Esempio di configurazione dell'autenticazione Web locale del portale guest di Identity Services Engine

Opzioni per il download

  • PDF     (571.4 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (501.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (388.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:25 novembre 2015
ID documento:116217

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Local Web Authentication (LWA) con il portale guest Cisco Identity Services Engine (ISE).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • ISE
  • Cisco Wireless LAN Controller (WLC)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • ISE versione 1.4
  • WLC versione 7.4

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Questo documento descrive la configurazione di LWA. Tuttavia, Cisco consiglia di utilizzare l'autenticazione Web centralizzata (CWA) con ISE quando possibile. Esistono alcuni scenari in cui LWA è preferibile o l'unica opzione, pertanto questo è un esempio di configurazione per tali scenari.

Configurazione

LWA richiede alcuni requisiti e una configurazione principale sul WLC, oltre ad alcune modifiche necessarie sull'ISE.

Prima di illustrare questi argomenti, di seguito viene riportata una descrizione del processo LWA con ISE.

Procedura LWA con ISE Guest Portal

  1. Il browser tenta di recuperare una pagina Web.
  2. Il WLC intercetta la richiesta HTTP(S) e la reindirizza all'ISE.
    Nell'intestazione di reindirizzamento HTTP sono memorizzate diverse informazioni chiave. Di seguito è riportato un esempio di URL di reindirizzamento:
    https://mlatosieise.wlaaan.com:8443/portal/PortalSetup.action?portal=27963fb0-e96e-11e4-a30a-005056bf01c9#&ui-state=dialog?switch_url=https://1.1.1.1/login.html&ap_mac=b8:be:bf:14:41:90&client_mac=28:cf:e9:13:47:cb&wlan=mlatosie_LWA&redirect=yahoo.com/
    Dall'URL di esempio si può vedere che l'utente ha cercato di raggiungere "yahoo.com". L'URL contiene anche informazioni sul nome della rete WLAN (Wireless Local Area Network) (multilosie_LWA) e sugli indirizzi MAC del client e del punto di accesso (AP). Nell'URL di esempio, 1.1.1.1 è il WLC, e mlatosieise.wlaan.com è il server ISE.
  3. Viene visualizzata la pagina di accesso per i guest ISE in cui è possibile immettere nome utente e password.
  4. L'ISE esegue l'autenticazione sulla base della sequenza di identità configurata.
  5. Il browser viene reindirizzato di nuovo. Questa volta, invia le credenziali al WLC. Il browser fornisce il nome utente e la password che l'utente ha immesso nell'ISE senza ulteriori interazioni da parte dell'utente. Di seguito è riportato un esempio di richiesta GET al WLC.
    GET /login.html?redirect_url=http://yahoo.com/&username=mlatosie%40cisco.com&password=ityh&buttonClicked=4&err_flag=0
    Anche in questo caso, l'URL originale (yahoo.com), il nome utente (mlatosie@cisco.com) e la password (ityh) sono tutti inclusi.

    Nota: Sebbene l'URL sia visibile qui, la richiesta effettiva viene inviata tramite SSL (Secure Sockets Layer), indicato da HTTPS ed è difficile da intercettare.

  6. Il WLC utilizza RADIUS per autenticare il nome utente e la password sull'ISE e consente l'accesso.
  7. L'utente viene reindirizzato al portale specificato. Per ulteriori informazioni, consultare la sezione "Configurazione dell'ISE esterna come URL webauth" di questo documento.

Esempio di rete

Nella figura viene descritta la topologia logica dei dispositivi utilizzati in questo esempio.

Prerequisiti di configurazione

Affinché il processo LWA funzioni correttamente, il client deve essere in grado di ottenere:

  • Configurazione dell'indirizzo IP e della maschera di rete
  • Route predefinita
  • Server DNS (Domain Name System)

Tutti questi elementi possono essere forniti con DHCP o con la configurazione locale. La risoluzione DNS deve funzionare correttamente affinché LWA funzioni.

Configurare il WLC

Configurazione dell'ISE esterna come URL Webauth a livello globale

In Protezione > Web Auth > Pagina di accesso Web, è possibile accedere a queste informazioni.

Nota: Questo esempio utilizza un URL di autenticazione Web esterna ed è stato preso da ISE versione 1.4. Se si ha una versione diversa, consultare la guida alla configurazione per capire cosa deve essere configurato.

È possibile anche configurare questa impostazione per WLAN. e quindi nelle impostazioni di sicurezza WLAN specifiche. Queste sostituiscono l'impostazione globale.

Per individuare l'URL corretto per il portale specifico, scegliere ISE > Criteri Guest > Configura > portale specifico. Fare clic con il pulsante destro del mouse sul collegamento da "Portal test URL" (URL test portale) e scegliere copy link location (copia percorso collegamento).

Nell'esempio, l'URL completo è: https://mlatosieise.wlaaan.com:8443/portal/PortalSetup.action?portal=27963fb0-e96e-11e4-a30a-005056bf01c9

Configurazione degli Access Control Lists (ACLs)

Per il corretto funzionamento dell'autenticazione Web, è necessario definire il traffico consentito. Determinare se utilizzare ACL FlexConnect o ACL normali. Gli AP FlexConnect utilizzano ACL FlexConnect, mentre gli AP che utilizzano la commutazione centralizzata utilizzano ACL normali.

Per capire in che modalità funziona un determinato access point, selezionare Wireless > Access point e selezionare la casella a discesa Nome access point > Modalità AP. Una distribuzione tipica è locale o FlexConnect.

In Sicurezza > Access Control Lists, scegliere FlexConnect ACL o ACL.Nell'esempio, tutto il traffico UDP è stato autorizzato per consentire specificamente lo scambio DNS e il traffico verso l'ISE (10.48.66.107).

In questo esempio viene usato FlexConnect, quindi sono definiti sia FlexConnect che ACL standard.

Questo comportamento è documentato nell'ID bug Cisco CSCue68065 per quanto riguarda i controller WLC 7.4. Non è più richiesto sul WLC 7.5, dove è sufficiente un FlexACL e non è più necessario un ACL standard

Configurare SSID (Service Set Identifier) per LWA

In WLAN, scegliere l'ID WLAN da modificare.

Configurazione autenticazione Web

Applicare gli stessi ACL definiti nel passaggio precedente e abilitare l'autenticazione Web.

Nota: Se si usa la funzionalità di commutazione locale di FlexConnect, è necessario aggiungere il mapping ACL a livello dell'access point. In Wireless > Access Point. Selezionare il nome dell'access point appropriato > FlexConnect > ACL di autenticazione Web esterna.
;

Configurazione server di autenticazione, autorizzazione e accounting (AAA)

Nell'esempio, sia il server di autenticazione che il server di accounting puntano al server ISE definito in precedenza.

Nota: Le impostazioni predefinite nella scheda Avanzate non devono essere aggiunte.

Configurazione dell'ISE

La configurazione ISE prevede diverse fasi.

Definire innanzitutto il dispositivo come dispositivo di rete.

Verificare quindi che esistano le regole di autenticazione e autorizzazione per questo scambio.

Definire il dispositivo di rete

In Amministrazione > Risorse di rete > Dispositivi di rete, compilare i seguenti campi:

  • Nome dispositivo
  • Indirizzo IP dispositivo
  • Impostazioni autenticazione > Segreto condiviso

Configurare il criterio di autenticazione

In Criteri > Autenticazione aggiungere un nuovo criterio di autenticazione.

In questo esempio vengono utilizzati i seguenti parametri:

  • Nome: WLC_LWA_Guests
  • Condizione: Airespace:Airespace-Wlan-Id. Questa condizione corrisponde all'ID WLAN 3, che è l'ID della variabile multisito_LWA WLAN precedentemente definita sul WLC.
  • {facoltativo} Consente i protocolli di autenticazione che non richiedono il certificato Non_Cert_Auth, ma è possibile utilizzare le impostazioni predefinite.
  • Guest_Portal_Sequence, che definisce gli utenti guest definiti localmente.

Configura criteri di autorizzazione e risultato

In Criterio > Autorizzazione definire un nuovo criterio. Può trattarsi di una politica di base, come:

Questa configurazione dipende dalla configurazione generale di ISE. Questo esempio è stato intenzionalmente semplificato.

Verifica

Sul sito ISE, gli amministratori possono monitorare e risolvere i problemi delle sessioni live in Operazioni > Autenticazioni.

Devono essere visualizzate due autenticazioni. La prima autenticazione viene effettuata dal portale guest all'ISE. La seconda autenticazione viene effettuata come richiesta di accesso dal WLC all'ISE.

Per verificare quali criteri di autorizzazione e criteri di autenticazione sono stati scelti, è possibile fare clic sull'icona Authentication Detail Report.

Sul WLC, un amministratore può monitorare i client in Monitor > Client.

Di seguito è riportato l'esempio di un client autenticato correttamente:

Risoluzione dei problemi

Cisco consiglia di eseguire i debug sul client, quando possibile.

Dalla CLI, questi debug forniscono informazioni utili:

debug client MA:CA:DD:RE:SS

debug web-auth redirect enable macMA:CA:DD:RE:SS

debug aaa all enable

Informazioni correlate

TAC Authored

Contributo dei tecnici Cisco

  • Marcin Latosiewicz
    Cisco TAC Engineer
  • Nicolas Darchis
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti