此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍如何借助身份服务引擎(ISE)为连接到交换机的有线客户端配置集中Web身份验证。
集中Web身份验证的概念与本地Web身份验证相反,本地Web身份验证是交换机本身的常规Web身份验证。在该系统中,当dot1x/mab发生故障时,交换机将故障切换到webauth配置文件,并将客户端流量重定向到交换机上的网页。
集中式Web身份验证提供一个充当Web门户(例如,ISE)的集中式设备。与通常的本地Web身份验证相比,主要区别在于它与mac/dot1x身份验证一起转移到第2层。概念也有所不同,因为RADIUS服务器(本例中的ISE)返回的特殊属性指示交换机必须进行Web重定向。此解决方案的优势在于可消除网络身份验证启动所需的任何延迟。从全局来看,如果RADIUS服务器不知道客户端工作站的MAC地址(但也可以使用其他条件),服务器将返回重定向属性,并且交换机授权工作站(通过MAC身份验证绕行[MAB]),但放置一个访问列表以将网络流量重定向到门户。用户登录访客门户后,可以通过CoA(授权更改)退回交换机端口,以便进行新的第2层MAB身份验证。然后,ISE可以记住它是Web身份验证用户,并将第2层属性(如动态VAN分配)应用于该用户。ActiveX组件还可以强制客户端PC刷新其IP地址。
Cisco 建议您了解以下主题:
身份服务引擎 (ISE)
Cisco IOS®交换机配置
本文档中的信息基于以下软件和硬件版本:
思科身份服务引擎(ISE),版本1.1.1
运行软件版本12.2.55SE3的Cisco Catalyst 3560系列交换机
注意:对于其他Catalyst交换机型号,此过程类似或相同。除非另有说明,否则您可以在所有Cisco IOS Catalyst软件版本中使用这些步骤。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
ISE配置由以下五个步骤组成:
这不是强制步骤。通过中心Web身份验证配置文件发回的重定向ACL确定哪些流量(HTTP或HTTPS)被重定向到ISE。可下载ACL允许您定义允许哪些流量。通常应允许DNS、HTTP(S)和8443,并拒绝其他设置。否则,交换机将重定向HTTP流量,但允许其他协议。
要创建可下载ACL,请完成以下步骤:
下图显示了典型的DACL内容,该内容允许:
完成以下步骤以创建授权配置文件:
Redirect属性定义ISE看到默认Web门户还是ISE管理员创建的自定义Web门户。例如,本示例中的redirect ACL会在从客户端到任何位置的HTTP或HTTPS流量上触发重定向。ACL将在本配置示例后面的部分中定义。
完成以下步骤以使用身份验证配置文件创建身份验证规则:
现在,授权策略中有多个规则需要配置。PC插入后,它会通过MAB;假设MAC地址未知,因此会返回webauth和ACL。此MAC未知规则显示在此图像中,并在以下部分进行配置:
要创建授权规则,请完成以下步骤:
注意:此新规则必须位于MAC未知规则之前。
如果分配VLAN,最后一步是让客户端PC更新其IP地址。此步骤由Windows客户端的访客门户实现。如果之前没有为第2次身份验证规则设置VLAN,则可以跳过此步骤。
如果分配了VLAN,请完成以下步骤以启用IP续订:
注意:此选项仅适用于Windows客户端。
本部分提供交换机配置的摘要。有关完整配置,请参阅交换机配置(完全)。
此示例显示一个简单的MAB配置。
interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end
VLAN 100是提供完全网络连接的VLAN。应用并定义了一个默认端口ACL(名为webauth),如下所示:
ip access-list extended webauth
permit ip any any
此示例配置提供完全网络访问,即使用户未通过身份验证;因此,您可能希望将访问限制为未通过身份验证的用户。
在此配置中,HTTP和HTTPS浏览在不进行身份验证的情况下无法运行(根据其他ACL),因为ISE配置为使用重定向ACL(命名重定向)。以下是交换机上的定义:
ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443
必须在交换机上定义此访问列表,以便定义交换机将对哪些流量执行重定向。(它与permit匹配。) 在本示例中,客户端发送的任何HTTP或HTTPS流量都会触发Web重定向。此示例还拒绝ISE IP地址,因此发往ISE的流量将进入ISE并且不会在环路中重定向。(在这种情况下,deny不会阻止流量;它只是不重定向流量。) 如果使用异常的HTTP端口或代理,则可以添加其他端口。
另一种可能是允许对某些网站进行HTTP访问并重定向其他网站。例如,如果您在ACL中定义仅允许内部Web服务器,则客户端可以在不进行身份验证的情况下浏览Web,但如果客户端尝试访问内部Web服务器,则会遇到重定向。
最后一步是在交换机上允许CoA。否则,ISE无法强制交换机重新验证客户端。
aaa server radius dynamic-author
client <ISE ip address> server-key <radius shared secret>
交换机需要以下命令来根据HTTP流量进行重定向:
ip http server
根据HTTPS流量重定向需要以下命令:
ip http secure-server
以下命令也很重要:
radius-server vsa send authentication
radius-server vsa send accounting
如果用户尚未通过身份验证,show authentication session int <interface num>将返回以下输出:
01-SW3750-access#show auth sess int gi1/0/12
Interface: GigabitEthernet1/0/12
MAC Address: 000f.b049.5c4b
IP Address: 192.168.33.201
User-Name: 00-0F-B0-49-5C-4B
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
ACS ACL: xACSACLx-IP-myDACL-51519b43
URL Redirect ACL: redirect
URL Redirect: https://ISE2.wlaaan.com:8443/guestportal/gateway?
sessionId=C0A82102000002D8489E0E84&action=cwa
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A82102000002D8489E0E84
Acct Session ID: 0x000002FA
Handle: 0xF60002D9
Runnable methods list:
Method State
mab Authc Success
注意:尽管成功进行了MAB身份验证,但是由于ISE不知道MAC地址,因此会放置重定向ACL。
本部分列出完整的交换机配置。某些不必要的接口和命令行已被省略;因此,此配置示例应仅供参考,不应复制。
Building configuration...
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end
如果为客户端使用HTTP代理,则意味着您的客户端:
要使交换机侦听非常规端口(例如8080),请使用以下命令:
ip http port 8080
ip port-map http port 8080
您还需要配置所有客户端以继续使用其代理,但不将代理用于ISE IP地址。所有浏览器都包含一项功能,允许您输入不应使用代理的主机名或IP地址。如果不为ISE添加例外,您会遇到循环身份验证页面。
您还需要修改您的重定向ACL以允许在代理端口(本示例中为8080)上使用。
此时,交换机需要一个交换机虚拟接口(SVI)来回复客户端并将Web门户重定向发送到客户端。此SVI不必位于客户端子网/VLAN上。但是,如果交换机在客户端子网/VLAN中没有SVI,则必须使用其他任何SVI并发送客户端路由表中定义的流量。这通常意味着流量被发送到网络核心中的另一个网关;此流量返回客户端子网内的接入交换机。
防火墙通常会阻止来自和流向同一交换机的流量,因此重定向可能无法正常工作。解决方法是在防火墙上允许此行为,或者在客户端子网的接入交换机上创建SVI。
交换机能够重定向HTTPS流量。因此,如果访客客户端在HTTPS中有主页,则重定向会正确进行。
重定向的整个概念基于设备(在本例中为交换机)欺骗网站IP地址这一事实。但是,当交换机拦截和重定向HTTPS流量时,将会出现一个主要问题,因为交换机在传输层安全(TLS)握手中只能显示自己的证书。由于此证书与最初请求的网站不同,因此大多数浏览器都会发出重大警报。浏览器会出于安全考虑,正确处理另一个证书的重定向和呈现。对此,没有解决方法,并且交换机也不能伪装您的原始网站证书。
客户端PC插入并执行MAB。MAC地址未知,因此ISE将重定向属性推回交换机。用户尝试访问网站并被重定向。
当登录页的身份验证成功时,ISE通过授权更改退回交换机端口,再次启动第2层MAB身份验证。
但是,ISE知道它是以前的Web身份验证客户端,并根据Web身份验证凭证对客户端进行授权(虽然这是第2层身份验证)。
在ISE身份验证日志中,MAB身份验证显示在日志底部。虽然未知,但对MAC地址进行了身份验证和分析,并返回了webauth属性。接下来,使用用户的用户名(即,用户在登录页面中键入其凭证)进行身份验证。身份验证完成后,会立即进行新的第2层身份验证,以用户名作为凭证;在此身份验证步骤中,您可以返回动态VLAN等属性。
当前没有可用于此配置的验证过程。
目前没有针对此配置的故障排除信息。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
18-Dec-2011 |
初始版本 |