Standortbasierte Autorisierung mit Mobility Services Engine (MSE) und Identity Services Engine (ISE) ISE 2.0

Download-Optionen

  • PDF     (716.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (724.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (518.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. September 2015
Dokument-ID:200196

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Artikel wird die Integration von MSE (Mobility Service Engine) in Identity Services Engine (ISE) für eine standortbasierte Autorisierung erläutert. Der Zweck besteht darin, den Zugriff auf Wireless-Geräte je nach physischem Standort zu erlauben oder zu verweigern.

Voraussetzungen

Anforderungen und Topologie der Lösung

Die MSE-Konfiguration wird in diesem Dokument nicht behandelt. Es folgt jedoch ein allgemeines Konzept der Lösung:

- MSE wird von der Prime-Infrastruktur (ehemals NCS) für Konfiguration, Kartenerstellung und WLC-Zuweisung verwaltet.

-Die MSE kommuniziert (nach der Zuweisung durch Prime) mithilfe des NMSP-Protokolls mit dem Wireless LAN Controller (WLC). Dies liefert im Wesentlichen Informationen über die empfangene Signalstärke (RSSI), die pro APs für verbundene Clients empfangen wird, sodass die MSE ihren Standort berechnen kann.

Grundlegende Schritte hierfür:

Zuerst müssen Sie eine Karte auf der Prime-Infrastruktur (PI) definieren, den Abdeckungsbereich auf dieser Karte festlegen und die APs platzieren.

Wenn Sie MSE zu prime hinzufügen, wählen Sie CAS-Service.

Sobald MSE hinzugefügt wurde, in prime, wählen Sie sync-Services, und überprüfen Sie Ihren WLC / und Karten, um sie der MSE zuzuweisen.

200196-Location-based-authorization-with-Mobili-00.gif

Vor der Integration von MSE in die ISE muss die MSE betriebsbereit sein, d. h.:

  1. MSE muss zur Prime-Infrastruktur hinzugefügt und Services müssen synchronisiert werden
  2. Der CAS-Dienst muss aktiviert und die Wireless-Client-Verfolgung muss aktiviert werden.
  3. Die Maps müssen in Prime konfiguriert werden
  4. NMSP sollte zwischen MSE und WLCs erfolgreich sein ("show nmsp status" auf der WLC-Befehlszeile)

In dieser Konfiguration gibt es nur ein zweistöckiges Gebäude:

200196-Location-based-authorization-with-Mobili-01.png

Verwendete Komponenten

  • MSE-Version 8.0.110
  • ISE Version 2.0

Integration von MSE mit ISE

Gehen Sie zu Network Resources, Location Services, und klicken Sie auf Add, um MSE hinzuzufügen.

Die Parameter sind selbsterklärend, und Sie können die Verbindung sowie die Suche nach dem Client-Standort anhand der MAC-Adresse testen:

200196-Location-based-authorization-with-Mobili-02.png

Als Nächstes müssen Sie zur Verzeichnisstruktur gehen und auf "Update abrufen" klicken. Dadurch kann die ISE Gebäude und Stockwerke von der MSE abrufen und in der ISE verfügbar machen, ähnlich wie beim Hinzufügen von AD-Gruppen.

200196-Location-based-authorization-with-Mobili-03.png

Einrichten der Autorisierung

Die Attribute MSE:Map Location können jetzt in Autorisierungsrichtlinien verwendet werden.

Konfigurieren Sie die beiden folgenden Regeln:


200196-Location-based-authorization-with-Mobili-04.png

Benutzer in Floor1 sollten sich authentifizieren können.

In den Authentifizierungsdetails sehen wir das richtige Profil sowie das MAP Location-Attribut.


200196-Location-based-authorization-with-Mobili-05.png

200196-Location-based-authorization-with-Mobili-06.png

Wenn der Endpunkt bei der obigen Konfiguration von einer Zone in eine andere verschoben wird, wird die Authentifizierung nicht aufgehoben. Wenn Sie die Verschiebung von Benutzern verfolgen und eine CoA senden möchten, wenn eine Autorisierungsänderung erfolgt, können Sie die Nachverfolgungsoption im Autorisierungsprofil aktivieren, das alle 5 Minuten überprüft, ob sich der Standort ändert.  Beachten Sie, dass dies den normalen schnellen Roaming-Betrieb beeinträchtigen kann.

200196-Location-based-authorization-with-Mobili-07.png

Fehlerbehebung

Bei dieser Funktion ist die ISE-Konfiguration einfach, die meisten Probleme können jedoch auftreten, wenn die MSE das Gerät nicht finden kann.

Um sicherzustellen, dass die MSE richtig eingerichtet ist, sind einige Punkte zu beachten:

1- Stellen Sie sicher, dass der WLC, an dem der Benutzer angeschlossen ist, über eine gültige NMSP-Verbindung mit der MSE ISE verfügt, in Folgendes integriert ist:

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

Wenn nicht, hilft Ihnen dieses Dokument

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2 - Überprüfen, ob MSE in der Lage ist, Geräte zu verfolgen

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
19-Oct-2015
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.