autenticación web central en el ejemplo de … · este documento describe un ejemplo de...

16
Autenticación Web central en el ejemplo de configuración del WLC y ISE Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Configurar Configuración del WLC Configuración ISE Cree el perfil de la autorización Cree una regla de la autenticación Cree una directiva de la autorización Habilite la renovación IP (opcional - no recomendado) Escenario Ancla-no nativo Verificación Troubleshooting Consideraciones especiales para asegurar los escenarios Introducción Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) en el regulador del Wireless LAN (WLC). Es reemplazado por más Guía de despliegue completo del invitado disponible aquí: https://communities.cisco.com/docs/DOC-77590 Prerequisites Requisitos No hay requisitos específicos para este documento. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Software Release 2.0 del Cisco Identity Services Engine Versión de software WLC de Cisco 8.2.141.0

Upload: duongnguyet

Post on 21-Sep-2018

228 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

Autenticación Web central en el ejemplo deconfiguración del WLC y ISE Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarConfiguración del WLCConfiguración ISECree el perfil de la autorizaciónCree una regla de la autenticaciónCree una directiva de la autorizaciónHabilite la renovación IP (opcional - no recomendado)Escenario Ancla-no nativoVerificaciónTroubleshootingConsideraciones especiales para asegurar los escenarios

Introducción

Este documento describe un ejemplo de configuración que se utilice para completar laautenticación Web central (CWA) en el regulador del Wireless LAN (WLC).

Es reemplazado por más Guía de despliegue completo del invitado disponible aquí:https://communities.cisco.com/docs/DOC-77590

Prerequisites

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Software Release 2.0 del Cisco Identity Services Engine●

Versión de software WLC de Cisco 8.2.141.0●

Page 2: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

Configurar

El primer método de autenticación Web es autenticación Web local. En este caso, el WLCreorienta el tráfico HTTP a un interno o a un servidor externo donde se indica al usuario queautentique. El WLC después trae las credenciales (devueltas vía una petición get HTTP en elcaso de un servidor externo) y hace una autenticación de RADIUS. En el caso de un Usuarioinvitado, un servidor externo (tal como servidor del Identity Services Engine (ISE) o del invitadodel NAC (NG)) se requiere porque el portal proporciona las características tales como registro yuno mismo-aprovisionamiento del dispositivo. El flujo incluye estos pasos:

Los socios del usuario al Service Set Identifier (SSID) de la autenticación Web.1.

El usuario abre al navegador.2.

El WLC reorienta al portal del invitado (tal como ISE o NG) tan pronto como se ingrese unURL.

3.

El usuario autentica en el portal.4.

El portal del invitado reorienta de nuevo al WLC con las credenciales ingresadas.5.

El WLC autentica al Usuario invitado vía el RADIUS.6.

El WLC reorienta de nuevo al URL original.7.Este flujo incluye varios cambios de dirección. El nuevo acercamiento es utilizar CWA. Estemétodo trabaja con ISE (versiones más adelante de 1.1) y el WLC (versiones más adelante de7.2). El flujo incluye estos pasos:

El usuario se asocia a la autenticación Web SSID, que es de hecho open+macfiltering yninguna Seguridad de la capa 3.

1.

El usuario abre al navegador.2.

El WLC reorienta al portal del invitado.3.

El usuario autentica en el portal.4.

El ISE envía un cambio RADIUS de la autorización (CoA - el puerto 1700 UDP) de indicar alregulador que el usuario es válido, y avanza eventual los atributos de RADIUS tales como lalista de control de acceso (ACL).

5.

Se indica al usuario que revise el URL original.6.La configuración usada es:

Page 3: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

Configuración del WLC

La configuración del WLC es bastante directa. Un truco se utiliza (lo mismo que en el Switches)para obtener la autenticación dinámica URL del ISE (puesto que utiliza el cambio de laautorización (CoA), una sesión debe ser creada y el ID de sesión es parte del URL). El SSID seconfigura para utilizar la filtración MAC. El ISE se configura para volver un access-accept inclusosi la dirección MAC no se encuentra, de modo que envíe el cambio de dirección URL para todoslos usuarios. 

Además de esto, el Network Admission Control (NAC) ISE y la invalidación del Authentication,Authorization, and Accounting (AAA) deben ser habilitados. El NAC ISE permite que el ISE envíeuna petición CoA que indique que ahora autentican al usuario y pueda acceder la red. También seutiliza para la evaluación de la postura, en este caso el ISE cambia el perfil del usuario basado enel resultado de la postura.

Asegúrese de que el servidor de RADIUS tenga “soporte para el CoA” habilitado, que está porabandono.

Page 4: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario
Page 5: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

El último paso es crear una reorientación ACL. Este ACL se refiere al access-accept del ISE y

Page 6: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

define qué tráfico debe ser reorientado (negado por el ACL) y qué tráfico no debe ser reorientado(permitido por el ACL). Aquí usted apenas previene del tráfico del cambio de dirección hacia elISE. Usted puede ser que quiera ser más específico y prevenir solamente el tráfico a/desde el ISEen el puerto 8443 (portal del invitado), pero todavía reorienta si un usuario intenta acceder el ISEen el puerto 80/443.

Note: Las versiones anteriores del software WLC tales como 7.2 o 7.3 no le requirieronespecificar el Domain Name System (DNS), pero las versiones del código más reciente lerequieren permitir el tráfico DNS en ese reorientan el ACL.

La configuración es completa ahora en el WLC.

Configuración ISE

Cree el perfil de la autorización

En el ISE, el perfil de la autorización debe ser creado. Entonces, se configuran las directivas de laautenticación y autorización. El WLC se debe configurar ya como dispositivo de red.

En el perfil de la autorización, ingrese el nombre del ACL creado anterior en el WLC.

Haga clic la directiva, y después haga clic los elementos de la directiva.1.

Haga clic los resultados.2.

Amplíe la autorización, y después haga clic el perfil de la autorización.3.

Haga clic el botón Add para crear un nuevo perfil de la autorización para el webauth central.4.

En el campo de nombre, ingrese un nombre para el perfil. Este ejemplo utiliza WLC_CWA.5.

Elija ACCESS_ACCEPT de la lista desplegable del tipo de acceso.6.

Marque la casilla de verificación del cambio de dirección de la red, y elija el auth centralizadode la red de la lista desplegable.

7.

En el campo ACL, ingrese el nombre del ACL en el Switch que define el tráfico que se8.

Page 7: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

reorientará. Este ejemplo utiliza el cwa_redirect.

En el campo de valor, uno puede elegir el portal porta o Uno mismo-registrado patrocinadodel invitado del invitado de la lista desplegable. En el portal patrocinado del invitado, lospatrocinadores crean las cuentas de invitado, y los invitados acceden la red usando sunombre de usuario y contraseña asignado mientras que en el portal del invitado del unomismo-registro, se permite a los invitados crear sus propias cuentas y acceder la red usandosu nombre de usuario y contraseña asignado. Este ejemplo utiliza el portal patrocinado delinvitado.

9.

Cree una regla de la autenticación

Asegúrese de que el ISE valide todas las autenticaciones de MAC del WLC y aseegurese loperseguirá la autenticación incluso si no encuentran al usuario.

Bajo menú de la directiva, haga clic la autenticación.

La imagen siguiente muestra un ejemplo de cómo configurar la regla de la política deautenticación. En este ejemplo, se configura una regla que acciona cuando se detecta el MAB.

Ingrese un nombre para su regla de la autenticación. Este ejemplo utiliza el MAB, que existeya por abandono en la versión 1.2 ISE.

1.

Seleccione (+) el icono más en si campo de la condición.2.

Elija la condición compuesta, y después elija Wired_MAB O Wireless_MAB.3.

Haga clic la flecha localizada al lado de y… para ampliar la regla más lejos.4.

Page 8: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

Haga clic + icono en el campo de fuente de la identidad, y elija los puntos finales internos.5.

Elija continúan del si lista desplegable no encontrada del usuario.6.

Note: Ahora hay una regla de la autenticación MAB creada en el ISE por abandono.

Cree una directiva de la autorización

Configure la directiva de la autorización. Un punto importante a entender es que hay dosautenticaciones/autorizaciones:

El primer es cuando el usuario se asocia al SSID (“CWA” en este caso) y se vuelve el perfilCWA.En esta Airespace-WLAN-identificación del ejemplo se utiliza como condición. Cuando uncliente conecta con el SSID, la petición del acceso a RADIUS al ISE contiene el atributoAirespace-RED INALÁMBRICA (WLAN)-ID. Este atributo se utiliza para tomar las decisionesde políticas en el ISE. Tan cuando un cliente desconocido conecta con SSID CWA, el ISEenvía un acceess-validar con reorienta URL (portal web) y el ACL. El uso de la reglaAirespace-WLAN-identificación se asegura de que la página porta esté presentada a losusuarios que conectan solamente con el CWA SSID. 

El segundo es cuando el usuario autentica en el portal web. Éste hace juego la reglapredeterminada (usuarios internos) en esta configuración (puede ser configurado para cumplirsus requisitos). Es importante que la pieza de la autorización no hace juego el perfil CWA otravez. Si no, habrá un loop del cambio de dirección. El acceso a la red: El atributo del flujo delinvitado de los iguales de UseCase se puede utilizar para hacer juego esta segundaautenticación. El resultado parece esto:

Page 9: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

Complete estos pasos para crear las reglas de la autorización tal y como se muestra en de lasimágenes anteriores:

Cree una nueva regla, y ingrese un nombre. Este ejemplo utiliza el cambio de dirección delinvitado.

1.

Haga clic (+) el icono más en el campo de la condición, y elija crear una nueva condición.2.

Amplíe la lista desplegable de la expresión.3.

Elija el Airespace, y amplíelo.4.

Haga clic Airespace-Wlan-Id--[1], y elija al operador de los iguales.5.

Ingrese el ID DE WLAN en el campo derecho, en este ejemplo 1. 6.

En la página general de la autorización, elija WLC_CWA (perfil de la autorización) en elcampo a la derecha de la palabra entonces.

Este paso permite que el ISE continúe aunque no saben cuando está conectado con CWASSID y lo presenta al usuario (o la dirección MAC) con el portal del login.

7.

Haga clic las acciones abotonan situado en el final de la regla del cambio de dirección delinvitado, y eligen insertar una nueva regla antes de ella.

Note: Es muy importante que esta nueva regla viene antes de la regla del cambio dedirección del invitado.

8.

Ingrese un nombre para la nueva regla. Este ejemplo utiliza el auth del portal del invitado.9.

En el campo de la condición, haga clic (+) el icono más, y elija crear una nueva condición.10.

Elija el acceso a la red, y haga clic UseCase.11.

Elija los iguales como el operador.12.

Elija GuestFlow como el operando correcto.13.

Page 10: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

En la página de la autorización, haga clic (+) el icono más (situado al lado de entonces)para elegir un resultado para su regla.

Usted puede elegir una opción del acceso del permiso o crear un perfil de encargo paravolver el VLA N o los atributos ese usted tiene gusto. Observe que encima de siGuestFlow, usted puede agregar más condiciones para volver los diversos perfiles delauthz basados en el grupo de usuarios. Como se menciona en el paso 7, las coincidenciasporta de esta del invitado regla del auth sobre la segunda autenticación de la direcciónMAC iniciada después del login porta acertado y después del ISE enviaron un CoA parareauthenticate al cliente. La diferencia con esta segunda autenticación es que, en vez devenir al ISE con simplemente su dirección MAC, el ISE recuerda el nombre de usuario dadoen el portal. Usted puede hacer que esta regla de la autorización tiene en cuenta lascredenciales ingresadas algunos milisegundos antes en el portal del invitado.

14.

Note: En un entorno multi del regulador el ID DE WLAN debe ser lo mismo a través delWLCs. Si uno no quiere utilizar el atributo Airespace-WLAN-identificación como condición,después es mejor hacer juego las peticiones de Wireless_MAB (condición incorporada). 

Habilite la renovación IP (opcional - no recomendado)

Si usted asigna un VLA N, el último paso está para PC del cliente para renovar su dirección IP.Este paso es alcanzado por el portal del invitado para los clientes de Windows. Si usted no fijó unVLA N para la 2da regla AUTH anterior, usted puede saltar este paso. Esto no es un diseñorecomendado como cambio del cliente vlan después de que consiguiera ya un IP Addressinterrumpa la Conectividad, algunos clientes pudieron reaccionar incorrecto a ella y requiere losprivilegios elevados de Windows de trabajar muy bien.

Si usted asignó un VLA N, complete estos pasos para habilitar la renovación IP:

Haga clic el acceso de invitado, y después haga clic la configuración.1.

Haga clic los portales del invitado.2.

Haga clic el portal patrocinado del invitado (usado en este ejemplo), y después amplíe laspaginaciones de la versión del DHCP del VLA N.

3.

Haga clic la casilla de verificación de la versión del DHCP del VLA N.

Note: Esta opción trabaja solamente para los clientes de Windows.

4.

Escenario Ancla-no nativo

Esta configuración puede también trabajar con la característica del auto-ancla del WLCs. La únicacaptura es ésa puesto que este método de autenticación Web es la capa 2, usted tiene que serconsciente que será el WLC no nativo que hace todo el trabajo RADIUS. Solamente el WLC nonativo entra en contacto el ISE, y el cambio de dirección ACL debe estar presente también en el

Page 11: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

WLC no nativo.

Apenas como en otros escenarios, el WLC no nativo muestra rápidamente al cliente para estar enel estado de FUNCIONAMIENTO, que no es totalmente verdad. Significa simplemente que eltráfico está enviado al ancla de allí. El estado de cliente real se puede considerar en el ancladonde debe visualizar CENTRAL_WEBAUTH_REQD.

Aquí está el flujo en una configuración ancla-no nativa:

El cliente conecta con el SSID en el WLC no nativo. El WLC no nativo entra en contacto elservidor ISE para el MAB. El ISE envía el access-accept con la reorientación URL yreorienta el ACL al no nativo.

1.

Ahora aseguran al WLC del ancla donde consigue una dirección IP y se ponen al cliente enCENTRAL_WEBAUTH_REQD.

2.

Cuando el cliente intenta acceder un sitio web, el WLC del ancla reorienta al cliente a lapágina porta ISE. Presentan el cliente con la página de registro.

3.

Después de la registración satisfactoria, el ISE envía un CoA al WLC no nativo.4.El WLC no nativo entra en contacto el WLC del ancla para dejarlo saber para poner al clienteen el estado de FUNCIONAMIENTO.

5.

Todo el tráfico del cliente se remite de no nativo para asegurar, y sale del WLC del ancla.6.Los puertos de firewall que se requieren para permitir la comunicación entre el WLC y el ISE son:

UDP:1645, 1812 (autenticación de RADIUS)●

UDP:1646, 1813 (estadísticas RADIUS)●

UDP:1700 (CoA RADIUS)●

Invitado TCP:8443 porta o 8905 si usted tiene Posturing. ●

Note: La configuración ancla-no nativa con la autenticación Web central (CWA) trabajasolamente en las versiones 7.3 o más adelante.

Note: Debido al Id. de bug Cisco CSCul83594 , usted no puede ejecutar las estadísticas enel ancla y no nativo porque causa el perfilado a vencer inexacto a una falta potencial delatascamiento IP-a-MAC. También crea muchos problemas con el ID de sesión para losportales del invitado. Si usted desea de configurar las estadísticas, después configurelas enel regulador no nativo. Observe que éste no debe ser el caso que comienza más el softwareWLC 8.6 donde el ID de sesión será compartido entre el ancla y los reguladores no nativos ylas estadísticas entonces sea posible habilitar en ambos.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Una vez que asocian al usuario al SSID, el WLC entra en contacto el ISE (mientras que seconfigura la filtración MAC). El ISE se ha configurado para volver el acceso valida conreorienta el URL y el ACL. Ésta es la primera autenticación. Los detalles del cliente en elWLC muestran que el cambio de dirección URL y ACL esaplicado.

1.

Page 12: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

En el cliente del WLC y el AAA todo el debug, usted puede ver el acceso validar con lareorientación URL y ACL enviados del ISE.*radiusTransportThread: 5c:c5:d4:b1:09:95 Access-Accept received from RADIUS server

10.48.39.161

*radiusTransportThread: AVP[04] Cisco / Url-Redirect-Acl.................cwa_redirect (12

bytes)

*radiusTransportThread: AVP[05] Cisco / Url-Redirect.....................DATA (177 bytes)

*apfReceiveTask: 5c:c5:d4:b1:09:95 Redirect URL received for client from RADIUS.

Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag =

0

*apfReceiveTask: 5c:c5:d4:b1:09:95 AAA Override Url-Redirect-Acl 'cwa_redirect' 

La misma cosa se puede también verificar en el ISE. Elija los livelogs de las operaciones >del radio. Haga clic el detalle para ese MAC.Usted puede ver que para la primeraautenticación (MAC que filtra) el ISE vuelve el perfil WLC_CWA de AuthZ mientrasque golpea la regla MAB de la autenticación y el cambio de dirección del invitado de ladirectiva delauthz. 

Page 13: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

En este momento el cliente consigue una dirección IP. Ahora el cliente está en el estadoCENTRAL_WEB_AUTH. Cuando cualquier direccionamiento se abre en el cliente, reorientanal navegador al ISE. Asegúrese de que el DNS esté configurado correctamente.

2.

Una vez que se ingresan las credenciales correctas, se concede el acceso a la red. Ésta esla segunda autenticación.

Cuando se ingresan las credenciales, el ISE autentica al cliente y envía elCoA. 

3.

Page 14: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

En el WLC esto se puede ver en el AAA todos los debugs.*radiusCoASupportTransportThread: audit session ID recieved in CoA =

0a30279c0000003b58887c51

*radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.48.39.161

*radiusCoASupportTransportThread: CoA - Received IP Address : 10.48.39.156

*radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Calling-Station-Id --->

5c:c5:d4:b1:09:95

*radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station

5c:c5:d4:b1:09:95

*radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Reauthenticating station

5c:c5:d4:b1:09:95

*radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.48.39.161

Después de esto el cliente reauthenticated y acceso concedido a la

red. 

4.

En el regulador, el estado del Administrador de directivas y los cambios de estado del NACRADIUS de CENTRAL_WEB_AUTH A EJECUTARSE. Note: En la versión 7.2 o anterior, elestado CENTRAL_WEB_AUTH fue llamado POSTURE_REQD.

5.

Observe que el tipo de CoA volvió por el ISE desarrollado a través de las versiones. El ISE 2.0solicitará el WLC volver a efectuar la autenticación bastante que desconecta llano al cliente.

Ejemplo de la petición CoA ISE 2.0:

Page 15: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

El WLC después no enviará una trama de la desasociación al cliente y ejecutará unaautenticación de RADIUS otra vez y aplicará el nuevo resultado transparente al cliente.

Sin embargo, las cosas son todavía diferentes si un PSK es funcionando. Desde 8.3, el WLCsoporta la determinación de una clave previamente compartida WPA en un CWA SSID. En esetipo de situación, tras la recepción del mismo CoA del ISE que arriba, el WLC tendrá que accionarun nuevo intercambio de claves WPA otra vez. Por lo tanto en caso del PSK, el WLC tendrá queenviar una trama de la desasociación al cliente que tendrá que volver a conectar. En losescenarios clásicos del NON-PSK, el WLC no enviará una trama de la desasociación al cliente yaplicará simplemente el nuevo resultado de la autorización. No obstante una “respuesta de laasociación” todavía será enviada ot al cliente aunque no se recibiera ninguna “petición de laasociación” nunca del cliente, que pudo parecer curioso al analizar las trazas de sniffer.

Troubleshooting

Complete estos pasos para resolver problemas o aislar un problema CWA:

Ingrese el cliente del debug < el MAC address del comando del client> en el regulador y elmonitor para determinar si el cliente alcanza el estado CENTRAL_WEBAUTH_REQD. Seobserva un problema común cuando el ISE vuelve una reorientación ACL que no exista (ono está correctamente entrar) en el WLC. Si éste es el caso, después el clientedeauthenticated una vez que se alcanza el estado CENTRAL_WEBAUTH_REQD, que haceel proceso comenzar otra vez.

1.

Si el estado del cliente correcto puede ser alcanzado, después navegue para monitorear >los clientes en la red GUI del WLC y para verificar que el correctos reorientan el ACL y elURL son aplicados para el cliente.

2.

Verifique que el DNS correcto esté utilizado. El cliente debe tener la capacidad de resolverlos sitios web de Internet y el nombre de host ISE. Usted puede verificar esto vía elnslookup.

3.

Verifique que todos los pasos de la autenticación ocurran en el ISE:

La autenticación de MAC debe ocurrir primero, a la cual se vuelven los atributos CWA.

La autenticación de inicio de sesión porta ocurre.

4.

Page 16: Autenticación Web central en el ejemplo de … · Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) ... El usuario

La autorización dinámica ocurre.

La autenticación final es una autenticación de MAC que muestra el nombre de usuario portaen el ISE, al cual se vuelven los resultados finales de la autorización (por ejemplo el VLA N yel ACL finales).

Consideraciones especiales para asegurar los escenarios

Considere este bug Cisco ID que limite la eficacia del proceso CWA en un escenario de lamovilidad (especialmente cuando considera se configura):

CSCuo56780 - Vulnerabilidad del rechazo de servicio del servicio RADIUS ISE●

CSCul83594 - El ID de sesión no se sincroniza a través de la movilidad, si la red está abierta●