Revisar las políticas de ISE basadas en ejemplos de configuración de SSID
Introducción
Este documento describe cómo configurar las políticas de autorización en Cisco ISE para distinguir entre los diferentes identificadores de conjunto de servicios (SSID).
Requirements
En esta guía se asume que:
1) El controlador de LAN inalámbrica (WLC) está configurado y funciona para todos los SSID implicados.
2) La autenticación funciona en todos los SSID involucrados con ISE.
Controlador de LAN inalámbrica versión 7.3.101.0
Identificación de Services Engine versión 1.1.2.145
Las versiones anteriores también tienen estas dos características.
Sólo se utiliza un método de configuración a la vez. Si ambas configuraciones se implementan simultáneamente, la cantidad procesada por ISE aumenta y afecta a la legibilidad de las reglas. Este documento revisa las ventajas y desventajas de cada método de configuración.
Antecedentes
Es muy común que una organización tenga varios SSID en su red inalámbrica para diversos fines. Uno de los propósitos más comunes es tener un SSID corporativo para los empleados y un SSID de invitado para los visitantes de la organización.
Método 1: Airespace-Wlan-Id
Cada red de área local inalámbrica (WLAN) creada en el WLC tiene un ID de WLAN. La ID de WLAN se muestra en la página de resumen WLAN.
Cuando un cliente se conecta al SSID, la solicitud RADIUS a ISE contiene el atributo Airespace-WLAN-ID. Este sencillo atributo se utiliza para tomar decisiones de políticas en ISE. Una desventaja de este atributo es que el ID de WLAN no coincide en un SSID distribuido entre varios controladores. Si esto describe su implementación, continúe con el Método 2.
En este caso, Airespace-Wlan-Id se utiliza como condición. Se puede utilizar como una condición simple (por sí misma) o en una condición compuesta (junto con otro atributo) para lograr el resultado deseado. Este documento abarca ambos casos prácticos. Con los dos SSID anteriores, se pueden crear estas dos reglas.
R) Los usuarios invitados deben iniciar sesión en el SSID de invitado.
B) Los usuarios corporativos deben pertenecer al grupo "Usuarios de dominio" de Active Directory (AD) y deben iniciar sesión en el SSID corporativo.
Regla A
La regla A solo tiene un requisito, por lo que puede crear una condición sencilla (basada en los valores anteriores):
1) En ISE, vaya a Policy > Policy Elements > Conditions > Authorization > Simple Conditions y cree una nueva condición.
2) En el campo Nombre, introduzca un nombre de condición.
3) En el campo Descripción, introduzca una descripción (opcional).
4) En la lista desplegable Atributo, elija Airespace > Airespace-Wlan-Id—[1].
5) En la lista desplegable Operador, seleccione Igual a.
6) En la lista desplegable Valor, seleccione 2.
7) Haga clic en Save.
Regla B
La regla B tiene dos requisitos, por lo que puede crear una condición compuesta (basada en los valores anteriores):
1) En ISE, vaya a Política > Elementos de política > Condiciones > Autorización > Condiciones compuestas y cree una nueva condición.
2) En el campo Nombre, introduzca un nombre de condición.
3) En el campo Descripción, introduzca una descripción (opcional).
4) Seleccione Crear Nueva Condición (Opción Avanzada).
5) En la lista desplegable Atributo, elija Airespace > Airespace-Wlan-Id—[1].
6) En la lista desplegable Operador, seleccione Igual a.
7) En la lista desplegable Valor, seleccione 1.
9) En la lista desplegable Atributo, elija AD1 > Grupos externos.
10) En la lista desplegable Operador, seleccione Igual a.
11) En la lista desplegable Valor, seleccione el grupo necesario. En este ejemplo, se establece en Domain Users (Usuarios del dominio).
12) Haga clic en Guardar.
Nota: En este documento utilizamos perfiles de autorización simples configurados en Política > Elementos de política > Resultados > Autorización > Perfiles de autorización. Se establecen en Permitir acceso, pero se pueden adaptar para adaptarse a las necesidades de su implementación.
Ahora que tenemos las condiciones, podemos aplicarlas a una política de autorización. Vaya a Policy > Authorization. Determina dónde insertar la regla en la lista o editar la regla existente.
Regla de invitado
1) Haga clic en la flecha hacia abajo a la derecha de una regla existente y elija Insertar una nueva regla.
2) Introduzca un nombre para la regla de invitado y deje el campo de grupos de identidad establecido en Cualquiera.
3) En Condiciones, haga clic en el signo más y haga clic en Seleccionar condición existente de la biblioteca.
4) En Nombre de la condición, elija Condición simple > GuestSSID.
5) En Permisos, elija el perfil de autorización adecuado para los usuarios invitados.
6) Haga clic en Finalizado.
Regla corporativa
1) Haga clic en la flecha hacia abajo a la derecha de una regla existente y elija Insertar una nueva regla.
2) Introduzca un nombre para la regla corporativa y deje el campo de grupos de identidades establecido en Cualquiera.
3) En Condiciones, haga clic en el signo más y haga clic en Seleccionar condición existente de la biblioteca.
4) En Nombre de condición, elija Condición compuesta > CorporateSSID.
5) En Permisos, seleccione el perfil de autorización adecuado para los usuarios de la empresa.
6) Haga clic en Finalizado.
Nota: hasta que haga clic en Guardar en la parte inferior de la Lista de políticas, no se aplicará a la implementación ningún cambio realizado en esta pantalla.
Método 2: ID de estación llamada
El WLC se puede configurar para enviar el nombre SSID en el atributo Called-Station-ID de RADIUS, que a su vez se puede utilizar como condición en ISE. La ventaja de este atributo es que se puede utilizar independientemente de cuál es el ID WLAN configurado en el WLC. De forma predeterminada, el WLC no envía el SSID en el atributo Called-Station-ID. Para habilitar esta función en el WLC, vaya a Security > AAA > RADIUS > Authentication y establezca el Tipo de ID de la estación de llamada en AP MAC Address:SSID. Esto configura el formato del Called-Station-ID en <MAC del AP al que el usuario se está conectando>:<SSID Name>.
Puede ver qué nombre SSID se enviará desde la página de resumen WLAN.
Dado que el atributo Called-Station-Id también contiene la dirección MAC del AP, se utiliza una expresión regular (REGEX) para hacer coincidir el nombre SSID en la política de ISE. El operador 'Coincide' en la configuración de condición puede leer un REGEX del campo Valor.
Ejemplos de REGEX
`Empieza por'; por ejemplo, utilice el valor REGEX de ^(Acme).*: esta condición está configurada como CERTIFICATE:Organization MATCHES `Acme' (cualquier coincidencia con una condición que comience por "Acme").
`Termina por—por ejemplo, utilice el valor REGEX de .*(mktg)$—esta condición se configura como CERTIFICATE:Organization MATCHES `mktg' (cualquier coincidencia con una condición que termine con "mktg").
`Contiene'; por ejemplo, utilice el valor REGEX de .*(1234).*: esta condición está configurada como CERTIFICATE:Organization MATCHES `1234' (cualquier coincidencia con una condición que contenga "1234", como Eng1234, 1234Dev y Corp1234Mktg).
`No comienza con'; por ejemplo, utilice el valor REGEX de ^(?!LDAP).*: esta condición está configurada como CERTIFICATE:Organization MATCHES `LDAP' (cualquier coincidencia con una condición que no comience con "LDAP", como usLDAP o CorpLDAPmktg).
Called-Station-ID termina con el nombre de SSID, por lo que el REGEX a utilizar en este ejemplo es .*(:<SSID NAME>)$. Tenga esto en cuenta cuando vaya por la configuración.
Con los dos SSID anteriores, puede crear dos reglas con estos requisitos:
R) Los usuarios invitados deben iniciar sesión en el SSID de invitado.
B) Los usuarios corporativos deben pertenecer al grupo AD "Usuarios de dominio" e iniciar sesión en el SSID corporativo.
Regla A
La regla A solo tiene un requisito, por lo que puede crear una condición sencilla (basada en los valores anteriores):
1) En ISE, vaya a Policy > Policy Elements > Conditions > Authorization > Simple Conditions y cree una nueva condición.
2) En el campo Nombre, introduzca un nombre de condición.
3) En el campo Descripción, introduzca una descripción (opcional).
4) En la lista desplegable Atributo, elija Radio > Id. de estación llamada—[30].
5) En la lista desplegable Operador, seleccione Coincidencias.
6) En la lista desplegable Valor, seleccione .*(:Guest)$. Distingue entre mayúsculas y minúsculas.
7) Haga clic en Save.
Regla B
La regla B tiene dos requisitos, por lo que puede crear una condición compuesta (basada en los valores anteriores):
1) En ISE, vaya a Política > Elementos de política > Condiciones > Autorización > Condiciones compuestas y cree una nueva condición.
2) En el campo Nombre, introduzca un nombre de condición.
3) En el campo Descripción, introduzca una descripción (opcional).
4) Seleccione Crear Nueva Condición (Opción Avanzada).
5) En la lista desplegable Attribute (Atributo), elija Radius > Called-Station-Id—[30].
6) En la lista desplegable Operador, seleccione Coincidencias.
7) En la lista desplegable Valor, seleccione .*(:Corporate)$. Distingue entre mayúsculas y minúsculas.
9) En la lista desplegable Atributo, elija AD1 > Grupos externos.
10) En la lista desplegable Operador, seleccione Igual a.
11) En la lista desplegable Valor, seleccione el grupo necesario. En este ejemplo, se establece en Domain Users (Usuarios del dominio).
12) Haga clic en Guardar.
Nota: En este documento, utilizamos perfiles de autorización simples configurados en Política > Elementos de política > Resultados > Autorización > Perfiles de autorización. Se establecen en Permitir acceso, pero se pueden adaptar para adaptarse a las necesidades de su implementación.
Una vez configuradas las condiciones, aplíquelas a una directiva de autorización. Vaya a Policy > Authorization. Inserte la regla en la lista en la ubicación adecuada o edite una regla existente.
Regla de invitado
1) Haga clic en la flecha hacia abajo a la derecha de una regla existente y elija Insertar una nueva regla.
2) Introduzca un nombre para la regla de invitado y deje el campo de grupos de identidad establecido en Cualquiera.
3) En Condiciones, haga clic en el signo más y haga clic en Seleccionar condición existente de la biblioteca.
4) En Nombre de la condición, elija Condición simple > GuestSSID.
5) En Permisos, elija el perfil de autorización adecuado para los usuarios invitados.
6) Haga clic en Finalizado.
Regla corporativa
1) Haga clic en la flecha hacia abajo a la derecha de una regla existente y elija Insertar una nueva regla.
2) Introduzca un nombre para la regla corporativa y deje el campo de grupos de identidades establecido en Cualquiera.
3) En Condiciones, haga clic en el signo más y haga clic en Seleccionar condición existente de la biblioteca.
4) En Nombre de condición, elija Condición compuesta > CorporateSSID.
5) En Permisos, seleccione el perfil de autorización adecuado para los usuarios de la empresa.
6) Haga clic en Finalizado.
7) Haga clic en Guardar en la parte inferior de la lista de políticas.
Nota: hasta que haga clic en Guardar en la parte inferior de la Lista de políticas, no se aplicará a la implementación ningún cambio realizado en esta pantalla.
Troubleshoot
Para averiguar si la política se creó correctamente y asegurarse de que ISE recibe los atributos adecuados, revise el informe de autenticación detallado para comprobar si se ha superado o no la autenticación del usuario. Elija Operations > Authentications y luego haga clic en el icono Details para una autenticación.
Primero, verifique el Resumen de autenticación. Esto muestra los aspectos básicos de la autenticación que incluyen qué perfil de autorización se proporcionó al usuario.
Si la política es incorrecta, los detalles de autenticación muestran qué Airespace-Wlan-Id y qué Called-Station-Id fue enviado desde el WLC. Ajuste las reglas en consecuencia. La regla de coincidencia de directiva de autorización confirma si la autenticación coincide o no con la regla deseada.
Estas reglas suelen estar mal configuradas. Para revelar el problema de configuración, haga coincidir la regla con lo que se ve en los detalles de autenticación. Si no ve los atributos en el campo Otros Atributos, asegúrese de que el WLC esté configurado correctamente.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
19-Dec-2012 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)