使用交換機和身份服務引擎的集中Web身份驗證配置示例

簡介

本文檔介紹如何藉助身份服務引擎(ISE)為連線到交換機的有線客戶端配置中央Web身份驗證。

中央Web驗證的概念與本地Web驗證相反，本地Web驗證是交換器本身的常見Web驗證。在該系統中，當dot1x/mab發生故障時，交換機將故障切換到webauth配置檔案，並將客戶端流量重定向到交換機上的網頁。

中央Web驗證提供具有中央裝置作為Web門戶（例如，ISE）的可能性。與通常的本地Web身份驗證相比，主要區別在於它與mac/dot1x身份驗證一起被移動到第2層。概念也不同於RADIUS伺服器（此範例中的ISE）會傳回特殊屬性，指示交換器必須發生Web重新導向。此解決方案的優點在於可消除Web身份驗證啟動所需的任何延遲。從全局來看，如果RADIUS伺服器不知道客戶端站的MAC地址（但也可以使用其他條件），伺服器返回重定向屬性，並且交換機授權該站（透過MAC身份驗證繞行[MAB]），但是放置一個訪問清單以將網路流量重定向到門戶。使用者登入到訪客門戶後，可以透過CoA（授權更改）退回交換機埠，以便進行新的第2層MAB身份驗證。然後，ISE可以記住它是webauth使用者並向該使用者應用第2層屬性（如動態VAN分配）。ActiveX元件還可以強制客戶端PC刷新其IP地址。

必要條件

需求

思科建議您瞭解以下主題：

• 身分識別服務引擎 (ISE)

• Cisco IOS^®交換機配置

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科身分辨識服務引擎(ISE)，版本1.1.1

• 運行軟體版本12.2.55SE3的Cisco Catalyst 3560系列交換機

注意：對於其他Catalyst交換機型號，此過程可能相似或相同。除非另有說明，否則您可以在所有Cisco IOS Catalyst軟體版本上使用以下步驟。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

概觀

ISE配置由以下五個步驟組成：

1. 建立可下載存取控制清單(ACL)。
2. 建立授權配置檔案。
3. 建立身份驗證規則。
4. 建立授權規則。
5. 啟用IP續約（可選）。

建立可下載ACL

此步驟並非強制步驟。與中央webauth設定檔一起傳回的重新導向ACL會決定要將哪些流量（HTTP或HTTPS）重新導向到ISE。可下載ACL允許您定義允許的流量。通常應允許DNS、HTTP(S)和8443，並拒絕其餘設定。否則，交換器會重新導向HTTP流量，但允許其他通訊協定。

完成以下步驟即可建立可下載ACL：

1. 按一下策略，然後按一下策略元素。
2. 按一下Results。
3. 展開Authorization，然後按一下Downloadable ACLs。
4. 按一下Add按鈕以建立新的可下載ACL。
5. 在名稱欄位中，輸入DACL的名稱。本示例使用myDACL。

此影像顯示典型的DACL內容，允許：

• DNS -解析ISE門戶主機名
• HTTP和HTTPS -允許重定向
• TCP埠8443 -用作訪客門戶埠
  

建立授權配置檔案

完成以下步驟以建立授權配置檔案：

1. 按一下策略，然後按一下策略元素。
2. 按一下Results。
3. 展開Authorization，然後按一下Authorization profile。
4. 按一下Add按鈕為中央webauth建立新的授權配置檔案。
5. 在名稱欄位中，輸入配置檔案的名稱。本示例使用CentralWebauth。
6. 從Access Type下拉選單中選擇ACCESS_ACCEPT。
7. 選中Web Authentication覈取方塊，並從下拉選單中選擇Centralized。
8. 在ACL欄位中，輸入交換器上用於定義要重新導向之流量的ACL名稱。此範例使用redirect。
9. 從Redirect下拉選單中選擇Default。
10. 如果您決定要在交換機上使用DACL而不是靜態埠ACL，請選中DACL Name覈取方塊，並從下拉選單中選擇myDACL。

Redirect屬性定義ISE看到預設Web門戶還是ISE管理員建立的自定義Web門戶。例如，本示例中的redirect ACL會在從客戶端到任何地方的HTTP或HTTPS流量上觸發重定向。ACL是在稍後的此組態範例中在交換器上定義的。

建立驗證規則

完成以下步驟，以使用身份驗證配置檔案建立身份驗證規則：

1. 在Policy選單下，按一下Authentication。
   
   下圖展示了如何配置身份驗證策略規則的示例。在此示例中，配置了在檢測到MAB時觸發的規則。
   
   
2. 輸入驗證規則的名稱。本示例使用MAB。
3. 在If條件欄位中選取加號(+)圖示。
4. 選擇Compound condition，然後選擇Wired_MAB。
5. 點選位於和……旁邊的箭頭以進一步展開規則。
6. 點選Identity Source欄位中的+圖示，然後選擇Internal endpoints。
7. 從「If user not found」下拉選單中選擇Continue。
   
   此選項允許透過webauth對裝置進行身份驗證，即使其MAC地址未知。Dot1x使用者端仍可使用其認證進行驗證，因此請勿使用此組態。

建立授權規則

現在，在授權策略中可配置若干規則。連線PC後，它會透過MAB；假設MAC地址未知，因此會返回webauth和ACL。此MAC未知規則如下圖所示，並在本部分進行配置：

完成以下步驟以建立授權規則：

1. 建立新規則，然後輸入名稱。本示例使用MAC not known。
2. 在條件欄位中按一下加號(+)圖示，然後選擇建立新條件。
3. 展開expression下拉選單。
4. 選擇Network Access，然後展開它。
5. 按一下AuthenticationStatus，然後選擇Equals運算子。
6. 在右側欄位中選擇UnknownUser。
7. 在「General Authorization」頁上，在單詞then右側的欄位中選擇CentralWebauth(Authorization Profile)。
   
   即使使用者（或MAC）未知，此步驟仍允許ISE繼續。
   
   現在會向不明的使用者顯示「登入」頁面。但是，一旦他們輸入其憑證，他們就會再次在ISE上看到身份驗證請求；因此，另一個規則必須配置滿足使用者為訪客使用者的條件。在本示例中，使用了UseridentityGroup equals Guest並且假設所有訪客都屬於此組。
8. 按一下MAC not known規則末尾的「操作」按鈕，然後選擇在上方插入新規則。
   
   

   注意：此新規則必須位於MAC未知規則之前。

9. 輸入新規則的名稱。本示例使用IS-a-GUEST。
10. 選擇與訪客使用者匹配的條件。
    
    本示例使用InternalUser：IdentityGroup Equals Guest，因為所有訪客使用者都繫結到Guest組（或您在保證人設定中配置的其他組）。
11. 在結果框中(位於單詞then的右側)，選擇PermitAccess。
    
    當使用者在Login頁面獲得授權後，ISE在交換機埠上重新啟動第2層身份驗證，然後出現新的MAB。在本場景中，不同之處在於為ISE設定了不可見的標誌，以記住它是訪客身份驗證使用者。此規則為第二次AUTH，條件為Network Access：UseCase Equals GuestFlow。當使用者透過webauth進行驗證，且已針對新的MAB再次設定交換器連線埠時，就會符合此條件。您可以指定任何您想要的屬性。此示例分配了一個配置檔案vlan90，以便使用者在第二個MAB身份驗證中被分配了VLAN 90。
12. 點選操作（位於IS-a-GUEST規則末尾），然後選擇插入上面的新規則。
13. 在名稱欄位中輸入2nd AUTH。
14. 在「條件」欄位中，按一下加號(+)圖示，然後選擇建立新條件。
15. 選擇網路訪問，然後按一下使用案例。
16. 選擇Equals作為運算子。
17. 選擇GuestFlow作為正確的運算元。
18. 在授權頁面上，點選加號(+)圖示(位於then旁)，為您的規則選擇結果。
    
    在本範例中，已指派預先設定的設定檔(vlan90)；本檔案未顯示此組態。
    
    您可以選擇Permit Access選項或建立自定義配置檔案以返回您喜歡的VLAN或屬性。

啟用IP續訂（可選）

如果分配VLAN，最後一步是讓客戶端PC更新其IP地址。此步驟由Windows客戶端的訪客門戶實現。如果之前未為第2次身份驗證規則設定VLAN，則可以跳過此步驟。

如果分配了VLAN，請完成以下步驟以啟用IP續約：

1. 按一下Administration，然後按一下Guest Management。
2. 按一下設定。
3. 展開Guest，並展開Multi-Portal Configuration。
4. 按一下DefaultGuestPortal或可能已經建立的自定義門戶的名稱。
5. 按一下Vlan DHCP Releaseck框。

   注意：此選項僅適用於Windows客戶端。

交換機配置（摘錄）

本節提供交換器組態的摘要。有關完整配置，請參閱交換機配置（完整）。

此示例顯示一個簡單的MAB配置。

interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end

VLAN 100是提供完全網路連線的VLAN。應用並定義預設連線埠ACL(命名為webauth)，如下所示：

ip access-list extended webauth
permit ip any any

此示例配置提供完整的網路訪問，即使使用者未通過身份驗證；因此，您可能希望將訪問限制為未經身份驗證的使用者。

在此配置中，HTTP和HTTPS瀏覽在未進行身份驗證（按其他ACL）的情況下無法運行，因為ISE配置為使用重定向ACL(命名為redirect)。以下是交換器上的定義：

ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443

必須在交換機上定義此訪問清單，以便定義交換機將對哪些流量執行重定向。(它與permit匹配。) 在本範例中，使用者端傳送的任何HTTP或HTTPS流量都會觸發Web重新導向。此示例還拒絕ISE IP地址，因此發往ISE的流量進入ISE，而不會在環路中重定向。（在這種情況下，deny不會阻止流量；它只是不重定向流量。） 如果使用異常的HTTP埠或代理，則可以增加其他埠。

另一種可能是允許HTTP訪問某些網站並重定向其他網站。例如，如果您在ACL中定義僅允許內部Web伺服器，則使用者端可能會在不進行驗證的情況下瀏覽Web，但若嘗試存取內部Web伺服器，則會遇到重新導向。

最後一步是在交換機上允許CoA。否則，ISE無法強制交換機重新驗證客戶端。

aaa server radius dynamic-author
     client <ISE ip address> server-key <radius shared secret>

交換器需要以下命令才能根據HTTP流量重新導向：

ip http server

根據HTTPS流量重新導向需要此命令：

ip http secure-server

這些命令也很重要：

radius-server vsa send authentication
radius-server vsa send accounting

如果使用者尚未通過身份驗證，show authentication session int <interface num>將返回以下輸出：

01-SW3750-access#show auth sess int gi1/0/12
            Interface:  GigabitEthernet1/0/12
          MAC Address:  000f.b049.5c4b
           IP Address:  192.168.33.201
            User-Name:  00-0F-B0-49-5C-4B
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
              ACS ACL:  xACSACLx-IP-myDACL-51519b43
     URL Redirect ACL:  redirect
         URL Redirect:  https://ISE2.wlaaan.com:8443/guestportal/gateway?
                        sessionId=C0A82102000002D8489E0E84&action=cwa
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A82102000002D8489E0E84
      Acct Session ID:  0x000002FA
               Handle:  0xF60002D9

Runnable methods list:

       Method   State
       mab      Authc Success

注意：儘管成功進行了MAB身份驗證，由於ISE不知道MAC地址，因此仍然放置重定向ACL。

交換機配置（完整）

此部分列出完整的交換機配置。某些不必要的介面和命令列已被省略；因此，此示例配置應僅供參考，不應複製。

Building configuration...
 
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
 
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
  30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
  30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
  D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
  B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
  92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
  DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
  551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
  16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
  041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
  01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
 
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny   ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end

HTTP代理配置

如果對客戶端使用HTTP代理，則意味著您的客戶端：

• 為HTTP協定使用非常規埠
• 將所有流量傳送到該代理

要使交換機偵聽非常規埠（例如，8080），請使用以下命令：

ip http port 8080
ip port-map http port 8080

您還需要配置所有客戶端以繼續使用其代理，但不要對ISE IP地址使用代理。所有瀏覽器都包含一項功能，可讓您輸入不應使用代理的主機名稱或IP位址。如果不增加ISE的異常，您會遇到循環身份驗證頁面。

您還需要修改重新導向ACL以允許在代理主機連線埠上（此範例中為8080）。

有關交換機SVI的重要說明

此時，交換機需要交換機虛擬介面(SVI)以回覆客戶端並將Web門戶重定向傳送到客戶端。此SVI不必位於客戶端子網/VLAN上。但是，如果交換機在客戶端子網/VLAN中沒有SVI，則必須使用任何其他的SVI並傳送客戶端路由表中定義的流量。這通常意味著流量被傳送到網路核心中的另一個網關；此流量返回客戶端子網中的接入交換機。

防火牆通常會封鎖從同一交換器傳入和傳入的流量（如本案例），因此重新導向可能無法正常運作。解決方法是在防火牆上允許此行為，或者在客戶端子網的接入交換機上建立SVI。

有關HTTPS重新導向的重要附註

交換器能夠重新導向HTTPS流量。因此，如果訪客使用者端具有HTTPS首頁，則重新導向會正確執行。

重新導向的整個概念是根據裝置（此案例為交換器）詐騙網站IP位址而產生。但是，當交換機攔截和重定向HTTPS流量時會出現一個主要問題，因為交換機在傳輸層安全(TLS)握手中只能顯示自己的證書。由於此證書與網站最初請求的證書不同，因此大多數瀏覽器會發出重大警報。瀏覽器會正確處理重新導向和呈現另一個憑證，以作為安全考量。這沒有因應措施，而且交換器也無法偽造您的原始網站憑證。

最終結果

客戶端PC插入並執行MAB。MAC地址未知，因此ISE將重定向屬性推回交換機。使用者嘗試移至網站，但被重新導向。

當登入頁的身份驗證成功時，ISE透過授權更改退回交換機埠，再次啟動第2層MAB身份驗證。

但是，ISE知道它是以前的webauth客戶端，並根據webauth憑證對客戶端進行授權（雖然這是第2層身份驗證）。

在ISE身份驗證日誌中，MAB身份驗證顯示在日誌底部。雖然不明，但MAC位址已經過驗證和效能分析，且傳回webauth屬性。接下來，使用使用者的使用者名稱進行身份驗證（即，使用者在登入頁面中鍵入其憑證）。身份驗證後，將立即使用使用者名稱作為憑證進行新的第2層身份驗證；此身份驗證步驟可用於返回動態VLAN等屬性。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 思科身分辨識服務引擎
• 思科身份服務引擎命令參考指南
• ISE（身份服務引擎）與Cisco WLC（無線區域網控制器）的整合
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems