Exemple de configuration d'ISE avec redirection statique pour les réseaux invités isolés

Options de téléchargement

  • PDF     (785.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (619.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (615.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 avril 2014
ID du document:117620

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer Cisco Identity Services Engine (ISE) avec redirection statique pour les réseaux invités isolés afin de maintenir la redondance. Il décrit également comment configurer le noeud de stratégie de sorte que les clients ne soient pas invités à envoyer un avertissement de certificat non vérifiable.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Cisco ISE Central Web Authentication (CWA) et tous les composants associés
  • Vérification par navigateur de la validité du certificat
  • Cisco ISE Version 1.2.0.899 ou ultérieure
  • Version du contrôleur LAN sans fil Cisco (WLC) 7.2.10.0 ou ultérieure (version 7.4.100.0 ou ultérieure recommandée)

Remarque : CWA est décrit dans l'article Exemple de configuration de l'authentification Web centrale sur le WLC et l'ISE de Cisco.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco ISE Version 1.2.0.899
  • Version de Cisco Virtual WLC (vWLC) 7.4.110.0
  • Appareil de sécurité adaptatif Cisco (ASA)) Version 8.2.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command. 

Informations générales

Dans de nombreux environnements BYOD (Bring Your Own Device), le réseau invité est entièrement isolé du réseau interne dans une zone DMZ (De-Militarized Zone). Souvent, le DHCP dans la DMZ invitée offre des serveurs DNS (Domain Name System) publics aux utilisateurs invités, car le seul service qui est offert est l'accès à Internet.

Cela rend la redirection d'invité sur l'ISE difficile avant la version 1.2, car l'ISE redirige les clients vers le nom de domaine complet (FQDN) pour l'authentification Web. Cependant, avec ISE versions 1.2 et ultérieures, les administrateurs peuvent rediriger les utilisateurs invités vers une adresse IP statique ou un nom d'hôte.

Configurer

Diagramme du réseau

Il s'agit d'un schéma logique.

Remarque : physiquement, il existe un contrôleur sans fil dans le réseau interne, les points d'accès (AP) se trouvent sur le réseau interne et le SSID (Service Set Identification) est ancré au contrôleur DMZ. Reportez-vous à la documentation des WLC Cisco pour plus d'informations. 

Configuration

La configuration sur le WLC reste inchangée par rapport à une configuration CWA normale. Le SSID est configuré afin d'autoriser le filtrage MAC avec l'authentification RADIUS, et la comptabilité RADIUS pointe vers deux noeuds de stratégie ISE ou plus.

Ce document se concentre sur la configuration ISE.

Remarque : dans cet exemple de configuration, les noeuds de stratégie sont jesse-dunkel (172.18.124.20) et jesse-maibock (172.18.124.21).

Le flux CWA commence lorsque le WLC envoie une requête RADIUS MAC Authentication Bypass (MAB) à l'ISE. L'ISE répond avec une URL de redirection vers le contrôleur afin de rediriger le trafic HTTP vers l'ISE. Il est important que le trafic RADIUS et HTTP aille au même noeud de services de stratégie (PSN), car la session est maintenue sur un seul PSN. Cette opération est normalement effectuée avec une seule règle et le PSN insère son propre nom d'hôte dans l'URL CWA. Cependant, avec une redirection statique, vous devez créer une règle pour chaque PSN afin de vous assurer que le trafic RADIUS et HTTP est envoyé au même PSN.

Complétez ces étapes afin de configurer l'ISE :

  1. Configurez deux règles afin de rediriger le client vers l'adresse IP PSN. Allez à Policy > Policy Elements > Results > Authorization > Authorization Profiles (politique > éléments de politique > résultats > autorisation > profils d’autorisation).

    Ces images montrent les informations pour le nom de profil DunkelGuestWireless :







    Ces images montrent les informations pour le nom de profil MaibockGuestWireless :







    Remarque : ACL-PROVISION est une liste de contrôle d'accès (ACL) locale qui est configurée sur le WLC afin de permettre au client de communiquer avec ISE lors de l'authentification. Référez-vous à l'article Authentification Web centrale sur le WLC et l'exemple de configuration ISE Cisco pour plus d'informations.

  2. Configurez les stratégies d'autorisation de sorte qu'elles correspondent dans l'attribut Network Access:ISE Host Name et fournissez le profil d'autorisation approprié :



    Maintenant que le client est redirigé vers une adresse IP, les utilisateurs reçoivent des avertissements de certificat car l'URL ne correspond pas aux informations du certificat. Par exemple, le nom de domaine complet du certificat est jesse-dunkel.rtpaa.local, mais l'URL est 172.18.124.20. Voici un exemple de certificat qui permet au navigateur de valider le certificat avec l'adresse IP :



    Avec l'utilisation d'entrées de nom alternatif de sujet (SAN), le navigateur peut valider l'URL qui inclut l'adresse IP 172.18.124.20. Trois entrées SAN doivent être créées afin de résoudre les différentes incompatibilités client.

  3. Créez une entrée SAN pour le nom DNS et assurez-vous qu'elle correspond à l'entrée CN= du champ Subject.

  4. Créez deux entrées afin de permettre aux clients de valider l'adresse IP ; celles-ci concernent à la fois le nom DNS de l'adresse IP et l'adresse IP qui apparaît dans l'attribut Adresse IP. Certains clients se réfèrent uniquement au nom DNS. D'autres n'acceptent pas d'adresse IP dans l'attribut Nom DNS, mais font plutôt référence à l'attribut Adresse IP.

    Remarque : pour plus d'informations sur la génération de certificats, reportez-vous au Guide d'installation matérielle de Cisco Identity Services Engine, version 1.2.

Vérifier

Complétez ces étapes afin de confirmer que votre configuration fonctionne correctement :

  1. Afin de vérifier que les deux règles sont fonctionnelles, définissez manuellement l'ordre des PSN ISE qui sont configurés sur le WLAN :



  2. Connectez-vous au SSID invité, accédez à Operation > Authentications dans l'ISE, et vérifiez que les règles d'autorisation correctes sont appliquées :



    L'authentification MAB initiale est attribuée au profil d'autorisation DunkelGuestWireless. Il s'agit de la règle qui redirige spécifiquement vers jesse-dunkel, qui est le premier noeud ISE. Une fois que l'utilisateur guest01 se connecte, l'autorisation finale correcte de GuestPermit est donnée.

  3. Afin d'effacer les sessions d'authentification du WLC, déconnectez le périphérique client du réseau sans fil, accédez à Monitor > Clients sur le WLC, et supprimez la session de la sortie. Par défaut, le WLC maintient la session inactive pendant cinq minutes. Par conséquent, pour effectuer un test valide, vous devez recommencer.

  4. Inversez l'ordre des PSN ISE dans la configuration WLAN invité :



  5. Connectez-vous au SSID invité, accédez à Operation > Authentications dans l'ISE, et vérifiez que les règles d'autorisation correctes sont appliquées :



    Pour la deuxième tentative, le profil d'autorisation MaibockGuestWireless est correctement atteint pour l'authentification MAB initiale. Comme pour la première tentative de jesse-dunkel (Étape 2), l'authentification à jesse-maibock atteint correctement le GuestPermit pour l'autorisation finale. Étant donné qu'il n'y a pas d'informations spécifiques à PSN dans le profil d'autorisation GuestPermit, une seule règle peut être utilisée pour l'authentification à n'importe quel PSN.

Dépannage

La fenêtre Détails d'authentification est une vue puissante qui affiche chaque étape du processus d'authentification/autorisation. Pour y accéder, accédez à Operations > Authentications et cliquez sur l'icône de la loupe sous la colonne Details. Utilisez cette fenêtre afin de vérifier que les conditions de la règle d'authentification/autorisation sont configurées correctement. 

Dans ce cas, le champ Policy Server est le principal domaine d'intérêt. Ce champ contient le nom d'hôte du PSN ISE par lequel l'authentification est gérée :

Comparez l'entrée du serveur de stratégie à la condition de règle et assurez-vous que les deux correspondent (cette valeur est sensible à la casse) :

Remarque : il est important de se rappeler que vous devez vous déconnecter du SSID et effacer l'entrée du client du WLC entre les tests.

Historique de révision

Révision Date de publication Commentaires
1.0
23-Apr-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Jesse Dubois
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits