EAP-TLS-verificatie configureren met ISE

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 juli 2023
Document-id:214975

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de eerste configuratie om de Extensible Verification Protocol-Transport Layer Security Verification te introduceren met Cisco ISE.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van EAP- en RADIUS-communicatiestromen.
    • Basiskennis van RADIUS-verificatie met op certificaten gebaseerde verificatiemethoden wat betreft de communicatiestroom.
    • Inzicht in de verschillen tussen Dot1x en MAC-verificatie-omleiding (MAB).
    • Basiskennis van Public Key Infrastructure (PKI).
    • Bekendheid met de manier waarop ondertekende certificaten kunnen worden verkregen van een certificeringsinstantie (CA) en certificaten kunnen beheren op de eindpunten.
    • Configuratie van verificatie, autorisatie en accounting (AAA) (RADIUS)-instellingen op een netwerkapparaat (bekabeld of draadloos).
    • Configuratie van supplicant (op eindpunt) voor gebruik met RADIUS/802.1x.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Identity Services Engine (ISE) release 3.x.
    • CA - om certificaten uit te geven (kan Enterprise CA, externe/openbare CA zijn of het Certificate Provisioning Portal gebruiken).
    • Active Directory (externe identiteitsbron) - van Windows Server; indien compatibel met ISE.
    • Network Access Device (NAD) - kan Switch (bekabeld) of draadloze LAN-controller (WLC) (draadloos) zijn geconfigureerd voor 802.1x/AAA.
    • Endpoint - certificaten afgegeven aan de (gebruikers)identiteit en de bijbehorende configuratie die kunnen worden geverifieerd voor netwerktoegang via RADIUS/802.1x: gebruikersverificatie. Het is mogelijk om een machinecertificaat te krijgen, maar het wordt niet gebruikt in dit voorbeeld.

    Opmerking: omdat deze handleiding gebruik maakt van ISE release 3.1, zijn alle documentatie referenties gebaseerd op deze versie. Dezelfde/soortgelijke configuratie is echter mogelijk en volledig ondersteund op eerdere releases van Cisco ISE.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De belangrijkste focus ligt op de ISE-configuratie die kan worden toegepast op meerdere scenario’s, zoals (maar niet beperkt tot) verificatie met een IP-telefoon/endpoint verbonden via bekabeld of draadloos.

    Voor het toepassingsgebied van deze handleiding is het belangrijk om deze fasen van de ISE-verificatiestroom (RADIUS) te begrijpen:

    • Verificatie - Identificeer en valideer de end-identiteits (machine, gebruiker enzovoort) die netwerktoegang aanvraagt.

    • Vergunning - Bepaal welke toestemmingen/toegang de eind-identiteit op het netwerk kan worden verleend.

    • Accounting - Rapporteer en volg de netwerkactiviteit van de end-identiteits nadat netwerktoegang is bereikt.

    Configureren

    Server- en clientcertificaten verkrijgen

    Stap 1. Genereert een aanvraag voor certificaatondertekening van ISE

    De eerste stap is het genereren van een certificaatondertekeningsaanvraag (CSR) van ISE en het indienen bij de CA (server) om het ondertekende certificaat te verkrijgen dat is afgegeven aan ISE, als systeemcertificaat. Dit certificaat kan worden gepresenteerd als een servercertificaat door ISE tijdens EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security Verification). Dit wordt uitgevoerd in de ISE-gebruikersinterface. Naar navigeren Administration > System: Certificates > Certificate Management > Certificate Signing Requests. Onder Certificate Signing Requests,klik op de knop Generate Certificate Signing Requests (CSR) zoals in deze afbeelding.

    Configure EAP-TLS Authentication with ISE - CSR Button

    Voor certificaattypen zijn verschillende uitgebreide sleuteltoepassingen vereist. Deze lijst schetst welke uitgebreide belangrijkste toepassingen voor elk certificaattype worden vereist:

    ISE-identificatiecertificaten

    • Voor meervoudig gebruik (Admin, EAP, Portal, PxGrid) - client- en serververificatie
    • Admin - serververificatie
    • EAP-verificatie - serververificatie
    • DTLS-verificatie (Datagram Transport Layer Security) - serververificatie
    • Portal - Serververificatie
    • PXGrid - client- en serververificatie
    • Security Assertion Markup Language (SAML) - SAML-ondertekeningscertificaat
    • ISE Messaging Service - Genereer een ondertekeningscertificaat of genereer een gloednieuw Messaging Certificate

    Standaard is het ISE Messaging Service System Certificate bedoeld voor gegevensreplicatie in elk ISE-knooppunt bij de implementatie, de registratie van knooppunten en andere communicatie tussen knooppunten, en is het aanwezig en afgegeven door de ISE Internal Certificate Authority (CA)-server (intern voor ISE). Met dit certificaat hoeft geen actie te worden uitgevoerd.

    Het Systeemcertificaat Admin wordt gebruikt om elke ISE-knooppunt te identificeren, bijvoorbeeld wanneer de API die is gekoppeld aan de Admin UI (Beheer) wordt gebruikt, en voor bepaalde communicatie tussen knooppunten. Als u ISE voor het eerst wilt instellen, plaatst u het Admin System Certificate. Die actie is niet direct gerelateerd aan deze configuratiehandleiding.

    Om IEEE 802.1x via EAP-TLS (op certificaten gebaseerde verificatie) uit te voeren, moet u actie ondernemen voor het EAP-verificatie-systeemcertificaat, aangezien dit wordt gebruikt als het servercertificaat dat tijdens de EAP-TLS-stroom aan het eindpunt/de client wordt voorgelegd; het resultaat wordt binnen de TLS-tunnel beveiligd. Om aan de slag te gaan, maakt u een CSR om het EAP-verificatie-systeemcertificaat te maken en geeft u dit aan het personeel dat de CA-server(s) in uw organisatie (of publieke CA-provider) beheert voor ondertekening. Het eindresultaat is het CA-Ondertekende Certificaat dat aan CSR bindt en aan ISE met deze stappen associeert.

    Selecteer op het formulier Certificaatondertekeningsaanvraag (CSR) deze opties om de CSR in te vullen en de inhoud ervan te verkrijgen:

    • Voor het gebruik van het certificaat kiest u bij deze configuratie bijvoorbeeld EAP Authentication.

    • Als u van plan bent een jokerteken in het certificaat te gebruiken, *.example.com, dan moet u ook de Allow Wildcard Certificate vink het vakje aan. De beste locatie is het veld voor het certificaat van de Onderwerp Alternatieve Naam (SAN) voor compatibiliteit voor elk gebruik en over meerdere verschillende typen endpointbesturingssystemen die in de omgeving aanwezig kunnen zijn.

    • Als u er niet voor hebt gekozen om een verklaring met jokerteken in het certificaat te plaatsen, kies dan welke ISE-knooppunten u wilt koppelen aan het CA-ondertekende certificaat (na ondertekening).

      Opmerking: wanneer u het door CA ondertekende certificaat dat de verklaring met jokerteken bevat, bindt aan meerdere knooppunten binnen de CSR, wordt het certificaat verdeeld naar elke ISE-knooppunt (of naar de geselecteerde knooppunten) in de ISE-implementatie, en kunnen de services opnieuw worden gestart. De herstart van de services is echter automatisch beperkt tot één knooppunt tegelijk. Controleer de herstart van de services via de show application status ise ISE-CLI-opdracht.

      Vervolgens moet u het formulier invullen om het onderwerp te kunnen definiëren. Dit omvat de gemeenschappelijke naam (CN), Organisatorische Eenheid (OU), Organisatie (O), Stad (L), Staat (ST), en de gebieden van het Certificaat van het Land (C). De variabele $FQDN$ is de waarde die staat voor het beheer van de volledig gekwalificeerde domeinnaam (hostname + domeinnaam) die is gekoppeld aan elk ISE-knooppunt.

    • Het Subject Alternative Name (SAN) de velden moeten ook worden ingevuld om de vereiste en gewenste informatie op te nemen die moet worden gebruikt om vertrouwen te wekken. Als vereiste moet u de DNS-ingang definiëren die verwijst naar de FQDN van de ISE-knooppunt(en) die aan dit certificaat is gekoppeld nadat het certificaat is ondertekend.

    • Zorg er ten slotte voor dat u het juiste sleuteltype, de juiste sleutellengte en de juiste verrekening definieert om te ondertekenen met een code die in overeenstemming is met de mogelijkheden van de CA-server(s) en met de juiste beveiligingsprocedures voor ogen. Standaardwaarden zijn: RSA, 4096 bits en SHA-384 respectievelijk. De beschikbare keuzen en de verenigbaarheid worden getoond in deze pagina binnen ISE Admin UI.

    Dit is een voorbeeld van een ingevuld MVO formulier zonder het gebruik van een wildcard statement. Zorg ervoor dat u feitelijke waarden gebruikt die specifiek zijn voor de omgeving:

    Configure EAP-TLS Authentication with ISE - Completed CSR Form Without a Wildcard Statement

    Configure EAP-TLS Authentication with ISE - CSR ExampleCSR-voorbeeld

    Om de MVO op te slaan, klikt u op Generate. Klik op de knop Export, aan de rechteronderkant van het scherm, om de CSR-bestanden vanaf deze prompt te exporteren:

    Configure EAP-TLS Authentication with ISE - Export CSR ExampleVoorbeeld van MVO exporteren

    Meer informatie over certificaten voor gebruik met ISE kunt u vinden in de beheerdershandleiding voor Cisco Identity Services Engine, release 3.1 > Hoofdstuk: Basic Setup > Certificate Management in Cisco ISE en Installeer een certificaat dat door een derde partij is ondertekend in ISE.

    Stap 2. CA-certificaten importeren in ISE

    Nadat de CA het ondertekende certificaat heeft teruggestuurd, bevat het ook de volledige CA-keten bestaande uit een basiscertificaat en één/meerdere tussenliggende certificaten. De ISE Admin UI dwingt u om eerst alle certificaten in de CA-keten te importeren, voorafgaand aan associatie of het uploaden van systeemcertificaten. Dit wordt gedaan om ervoor te zorgen dat elk systeemcertificaat correct is gekoppeld aan de CA-keten (ook bekend als vertrouwd certificaat) binnen de ISE-software.

    Deze stappen zijn de beste manier om de CA-certificaten en het systeemcertificaat in ISE in te voeren:

    1. Om het wortelcertificaat in ISE GUI te importeren, navigeer naar Administration > System: Certificates > Certificate Management. Onder Trusted Certificates,klik op de knop Import en controleer het certificaatgebruik Trust voor verificatie binnen de aanvinkvakjes ISE (Infrastructuur) en Trust voor clientverificatie en Syslog (Endpoints).

      Configure EAP-TLS Authentication with ISE - Certificate Usage for CA ChainCertificaatgebruik voor CA-keten

    2. Herhaal de voorgaande stap voor elk tussenliggend certificaat (tussenliggende certificaten) als onderdeel van de CA-certificaatketen.

    3. Wanneer alle certificaten, als onderdeel van de volledige CA-keten, zijn geïmporteerd in de Trusted Certificates-winkel in ISE, keert u terug naar de ISE GUI en bladert u naar Administration > System: Certificates > Certificate Management: Certificate Signing Requests. Zoek de CSR-vermelding onder Vriendelijke naam die overeenkomt met het ondertekende certificaat, klik op het aanvinkvakje van het certificaat en klik vervolgens op Bind Certificate.

      Configure EAP-TLS Authentication with ISE - Bind Certificate to CSRCertificaat binden aan MVO

      Opmerking: u moet een enkel CA-ondertekend certificaat tegelijkertijd aan elke CSR binden. Herhaal dit voor alle resterende CSR’s die tijdens de implementatie voor andere ISE-knooppunten zijn gemaakt.

      Klik op de volgende pagina Browse en kies het ondertekende certificaatbestand, definieer een gewenste vriendschappelijke naam en kies het (de) certificaatgebruik(en). Verzenden om de wijzigingen op te slaan.

      Configure EAP-TLS Authentication with ISE - Choose Certificate to Bind to CSRSelecteer Certificaat om aan CSR te binden

    4. Op dat moment wordt het ondertekende certificaat verplaatst naar de ISE GUI. Naar navigeren Administration > System: Certificates > Certificate Management: System Certificates en toewijzen aan hetzelfde knooppunt waarvoor de MVO is gecreëerd. Herhaal dezelfde procedure voor andere knooppunten en/of andere certificaattoepassingen.

    Stap 3. Clientcertificaat verkrijgen voor endpoint

    Het is vereist om door een vergelijkbaar proces te navigeren op het eindpunt voor het maken van een clientcertificaat voor gebruik met EAP-TLS. Voor dit voorbeeld hebt u een clientcertificaat nodig dat is ondertekend en afgegeven aan de gebruikersaccount om de gebruikersverificatie met ISE uit te voeren. Een voorbeeld van het verkrijgen van een clientcertificaat voor het eindpunt uit een Active Directory-omgeving is te vinden in: Begrijp en configureer EAP-TLS met WLC en ISE > Configure > Client voor EAP-TLS.

    Vanwege de vele soorten endpoints en besturingssystemen, omdat het proces enigszins kan verschillen, worden er geen extra voorbeelden gegeven. Het totale proces is echter conceptueel hetzelfde. Een MVO genereren met alle relevante informatie die in het certificaat moet worden opgenomen en door de CA laten ondertekenen, of dat nu een interne server in de omgeving is of een publiek/extern bedrijf dat dit soort diensten aanbiedt.

    Bovendien bevatten de velden Common Name (CN) en Subjective Alternative Name (SAN) de identiteit die tijdens de verificatiestroom moet worden gebruikt. Dit bepaalt ook hoe de aanvrager moet worden geconfigureerd voor EAP-TLS wat betreft de identiteit: Machine- en/of Gebruikersverificatie, Machineverificatie of Gebruikersverificatie. In dit voorbeeld wordt alleen de gebruikersverificatie in de rest van dit document gebruikt.

    Netwerkapparaten

    Stap 4. Voeg het netwerktoegangsapparaat toe in ISE

    Het Network Access Device (NAD) waarmee een eindpunt is verbonden, wordt ook in ISE geconfigureerd, zodat RADIUS/TACACS+ (Device Admin) kan worden gecommuniceerd. Tussen de NAD en ISE wordt een gedeeld geheim/wachtwoord gebruikt voor vertrouwensdoeleinden.

    Als u een NAD via de ISE GUI wilt toevoegen, bladert u naar Administration > Network Resources: Network Devices > Network Devices en klik op Add, dat in deze afbeelding wordt weergegeven.

    Configure EAP-TLS Authentication with ISE - Network Device 1Configure EAP-TLS Authentication with ISE - Network Device 2Configure EAP-TLS Authentication with ISE - Network Device Example ConfigurationVoorbeeldconfiguratie van netwerkapparaten

    Voor gebruik met ISE-profilering wilt u ook SNMPv2c of SNMPv3 (veiliger) configureren om het ISE Policy Service Node (PSN) in staat te stellen contact op te nemen met de NAD via SNMP-vragen die betrokken zijn bij het authenticeren van het eindpunt naar ISE om attributen te verzamelen om accurate beslissingen te nemen over het gebruikte endpointtype. In het volgende voorbeeld wordt getoond hoe SNMP (v2c) op dezelfde pagina moet worden ingesteld als in het vorige voorbeeld:

    Configure EAP-TLS Authentication with ISE - Example SNMPv2c ConfigVoorbeeld SNMPv2c-configuratie

    Meer informatie is te vinden in de beheerdershandleiding voor Cisco Identity Services Engine, release 3.1 > Hoofdstuk: Secure Access > Defining Network Devices in Cisco ISE.

    Op dit moment, als u dat nog niet hebt gedaan, moet u alle AAA-gerelateerde instellingen op de NAD configureren voor verificatie en autorisatie met Cisco ISE.

    Beleidselementen

    Deze instellingen zijn elementen die uiteindelijk bindend worden voor het verificatiebeleid of het autorisatiebeleid. In deze handleiding wordt vooral elk beleidselement gebouwd en vervolgens in kaart gebracht in het Verificatiebeleid of Autorisatiebeleid. Het is belangrijk om te begrijpen dat het beleid pas van kracht wordt als de binding aan het verificatie-/autorisatiebeleid met succes is voltooid.

    Stap 5. Externe identiteitsbron gebruiken

    Een externe identiteitsbron is gewoon een bron waar de eindidentiteitsaccount (machine of gebruiker) zich bevindt die tijdens de ISE-verificatiefase wordt gebruikt. Active Directory wordt meestal gebruikt ter ondersteuning van Machineverificatie tegen de computeraccount en/of Gebruikersverificatie tegen de eindgebruikersaccount in Active Directory. De interne endpoints-bron slaat de computeraccount/hostnaam niet op en kan daarom niet worden gebruikt bij de verificatie van de machine.

    Hier worden de ondersteunde identiteitsbronnen met ISE en protocollen (verificatietype) getoond die met elke identiteitsbron kunnen worden gebruikt:

    Configure EAP-TLS Authentication with ISE - Identity Store CapabilitiesMogelijkheden in Identity Store

    Meer informatie over de beleidselementen vindt u in de beheerdershandleiding voor Cisco Identity Services Engine, release 3.1 > Hoofdstuk: Segmentatie > Beleidssets.

    Active Directory-beveiligingsgroepen aan ISE toevoegen

    Als u Active Directory-beveiligingsgroepen in ISE-beleid wilt gebruiken, moet u eerst de groep toevoegen aan het Active Directory-samenvoegpunt. Kies uit de ISE GUI Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory.

    Raadpleeg dit document volledig voor meer informatie en vereisten om ISE 3.x in Active Directory te integreren: Active Directory-integratie met Cisco ISE 2.x.

    Opmerking: dezelfde actie is van toepassing om beveiligingsgroepen aan een LDAP-instantie toe te voegen. Kies uit ISE GUI Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory.

    Stap 6. Het certificaatverificatieprofiel maken

    Het certificeringsverificatieprofiel heeft tot doel ISE te informeren welk certificaatveld de identiteit (machine of gebruiker) kan worden gevonden op het clientcertificaat (eindidentiteitscertificaat) dat tijdens EAP-TLS (ook tijdens andere op certificaten gebaseerde verificatiemethoden) aan ISE wordt aangeboden. Deze instellingen zijn gekoppeld aan het verificatiebeleid om de identiteit te verifiëren. Van ISE GUI, navigeer naar Administration > Identity Management: External Identity Sources > Certificate Authentication Profile en klik op Add.

    Identity From gebruiken wordt gebruikt om het certificaatkenmerk te kiezen waaruit een specifiek veld van de identiteit kan worden gevonden. De keuzes zijn:

    Configure EAP-TLS Authentication with ISE - Certificate Profile Choices

    Als de identiteitsopslag moet worden gericht op Active Directory of LDAP (externe identiteitsbron), dan kan een functie genaamd Binaire Vergelijking worden gebruikt. Binaire vergelijking voert een raadpleging uit van de identiteit in Active Directory die uit het clientcertificaat wordt verkregen uit de selectie Identity From gebruiken, die tijdens de ISE-verificatiefase plaatsvindt. Zonder Binaire Vergelijking, wordt de identiteit eenvoudig verkregen van het cliëntcertificaat en niet opgezocht in Actieve Folder tot de fase van de Vergunning van ISE wanneer een Actieve Externe Groep van de Folder als voorwaarde, of andere voorwaarden wordt gebruikt die extern aan ISE zouden moeten worden uitgevoerd. Om Binaire Vergelijking te gebruiken, kies in de Identity Store de externe identiteitsbron (Active Directory of LDAP) waar de end-identiteits-account kan worden gevonden.

    Dit is een configuratievoorbeeld wanneer de identiteit zich in het veld Common Name (CN) van het clientcertificaat bevindt, met Binaire vergelijking ingeschakeld (optioneel):

    Configure EAP-TLS Authentication with ISE - Certificate Authentication ProfileCertificaatverificatieprofiel

    Meer informatie is te vinden in Cisco Identity Services Engine Administrator Guide, release 3.1 > Chapter: Basic Setup > Cisco ISE CA Service > Configure Cisco ISE to Use Certificates for Authenticating Personal Devices > Create a Certificate Verification Profile for TLS-Based Verification.

    Stap 7. Aan een identiteitsbronreeks toevoegen

    De Identity Source Sequence kan worden gemaakt op basis van de ISE GUI. Naar navigeren Administration > Identity Management. Onder Identity Source Sequences ,klik op de knop Add.

    De volgende stap is om het Certificaatverificatieprofiel toe te voegen aan een Identity Source Sequence die de mogelijkheid biedt om meerdere Active Directory-samenvoegingspunten of een combinatie van interne/externe identiteitsbronnen te omvatten, zoals gewenst, die vervolgens bindt aan het Verificatiebeleid onder de Use kolom.

    Het voorbeeld zoals hier getoond staat toe de raadpleging eerst tegen Actieve Folder wordt uitgevoerd, dan als de gebruiker niet wordt gevonden, kijkt het op een volgende server LDAP omhoog. Voor meerdere identiteitsbronnen. Treat as if the user was not found and proceed to the next store in the sequence dit selectievakje is ingeschakeld. Dit betekent dat elke identiteitsbron/server wordt gecontroleerd tijdens de verificatieaanvraag.

    Configure EAP-TLS Authentication with ISE - Identity Source SequenceIdentity Source Sequence

    Anders kunt u ook alleen het certificaatverificatieprofiel aan het verificatiebeleid binden.

    Stap 8. De toegestane protocolservice definiëren

    De Toegestane Dienst van Protocollen laat slechts dat authentificatiemethodes/protocollen toe die ISE tijdens de Verificatie van de RADIUS steunt. Als u vanuit de ISE GUI wilt configureren, navigeert u naar Policy > Policy Elements: Results > Authentication > Alallow Protocols en vervolgens bindt deze als een element aan het verificatiebeleid.

    Opmerking: Verificatieomzeiling > Proces Host Lookup heeft betrekking op MAB ingeschakeld op ISE.

    Deze instellingen moeten hetzelfde zijn als wat wordt ondersteund en geconfigureerd op de aanvrager (op het eindpunt). Anders wordt over het verificatieprotocol niet onderhandeld zoals verwacht en kan RADIUS-communicatie mislukken. In een real-world ISE-configuratie wordt aangeraden om elk verificatieprotocol dat in de omgeving wordt gebruikt in te schakelen, zodat ISE en de aanvrager kunnen onderhandelen en authenticeren zoals verwacht.

    Dit zijn de standaardwaarden (samengevouwen) wanneer een nieuw exemplaar van de services van het toegestane protocol wordt gemaakt.

    Opmerking: U dient minimaal EAP-TLS in te schakelen sinds ISE en onze aanvrager authenticeert via EAP-TLS in dit configuratievoorbeeld.

    Configure EAP-TLS Authentication with ISE - Protocols to Allow ISE to Use During Authentication RequestProtocollen om ISE toe te staan tijdens authenticatieaanvraag te gebruiken voor endpointsupplicant

    Opmerking: het gebruik van het voorkeurs-EAP-protocol dat is ingesteld op de waarde van EAP-TLS, zorgt ervoor dat ISE het EAP-TLS-protocol aanvraagt als het eerste protocol dat aan de IEEE 802.1x-supplicant voor endpoints wordt aangeboden. Deze instelling is handig als u vaak op de meeste endpoints die met ISE zijn geverifieerd via EAP-TLS wilt verifiëren.

    Stap 9. Het autorisatieprofiel maken

    Het laatste beleidselement dat nodig is om te bouwen is het Autorisatieprofiel, dat bindt aan het Autorisatiebeleid en het gewenste toegangsniveau geeft. Het vergunningsprofiel is gebonden aan het vergunningsbeleid. Ga naar om het vanuit ISE GUI te configureren Policy > Policy Elements: Results > Authorization > Authorization Profiles en klik op Add.

    Het autorisatieprofiel bevat een configuratie die resulteert in eigenschappen die worden doorgegeven van ISE naar de NAD voor een bepaalde RADIUS-sessie, waarin deze eigenschappen worden gebruikt om het gewenste niveau van netwerktoegang te bereiken.

    Zoals hier wordt getoond, passeert het RADIUS access-Accept gewoon als het Access Type. Aanvullende items kunnen echter worden gebruikt bij de eerste verificatie. Merk de Details van de Kenmerken helemaal onderaan op, die de samenvatting van de eigenschappen bevat die ISE naar het NAD stuurt wanneer het overeenkomt met een bepaald autorisatieprofiel.

    Configure EAP-TLS Authentication with ISE - Authorization Profile for Policy ElementAutorisatieprofiel - Beleidselement

    Meer informatie over het ISE-autorisatieprofiel en -beleid kunt u vinden in de Cisco Identity Services Engine Administrator Guide, release 3.1 > Hoofdstuk: Segmentatie > Autorisatiebeleid.

    Beveiligingsbeleid

    Verificatie- en autorisatiebeleid worden gemaakt vanuit de ISE GUI, kies Policy > Policy Sets. Deze zijn standaard ingeschakeld op ISE 3.x. Wanneer u ISE installeert, is er altijd één Policy Set gedefinieerd, wat de standaard Policy Set is. De standaard Policy Set bevat vooraf gedefinieerde en standaardverificatie, autorisatie en uitzonderingsregels.

    De Beleidssets worden hiërarchisch geconfigureerd, zodat de ISE-beheerder gelijksoortig beleid in termen van de bedoeling kan groeperen in verschillende sets voor gebruik binnen een verificatieverzoek. Aanpassings- en groepsbeleid is vrijwel onbeperkt. Zo kan één Policy Set worden gebruikt voor draadloze endpointverificatie voor netwerktoegang, terwijl een andere Policy Set kan worden gebruikt voor bekabelde endpointverificatie voor netwerktoegang, of voor een andere unieke en differentiërende manier om beleid te beheren.

    Cisco ISE kan beleidssets en het beleid binnen gebruik van de top-down aanpak evalueren, om eerst een bepaalde beleidsset aan te passen wanneer alle voorwaarden van genoemde set Waar blijken te zijn; waarop ISE het verificatiebeleid en het autorisatiebeleid binnen die set verder evalueert, als volgt:

    1. Evaluatie van de beleidsreeks en de beleidsvoorwaarden
    2. Verificatiebeleid binnen de overeenkomende beleidsset
    3. Autorisatiebeleid - lokale uitzonderingen
    4. Vergunningsbeleid - Algemene uitzonderingen
    5. Vergunningsbeleid

    Policy Exceptions bestaat globaal voor alle Policy Sets of lokaal binnen een specifieke Policy Set. Deze Policy Exceptions worden behandeld als deel van het Autorisatiebeleid, omdat ze betrekking hebben op welke machtigingen of resultaten worden gegeven voor netwerktoegang voor een bepaald tijdelijk scenario.

    In de volgende paragraaf wordt beschreven hoe u de configuratie- en beleidselementen kunt combineren om aan het beleid voor ISE-verificatie en -autorisatie te binden om een eindpunt te verifiëren via EAP-TLS.

    Stap 10. De beleidsset maken

    Een Policy Set is een hiërarchische container die bestaat uit een enkele, door de gebruiker gedefinieerde regel die de toegestane protocol- of serversequentie voor netwerktoegang aangeeft, evenals authenticatie- en autorisatiebeleid en beleidsuitzonderingen, die allemaal ook zijn geconfigureerd met door de gebruiker gedefinieerde, op voorwaarden gebaseerde regels.

    Om een beleidsset te maken vanuit de ISE GUI, navigeer naar Policy > Policy Set en klik vervolgens op het plusteken (+) in de linkerbovenhoek, zoals in deze afbeelding.

    Configure EAP-TLS Authentication with ISE - Add a New Policy SetEen nieuwe beleidsset toevoegen

    De Policy Set kan dit eerder geconfigureerde beleidselement binden/combineren en wordt gebruikt om te bepalen welke Policy Set moet worden gekoppeld in een bepaalde RADIUS-verificatieaanvraag (Access-request):

    • Bind: Toegestane protocolservices

    Configure EAP-TLS Authentication with ISE - Define Policy Set Conditions and Allowed Protocols ListVastgestelde voorwaarden en lijst met toegestane protocollen definiëren

    In dit voorbeeld worden specifieke kenmerken en waarden gebruikt die in de RADIUS-sessie zouden verschijnen om IEEE 802.1x (framed attribuut) af te dwingen, ook al is het mogelijk overbodig om het RADIUS-protocol opnieuw af te dwingen. Om de beste resultaten te behalen, gebruikt u alleen unieke RADIUS-sessiekenmerken die van toepassing zijn op de gewenste bedoeling, zoals Network Device Groepen of specifiek voor Wired 802.1x, Wireless 802.1x of zowel bekabeld 802.1x als Wireless 802.1x.

    Meer informatie over Policy Sets on ISE kunt u vinden in de secties Cisco Identity Services Engine Administrator Guide, release 3.1 > Hoofdstuk: Segmentatie > Policy Sets, Verificatiebeleid en Autorisatiebeleid.

    Stap 11. Een verificatiebeleid maken

    Binnen de Reeks van het Beleid, bindt het Beleid van de Verificatie/combineert deze die beleidselementen eerder worden gevormd om met voorwaarden worden gebruikt om te bepalen wanneer een Regel van de Verificatie moet worden aangepast.

    • Bind: Certificaatverificatieprofiel of Identity Source Sequence.

    Configure EAP-TLS Authentication with ISE - Authentication Policy Rule ExampleVoorbeeld van verificatiebeleidsregel

    Stap 12. Het autorisatiebeleid maken

    Binnen de Reeks van het Beleid, bindt het Beleid van de Vergunning/combineert deze die beleidselementen eerder worden gevormd om met voorwaarden worden gebruikt om te bepalen wanneer een Regel van de Vergunning moet worden aangepast. Het voorbeeld hier is voor Gebruikersverificatie omdat de voorwaarden verwijzen naar de beveiligingsgroep Domeingebruikers in Active Directory.

    • Bind: Autorisatieprofiel

    Configure EAP-TLS Authentication with ISE - Authorization Policy Rule ExampleVoorbeeld van regel voor autorisatiebeleid

    Om een externe groep (zoals van Active Directory of LDAP) toe te voegen, moet u de groep toevoegen van de externe server instantie. In dit voorbeeld is het van de ISE UI: Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups. Kies op het tabblad Groep de optie Add > Select Groups from Directory en gebruik het filter Naam om te zoeken naar alle groepen (*) of specifieke groepen, zoals Domeingebruikers (*domeingebruikers*) om groepen op te halen.

    Configure EAP-TLS Authentication with ISE - Add Group From DirectoryOm externe groepen te gebruiken in ISE-beleid, moet u groep toevoegen uit Directory

    Configure EAP-TLS Authentication with ISE - Search Within the External Directory - Active Directory ExampleZoeken in de externe map - Active Directory Voorbeeld

    Nadat u het aanvinkvakje naast elke groep aanvinkt, zou u in het Beleid binnen ISE gebruiken. Vergeet niet op OK en/of op Opslaan te klikken om de wijzigingen op te slaan.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Zodra alle globale configuratie en beleidselementen de Policy Set binden, ziet de configuratie er voor de Gebruikersverificatie via EAP-TLS hetzelfde uit als dit beeld:

    Configure EAP-TLS Authentication with ISE - Verify

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Wanneer de configuratie is voltooid, sluit u het eindpunt aan op verificatie. De resultaten zijn te vinden in de ISE GUI. Kiezen Operations > Radius > Live Logs, zoals in deze afbeelding wordt getoond.

    Voor bewustwording zijn de Live logs voor RADIUS en TACACS+ (Device Admin) beschikbaar voor de verificatiepogingen/activiteit tot de afgelopen 24 uur en voor de afgelopen 100 records. Als u dit type van rapporteringsgegevens na deze tijdspanne wenst te zien, dan moet u de rapporten gebruiken, specifiek: ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications.

    Configure EAP-TLS Authentication with ISE - Example Output from RADIUS/Live LogsVoorbeeld uitvoer van straal > bewegende logbestanden

    In de Live RADIUS-logbestanden in ISE verwacht u informatie te vinden over de RADIUS-sessie, waaronder sessiekenmerken, en andere nuttige informatie om gedrag te diagnosticeren dat tijdens een verificatiestroom is waargenomen. Klik op de details pictogram om de gedetailleerde weergave van de sessie te openen om sessiekenmerken en gerelateerde informatie die specifiek is voor deze verificatiepoging te bekijken.

    Om problemen op te lossen, is het belangrijk om ervoor te zorgen dat het juiste beleid wordt afgestemd. Bij deze configuratie bijvoorbeeld worden de gewenste verificatie- en autorisatiebeleidsregels aangepast zoals verwacht, zoals in de afbeelding wordt getoond:

    Configure EAP-TLS Authentication with ISE - ISE Details Policy

    In de gedetailleerde weergave worden deze eigenschappen gecontroleerd om te verifiëren dat de verificatie zich gedraagt zoals verwacht wordt in het ontwerp als onderdeel van dit configuratievoorbeeld:

    • Gebeurtenis
      • Hierin staat of de authenticatie is geslaagd.
      • In een werkend scenario is de waarde: 5200 Authenticatie gelukt.

    • Username
      • Dit omvat de end-identiteits die werd gehaald uit het clientcertificaat dat werd aangeboden aan ISE.
      • In een werkscenario is dit de gebruikersnaam van de gebruiker die bij het eindpunt is ingelogd (namelijk worker1 uit de vorige afbeelding).

    • Endpoint-id
      • Voor bekabeld/draadloos is deze waarde het MAC-adres van de netwerkinterfacekaart (NIC) vanaf het eindpunt.
      • In een werkend scenario wordt dit het MAC-adres van het eindpunt tenzij de verbinding via VPN verloopt, in welk geval het het IP-adres van het eindpunt kan zijn.

    • Verificatiebeleid
      • Toont het aangepaste verificatiebeleid voor de gegeven sessie op basis van sessiekenmerken die overeenkomen met de beleidsvoorwaarden.
      • In een werkend scenario, is dit het verwachte authentificatiebeleid zoals gevormd.
      • Als je naar een ander beleid kijkt, betekent dat dat het verwachte beleid ten opzichte van de voorwaarden in het beleid niet als waar werd beoordeeld. In dit geval, herzie de zittingseigenschappen en zorg ervoor dat elk beleid verschillende maar unieke voorwaarden voor elk beleid bevat.

    • Vergunningsbeleid
      • Geeft het overeenkomende autorisatiebeleid voor de gegeven sessie weer op basis van sessiekenmerken die overeenkomen met de beleidsvoorwaarden.
      • In een werkscenario is dit het verwachte autorisatiebeleid zoals het is geconfigureerd.
      • Als je naar een ander beleid kijkt, betekent dat dat het verwachte beleid in vergelijking met de voorwaarden in het beleid niet als waar werd beoordeeld. In dit geval, herzie de zittingseigenschappen en zorg ervoor dat elk beleid verschillende, maar unieke, voorwaarden voor elk beleid bevat.

    • Resultaat van autorisatie
      • Op basis van het overeenkomende autorisatiebeleid toont dit het autorisatieprofiel dat in de gegeven sessie is gebruikt.
      • In een werkend scenario is dit dezelfde waarde als in het beleid is geconfigureerd. Het is goed om te controleren voor controledoeleinden en ervoor te zorgen dat het juiste autorisatieprofiel werd geconfigureerd.

    • Beleidsserver
      • Dit omvat de hostnaam van het ISE Policy Service Node (PSN) dat betrokken was bij de verificatiepoging.
      • In een werkscenario ziet u alleen verificaties die naar de eerste PSN-knooppunt gaan zoals geconfigureerd op het NAD (ook bekend als randapparaat), tenzij dat PSN niet operationeel was of als failover is opgetreden, zoals vanwege een hogere latentie dan verwacht of als er een verificatietime-out optreedt.

    • Verificatiemethode
      • Toont de verificatiemethode die in de gegeven sessie is gebruikt. In dit voorbeeld ziet u de waarde als dot1x.
      • In een werkend scenario, gebaseerd op dit configuratievoorbeeld, ziet u de waarde als dot1x. Als u een andere waarde ziet, kan dit betekenen dat dot1x is mislukt of dat niet is geprobeerd.

    • Verificatieprotocol
      • Toont de verificatiemethode die in de gegeven sessie is gebruikt. In dit voorbeeld ziet u de waarde als EAP-TLS.
      • In een werkscenario dat is gebaseerd op dit configuratievoorbeeld, ziet u de waarde altijd als EAP-TLS. Als u een andere waarde ziet, hebben de aanvrager en ISE niet met succes over EAP-TLS onderhandeld.

    • Netwerkapparaat
      • Toont de naam van het netwerkapparaat, zoals die in ISE is geconfigureerd, voor het NAD (ook bekend als het randapparaat) dat betrokken is bij de verificatiepoging tussen het eindpunt en ISE.
      • In een werkscenario wordt deze naam altijd gegeven in ISE UI: Administration > System: Network Devices. Op basis van die configuratie wordt het IP-adres van de NAD (ook bekend als het randapparaat) gebruikt om te bepalen van welk netwerkapparaat de verificatie afkomstig is, dat is opgenomen in het kenmerk van de NAS IPv4-adressessie.

    Dit is in geen geval een volledige lijst van alle mogelijke sessiekenmerken die kunnen worden bekeken voor probleemoplossing of andere zichtbaarheidsdoeleinden, aangezien er andere nuttige kenmerken zijn die kunnen worden geverifieerd. Het wordt aanbevolen om alle sessiekenmerken te bekijken om bekend te worden met alle informatie. U kunt de rechterkant onder de sectie Stappen opnemen, die de handelingen of het gedrag toont die door de ISE worden genomen.

    Veelvoorkomende problemen en technieken voor probleemoplossing

    Deze lijst bevat een aantal veelvoorkomende problemen en adviezen voor probleemoplossing en is geenszins bedoeld als een volledige lijst. In plaats daarvan, gebruik dit als gids en ontwikkel uw eigen technieken om problemen op te lossen wanneer ISE betrokken is.

    Probleem: Ontmoet een verificatiefout (5400 verificatie mislukt) of een andere niet-succesvolle verificatiepoging.

    • Als er een verificatiefout wordt aangetroffen, klikt u op het pictogram Details met informatie over de reden van het mislukken van de verificatie en de stappen die zijn ondernomen. Dit omvat de reden van de storing en de mogelijke oorzaak van de storing.

    • Aangezien ISE de beslissing neemt over het authenticatieresultaat, beschikt ISE over de informatie om te begrijpen waarom de authenticatiepoging niet succesvol was.

    Probleem: de verificatie wordt niet voltooid en de reden van de storing toont "5440 Endpoint verlaten EAP-sessie en begonnen nieuwe" of "5411 Supplicant niet meer reageren op ISE".

    • Deze mislukkingsreden geeft aan dat de RADIUS-communicatie niet is voltooid voor de timing is verlopen. Aangezien EAP tussen het eindpunt en NAD ligt, moet u de time-out controleren die op het NAD wordt gebruikt en ervoor zorgen dat deze ten minste vijf seconden is ingesteld.

    • Als vijf seconden niet genoeg zijn om dit probleem op te lossen, wordt aanbevolen de duur enkele malen met vijf seconden te verhogen en opnieuw te testen om te controleren of dit probleem met deze techniek is opgelost.

    • Als het probleem niet uit de vorige stappen is opgelost, wordt aanbevolen ervoor te zorgen dat de verificatie door dezelfde en juiste ISE-PSN-knooppunt wordt uitgevoerd en dat het algemene gedrag geen indicatie is van abnormaal gedrag, zoals een hogere latentie dan normaal tussen NAD- en ISE-PSN-knooppunt(en).

    • Ook is het een goed idee om te controleren of het eindpunt het clientcertificaat via pakketopname verstuurt als ISE het clientcertificaat niet ontvangt. Het eindpunt (gebruikerscertificaten) kan het ISE EAP-verificatiecertificaat niet vertrouwen. Indien waar bevonden, importeer dan de CA-keten in de juiste certificaatwinkels (Root CA = Trusted Root CA | Intermediaire CA = Trusted Intermediary CA).


    Probleem: verificatie is succesvol, maar komt niet overeen met het juiste verificatie- en/of autorisatiebeleid.

    • Als u een verificatieverzoek tegenkomt dat succesvol is, maar niet voldoet aan de juiste verificatie- en/of autorisatieregels, wordt aanbevolen om sessiekenmerken te bekijken om er zeker van te zijn dat de gebruikte voorwaarden nauwkeurig zijn en aanwezig zijn in de RADIUS-sessie.

    • ISE evalueert dit beleid vanuit een top-down-benadering (met uitzondering van Posterijen). U moet eerst bepalen of het beleid dat werd aangepast boven of onder het gewenste beleid was om aan te passen. Het verificatiebeleid wordt eerst en onafhankelijk van het autorisatiebeleid beoordeeld. Als het Verificatiebeleid correct wordt aangepast, dan heeft het 22037 die in de Verificatiedetails onder de rechtse sectie met de naam Stappen worden doorgegeven.

    • Als het gewenste beleid boven het afgestemde beleid uitkomt, betekent dit dat de som van de voorwaarden voor het gewenste beleid niet waar is gebleken. Het herziet alle attributen en waarden in de conditie en op de sessie om ervoor te zorgen dat het bestaat en er geen spellingfout aanwezig is.

    • Als het gewenste beleid onder het afgestemde beleid ligt, betekent dit dat er een ander beleid (boven) werd afgesproken in plaats van het gewenste beleid. Dit kan betekenen dat conditiewaarden niet specifiek genoeg zijn, de voorwaarden worden gedupliceerd in een ander beleid, of de volgorde van het beleid is niet correct. Terwijl het moeilijker wordt om problemen op te lossen, wordt het aanbevolen om te beginnen met het herzien van beleid om de reden te bepalen waarom het gewenste beleid niet is aangepast. Dit helpt bij het identificeren van de acties die vervolgens moeten worden ondernomen.

    Probleem: De identiteit of gebruikersnaam die tijdens de authenticatie werd gebruikt, was niet de verwachte waarde.

    • Wanneer dit gebeurt, als het eindpunt het clientcertificaat verstuurt, gebruikt ISE waarschijnlijk niet het juiste certificaatveld in de certificaatverificatiemodule; dit wordt geëvalueerd tijdens de verificatiefase.

    • Bekijk het clientcertificaat om het exacte veld te vinden met de gewenste identiteit/gebruikersnaam en controleer of hetzelfde veld geselecteerd is uit: ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy).


    Probleem: verificatie is niet succesvol met reden van mislukking 12514 EAP-TLS mislukte SSL/TLS-handdruk vanwege een onbekende CA in de keten van clientcertificaten.

    • Dit kan gebeuren als het clientcertificaat een certificaat in de CA-keten heeft dat niet is vertrouwd op ISE UI: Administration > System: Certificates > Trusted Certificates.

    • Dit kan doorgaans gebeuren wanneer het clientcertificaat (op het eindpunt) een CA-keten heeft die verschilt van de CA-keten van het certificaat die is ondertekend met ISE voor EAP-verificatie.

    • Zorg er voor dat de CA-keten van het clientcertificaat op ISE wordt vertrouwd en de CA-keten van het ISE EAP-verificatieserver op het eindpunt wordt vertrouwd.
      - Ga voor Windows OS en Chrome naar Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates.
      - Voor Firefox: Importeer de CA-keten (niet het eindidentiteitscertificaat) die moet worden vertrouwd voor Web Server.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    13-Jul-2023
    Toegevoegde achtergrondinformatie. Bijgewerkt Titel, Inleiding, PII, Branding Vereisten, Machinevertaling, Stijl Vereisten, Spelling, het Opmaken.
    2.0
    17-May-2022
    Bijgewerkt tot ISE release 3.x.
    1.0
    17-Oct-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nick DiNofrio
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten