Configurazione dell'autenticazione EAP-TLS con ISE

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:13 luglio 2023
ID documento:214975

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive la configurazione iniziale per introdurre l'autenticazione Extensible Authentication Protocol-Transport Layer Security Authentication con Cisco ISE.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenza di base del flusso di comunicazioni EAP e RADIUS.
    • Conoscenze base di autenticazione RADIUS con metodi di autenticazione basati su certificati in termini di flusso di comunicazione.
    • Informazioni sulle differenze tra Dot1x e MAC Authentication Bypass (MAB).
    • Conoscenza di base dell'infrastruttura a chiave pubblica (PKI).
    • Familiarità con le modalità di ottenimento di certificati firmati da un'Autorità di certificazione (CA) e di gestione di certificati negli endpoint.
    • Configurazione delle impostazioni relative a Autenticazione, Autorizzazione e Accounting (AAA) (RADIUS) su un dispositivo di rete (cablato o wireless).
    • Configurazione del supplicant (sull'endpoint) per l'utilizzo con RADIUS/802.1x.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Identity Services Engine (ISE) release 3.x.
    • CA - per rilasciare certificati (può essere una CA dell'organizzazione, una CA pubblica/di terze parti o utilizzare il portale di provisioning dei certificati).
    • Active Directory (origine identità esterna) - da Windows Server, se compatibile con ISE.
    • Dispositivo di accesso alla rete (NAD): può essere switch (cablato) o controller WLC (wireless) configurato per 802.1x/AAA.
    • Endpoint: certificati emessi per l'identità (utente) e la configurazione del supplicant che possono essere autenticati per l'accesso alla rete tramite RADIUS/802.1x: Autenticazione utente. È possibile ottenere un certificato del computer, ma non viene utilizzato in questo esempio.

    Nota: poiché questa guida utilizza ISE release 3.1, tutti i riferimenti alla documentazione si basano su questa versione. Tuttavia, una configurazione simile/simile è possibile e supportata completamente nelle versioni precedenti di Cisco ISE.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    L'attenzione è rivolta principalmente alla configurazione ISE, che può essere applicata a più scenari, come (ma non solo) l'autenticazione con un IP-Phone/endpoint connesso via cavo o wireless.

    Ai fini della presente guida, è importante comprendere le seguenti fasi del flusso di autenticazione ISE (RADIUS):

    • Autenticazione: identificazione e convalida dell'identità finale (computer, utente e così via) che richiede l'accesso alla rete.

    • Autorizzazione: determinare quali autorizzazioni/accessi è possibile concedere all'identità finale sulla rete.

    • Accounting: report e monitoraggio dell'attività di rete dell'identità finale dopo il completamento dell'accesso alla rete.

    Configurazione

    Ottenere certificati server e client

    Passaggio 1. Genera una richiesta di firma del certificato da ISE

    Il primo passaggio consiste nel generare una richiesta di firma del certificato (CSR) da ISE e inviarla all'autorità di certificazione (server) per ottenere il certificato firmato rilasciato ad ISE come certificato di sistema. ISE può presentare questo certificato come certificato server durante l'autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security Authentication). Questa operazione viene eseguita nell'interfaccia utente ISE. Passa a Administration > System: Certificates > Certificate Management > Certificate Signing Requests. Inferiore Certificate Signing Requests,fare clic su Generate Certificate Signing Requests (CSR) come mostrato nell'immagine.

    Configure EAP-TLS Authentication with ISE - CSR Button

    I tipi di certificato richiedono utilizzi chiave estesi diversi. In questo elenco vengono descritti gli utilizzi chiave estesi necessari per ogni tipo di certificato:

    Certificati di identità ISE

    • Multiuso (amministrazione, EAP, portale, pxGrid) - Autenticazione client e server
    • Admin - Autenticazione server
    • Autenticazione EAP - Autenticazione server
    • Autenticazione DTLS (Datagram Transport Layer Security) - Autenticazione server
    • Portale - Autenticazione server
    • pxGrid - Autenticazione client e server
    • SAML (Security Assertion Markup Language) - Certificato di firma SAML
    • ISE Messaging Service - Genera un certificato di firma o genera un nuovo certificato di messaggistica

    Per impostazione predefinita, il certificato di sistema del servizio di messaggistica ISE è destinato alla replica dei dati su ciascun nodo ISE nell'implementazione, nella registrazione dei nodi e in altre comunicazioni tra nodi ed è presente ed emesso dal server ISE Internal Certificate Authority (interno di ISE). Non è necessario completare alcuna azione con questo certificato.

    Il certificato di sistema dell'amministratore viene utilizzato per identificare ogni nodo ISE, ad esempio quando viene utilizzata l'API associata all'interfaccia utente (gestione) dell'amministratore, e per alcune comunicazioni tra nodi. Per configurare ISE per la prima volta, configurare il certificato di sistema dell'amministratore. Questa azione non è direttamente correlata alla presente guida alla configurazione.

    Per eseguire IEEE 802.1x tramite EAP-TLS (autenticazione basata su certificati), eseguire un'azione per il certificato di sistema di autenticazione EAP in quanto viene utilizzato come certificato server presentato all'endpoint/client durante il flusso EAP-TLS. Il risultato è protetto all'interno del tunnel TLS. Per iniziare, creare un CSR per creare il certificato di sistema di autenticazione EAP e assegnarlo al personale che gestisce i server CA dell'organizzazione (o al provider CA pubblico) per la firma. Il risultato è il certificato firmato dall'autorità di certificazione che si collega al CSR e ad ISE seguendo questi passaggi.

    Nel modulo Richiesta di firma del certificato (CSR) scegliere le opzioni seguenti per completare il CSR e ottenerne il contenuto:

    • Utilizzo certificato. Per questo esempio di configurazione, scegliere EAP Authentication.

    • Se si prevede di utilizzare un'istruzione con caratteri jolly nel certificato, *.example.com, è necessario controllare anche il Allow Wildcard Certificate . La posizione migliore è il campo del certificato SAN (Subject Alternative Name) per la compatibilità con qualsiasi utilizzo e tra più tipi diversi di sistemi operativi endpoint che possono essere presenti nell'ambiente.

    • Se non si è scelto di inserire un'istruzione con caratteri jolly nel certificato, scegliere i nodi ISE a cui si desidera associare il certificato con firma CA (dopo la firma).

      Nota: quando si associa il certificato firmato dall'autorità di certificazione contenente l'istruzione con caratteri jolly a più nodi all'interno del CSR, il certificato viene distribuito a ciascun nodo ISE (o ai nodi selezionati) nell'implementazione ISE e i servizi possono essere riavviati. Tuttavia, il riavvio dei servizi è limitato automaticamente a un nodo alla volta. Monitorare il riavvio dei servizi tramite show application status ise ISE CLI.

      Quindi, è necessario completare il modulo per definire l'oggetto. Sono inclusi i campi Nome comune (CN), Unità organizzativa (OU), Organizzazione (O), Città (L), Stato (ST) e Paese (C). La variabile $FQDN$ è il valore che rappresenta il nome di dominio completo (nome host + nome di dominio) di gestione associato a ciascun nodo ISE.

    • OSPF (Open Shortest Path First) Subject Alternative Name (SAN) devono inoltre essere compilati in modo da includere tutte le informazioni necessarie e desiderate da utilizzare per stabilire la fiducia. Come requisito, è necessario definire la voce DNS che punta all'FQDN dei nodi ISE associati a questo certificato, dopo che il certificato è stato firmato.

    • Infine, accertarsi di definire il tipo di chiave, la lunghezza della chiave e il digest con cui firmare in modo conforme alle funzionalità dei server CA e tenendo presenti le procedure di sicurezza appropriate. I valori predefiniti sono: RSA, 4096 bit e SHA-384 rispettivamente. Le opzioni disponibili e la compatibilità vengono visualizzate in questa pagina all'interno dell'interfaccia utente di ISE Admin.

    Questo è un esempio di modulo CSR completato senza l'utilizzo di un'istruzione wildcard. Assicurarsi di utilizzare i valori effettivi specifici dell'ambiente:

    Configure EAP-TLS Authentication with ISE - Completed CSR Form Without a Wildcard Statement

    Configure EAP-TLS Authentication with ISE - CSR ExampleEsempio di CSR

    Per salvare il CSR, fare clic su Generate. Fare clic su Export, posizionato in basso a destra, per esportare i file CSR dal prompt:

    Configure EAP-TLS Authentication with ISE - Export CSR ExampleEsempio di esportazione di CSR

    Per ulteriori informazioni sui certificati da utilizzare con ISE, consultare il manuale Cisco Identity Services Engine Administrator Guide, versione 3.1 > Capitolo: Basic Setup > Certificate Management in Cisco ISE e installare un certificato di terze parti firmato dall'autorità di certificazione in ISE.

    Passaggio 2. Importazione dei certificati CA in ISE

    Dopo la restituzione del certificato firmato, la CA includerà anche la catena completa di CA, costituita da un certificato radice e da uno o più certificati intermediari. L'interfaccia utente di ISE Admin consente di importare tutti i certificati nella catena CA prima dell'associazione o del caricamento di qualsiasi certificato di sistema. Questa operazione viene eseguita per garantire che ogni certificato di sistema sia associato correttamente alla catena di CA (nota anche come certificato protetto) all'interno del software ISE.

    Questi passaggi rappresentano il modo migliore per importare i certificati CA e il certificato di sistema in ISE:

    1. Per importare il certificato radice nella GUI di ISE, selezionare Administration > System: Certificates > Certificate Management. Inferiore Trusted Certificates,fare clic su Import e selezionare le caselle di controllo Trust for authentication within ISE (Infrastructure) and Trust for client authentication and Syslog (Endpoints).

      Configure EAP-TLS Authentication with ISE - Certificate Usage for CA ChainUtilizzo certificati per catena CA

    2. Ripetere il passaggio precedente per ogni certificato intermedio come parte della catena di certificati CA.

    3. Dopo aver importato tutti i certificati come parte della catena completa di CA nell'archivio dei certificati attendibili di ISE, tornare alla GUI di ISE e selezionare Administration > System: Certificates > Certificate Management: Certificate Signing Requests. Individuare la voce CSR in Nome descrittivo corrispondente al certificato firmato, fare clic sulla casella di controllo del certificato e quindi su Bind Certificate.

      Configure EAP-TLS Authentication with ISE - Bind Certificate to CSRAssocia certificato a CSR

      Nota: è necessario associare un singolo certificato firmato dalla CA a ciascun CSR uno alla volta. Ripetere l'operazione per tutti i CSR rimanenti creati per altri nodi ISE nell'implementazione.

      Nella pagina successiva fare clic su Browse e scegliere il file del certificato firmato, definire un nome descrittivo desiderato e scegliere Uso certificato. Invia per salvare le modifiche.

      Configure EAP-TLS Authentication with ISE - Choose Certificate to Bind to CSRSelezionare il certificato da associare a CSR

    4. A questo punto, il certificato firmato viene spostato nell'interfaccia utente grafica di ISE. Passa a Administration > System: Certificates > Certificate Management: System Certificates e assegnare allo stesso nodo per cui è stato creato il CSR. Ripetere la stessa procedura per altri nodi e/o altri utilizzi di certificati.

    Passaggio 3. Ottieni certificato client per endpoint

    È necessario eseguire un processo simile sull'endpoint per la creazione di un certificato client da utilizzare con EAP-TLS. Per questo esempio, è necessario un certificato client firmato e rilasciato all'account utente per eseguire l'autenticazione utente con ISE. Un esempio di come ottenere un certificato client per l'endpoint da un ambiente Active Directory è disponibile in: Comprendere e configurare EAP-TLS utilizzando WLC e ISE > Configurare > Client per EAP-TLS.

    A causa dei diversi tipi di endpoint e sistemi operativi, poiché il processo può essere diverso, non vengono forniti ulteriori esempi. Tuttavia, il processo complessivo è concettualmente lo stesso. Generare un CSR che disponga di tutte le informazioni rilevanti da includere nel certificato e che lo faccia firmare dall'autorità di certificazione, sia che si tratti di un server interno nell'ambiente o di un'azienda pubblica/terza che fornisce questo tipo di servizio.

    Inoltre, i campi Nome comune (CN) e Nome alternativo soggetto (SAN) includono l'identità in cui utilizzare durante il flusso di autenticazione. Questo determina anche come il supplicant deve essere configurato per EAP-TLS in termini di identità: Autenticazione computer e/o utente, Autenticazione computer o Autenticazione utente. In questo esempio viene utilizzata solo l'autenticazione utente nel resto del documento.

    Dispositivi di rete

    Passaggio 4. Aggiungere il dispositivo di accesso alla rete in ISE

    Anche il dispositivo di accesso alla rete (NAD) a cui è connesso un endpoint è configurato in ISE in modo da consentire la comunicazione RADIUS/TACACS+ (Device Admin). Tra NAD e ISE, viene utilizzato un segreto/password condiviso per scopi di trust.

    Per aggiungere un indirizzo NAD tramite l'interfaccia utente grafica di ISE, selezionare Administration > Network Resources: Network Devices > Network Devices e fare clic su Add, come mostrato nell'immagine.

    Configure EAP-TLS Authentication with ISE - Network Device 1Configure EAP-TLS Authentication with ISE - Network Device 2Configure EAP-TLS Authentication with ISE - Network Device Example ConfigurationEsempio di configurazione di un dispositivo di rete

    Da utilizzare con ISE Profiling, è possibile configurare anche SNMPv2c o SNMPv3 (più sicuro) per consentire ad ISE Policy Service Node (PSN) di contattare NAD tramite query SNMP che riguardano l'autenticazione dell'endpoint ad ISE al fine di raccogliere gli attributi per prendere decisioni accurate sul tipo di endpoint utilizzato. Nell'esempio seguente viene illustrato come configurare SNMP (v2c), dalla stessa pagina dell'esempio precedente:

    Configure EAP-TLS Authentication with ISE - Example SNMPv2c ConfigEsempio di configurazione di SNMPv2c

    Per ulteriori informazioni, consultare il Cisco Identity Services Engine Administrator Guide, versione 3.1 > Capitolo: Secure Access > Defining Network Devices in Cisco ISE.

    Ora, se non è già stato fatto, è necessario configurare tutte le impostazioni relative al server AAA sul server NAD per autenticarsi e autorizzare l'autenticazione con Cisco ISE.

    Elementi criteri

    Queste impostazioni sono elementi che finiscono per essere associati ai criteri di autenticazione o di autorizzazione. In questa guida viene generato principalmente ogni elemento di criterio, che viene quindi mappato nel criterio di autenticazione o di autorizzazione. È importante tenere presente che il criterio non è attivo fino a quando l'associazione al criterio di autenticazione/autorizzazione non viene completata correttamente.

    Passaggio 5. Usa origine identità esterna

    Un'origine di identità esterna è semplicemente un'origine in cui risiede l'account di identità finale (computer o utente) utilizzato durante la fase di autenticazione ISE. Active Directory viene in genere utilizzato per supportare l'autenticazione computer con l'account computer e/o l'autenticazione utente con l'account utente finale in Active Directory. L'origine degli endpoint interni (interna) non memorizza l'account computer/nome host, pertanto non può essere utilizzata con l'autenticazione del computer.

    Di seguito sono elencate le origini identità supportate con ISE e i protocolli (tipo di autenticazione) che possono essere utilizzati con ciascuna origine identità:

    Configure EAP-TLS Authentication with ISE - Identity Store CapabilitiesFunzionalità archivio identità

    Per ulteriori informazioni sugli elementi dei criteri, consultare la guida per l'amministratore di Cisco Identity Services Engine, versione 3.1 > Capitolo: segmentazione > Set di criteri.

    Aggiungi gruppi di sicurezza Active Directory ad ISE

    Per utilizzare i gruppi di sicurezza di Active Directory nei criteri ISE, è necessario innanzitutto aggiungere il gruppo al punto di join di Active Directory. Dall'interfaccia grafica di ISE, scegliere Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory.

    Per ulteriori informazioni e requisiti sull'integrazione di ISE 3.x con Active Directory, consultare il documento Integrazione di Active Directory con Cisco ISE 2.x.

    Nota: la stessa azione è applicabile per aggiungere gruppi di sicurezza a un'istanza LDAP. Dall'interfaccia grafica di ISE, scegliere Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory.

    Passaggio 6. Creare il profilo di autenticazione del certificato

    Lo scopo del profilo di autenticazione del certificato è quello di informare ISE su quale campo di certificato è possibile trovare l'identità (computer o utente) sul certificato client (certificato di identità finale) presentato ad ISE durante EAP-TLS (anche durante altri metodi di autenticazione basati sul certificato). Queste impostazioni sono associate ai criteri di autenticazione per autenticare l'identità. Dalla GUI ISE, selezionare Administration > Identity Management: External Identity Sources > Certificate Authentication Profile e fare clic su Add.

    Usa identità da consente di scegliere l'attributo del certificato da cui è possibile trovare un campo specifico per l'identità. Le opzioni sono:

    Configure EAP-TLS Authentication with ISE - Certificate Profile Choices

    Se l'archivio identità deve essere puntato ad Active Directory o LDAP (origine identità esterna), è possibile utilizzare una funzionalità denominata Confronto binario. Il confronto binario esegue una ricerca dell'identità in Active Directory ottenuta dal certificato client dalla selezione Usa identità da, che si verifica durante la fase di autenticazione ISE. Senza il confronto binario, l'identità viene ottenuta semplicemente dal certificato client e non viene cercata in Active Directory fino alla fase di autorizzazione ISE, quando come condizione viene utilizzato un gruppo esterno di Active Directory, o in qualsiasi altra condizione che dovrebbe essere eseguita esternamente ad ISE. Per utilizzare Confronto binario, nell'archivio identità scegliere l'origine dell'identità esterna (Active Directory o LDAP) in cui è possibile trovare l'account dell'identità finale.

    Questo è un esempio di configurazione quando l'identità si trova nel campo Nome comune (CN) del certificato client, con Confronto binario abilitato (facoltativo):

    Configure EAP-TLS Authentication with ISE - Certificate Authentication ProfileProfilo di autenticazione certificato

    Per ulteriori informazioni, consultare Cisco Identity Services Engine Administrator Guide, Release 3.1 > Capitolo: Basic Setup > Cisco ISE CA Service > Configure Cisco ISE to Use Certificates for Authenticating Personal Devices > Create a Certificate Authentication Profile for TLS-Based Authentication.

    Passaggio 7. Aggiungi a una sequenza di origine identità

    La sequenza di origine delle identità può essere creata dalla GUI di ISE. Passa a Administration > Identity Management. Inferiore Identity Source Sequences ,fare clic su Add.

    Il passaggio successivo consiste nell'aggiungere il profilo di autenticazione del certificato a una sequenza di origini di identità che consente di includere più punti di join di Active Directory o di raggruppare una combinazione di origini di identità interne/esterne, in base alle esigenze, che quindi si associa al criterio di autenticazione in Use colonna.

    L'esempio riportato di seguito consente di eseguire prima la ricerca in Active Directory, quindi, se l'utente non viene trovato, la ricerca viene eseguita in un server LDAP. Per più origini di identità. assicurarsi sempre che Treat as if the user was not found and proceed to the next store in the sequence è selezionata. In questo modo, ogni origine/server di identità viene controllato durante la richiesta di autenticazione.

    Configure EAP-TLS Authentication with ISE - Identity Source SequenceSequenza origine identità

    In caso contrario, è inoltre possibile associare solo il profilo di autenticazione del certificato ai criteri di autenticazione.

    Passaggio 8. Definisci il servizio Protocolli consentiti

    Il servizio Protocolli consentiti abilita solo i metodi/protocolli di autenticazione supportati da ISE durante l'autenticazione RADIUS. Per eseguire la configurazione dalla GUI di ISE, selezionare Policy > Policy Elements: Results > Authentication > Allowed Protocols (Criterio > Elementi criteri: risultati > Autenticazione > Protocolli consentiti), quindi eseguire il binding come elemento alla policy di autenticazione.

    Nota: Authentication Bypass > Process Host Lookup fa riferimento all'opzione MAB abilitata su ISE.

    Queste impostazioni devono corrispondere a quelle supportate e configurate sul supplicant (sull'endpoint). In caso contrario, il protocollo di autenticazione non verrà negoziato come previsto e la comunicazione RADIUS potrebbe non riuscire. In una configurazione ISE reale, si consiglia di abilitare qualsiasi protocollo di autenticazione utilizzato nell'ambiente in modo che ISE e il supplicant possano negoziare e autenticare secondo le previsioni.

    Si tratta dei valori predefiniti (compressi) quando viene creata una nuova istanza dei servizi del protocollo consentito.

    Nota: come minimo, è necessario abilitare EAP-TLS poiché in questo esempio di configurazione ISE e il supplicant eseguono l'autenticazione tramite EAP-TLS.

    Configure EAP-TLS Authentication with ISE - Protocols to Allow ISE to Use During Authentication RequestProtocolli per consentire all'ISE di utilizzare la richiesta di autenticazione al richiedente dell'endpoint

    Nota: l'uso del protocollo EAP preferito impostato sul valore di EAP-TLS fa sì che ISE richieda il protocollo EAP-TLS come primo protocollo offerto al supplicant IEEE 802.1x dell'endpoint. Questa impostazione è utile se si intende eseguire l'autenticazione tramite EAP-TLS spesso sulla maggior parte degli endpoint autenticati con ISE.

    Passaggio 9. Creazione del profilo di autorizzazione

    L'ultimo elemento dei criteri da compilare è il profilo di autorizzazione, che si associa al criterio di autorizzazione e fornisce il livello di accesso desiderato. Il profilo di autorizzazione è associato al criterio di autorizzazione. Per configurarla dall'interfaccia utente di ISE, passare alla sezione Policy > Policy Elements: Results > Authorization > Authorization Profiles e fare clic su Add.

    Il profilo di autorizzazione contiene una configurazione che determina gli attributi che vengono passati da ISE al NAD per una determinata sessione RADIUS, in cui questi attributi vengono utilizzati per raggiungere il livello di accesso alla rete desiderato.

    Come mostrato di seguito, l'autenticazione passa semplicemente il tipo di accesso RADIUS Access-Accept, tuttavia è possibile utilizzare elementi aggiuntivi dopo l'autenticazione iniziale. Notare i dettagli degli attributi nella parte inferiore, che contiene il riepilogo degli attributi inviati da ISE al NAD quando corrisponde a un determinato profilo di autorizzazione.

    Configure EAP-TLS Authentication with ISE - Authorization Profile for Policy ElementProfilo autorizzazione - Elemento criterio

    Per ulteriori informazioni sul profilo di autorizzazione e la policy ISE, consultare il Cisco Identity Services Engine Administrator Guide, Release 3.1 > Capitolo: Segmentazione > Authorization Policies.

    Criteri di sicurezza

    I criteri di autenticazione e autorizzazione vengono creati dalla GUI di ISE, selezionare Policy > Policy Sets. Queste funzionalità sono abilitate per impostazione predefinita in ISE 3.x. Quando si installa ISE, viene sempre definito un set di criteri, che è il set di criteri predefinito. Il set di criteri predefinito contiene regole predefinite e predefinite per l'autenticazione, l'autorizzazione e le eccezioni.

    I Policy Set sono configurati in modo gerarchico, il che consente all'amministratore ISE di raggruppare criteri simili, in termini di finalità, in set diversi da utilizzare all'interno di una richiesta di autenticazione. Le regole di personalizzazione e raggruppamento sono praticamente illimitate. Di conseguenza, è possibile utilizzare un set di criteri per l'autenticazione degli endpoint wireless per l'accesso alla rete, un altro set di criteri per l'autenticazione degli endpoint cablati per l'accesso alla rete o per qualsiasi altro modo univoco e differenziante di gestire i criteri.

    Cisco ISE è in grado di valutare i set di criteri e i criteri in esso contenuti utilizzano l'approccio top-down, in modo che corrispondano a un determinato set di criteri quando tutte le condizioni di tale set restituiscono True. In questo caso ISE valuta ulteriormente i criteri di autenticazione e di autorizzazione presenti nel set di criteri, come indicato di seguito:

    1. Valutazione del set di criteri e delle relative condizioni
    2. Criteri di autenticazione nel set di criteri corrispondente
    3. Criteri di autorizzazione - Eccezioni locali
    4. Criteri di autorizzazione - Eccezioni globali
    5. Criteri di autorizzazione

    Le eccezioni dei criteri esistono globalmente per tutti i set di criteri o localmente all'interno di un set di criteri specifico. Queste eccezioni dei criteri vengono gestite come parte dei criteri di autorizzazione, poiché riguardano le autorizzazioni o i risultati forniti per l'accesso alla rete per un determinato scenario temporaneo.

    La sezione successiva illustra come combinare gli elementi di configurazione e policy con il binding alle policy di autenticazione e autorizzazione ISE per autenticare un endpoint tramite EAP-TLS.

    Passaggio 10. Crea set di criteri

    Un set di criteri è un contenitore gerarchico costituito da una singola regola definita dall'utente che indica il protocollo o la sequenza di server consentiti per l'accesso alla rete, nonché i criteri di autenticazione e autorizzazione e le eccezioni dei criteri, tutti configurati con regole basate su condizioni definite dall'utente.

    Per creare un set di criteri dall'interfaccia utente grafica di ISE, selezionare Policy > Policy Set quindi fare clic sull'icona più (+) nell'angolo superiore sinistro, come mostrato nell'immagine.

    Configure EAP-TLS Authentication with ISE - Add a New Policy SetAggiunta di un nuovo set di criteri

    Il set di criteri può associare/combinare questo elemento di criteri configurato in precedenza e viene utilizzato per determinare il set di criteri da abbinare in una determinata richiesta di autenticazione RADIUS (Access-Request):

    • Binding: servizi protocolli consentiti

    Configure EAP-TLS Authentication with ISE - Define Policy Set Conditions and Allowed Protocols ListDefinizione delle condizioni del set di criteri e dell'elenco dei protocolli consentiti

    In questo esempio vengono utilizzati attributi e valori specifici che verrebbero visualizzati nella sessione RADIUS per applicare IEEE 802.1x (attributo framed), anche se è possibile che sia ridondante applicare nuovamente il protocollo RADIUS. Per ottenere risultati ottimali, utilizzare solo attributi di sessione RADIUS univoci applicabili all'intento desiderato, ad esempio Gruppi di dispositivi di rete o specifici per Wired 802.1x, Wireless 802.1x o Wired 802.1x e Wireless 802.1x.

    Per ulteriori informazioni sui set di criteri su ISE, consultare le sezioni Cisco Identity Services Engine Administrator Guide, Release 3.1 > Capitolo: Segmentazione > Set di criteri, Criteri di autenticazione e Criteri di autorizzazione.

    Passaggio 11. Creare un criterio di autenticazione

    All'interno del set di criteri, il criterio di autenticazione associa/combina questi elementi di criteri precedentemente configurati per l'utilizzo con condizioni per determinare quando una regola di autenticazione deve essere soddisfatta.

    • Binding: profilo di autenticazione certificato o sequenza di origine identità.

    Configure EAP-TLS Authentication with ISE - Authentication Policy Rule ExampleEsempio di regola dei criteri di autenticazione

    Passaggio 12. Creare il criterio di autorizzazione

    All'interno del set di criteri, il criterio di autorizzazione associa/associa questi elementi di criteri configurati in precedenza per l'utilizzo con condizioni per determinare quando una regola di autorizzazione deve essere soddisfatta. Nell'esempio riportato di seguito viene illustrato l'utilizzo dell'autenticazione utente poiché le condizioni fanno riferimento al gruppo di sicurezza Domain Users in Active Directory.

    • Binding: profilo di autorizzazione

    Configure EAP-TLS Authentication with ISE - Authorization Policy Rule ExampleEsempio di regola dei criteri di autorizzazione

    Per aggiungere un gruppo esterno, ad esempio da Active Directory o LDAP, è necessario aggiungere il gruppo dall'istanza del server esterno. Nell'esempio, viene dall'interfaccia utente di ISE: Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups. Nella scheda Gruppo, scegliere Add > Select Groups from Directory e utilizzare il filtro Nome per cercare tutti i gruppi (*) o gruppi specifici, ad esempio Utenti dominio (*utenti dominio*) per recuperare i gruppi.

    Configure EAP-TLS Authentication with ISE - Add Group From DirectoryPer usare i gruppi esterni nei criteri ISE, aggiungere un gruppo dalla directory

    Configure EAP-TLS Authentication with ISE - Search Within the External Directory - Active Directory ExampleRicerca nella directory esterna - Esempio di Active Directory

    Dopo aver selezionato la casella di controllo accanto a ciascun gruppo, si utilizzerà in Policy all'interno di ISE. Non dimenticare di fare clic su Ok e/o su Salva per salvare le modifiche.

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Una volta che tutti gli elementi di configurazione e criteri globali hanno associato il set di criteri, la configurazione è simile a questa immagine per l'autenticazione utente tramite EAP-TLS:

    Configure EAP-TLS Authentication with ISE - Verify

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    Al termine della configurazione, connettere l'endpoint per eseguire il test di autenticazione. I risultati sono disponibili nella GUI di ISE. Scegli Operations > Radius > Live Logs, come mostrato nell'immagine.

    Per maggiore consapevolezza, i Live Log per RADIUS e TACACS+ (Device Admin) sono disponibili per i tentativi di autenticazione e le attività eseguite fino alle ultime 24 ore e per gli ultimi 100 record. Se si desidera visualizzare questo tipo di dati di report oltre questo intervallo di tempo, è necessario utilizzare i report, in particolare: ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications.

    Configure EAP-TLS Authentication with ISE - Example Output from RADIUS/Live LogsOutput di esempio da raggio > Live Log

    In RADIUS Live Logs in ISE, ci si aspetta di trovare informazioni sulla sessione RADIUS, che includono gli attributi della sessione, e altre informazioni utili per diagnosticare il comportamento osservato durante un flusso di autenticazione. Fare clic sul pulsante details per aprire la vista dettagliata della sessione e visualizzare gli attributi della sessione e le informazioni correlate specifiche di questo tentativo di autenticazione.

    Per risolvere i problemi, è importante verificare che siano soddisfatti i criteri corretti. Per questo esempio di configurazione, i criteri di autenticazione e autorizzazione desiderati vengono associati come previsto, come mostrato nell'immagine:

    Configure EAP-TLS Authentication with ISE - ISE Details Policy

    Nella vista dettagliata, questi attributi vengono controllati per verificare che l'autenticazione funzioni come previsto dal progetto come parte di questo esempio di configurazione:

    • Evento
      • Indica se l'autenticazione è riuscita o meno.
      • In uno scenario di lavoro il valore è: Autenticazione 5200 riuscita.

    • Username
      • inclusa l'identità finale estratta dal certificato client presentato ad ISE.
      • In uno scenario di lavoro, questo è il nome utente dell'utente connesso all'endpoint, ovvero employee1 dall'immagine precedente.

    • ID endpoint
      • Per Wired/Wireless, questo valore corrisponde all'indirizzo MAC della scheda di interfaccia di rete (NIC) dell'endpoint.
      • In uno scenario di lavoro, questo indirizzo diventa l'indirizzo MAC dell'endpoint a meno che la connessione non sia su VPN, nel qual caso può essere l'indirizzo IP dell'endpoint.

    • Criterio di autenticazione
      • Mostra i criteri di autenticazione corrispondenti per la sessione specificata in base agli attributi della sessione che soddisfano le condizioni dei criteri.
      • In uno scenario di lavoro, questo è il criterio di autenticazione previsto come configurato.
      • Se viene visualizzato un altro criterio, significa che il criterio previsto non è stato valutato come vero se confrontato con le condizioni del criterio. In questo caso, esaminare gli attributi della sessione e verificare che ogni criterio contenga condizioni diverse ma univoche per ogni criterio.

    • Criteri di autorizzazione
      • Mostra il criterio di autorizzazione corrispondente per la sessione specificata in base agli attributi della sessione che soddisfano le condizioni del criterio.
      • In uno scenario di lavoro, questo è il criterio di autorizzazione previsto come configurato.
      • Se viene visualizzato un altro criterio, significa che il criterio previsto, se confrontato con le condizioni del criterio, non è stato valutato come true. In questo caso, esaminare gli attributi della sessione e verificare che ogni criterio contenga condizioni diverse ma univoche per ogni criterio.

    • Risultato autorizzazione
      • In base al criterio di autorizzazione corrispondente, mostra il profilo di autorizzazione utilizzato nella sessione specificata.
      • In uno scenario di lavoro, questo valore corrisponde a quello configurato nel criterio. È consigliabile eseguire l'analisi a scopo di audit e verificare che sia stato configurato il profilo di autorizzazione corretto.

    • Server delle policy
      • Incluso il nome host del PSN (Policy Service Node) di ISE coinvolto nel tentativo di autenticazione.
      • In uno scenario di lavoro, è possibile visualizzare solo le autenticazioni che passano al primo nodo PSN come configurato nel NAD (noto anche come dispositivo perimetrale), a meno che il PSN non sia stato operativo o se si è verificato il failover, ad esempio a causa di una latenza maggiore del previsto o se si verifica un timeout di autenticazione.

    • Metodo di autenticazione
      • Mostra il metodo di autenticazione utilizzato nella sessione specificata. In questo esempio il valore visualizzato è dot1x.
      • In uno scenario di lavoro basato su questo esempio di configurazione, il valore visualizzato è dot1x. Se viene visualizzato un altro valore, è possibile che dot1x non sia riuscito o che non sia stato tentato.

    • Protocollo di autenticazione
      • Mostra il metodo di autenticazione utilizzato nella sessione specificata. In questo esempio, il valore è EAP-TLS.
      • In uno scenario di lavoro basato su questo esempio di configurazione, il valore viene sempre visualizzato come EAP-TLS. Se viene visualizzato un altro valore, il supplicant e ISE non sono riusciti a negoziare EAP-TLS.

    • Dispositivo di rete
      • Mostra il nome del dispositivo di rete, configurato in ISE, per il dispositivo NAD (noto anche come dispositivo perimetrale) coinvolto nel tentativo di autenticazione tra l'endpoint e ISE.
      • In uno scenario di lavoro, questo nome viene sempre assegnato nell'interfaccia utente ISE: Administration > System: Network Devices. In base a tale configurazione, l'indirizzo IP del NAD (noto anche come dispositivo perimetrale) viene utilizzato per determinare da quale dispositivo di rete proviene l'autenticazione e che è incluso nell'attributo di sessione Indirizzo IPv4 NAS.

    In nessun caso si tratta di un elenco completo di tutti gli attributi di sessione possibili da esaminare per la risoluzione dei problemi o altri scopi di visibilità, in quanto vi sono altri attributi utili da verificare. Si consiglia di esaminare tutti gli attributi della sessione per iniziare a familiarizzare con tutte le informazioni. È possibile vedere includere la parte destra sotto la sezione Passi, che mostra le operazioni o il comportamento assunto dall'ISE.

    Problemi e tecniche comuni per la risoluzione dei problemi

    L'elenco include alcuni problemi comuni e consigli per la risoluzione dei problemi e non deve assolutamente essere un elenco completo. Invece, utilizza questa guida per sviluppare le tue tecniche per risolvere i problemi quando è coinvolto ISE.

    Problema: si è verificato un errore di autenticazione (autenticazione 5400 non riuscita) o qualsiasi altro tentativo di autenticazione non riuscito.

    • Se si verifica un errore di autenticazione, fare clic sull'icona dei dettagli che fornisce informazioni sul motivo dell'errore di autenticazione e sui passaggi eseguiti. Ciò include il motivo dell'errore e la possibile causa principale.

    • Poiché ISE decide sul risultato dell'autenticazione, ha le informazioni per capire la ragione per cui il tentativo di autenticazione non è riuscito.

    Problema: l'autenticazione non viene completata correttamente e il motivo dell'errore indica "5440 Endpoint abbandonato sessione EAP e avviato nuovo" o "5411 Supplicant stop responding to ISE".

    • Questo motivo indica che la comunicazione RADIUS non è stata completata prima del timeout. Poiché EAP si trova tra l'endpoint e NAD, è necessario verificare il timeout utilizzato in NAD e verificare che sia impostato per almeno cinque secondi.

    • Se cinque secondi non sono sufficienti per risolvere il problema, si consiglia di aumentarli di cinque secondi alcune volte e di ripetere il test per verificare se questa tecnica risolve il problema.

    • Se il problema non viene risolto nei passaggi precedenti, è consigliabile verificare che l'autenticazione venga gestita dallo stesso nodo PSN ISE corretto e che il comportamento complessivo non indichi comportamenti anomali, ad esempio una latenza superiore alla normale tra i nodi PSN NAD e ISE.

    • Inoltre, è consigliabile verificare se l'endpoint invia il certificato client tramite l'acquisizione pacchetti se ISE non riceve il certificato client, l'endpoint (certificati utente) non può considerare attendibile il certificato di autenticazione ISE EAP. Se il valore è true, importare la catena di CA negli archivi certificati corretti (CA radice = CA radice attendibile) | CA intermediaria = CA intermediaria attendibile).


    Problema: l'autenticazione ha esito positivo, ma non corrisponde al criterio di autenticazione e/o autorizzazione corretto.

    • Se si verifica una richiesta di autenticazione riuscita, ma che non soddisfa le regole di autenticazione e/o autorizzazione corrette, si consiglia di esaminare gli attributi della sessione per verificare che le condizioni utilizzate siano accurate e presenti nella sessione RADIUS.

    • ISE valuta queste policy da un approccio top-down (ad eccezione delle policy di postura). È innanzitutto necessario determinare se il criterio corrispondente è superiore o inferiore al criterio desiderato. I criteri di autenticazione vengono valutati per primi e indipendentemente dai criteri di autorizzazione. Se il criterio di autenticazione corrisponde correttamente, significa che l'autenticazione 22037 è stata passata in Dettagli di autenticazione nella sezione a destra denominata Passi.

    • Se il criterio desiderato è superiore al criterio corrispondente, significa che la somma delle condizioni del criterio desiderato non è risultata vera. Vengono esaminati tutti gli attributi e i valori nella condizione e nella sessione per verificare che esista e che non sia presente alcun errore ortografico.

    • Se il criterio desiderato è inferiore al criterio corrispondente, significa che è stato trovato un altro criterio (sopra) anziché il criterio desiderato. È possibile che i valori delle condizioni non siano sufficientemente specifici, che le condizioni siano duplicate in un altro criterio o che l'ordine del criterio non sia corretto. Anche se la risoluzione dei problemi diventa più difficile, si consiglia di iniziare a rivedere i criteri per determinare il motivo per cui i criteri desiderati non sono stati soddisfatti. Ciò consente di identificare le azioni da intraprendere successivamente.

    Problema: il valore dell'identità o del nome utente utilizzato durante l'autenticazione non è quello previsto.

    • In questo caso, se l'endpoint invia il certificato client, è molto probabile che ISE non utilizzi il campo del certificato corretto nel modello di autenticazione del certificato, che viene valutato durante la fase di autenticazione.

    • Esaminare il certificato client per individuare il campo esatto dell'identità/nome utente desiderato e verificare che lo stesso campo sia selezionato da: ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy).


    Problema: autenticazione non riuscita. Motivo dell'errore: handshake SSL/TLS 12514 EAP-TLS non riuscito a causa di un'autorità di certificazione sconosciuta nella catena di certificati client.

    • Ciò può verificarsi se il certificato client include un certificato nella catena CA non attendibile nell'interfaccia utente di ISE: Administration > System: Certificates > Trusted Certificates.

    • Questa situazione si può verificare in genere quando il certificato client (sull'endpoint) ha una catena di CA diversa da quella del certificato firmato a ISE per l'autenticazione EAP.

    • Per risolvere il problema, verificare che la catena di CA dei certificati client sia attendibile su ISE e che la catena di CA dei certificati del server di autenticazione EAP ISE sia attendibile sull'endpoint.
      - Per Windows OS e Chrome, passare a Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates.
      - Per Firefox: importare la catena CA (non il certificato di identità finale) da considerare attendibile per il server Web.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    13-Jul-2023
    Sono state aggiunte informazioni di base. Titolo aggiornato, Introduzione, PII, Requisiti di branding, Traduzione automatica, Requisiti di stile, Ortografia, Formattazione.
    2.0
    17-May-2022
    Aggiornato ad ISE release 3.x.
    1.0
    17-Oct-2019
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Nick DiNofrio
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti