Introduction

Ce document décrit comment configurer les politiques d'autorisation dans Cisco ISE pour distinguer les différents SSID (Service Set Identifier). 

Exigences

Ce guide suppose que :

1) Le contrôleur LAN sans fil (WLC) est configuré et fonctionne pour tous les SSID impliqués.

2) L'authentification fonctionne sur tous les SSID impliqués par rapport à ISE.

Contrôleur LAN sans fil version 7.3.101.0

Identification de la version 1.1.2.145 de Services Engine

Les versions antérieures offrent également ces deux fonctionnalités.

Une seule méthode de configuration est utilisée à la fois. Si les deux configurations sont mises en oeuvre simultanément, la quantité traitée par ISE augmente et affecte la lisibilité des règles. Ce document passe en revue les avantages et les inconvénients de chaque méthode de configuration.

Informations générales

Il est très courant pour une entreprise d'avoir plusieurs SSID dans son réseau sans fil à des fins diverses. L'un des objectifs les plus courants est d'avoir un SSID d'entreprise pour les employés et un SSID d'invité pour les visiteurs de l'organisation.

Méthode 1 : Airespace-Wlan-Id

Chaque réseau local sans fil (WLAN) créé sur le WLC a un ID WLAN. L'ID WLAN s'affiche sur la page WLAN summary.

Lorsqu'un client se connecte au SSID, la requête RADIUS à ISE contient l'attribut Airespace-WLAN-ID. Cet attribut simple est utilisé pour prendre des décisions stratégiques dans ISE. L'un des inconvénients de cet attribut est que l'ID WLAN ne correspond pas sur un SSID réparti sur plusieurs contrôleurs. Si cette description décrit votre déploiement, passez à la méthode 2. 

Dans ce cas, Airespace-Wlan-Id est utilisé comme condition. Il peut être utilisé comme condition simple (par lui-même) ou dans une condition composée (en conjonction avec un autre attribut) pour obtenir le résultat souhaité. Ce document couvre les deux cas d'utilisation. Avec les deux SSID ci-dessus, ces deux règles peuvent être créées. 

R) Les utilisateurs invités doivent se connecter au SSID invité.

B) Les utilisateurs d'entreprise doivent faire partie du groupe Active Directory (AD) « Utilisateurs de domaine » et doivent se connecter au SSID d'entreprise.

Règle A

La règle A n'a qu'une seule exigence, vous pouvez donc créer une condition simple (basée sur les valeurs ci-dessus) :

1) Dans ISE, accédez à Policy > Policy Elements > Conditions > Authorization > Simple Conditions et créez une nouvelle condition.

2) Dans le champ Nom, saisissez un nom de condition.

3) Dans le champ Description, saisissez une description (facultatif).

4) Dans la liste déroulante Attribute, sélectionnez Airespace > Airespace-Wlan-Id—[1].

5) Dans la liste déroulante Opérateur, sélectionnez Égal à.

6) Dans la liste déroulante Valeur, sélectionnez 2.

7) Cliquez sur Enregistrer.

Règle B

La règle B a deux exigences, de sorte que vous pouvez créer une condition composée (basée sur les valeurs ci-dessus) :

1) Dans ISE, accédez à Policy > Policy Elements > Conditions > Authorization > Compound Conditions et créez une nouvelle condition.

2) Dans le champ Nom, saisissez un nom de condition.

3) Dans le champ Description, saisissez une description (facultatif).

4) Choisissez Créer une nouvelle condition (Option Avancée).

5) Dans la liste déroulante Attribute, sélectionnez Airespace > Airespace-Wlan-Id—[1].

6) Dans la liste déroulante Opérateur, sélectionnez Égal à.

7) Dans la liste déroulante Valeur, sélectionnez 1.

Cliquez sur l'engrenage à droite et choisissez Ajouter un attribut/une valeur.

9) Dans la liste déroulante Attribut, sélectionnez AD1 > Groupes externes.

10) Dans la liste déroulante Opérateur, sélectionnez Égal à.

11) Dans la liste déroulante Valeur, sélectionnez le groupe requis. Dans cet exemple, il est défini sur Utilisateurs du domaine.

12) Cliquez sur Save.

Maintenant que nous avons les conditions, nous pouvons les appliquer à une politique d'autorisation. Accédez à Policy > Authorization. Déterminez où insérer la règle dans la liste ou modifiez votre règle existante.

Règle Invité

1) Cliquez sur la flèche vers le bas à droite d'une règle existante et choisissez Insérer une nouvelle règle.

2) Entrez un nom pour votre règle d'invité et laissez le champ des groupes d'identité défini sur Any (Tous).

3) Sous Conditions, cliquez sur le signe plus, puis sur Sélectionner une condition existante dans la bibliothèque.

4) Sous Condition Name, choisissez Simple Condition > GuestSSID.

5) Sous Autorisations, sélectionnez le profil d'autorisation approprié pour vos utilisateurs invités.

6) Cliquez sur Terminé.

Règlement D'Entreprise

1) Cliquez sur la flèche vers le bas à droite d'une règle existante et choisissez Insérer une nouvelle règle.

2) Saisissez un nom pour la règle d'entreprise et laissez le champ Groupes d'identités défini sur Tous.

3) Sous Conditions, cliquez sur le signe plus, puis sur Sélectionner une condition existante dans la bibliothèque.

4) Sous Condition Name, choisissez Compound Condition > CorporateSSID.

5) Sous Autorisations, sélectionnez le profil d'autorisation approprié pour les utilisateurs de votre entreprise.

6) Cliquez sur Terminé.

Méthode 2 : Called-Station-ID

Le WLC peut être configuré pour envoyer le nom SSID dans l'attribut RADIUS Called-Station-ID, qui à son tour peut être utilisé comme condition sur ISE. L'avantage de cet attribut est qu'il peut être utilisé quel que soit l'ID WLAN défini sur le WLC. Par défaut, le WLC n'envoie pas le SSID dans l'attribut Called-Station-ID. Pour activer cette fonctionnalité sur le WLC, accédez à Security > AAA > RADIUS > Authentication et définissez le type d'ID de station d'appel sur AP MAC Address:SSID. Ceci définit le format de l'ID de la station appelée sur <MAC du point d'accès auquel l'utilisateur se connecte>:<SSID Name>.

Vous pouvez voir quel nom SSID sera envoyé à partir de la page de résumé WLAN.

Puisque l'attribut Called-Station-Id contient également l'adresse MAC du point d'accès, une expression régulière (REGEX) est utilisée pour correspondre au nom SSID dans la stratégie ISE. L'opérateur 'Matches' dans la configuration de condition peut lire un REGEX à partir du champ Valeur.

Exemples REGEX

`Commence par'—par exemple, utilisez la valeur REGEX de ^(Acme).*—cette condition est configurée comme CERTIFICATE:Organization MATCHES `Acme' (toute correspondance avec une condition commençant par "Acme").

`Se termine par'—par exemple, utilisez la valeur REGEX de .*(mktg)$—cette condition est configurée comme CERTIFICATE:Organization MATCHES `mktg' (toute correspondance avec une condition se terminant par "mktg").

`Contains'—par exemple, utilisez la valeur REGEX de .*(1234).*—cette condition est configurée comme CERTIFICATE:Organization MATCHES `1234' (toute correspondance avec une condition qui contient "1234", telle que Eng1234, 1234Dev et Corp1234Mktg).

`Ne commence pas par'—par exemple, utilisez la valeur REGEX de ^(?!LDAP).*—cette condition est configurée comme CERTIFICATE : Organization MATCHES `LDAP' (toute correspondance avec une condition qui ne commence pas par "LDAP", telle que usLDAP ou CorpLDAPmktg).

Called-Station-ID se termine par le nom SSID, donc le REGEX à utiliser dans cet exemple est .*(:<NOM SSID>)$. Gardez cela à l'esprit pendant que vous parcourez la configuration.

Avec les deux SSID ci-dessus, vous pouvez créer deux règles avec ces exigences :

R) Les utilisateurs invités doivent se connecter au SSID invité.

B) Les utilisateurs d'entreprise doivent appartenir au groupe AD « Utilisateurs de domaine » et doivent se connecter au SSID d'entreprise.

Règle A

La règle A n'a qu'une seule exigence, vous pouvez donc créer une condition simple (basée sur les valeurs ci-dessus) :

1) Dans ISE, accédez à Policy > Policy Elements > Conditions > Authorization > Simple Conditions et créez une nouvelle condition.

2) Dans le champ Nom, saisissez un nom de condition.

3) Dans le champ Description, saisissez une description (facultatif).

4) Dans la liste déroulante Attribute, sélectionnez Radius > Called-Station-ID—[30].

5) Dans la liste déroulante Opérateur, sélectionnez Correspondances.

6) Dans la liste déroulante Valeur, sélectionnez .*(:Guest)$. Ce paramètre est sensible à la casse.

7) Cliquez sur Enregistrer.

Règle B

La règle B a deux exigences, de sorte que vous pouvez créer une condition composée (basée sur les valeurs ci-dessus) :

1) Dans ISE, accédez à Policy > Policy Elements > Conditions > Authorization > Compound Conditions et créez une nouvelle condition.

2) Dans le champ Nom, saisissez un nom de condition.

3) Dans le champ Description, saisissez une description (facultatif).

4) Choisissez Créer une nouvelle condition (Option Avancée).

5) Dans la liste déroulante Attribute, sélectionnez Radius > Called-Station-Id—[30].

6) Dans la liste déroulante Opérateur, sélectionnez Correspondances.

7) Dans la liste déroulante Valeur, sélectionnez .*(:Corporate)$. Ce paramètre est sensible à la casse.

Cliquez sur l'engrenage à droite et choisissez Ajouter un attribut/une valeur.

9) Dans la liste déroulante Attribut, sélectionnez AD1 > Groupes externes.

10) Dans la liste déroulante Opérateur, sélectionnez Égal à.

11) Dans la liste déroulante Valeur, sélectionnez le groupe requis. Dans cet exemple, il est défini sur Utilisateurs du domaine.

12) Cliquez sur Save.

Maintenant que les conditions sont configurées, appliquez-les à une stratégie d'autorisation. Accédez à Policy > Authorization. Insérer la règle dans la liste à l'emplacement approprié ou modifier une règle existante. 

Règle Invité

1) Cliquez sur la flèche vers le bas à droite d'une règle existante et choisissez Insérer une nouvelle règle.

2) Entrez un nom pour votre règle d'invité et laissez le champ des groupes d'identité défini sur Any (Tous).

3) Sous Conditions, cliquez sur le signe plus, puis sur Sélectionner une condition existante dans la bibliothèque.

4) Sous Condition Name, choisissez Simple Condition > GuestSSID.

5) Sous Autorisations, sélectionnez le profil d'autorisation approprié pour vos utilisateurs invités.

6) Cliquez sur Terminé.

Règlement D'Entreprise

1) Cliquez sur la flèche vers le bas à droite d'une règle existante et choisissez Insérer une nouvelle règle.

2) Saisissez un nom pour la règle d'entreprise et laissez le champ Groupes d'identités défini sur Tous.

3) Sous Conditions, cliquez sur le signe plus, puis sur Sélectionner une condition existante dans la bibliothèque.

4) Sous Condition Name, choisissez Compound Condition > CorporateSSID.

5) Sous Autorisations, sélectionnez le profil d'autorisation approprié pour les utilisateurs de votre entreprise.

6) Cliquez sur Terminé.

7) Cliquez sur Save au bas de la liste Policy.

Dépannage

Pour savoir si la stratégie a été créée correctement et pour vous assurer qu'ISE reçoit les attributs appropriés, consultez le rapport d'authentification détaillé pour savoir si l'authentification de l'utilisateur a réussi ou échoué. Choisissez Operations > Authentications, puis cliquez sur l'icône Details pour une authentification.

Vérifiez d'abord le résumé d'authentification. Ce champ affiche les éléments de base de l'authentification, notamment le profil d'autorisation fourni à l'utilisateur.

Si la stratégie est incorrecte, les détails d'authentification indiquent quel Airespace-Wlan-Id et quel Called-Station-Id ont été envoyés depuis le WLC. Ajustez vos règles en conséquence. La règle d'association de stratégie d'autorisation confirme si l'authentification correspond ou non à la règle souhaitée.

Ces règles sont généralement mal configurées. Pour révéler le problème de configuration, faites correspondre la règle avec ce qui est vu dans les détails d'authentification. Si vous ne voyez pas les attributs dans le champ Autres attributs, assurez-vous que le WLC est correctement configuré.