlatosie_LWA&redirect=yahoo.com/
   من مثال عنوان URL، يمكنك أن ترى أن المستخدم حاول الوصول إلى "yahoo.com." يحتوي عنوان URL أيضا على معلومات حول اسم شبكة المنطقة المحلية اللاسلكية (WLAN) (mlatosie_lwa) وعناوين MAC للعميل ونقطة الوصول (AP). في مثال URL، 1.1.1.1 هو عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، وmlatosieise.wlaan.com هو خادم ISE.
3. يتم تقديم المستخدم مع صفحة تسجيل دخول ضيف ISE ويدخل اسم المستخدم وكلمة المرور.
4. يقوم ISE بإجراء المصادقة مقابل تسلسل الهوية الذي تم تكوينه.
5. يقوم المستعرض بإعادة التوجيه مرة أخرى. وهذه المرة، تقدم بيانات الاعتماد إلى عنصر التحكم في الشبكة المحلية اللاسلكية. يزود المتصفح ال username وكلمة أن المستعمل دخلت في ال ISE دون أي تفاعل إضافي من المستعمل. هنا مثال GET طلب إلى ال WLC.
   الحصول على /login.html؟redirect_url=http://yahoo.com/&username=mlatosie%40cisco.com&password=ityh&buttonClicked=4&err_flag=0
   مرة أخرى، ال url الأصلي (yahoo.com)، ال username (mlatosie@cisco.com)، وكلمة (هو) تضمنت كل.
   

   ملاحظة: على الرغم من أن عنوان URL مرئي هنا، إلا أنه يتم إرسال الطلب الفعلي عبر طبقة مآخذ التوصيل الآمنة (SSL)، والتي يشار إليها بواسطة HTTPS، ومن الصعب اعتراضها.

6. ال WLC يستعمل RADIUS in order to صادقت أن username وكلمة مقابل ال ise ويسمح منفذ.
7. تتم إعادة توجيه المستخدم إلى المدخل المحدد. راجع قسم تكوين ISE الخارجي كعنوان URL لمصادقة الويب" في هذا المستند للحصول على مزيد من المعلومات.

الرسم التخطيطي للشبكة

يوضح هذا الشكل المخطط المنطقي للأجهزة المستخدمة في هذا المثال.

المتطلبات الأساسية للتكوين

لكي تعمل عملية LWA بشكل صحيح، يحتاج العميل إلى أن يكون قادرا على الحصول على:

• تكوين عنوان IP وقناع الشبكة
• المسار الافتراضي
• خادم نظام اسم المجال (DNS)

كل هذا يستطيع كنت زودت مع DHCP أو التشكيل محلي. يجب أن يعمل حل DNS بشكل صحيح حتى تعمل LWA.

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

تكوين ISE الخارجي كعنوان URL ل WebAuth بشكل عام

تحت التأمين > مصادقة الويب > صفحة تسجيل الدخول إلى الويب، يمكنك الوصول إلى هذه المعلومات.

ملاحظة: يستخدم هذا المثال عنوان URL لمصادقة ويب خارجية وقد تم استقاؤه من ISE الإصدار 1.4. إذا كان لديك إصدار مختلف، فراجع دليل التكوين لفهم ما يجب تكوينه.

من الممكن أيضا تكوين هذا الإعداد لكل شبكة محلية لاسلكية (WLAN). بعد ذلك في إعدادات أمان WLAN المحددة. حيث تتجاوز هذه الإعدادات الإعدادات العمومية.

لمعرفة عنوان URL الصحيح لالمدخل المحدد، أختر ISE > سياسة الضيف > تكوين > المدخل المحدد الخاص بك. انقر بزر الماوس الأيمن فوق الارتباط من "عنوان URL لاختبار المدخل" واختر نسخ موقع الارتباط.

في هذا المثال، عنوان URL الكامل هو: https://mlatosieise.wlaaan.com:8443/portal/PortalSetup.action?portal=27963fb0-e96e-11e4-a30a-005056bf01c9

تكوين قوائم التحكم في الوصول (ACL)

لكي تعمل مصادقة الويب، يجب تحديد حركة المرور المسموح بها. حدد ما إذا كان يجب إستخدام قوائم التحكم في الوصول (ACL) إلى FlexConnect أو قوائم التحكم في الوصول (ACL) العادية. تستخدم نقاط الوصول (AP) من FlexConnect قوائم التحكم في الوصول (ACL) من FlexConnect، بينما تستخدم نقاط الوصول (AP) التي تستخدم التحويل المركزي قوائم التحكم في الوصول (ACL) العادية.

أخترت in order to فهمت في أي أسلوب يعمل نقطة وصول معينة، لاسلكي > نقاط الوصول واخترت اسم نقطة الوصول > وضع نقطة الوصول المنسدلة. النشر النموذجي إما محلي أو FlexConnect.

تحت الأمان > قوائم التحكم في الوصول، أختر إما قوائم التحكم في الوصول FlexConnect أو قوائم التحكم في الوصول.في هذا المثال، تم السماح بجميع حركة مرور UDP للسماح بشكل خاص بتبادل DNS وحركة المرور إلى ISE (10.48.66.107).

يستخدم هذا المثال تقنية FlexConnect، لذلك يتم تحديد كل من قوائم التحكم في الوصول (ACL) القياسية وتقنية FlexConnect.

وثقت هذا تصرف في cisco بق id CSCue68065 فيما يخص WLC 7،4 جهاز تحكم. لم يعد مطلوبا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) 7. 5 حيث تحتاج فقط إلى قائمة تحكم في الوصول (FlexACL) ولم تعد هناك قائمة تحكم في الوصول (ACL) قياسية

تكوين معرف مجموعة الخدمة (SSID) ل LWA

تحت شبكات WLAN، أختر معرف WLAN لتحريره.

تكوين مصادقة الويب

تطبيق قوائم التحكم في الوصول (ACL) نفسها التي تم تعريفها في الخطوة السابقة وتمكين مصادقة الويب.

ملاحظة: في حالة إستخدام ميزة التحويل المحلي ل FlexConnect، يلزم إضافة تعيين قائمة التحكم في الوصول (ACL) على مستوى نقطة الوصول (AP). ويمكن العثور على ذلك ضمن نقاط الوصول > اللاسلكية. أختر اسم نقطة الوصول المناسب > FlexConnect > قوائم التحكم في الوصول (ACL) الخارجية لمصادقة الويب.
؛

تكوين خادم المصادقة والتفويض والمحاسبة (AAA)

في هذا المثال، يشير كل من خوادم المصادقة والمحاسبة إلى خادم ISE المحدد مسبقا.

ملاحظة: لا يلزم إلحاق الافتراضيات تحت علامة التبويب خيارات متقدمة.

تكوين ISE

يتكون تكوين ISE من عدة خطوات.

أولا، قم بتعريف الجهاز كجهاز شبكة.

ثم، تأكد من وجود قواعد المصادقة والتفويض التي تتسع لهذا التبادل.

تعريف جهاز الشبكة

تحت الإدارة > موارد الشبكة > أجهزة الشبكة، قم بملء هذه الحقول:

• اسم الجهاز
• عنوان IP للجهاز
• إعدادات المصادقة > السر المشترك

تكوين نهج المصادقة

تحت سياسة > مصادقة، أضف سياسة مصادقة جديدة.

يستخدم هذا المثال المعلمات التالية:

• الاسم: WLC_LWA_GUESTS
• الشرط: Airespace:Airespace-WLAN-id. يتطابق هذا الشرط مع معرف WLAN الخاص ب 3، وهو معرف الشبكة المحلية اللاسلكية (WLAN) mlatosie_LWA الذي تم تعريفه من قبل على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
• {optional} إنه يسمح ببروتوكولات المصادقة التي لا تتطلب الشهادة NON_CERT_AUTH، ولكن يمكن إستخدام الافتراضيات.
• Guest_Portal_Sequence، الذي يحدد أن المستخدمين هم مستخدمون ضيوف محددون محليا.

تكوين نهج التخويل والنتيجة

تحت سياسة > تفويض، قم بتعريف سياسة جديدة. ويمكن أن تكون سياسة أساسية جدا، مثل:

يعتمد هذا التكوين على التكوين العام ل ISE. هذا المثال تم تبسيطه بشكل هادف.

التحقق من الصحة

على ISE، يمكن للمسؤولين مراقبة جلسات العمل المباشرة واستكشاف أخطائها وإصلاحها ضمن العمليات > عمليات المصادقة.

يجب ملاحظة مصادقتين. تأتي المصادقة الأولى من مدخل الضيف على ISE. تأتي المصادقة الثانية كطلب وصول من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE.

يمكنك النقر فوق رمز تقرير تفاصيل المصادقة للتحقق من نهج التخويل ونهج المصادقة التي تم إختيارها.

على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكن للمسؤول مراقبة العملاء تحت شاشة > عميل.

هنا مثال من زبون أن يصدق بشكل صحيح:

استكشاف الأخطاء وإصلاحها

توصي Cisco بتشغيل تصحيح الأخطاء بواسطة العميل كلما أمكن.

من خلال واجهة سطر الأوامر (CLI)، توفر هذه الأخطاء معلومات مفيدة:

debug client MA:CA:DD:RE:SS

debug web-auth redirect enable macMA:CA:DD:RE:SS

debug aaa all enable

معلومات ذات صلة

• دليل تكوين Cisco ISE 1.x
• دليل التكوين Cisco WLC 7.x
• الدعم التقني والمستندات - Cisco Systems