Überprüfung von ISE-Richtlinien anhand von SSID-Konfigurationsbeispielen
Einleitung
Dieses Dokument beschreibt die Konfiguration von Autorisierungsrichtlinien in der Cisco ISE zur Unterscheidung verschiedener Service Set Identifiers (SSIDs).
Anforderungen
In diesem Leitfaden wird Folgendes vorausgesetzt:
1) Der Wireless LAN Controller (WLC) ist eingerichtet und funktioniert für alle beteiligten SSIDs.
2) Die Authentifizierung funktioniert für alle beteiligten SSIDs gegenüber der ISE.
Wireless LAN Controller Version 7.3.101.0
Identifizieren der Services Engine Version 1.1.2.145
Frühere Versionen haben auch beide Funktionen.
Es wird jeweils nur eine Konfigurationsmethode verwendet. Wenn beide Konfigurationen gleichzeitig implementiert werden, erhöht sich die von der ISE verarbeitete Menge und beeinflusst die Regellesbarkeit. In diesem Dokument werden die Vor- und Nachteile der einzelnen Konfigurationsmethoden beschrieben.
Hintergrundinformationen
Häufig verwenden Unternehmen mehrere SSIDs für verschiedene Zwecke in ihrem Wireless-Netzwerk. Einer der häufigsten Zwecke ist es, einen Unternehmens-SSID für Mitarbeiter und einen Gast-SSID für Besucher der Organisation zu haben.
Methode 1: AIREPACE-WLAN-ID
Jedes auf dem WLC erstellte Wireless Local Area Network (WLAN) verfügt über eine WLAN-ID. Die WLAN-ID wird auf der Seite "WLAN Summary" (WLAN-Übersicht) angezeigt.
Wenn ein Client eine Verbindung mit der SSID herstellt, enthält die RADIUS-Anforderung an die ISE das Airespace-WLAN-ID-Attribut. Dieses einfache Attribut wird verwendet, um Richtlinienentscheidungen in der ISE zu treffen. Ein Nachteil dieses Attributs besteht darin, dass die WLAN-ID bei einer SSID, die über mehrere Controller verteilt ist, nicht übereinstimmt. Wenn dies Ihre Bereitstellung beschreibt, fahren Sie mit Methode 2 fort.
In diesem Fall wird Airespace-Wlan-Id als Bedingung verwendet. Es kann als einfache Bedingung (für sich) oder in einer zusammengesetzten Bedingung (in Verbindung mit einem anderen Attribut) verwendet werden, um das gewünschte Ergebnis zu erzielen. In diesem Dokument werden beide Anwendungsfälle behandelt. Mit den beiden oben genannten SSIDs können diese beiden Regeln erstellt werden.
Antwort: Gastbenutzer müssen sich bei der Gast-SSID anmelden.
B) Firmenbenutzer müssen sich in der Active Directory (AD)-Gruppe "Domänenbenutzer" befinden und bei der Unternehmens-SSID angemeldet sein.
Regel A
Regel A enthält nur eine Anforderung, sodass Sie eine einfache Bedingung erstellen können (basierend auf den oben angegebenen Werten):
1) Gehen Sie in der ISE zu Richtlinie > Richtlinienelemente > Bedingungen > Autorisierung > Einfache Bedingungen, und erstellen Sie eine neue Bedingung.
2) Geben Sie im Feld Name einen Bedingungsnamen ein.
3) Geben Sie im Feld "Description" (Beschreibung) eine Beschreibung ein (optional).
4) Wählen Sie in der Dropdown-Liste "Attribute" Airespace > Airespace-Wlan-Id—[1].
5) Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.
6) Wählen Sie in der Dropdown-Liste Value (Wert) die Option 2 aus.
7) Klicken Sie auf Speichern.
Regel B
Regel B hat zwei Anforderungen, sodass Sie eine zusammengesetzte Bedingung erstellen können (basierend auf den obigen Werten):
1) Gehen Sie in der ISE zu Richtlinie > Richtlinienelemente > Bedingungen > Autorisierung > Zusammengesetzte Bedingungen, und erstellen Sie eine neue Bedingung.
2) Geben Sie im Feld Name einen Bedingungsnamen ein.
3) Geben Sie im Feld "Description" (Beschreibung) eine Beschreibung ein (optional).
4) Wählen Sie Neue Bedingung erstellen (Option Erweitern).
5) Wählen Sie in der Dropdown-Liste "Attribute" Airespace > Airespace-Wlan-Id—[1].
6) Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.
7) Wählen Sie in der Dropdown-Liste Value (Wert) die Option 1 aus.
9) Wählen Sie in der Dropdown-Liste "Attribute" die Option AD1 > External Groups aus.
10) Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.
11) Wählen Sie in der Dropdown-Liste Value (Wert) die erforderliche Gruppe aus. In diesem Beispiel ist er auf "Domain Users" (Domänenbenutzer) festgelegt.
12) Klicken Sie auf Speichern.
Hinweis: In diesem Dokument werden einfache Autorisierungsprofile verwendet, die unter Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile konfiguriert wurden. Sie sind auf Zugriffsberechtigung festgelegt, können jedoch an die Anforderungen Ihrer Bereitstellung angepasst werden.
Nachdem wir die Bedingungen festgelegt haben, können wir sie auf eine Autorisierungsrichtlinie anwenden. Gehen Sie zu Richtlinie > Autorisierung. Legen Sie fest, wo die Regel in die Liste eingefügt oder die vorhandene Regel bearbeitet werden soll.
Gastregel
1) Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Eine neue Regel einfügen aus.
2) Geben Sie einen Namen für die Gastregel ein, und belassen Sie die Einstellung für das Feld "Identitätsgruppen" bei "Beliebig".
3) Klicken Sie unter Bedingungen auf das Pluszeichen und anschließend auf Vorhandene Bedingung aus Bibliothek auswählen.
4) Wählen Sie unter Bedingungsname die Option Einfache Bedingung > Gast-SSID aus.
5) Wählen Sie unter Permissions (Berechtigungen) das entsprechende Autorisierungsprofil für Ihre Gastbenutzer aus.
6) Klicken Sie auf Fertig.
Unternehmensregel
1) Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Eine neue Regel einfügen aus.
2) Geben Sie einen Namen für Ihre Unternehmensregel ein, und belassen Sie die Einstellung für das Feld "Identitätsgruppen" bei "Beliebig".
3) Klicken Sie unter Bedingungen auf das Pluszeichen und anschließend auf Vorhandene Bedingung aus Bibliothek auswählen.
4) Wählen Sie unter Bedingungsname die Option Verbundbedingung > CorporateSSID aus.
5) Wählen Sie unter Permissions (Berechtigungen) das entsprechende Autorisierungsprofil für die Benutzer Ihres Unternehmens aus.
6) Klicken Sie auf Fertig.
Hinweis: Bis Sie unten in der Richtlinienliste auf Speichern klicken, werden keine Änderungen in diesem Bildschirm auf Ihre Bereitstellung angewendet.
Methode 2: Called-Station-ID
Der WLC kann so konfiguriert werden, dass der SSID-Name im RADIUS-Attribut "Called-Station-ID" gesendet wird, das wiederum als Bedingung für die ISE verwendet werden kann. Der Vorteil dieses Attributs besteht darin, dass es unabhängig von der auf dem WLC festgelegten WLAN-ID verwendet werden kann. Standardmäßig sendet der WLC die SSID nicht im Attribut "Called-Station-ID". Um diese Funktion auf dem WLC zu aktivieren, gehen Sie zu Security > AAA > RADIUS > Authentication, und legen Sie als Call Station ID Type (Anrufstationskennung) den Wert AP MAC Address:SSID fest. Legt das Format der Called-Station-ID auf <MAC des APs, mit dem der Benutzer eine Verbindung herstellt>:<SSID-Name> fest.
Sie können auf der Seite für die WLAN-Zusammenfassung sehen, welcher SSID-Name gesendet wird.
Da das Called-Station-Id-Attribut auch die MAC-Adresse des Access Points enthält, wird ein regulärer Ausdruck (REGEX) verwendet, um den SSID-Namen in der ISE-Richtlinie abzugleichen. Der Operator 'Matches' in der Bedingungskonfiguration kann ein REGEX aus dem Feld Wert lesen.
REGEX - Beispiele
`Starts with' - Verwenden Sie z. B. den REGEX-Wert von ^(Acme).* - diese Bedingung ist als CERTIFICATE:Organization MATCHES `Acme' konfiguriert (jede Übereinstimmung mit einer Bedingung, die mit "Acme" beginnt).
`Endet mit' - verwenden Sie z.B. den REGEX-Wert von .*(mktg)$ - diese Bedingung ist als CERTIFICATE:Organization MATCHES `mktg' konfiguriert (jede Übereinstimmung mit einer Bedingung, die mit "mktg" endet).
`Contains' - verwenden Sie z.B. den REGEX-Wert von .*(1234).* - diese Bedingung ist als CERTIFICATE:Organization MATCHES `1234' konfiguriert (jede Übereinstimmung mit einer Bedingung, die "1234" enthält, wie z.B. Eng1234, 1234Dev und Corr S. 1234Mktg).
`Beginnt nicht mit' - verwenden Sie z.B. den REGEX-Wert von ^(?!LDAP).* - diese Bedingung ist als CERTIFICATE konfiguriert:Organization MATCHES `LDAP' (jede Übereinstimmung mit einer Bedingung, die nicht mit "LDAP" beginnt, wie usLDAP oder CorpLDAPmktg).
Die angerufene Station-ID endet mit dem SSID-Namen. Das in diesem Beispiel zu verwendende REGEX ist .*(:<SSID-NAME>)$. Denken Sie daran, während Sie die Konfiguration durchlaufen.
Mit den beiden oben genannten SSIDs können Sie zwei Regeln mit den folgenden Anforderungen erstellen:
Antwort: Gastbenutzer müssen sich bei der Gast-SSID anmelden.
B) Firmenbenutzer müssen der AD-Gruppe "Domain Users" angehören und sich bei der Unternehmens-SSID anmelden.
Regel A
Regel A enthält nur eine Anforderung, sodass Sie eine einfache Bedingung erstellen können (basierend auf den oben angegebenen Werten):
1) Gehen Sie in der ISE zu Richtlinie > Richtlinienelemente > Bedingungen > Autorisierung > Einfache Bedingungen, und erstellen Sie eine neue Bedingung.
2) Geben Sie im Feld Name einen Bedingungsnamen ein.
3) Geben Sie im Feld "Description" (Beschreibung) eine Beschreibung ein (optional).
4) Wählen Sie in der Dropdown-Liste "Attribute" die Option Radius > Called-Station-ID-[30].
5) Wählen Sie in der Dropdown-Liste Operator die Option Matches aus.
6) Wählen Sie in der Dropdown-Liste "Wert" die Option .*(:Guest)$. Hierbei wird zwischen Groß- und Kleinschreibung unterschieden.
7) Klicken Sie auf Speichern.
Regel B
Regel B hat zwei Anforderungen, sodass Sie eine zusammengesetzte Bedingung erstellen können (basierend auf den obigen Werten):
1) Gehen Sie in der ISE zu Richtlinie > Richtlinienelemente > Bedingungen > Autorisierung > Zusammengesetzte Bedingungen, und erstellen Sie eine neue Bedingung.
2) Geben Sie im Feld Name einen Bedingungsnamen ein.
3) Geben Sie im Feld "Description" (Beschreibung) eine Beschreibung ein (optional).
4) Wählen Sie Neue Bedingung erstellen (Option Erweitern).
5) Wählen Sie in der Dropdown-Liste "Attribute" Radius > Called-Station-Id—[30].
6) Wählen Sie in der Dropdown-Liste Operator die Option Matches aus.
7) Wählen Sie in der Dropdown-Liste "Wert" die Option .*(:Corporate)$. Hierbei wird zwischen Groß- und Kleinschreibung unterschieden.
9) Wählen Sie in der Dropdown-Liste "Attribute" die Option AD1 > External Groups aus.
10) Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.
11) Wählen Sie in der Dropdown-Liste Value (Wert) die erforderliche Gruppe aus. In diesem Beispiel ist er auf "Domain Users" (Domänenbenutzer) festgelegt.
12) Klicken Sie auf Speichern.
Hinweis: In diesem Dokument werden einfache Autorisierungsprofile verwendet, die unter Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile konfiguriert wurden. Sie sind auf Zugriffsberechtigung festgelegt, können jedoch an die Anforderungen Ihrer Bereitstellung angepasst werden.
Nachdem die Bedingungen konfiguriert wurden, wenden Sie sie auf eine Autorisierungsrichtlinie an. Gehen Sie zu Richtlinie > Autorisierung. Fügen Sie die Regel an der entsprechenden Stelle in die Liste ein, oder bearbeiten Sie eine vorhandene Regel.
Gastregel
1) Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Eine neue Regel einfügen aus.
2) Geben Sie einen Namen für die Gastregel ein, und belassen Sie die Einstellung für das Feld "Identitätsgruppen" bei "Beliebig".
3) Klicken Sie unter Bedingungen auf das Pluszeichen und anschließend auf Vorhandene Bedingung aus Bibliothek auswählen.
4) Wählen Sie unter Bedingungsname die Option Einfache Bedingung > Gast-SSID aus.
5) Wählen Sie unter Permissions (Berechtigungen) das entsprechende Autorisierungsprofil für Ihre Gastbenutzer aus.
6) Klicken Sie auf Fertig.
Unternehmensregel
1) Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Eine neue Regel einfügen aus.
2) Geben Sie einen Namen für Ihre Unternehmensregel ein, und belassen Sie die Einstellung für das Feld "Identitätsgruppen" bei "Beliebig".
3) Klicken Sie unter Bedingungen auf das Pluszeichen und anschließend auf Vorhandene Bedingung aus Bibliothek auswählen.
4) Wählen Sie unter Bedingungsname die Option Verbundbedingung > CorporateSSID aus.
5) Wählen Sie unter Permissions (Berechtigungen) das entsprechende Autorisierungsprofil für die Benutzer Ihres Unternehmens aus.
6) Klicken Sie auf Fertig.
7) Klicken Sie unten in der Liste Richtlinien auf Speichern.
Hinweis: Bis Sie unten in der Richtlinienliste auf Speichern klicken, werden keine Änderungen in diesem Bildschirm auf Ihre Bereitstellung angewendet.
Fehlerbehebung
Um herauszufinden, ob die Richtlinie ordnungsgemäß erstellt wurde, und um sicherzustellen, dass die ISE die richtigen Attribute erhält, lesen Sie den detaillierten Authentifizierungsbericht für eine bestandene oder fehlgeschlagene Benutzerauthentifizierung. Wählen Sie Operations > Authentications (Vorgänge > Authentifizierungen) aus, und klicken Sie dann auf das Symbol Details (Details) für eine Authentifizierung.
Überprüfen Sie zunächst die Zusammenfassung der Authentifizierung. Dies zeigt die Grundlagen der Authentifizierung, einschließlich des Autorisierungsprofils, das dem Benutzer bereitgestellt wurde.
Wenn die Richtlinie falsch ist, wird in den Authentifizierungsdetails angezeigt, welche Airespace-Wlan-ID und welche Called-Station-ID vom WLC gesendet wurde. Passen Sie Ihre Regeln entsprechend an. Die Regel für die Autorisierungsrichtlinienübereinstimmung bestätigt, ob die Authentifizierung mit der beabsichtigten Regel übereinstimmt.
Diese Regeln sind in der Regel falsch konfiguriert. Um das Konfigurationsproblem aufzudecken, gleichen Sie die Regel mit den Angaben in den Authentifizierungsdetails ab. Wenn die Attribute im Feld "Other Attributes" (Andere Attribute) nicht angezeigt werden, stellen Sie sicher, dass der WLC richtig konfiguriert ist.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
19-Dec-2012 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)