Introduzione

In questo documento viene descritto come configurare i criteri di autorizzazione in Cisco ISE per distinguere tra diversi identificatori di set di servizi (SSID). 

Requisiti

Nella presente guida si presume che:

1) Il Wireless LAN Controller (WLC) è configurato e funziona per tutti gli SSID coinvolti.

2) L'autenticazione funziona su tutti gli SSID coinvolti nell'ISE.

Controller LAN wireless release 7.3.101.0

Identify Services Engine release 1.1.2.145

Le versioni precedenti presentano entrambe queste caratteristiche.

Viene utilizzato un solo metodo di configurazione alla volta. Se entrambe le configurazioni vengono implementate contemporaneamente, la quantità elaborata da ISE aumenta e influisce sulla leggibilità delle regole. In questo documento vengono esaminati i vantaggi e gli svantaggi di ciascun metodo di configurazione.

Premesse

È molto comune per un'organizzazione avere più SSID nella propria rete wireless per vari scopi. Uno degli scopi più comuni è disporre di un SSID aziendale per i dipendenti e di un SSID ospite per i visitatori dell'organizzazione.

Metodo 1: Airespace-Wlan-Id

Ogni rete WLAN (Wireless Local Area Network) creata sul WLC ha un ID WLAN. L'ID WLAN viene visualizzato nella pagina di riepilogo WLAN.

Quando un client si connette al SSID, la richiesta RADIUS a ISE contiene l'attributo Airespace-WLAN-ID. Questo semplice attributo viene utilizzato per prendere decisioni relative alle policy nell'ISE. Uno svantaggio di questo attributo è che l'ID WLAN non corrisponde su un SSID distribuito su più controller. Se in questo modo viene descritta la distribuzione, passare al metodo 2. 

In questo caso, come condizione viene usato Airespace-Wlan-Id. Può essere utilizzato come condizione semplice (da sola) o in una condizione composta (insieme a un altro attributo) per ottenere il risultato desiderato. Questo documento descrive entrambi i casi di utilizzo. Con i due SSID sopra indicati, è possibile creare queste due regole. 

A) Gli utenti guest devono accedere al SSID guest.

B) Gli utenti aziendali devono appartenere al gruppo "Domain Users" di Active Directory (AD) e devono accedere al SSID aziendale.

Regola A

La regola A prevede un solo requisito, pertanto è possibile creare una condizione semplice (basata sui valori indicati in precedenza):

1) Ad ISE, vai a Policy > Policy Elements > Conditions > Authorization > Simple Conditions (Policy > Elementi della policy > Condizioni > Autorizzazione > Condizioni semplici) e crea una nuova condizione.

2) Nel campo Nome, inserire un nome di condizione.

3) Nel campo Descrizione, inserire una descrizione (facoltativo).

4) Dall'elenco a discesa Attribute (Attributo), selezionare Airespace > Airespace-Wlan-Id—[1].

5) Dall'elenco a discesa Operatore, scegliere Uguale a.

6) Dall'elenco a discesa Valore, scegliere 2.

7) Fare clic su Salva.

Regola B

La regola B prevede due requisiti, pertanto è possibile creare una condizione composta in base ai valori riportati sopra:

1) Ad ISE, vai a Policy > Policy Elements > Conditions > Authorization > Compound Conditions (Policy > Elementi della politica > Condizioni > Autorizzazione > Condizioni composte) e crea una nuova condizione.

2) Nel campo Nome, inserire un nome di condizione.

3) Nel campo Descrizione, inserire una descrizione (facoltativo).

4) Scegliere Crea nuova condizione (opzione avanzata).

5) Dall'elenco a discesa Attribute (Attributo), selezionare Airespace > Airespace-Wlan-Id—[1].

6) Dall'elenco a discesa Operatore, scegliere Uguale a.

7) Dall'elenco a discesa Valore, scegliere 1.

Fare clic sull'ingranaggio a destra e scegliere Aggiungi attributo/valore.

9) Dall'elenco a discesa Attributo, scegliere AD1 > Gruppi esterni.

10) Dall'elenco a discesa Operatore, scegliere Uguale a.

11) Dall'elenco a discesa Valore (Value), selezionate il gruppo desiderato. In questo esempio viene impostato su Domain Users.

12) Fare clic su Save (Salva).

Ora che abbiamo le condizioni, possiamo applicarle alla politica di autorizzazione. Andare a Criterio > Autorizzazione. Determinare dove inserire la regola nell'elenco o modificare la regola esistente.

Regola Guest

1) Fare clic sulla freccia rivolta verso il basso a destra di una regola esistente e scegliere Inserisci nuova regola.

2) Immettere un nome per la regola ospite e lasciare il campo Gruppi di identità impostato su Qualsiasi.

3) In Condizioni, fare clic sul segno più e fare clic su Seleziona condizione esistente dalla libreria.

4) In Nome condizione, scegliere Condizione semplice > GuestSSID.

5) In Autorizzazioni, scegliere il profilo di autorizzazione appropriato per gli utenti Guest.

6) Fare clic su Fine.

Regola aziendale

1) Fare clic sulla freccia rivolta verso il basso a destra di una regola esistente e scegliere Inserisci nuova regola.

2) Inserire un nome per la regola aziendale e lasciare il campo Gruppi di identità impostato su Qualsiasi.

3) In Condizioni, fare clic sul segno più e fare clic su Seleziona condizione esistente dalla libreria.

4) In Nome condizione, scegliere Condizione composta > CorporateSSID.

5) In Autorizzazioni, scegliere il profilo di autorizzazione appropriato per gli utenti aziendali.

6) Fare clic su Fine.

Metodo 2: Called-Station-ID

Il WLC può essere configurato per inviare il nome SSID nell'attributo RADIUS Called-Station-ID, che a sua volta può essere utilizzato come condizione su ISE. Il vantaggio di questo attributo è che può essere utilizzato indipendentemente dall'ID WLAN impostato sul WLC. Per impostazione predefinita, il WLC non invia il SSID nell'attributo Called-Station-ID. Per abilitare questa funzione sul WLC, selezionare Security > AAA > RADIUS > Authentication (Sicurezza > AAA > Autenticazione) e impostare Call Station ID Type (Tipo di ID stazione di chiamata) su AP MAC Address:SSID (Indirizzo MAC AP:SSID). In questo modo il formato dell'ID stazione chiamata viene impostato su <MAC dell'access point a cui l'utente si sta connettendo>:<Nome SSID>.

Dalla pagina di riepilogo della WLAN è possibile visualizzare il nome SSID che verrà inviato.

Poiché l'attributo Called-Station-Id contiene anche l'indirizzo MAC dell'access point, viene utilizzata un'espressione regolare (REGEX) per far corrispondere il nome SSID nella policy ISE. L'operatore 'Corrispondenze' nella configurazione della condizione può leggere un REGEX dal campo Valore.

Esempi di REGEX

`Inizia con'—ad esempio, utilizzare il valore REGEX di ^(Acme).*—questa condizione è configurata come CERTIFICATE:Organization MATCHES `Acme' (qualsiasi corrispondenza con una condizione che inizia con "Acme").

`Termina con'—ad esempio, utilizzare il valore REGEX di .*(mktg)$—questa condizione è configurata come CERTIFICATE:Organization MATCHES `mktg' (qualsiasi corrispondenza con una condizione che termina con "mktg").

`Contiene'—ad esempio, utilizzare il valore REGEX di .*(1234).*—questa condizione è configurata come CERTIFICATO:L'organizzazione CORRISPONDE a `1234' (qualsiasi corrispondenza con una condizione che contiene "1234", ad esempio Eng1234, 1234Dev e Corp1234Mktg).

`Non inizia con'—ad esempio, utilizzare il valore REGEX di ^(?!LDAP).*—questa condizione è configurata come CERTIFICATE:Organization MATCHES `LDAP' (qualsiasi corrispondenza con una condizione che non inizia con "LDAP", ad esempio usLDAP o CorpLDAPmktg).

L'ID della stazione chiamata termina con il nome SSID, quindi il REGEX da utilizzare in questo esempio è .*(:<NOME SSID>)$. Tenere presente questa condizione durante l'esecuzione della configurazione.

Con i due SSID sopra indicati, è possibile creare due regole con i seguenti requisiti:

A) Gli utenti guest devono accedere al SSID guest.

B) Gli utenti aziendali devono appartenere al gruppo AD "Utenti del dominio" e devono accedere al SSID aziendale.

Regola A

La regola A prevede un solo requisito, pertanto è possibile creare una condizione semplice (basata sui valori indicati in precedenza):

1) Ad ISE, vai a Policy > Policy Elements > Conditions > Authorization > Simple Conditions (Policy > Elementi della policy > Condizioni > Autorizzazione > Condizioni semplici) e crea una nuova condizione.

2) Nel campo Nome, inserire un nome di condizione.

3) Nel campo Descrizione, inserire una descrizione (facoltativo).

4) Dall'elenco a discesa Attributo, scegliere Raggio > ID stazione chiamata—[30].

5) Dall'elenco a discesa Operatore, scegliere Corrispondenze.

6) Dall'elenco a discesa Valore, scegliere .*(:Guest)$. Questa operazione fa distinzione tra maiuscole e minuscole.

7) Fare clic su Salva.

Regola B

La regola B prevede due requisiti, pertanto è possibile creare una condizione composta in base ai valori riportati sopra:

1) Ad ISE, vai a Policy > Policy Elements > Conditions > Authorization > Compound Conditions (Policy > Elementi della politica > Condizioni > Autorizzazione > Condizioni composte), quindi crea una nuova condizione.

2) Nel campo Nome, inserire un nome di condizione.

3) Nel campo Descrizione, inserire una descrizione (facoltativo).

4) Scegliere Crea nuova condizione (opzione avanzata).

5) Dall'elenco a discesa Attributo, scegliere Raggio > Id stazione chiamata—[30].

6) Dall'elenco a discesa Operatore, scegliere Corrispondenze.

7) Dall'elenco a discesa Valore, scegliere .*(:Aziendale)$. Questa operazione fa distinzione tra maiuscole e minuscole.

Fare clic sull'ingranaggio a destra e scegliere Aggiungi attributo/valore.

9) Dall'elenco a discesa Attributo, scegliere AD1 > Gruppi esterni.

10) Dall'elenco a discesa Operatore, scegliere Uguale a.

11) Dall'elenco a discesa Valore (Value), selezionate il gruppo desiderato. In questo esempio viene impostato su Domain Users.

12) Fare clic su Save (Salva).

Dopo aver configurato le condizioni, applicarle a un criterio di autorizzazione. Andare a Criterio > Autorizzazione. Inserire la regola nell'elenco nella posizione appropriata o modificare una regola esistente. 

Regola Guest

1) Fare clic sulla freccia rivolta verso il basso a destra di una regola esistente e scegliere Inserisci nuova regola.

2) Immettere un nome per la regola ospite e lasciare il campo Gruppi di identità impostato su Qualsiasi.

3) In Condizioni, fare clic sul segno più e fare clic su Seleziona condizione esistente dalla libreria.

4) In Nome condizione, scegliere Condizione semplice > GuestSSID.

5) In Autorizzazioni, scegliere il profilo di autorizzazione appropriato per gli utenti Guest.

6) Fare clic su Fine.

Regola aziendale

1) Fare clic sulla freccia rivolta verso il basso a destra di una regola esistente e scegliere Inserisci nuova regola.

2) Inserire un nome per la regola aziendale e lasciare il campo Gruppi di identità impostato su Qualsiasi.

3) In Condizioni, fare clic sul segno più e fare clic su Seleziona condizione esistente dalla libreria.

4) In Nome condizione, scegliere Condizione composta > CorporateSSID.

5) In Autorizzazioni, scegliere il profilo di autorizzazione appropriato per gli utenti aziendali.

6) Fare clic su Fine.

7) Fare clic su Save in fondo all'elenco dei criteri.

Risoluzione dei problemi

Per verificare se il criterio è stato creato correttamente e per accertarsi che ISE riceva gli attributi corretti, esaminare il rapporto di autenticazione dettagliato per verificare se l'autenticazione per l'utente è riuscita o meno. Scegliere Operazioni > Autenticazioni, quindi fare clic sull'icona Dettagli per un'autenticazione.

Controllare innanzitutto il riepilogo dell'autenticazione. In questo modo vengono illustrate le nozioni di base dell'autenticazione, che includono il profilo di autorizzazione fornito all'utente.

Se il criterio non è corretto, i dettagli di autenticazione mostrano Airespace-Wlan-Id e l'ID della stazione chiamata inviato dal WLC. Regolare le regole di conseguenza. La regola di corrispondenza dei criteri di autorizzazione conferma se l'autenticazione corrisponde o meno alla regola desiderata.

Queste regole sono in genere configurate in modo errato. Per rivelare il problema di configurazione, confrontare la regola con quanto riportato nei dettagli di autenticazione. Se gli attributi non vengono visualizzati nel campo Altri attributi, verificare che il WLC sia configurato correttamente.