Analisar as políticas do ISE com base nos exemplos de configuração do SSID
Introdução
Este documento descreve como configurar políticas de autorização no Cisco ISE para distinguir entre diferentes identificadores de conjunto de serviços (SSIDs).
Requisitos
Este guia pressupõe que:
1) A controladora Wireless LAN (WLC) está configurada e funciona para todos os SSIDs envolvidos.
2) A autenticação funciona em todos os SSIDs envolvidos no ISE.
Controlador de LAN sem fio versão 7.3.101.0
Identificar Services Engine versão 1.1.2.145
As versões anteriores também têm esses dois recursos.
Apenas um método de configuração é usado de cada vez. Se ambas as configurações forem implementadas simultaneamente, a quantidade processada pelo ISE aumenta e afeta a legibilidade das regras. Este documento analisa as vantagens e desvantagens de cada método de configuração.
Informações de Apoio
É muito comum uma organização ter vários SSIDs em sua rede sem fio para várias finalidades. Uma das finalidades mais comuns é ter um SSID corporativo para funcionários e um SSID de convidado para visitantes da organização.
Método 1: Airespace-Wlan-Id
Cada rede local sem fio (WLAN) criada na WLC tem uma ID de WLAN. O ID da WLAN é exibido na página de resumo da WLAN.
Quando um cliente se conecta ao SSID, a solicitação RADIUS ao ISE contém o atributo Airespace-WLAN-ID. Esse atributo simples é usado para tomar decisões de política no ISE. Uma desvantagem desse atributo é se o ID da WLAN não corresponder em um SSID espalhado por vários controladores. Se isso descrever sua implantação, continue com o Método 2.
Nesse caso, Airespace-Wlan-Id é usado como uma condição. Ele pode ser usado como uma condição simples (por si só) ou em uma condição composta (em conjunto com outro atributo) para alcançar o resultado desejado. Este documento abrange ambos os casos de uso. Com os dois SSIDs acima, essas duas regras podem ser criadas.
A) Os usuários convidados devem fazer login no SSID convidado.
B) Os usuários corporativos devem estar no grupo AD (Ative Diretory, diretório ativo) "Usuários do domínio" e devem fazer login no SSID corporativo.
Regra A
A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):
1) No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.
2) No campo Nome, insira um nome de condição.
3) No campo Descrição, insira uma descrição (opcional).
4) Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].
5) Na lista suspensa Operador, escolha Igual a.
6) Na lista suspensa Valor, escolha 2.
7) Clique em Save.
Regra B
A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):
1) No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.
2) No campo Nome, insira um nome de condição.
3) No campo Descrição, insira uma descrição (opcional).
4) Escolha Criar Nova Condição (Opção Avançar).
5) Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].
6) Na lista suspensa Operador, escolha Igual a.
7) Na lista suspensa Valor, escolha 1.
9) Na lista suspensa Atributo, escolha AD1 > Grupos externos.
10) Na lista suspensa Operador, escolha Igual a.
11) Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.
12) Clique em Salvar.
Observação: neste documento, usamos perfis de autorização simples configurados em Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.
Agora que temos as condições, podemos aplicá-las a uma Política de Autorização. Vá para Política > Autorização. Determine onde inserir a regra na lista ou edite a regra existente.
Regra de Convidado
1) Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
2) Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.
3) Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
4) Em Nome da condição, escolha Condição simples > GuestSSID.
5) Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.
6) Clique em Concluído.
Regra corporativa
1) Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
2) Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.
3) Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
4) Em Nome da condição, escolha Condição composta > SSID corporativo.
5) Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.
6) Clique em Concluído.
Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.
Método 2: ID da estação chamada
A WLC pode ser configurada para enviar o nome SSID no atributo RADIUS Called-Station-ID, que, por sua vez, pode ser usado como uma condição no ISE. A vantagem desse atributo é que ele pode ser usado independentemente do ID da WLAN definido na WLC. Por padrão, a WLC não envia o SSID no atributo Called-Station-ID. Para habilitar esse recurso na WLC, vá para Security > AAA > RADIUS > Authentication e defina o Call Station ID Type como AP MAC Address:SSID. Isso define o formato do ID da estação chamada como <MAC do AP ao qual o usuário está se conectando>:<SSID Name>.
Você pode ver qual nome SSID será enviado na página de resumo da WLAN.
Como o atributo Called-Station-Id também contém o endereço MAC do AP, uma Expressão Regular (REGEX) é usada para corresponder ao nome SSID na política do ISE. O operador 'Matches' na configuração de condição pode ler um REGEX do campo Value.
Exemplos de REGEX
`Começa com' — por exemplo, use o valor REGEX de ^(Acme).* — essa condição é configurada como CERTIFICATE:Organization MATCHES `Acme' (qualquer correspondência com uma condição que comece com "Acme").
`Termina com' — por exemplo, use o valor REGEX de .*(mktg)$ — essa condição é configurada como CERTIFICATE:Organization MATCHES `mktg' (qualquer correspondência com uma condição que termine com "mktg").
`Contém' — por exemplo, use o valor REGEX de .*(1234).*—essa condição é configurada como CERTIFICATE:Organization MATCHES `1234' (qualquer correspondência com uma condição que contenha "1234", como Eng1234, 1234Dev e Corp1234Mktg).
`Não começa com' — por exemplo, use o valor REGEX de ^(?!LDAP).* — essa condição é configurada como CERTIFICATE:Organization MATCHES `LDAP' (qualquer correspondência com uma condição que não comece com "LDAP", como usLDAP ou CorpLDAPmktg).
O ID de Estação Chamada termina com o nome SSID, portanto, o REGEX a ser usado neste exemplo é .*(:<NOME SSID>)$. Lembre-se disso ao passar pela configuração.
Com os dois SSIDs acima, você pode criar duas regras com estes requisitos:
A) Os usuários convidados devem fazer login no SSID convidado.
B) Os usuários corporativos devem estar no grupo AD "Usuários do domínio" e devem fazer login no SSID corporativo.
Regra A
A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):
1) No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.
2) No campo Nome, insira um nome de condição.
3) No campo Descrição, insira uma descrição (opcional).
4) Na lista suspensa Atributo, escolha Radius > Called-Station-ID—[30].
5) Na lista suspensa Operador, escolha Correspondências.
6) Na lista suspensa Valor, escolha .*(:Guest)$. Isso diferencia maiúsculas de minúsculas.
7) Clique em Save.
Regra B
A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):
1) No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.
2) No campo Nome, insira um nome de condição.
3) No campo Descrição, insira uma descrição (opcional).
4) Escolha Criar Nova Condição (Opção Avançar).
5) Na lista suspensa Atributo, escolha Radius > Called-Station-Id—[30].
6) Na lista suspensa Operador, escolha Correspondências.
7) Na lista suspensa Valor, escolha .*(:Corporate)$. Isso diferencia maiúsculas de minúsculas.
9) Na lista suspensa Atributo, escolha AD1 > Grupos externos.
10) Na lista suspensa Operador, escolha Igual a.
11) Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.
12) Clique em Salvar.
Observação: neste documento, usamos perfis de autorização simples configurados em Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.
Agora que as condições estão configuradas, aplique-as a uma Política de Autorização. Vá para Política > Autorização. Insira a regra na lista no local apropriado ou edite uma regra existente.
Regra de Convidado
1) Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
2) Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.
3) Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
4) Em Nome da condição, escolha Condição simples > GuestSSID.
5) Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.
6) Clique em Concluído.
Regra corporativa
1) Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
2) Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.
3) Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
4) Em Nome da condição, escolha Condição composta > SSID corporativo.
5) Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.
6) Clique em Concluído.
7) Clique em Save na parte inferior da lista Policy.
Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.
Troubleshooting
Para descobrir se a política foi criada corretamente e para certificar-se de que o ISE está recebendo os atributos adequados, revise o relatório de autenticação detalhado para uma autenticação aprovada ou com falha para o usuário. Escolha Operations > Authentications e clique no ícone Details para obter uma autenticação.
Primeiro, verifique o Resumo de autenticação. Mostra os fundamentos da autenticação, que incluem qual perfil de autorização foi fornecido ao usuário.
Se a política estiver incorreta, os Detalhes de autenticação mostrarão qual Airespace-Wlan-Id e qual Called-Station-Id foi enviado da WLC. Ajuste as regras de acordo. A Regra de correspondência de política de autorização confirma se a autenticação está ou não correspondendo à regra desejada.
Essas regras são normalmente configuradas incorretamente. Para revelar o problema de configuração, compare a regra com o que é visto nos detalhes da autenticação. Se você não vir os atributos no campo Other Attributes, certifique-se de que a WLC esteja configurada corretamente.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
19-Dec-2012 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)