Autorisation basée sur l'emplacement avec Mobility Services Engine (MSE) et Identity Services Engine (ISE) ISE 2.0

Options de téléchargement

  • PDF     (716.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (725.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (519.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 septembre 2015
ID du document:200196

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Cet article explique comment intégrer MSE (Mobility Service Engine) avec Identity Services Engine (ISE) pour l'autorisation basée sur l'emplacement. L'objectif est d'autoriser ou de refuser l'accès aux périphériques sans fil en fonction de leur emplacement physique.

Conditions préalables

Exigences et topologie de la solution

Bien que la configuration MSE n'entre pas dans le cadre de ce document, voici un concept général de la solution :

-MSE est géré par Prime Infrastructure (anciennement NCS) pour la configuration, la création de cartes et l'attribution de WLC

-MSE communique avec le contrôleur LAN sans fil (WLC) (après y avoir été affecté par Prime) à l'aide du protocole NMSP. Cela donne essentiellement des informations sur l'intensité du signal reçu (RSSI) reçu par points d'accès pour les clients connectés, ce qui permet à MSE de calculer leur emplacement.

Étapes de base pour ce faire :

Tout d'abord, vous devez définir une carte sur Prime Infrastructure (PI), définir la zone de couverture sur cette carte et placer les AP.

Lorsque vous ajoutez MSE à prime, sélectionnez le service CAS.

Une fois MSE ajouté, dans prime, choisissez les services de synchronisation, et vérifiez votre WLC / et les cartes pour les attribuer au MSE.

200196-Location-based-authorization-with-Mobili-00.gif

Avant d'intégrer MSE à ISE, MSE doit être opérationnel, ce qui signifie :

  1. MSE doit être ajouté à Prime Infrastructure et les services doivent être synchronisés
  2. Le service CAS doit être activé et le suivi des clients sans fil doit être activé
  3. Les cartes doivent être configurées dans Prime
  4. NMSP devrait réussir entre MSE et WLC (« show nmsp status » sur la ligne de commande WLC)

Dans cette configuration, il n'y aura qu'un seul bâtiment de 2 étages :

200196-Location-based-authorization-with-Mobili-01.png

Composants utilisés

  • MSE version 8.0.10
  • ISE version 2.0

Intégration de MSE avec ISE

Accédez à Network Resources, Location Services, puis cliquez sur add pour ajouter MSE.

Les paramètres sont explicites et vous pouvez tester la connexion, ainsi que la recherche d'emplacement client par adresse MAC :

200196-Location-based-authorization-with-Mobili-02.png

La prochaine chose à faire, est d'aller à l'arborescence des emplacements, et cliquez sur Get Update. Cela permettra à ISE de récupérer des bâtiments et des étages à partir de MSE et de les rendre disponibles dans ISE, de la même manière que lorsque vous ajoutez des groupes AD.

200196-Location-based-authorization-with-Mobili-03.png

Configuration de l'autorisation

Les attributs MSE : Map Location peuvent désormais être utilisés dans les stratégies d'autorisation.

Configurez les 2 règles ci-dessous :


200196-Location-based-authorization-with-Mobili-04.png

Les utilisateurs de Floor1 doivent pouvoir s'authentifier.

Nous voyons dans les détails d'authentification le profil correct, ainsi que l'attribut Emplacement MAP


200196-Location-based-authorization-with-Mobili-05.png

200196-Location-based-authorization-with-Mobili-06.png

Avec la configuration ci-dessus, si le point de terminaison se déplace d'une zone à une autre, il ne sera pas désauthentifié. Si vous souhaitez suivre les déplacements des utilisateurs et envoyer une CoA en cas de modification de l'autorisation, vous pouvez activer l'option de suivi dans le profil d'autorisation, qui vérifiera les changements d'emplacement toutes les 5 minutes.  Notez que cela peut perturber les opérations d'itinérance rapide normales.

200196-Location-based-authorization-with-Mobili-07.png

Dépannage

Pour cette fonctionnalité, la configuration ISE est simple, mais la plupart des problèmes peuvent se produire si MSE n'est pas en mesure de localiser le périphérique.

Quelques éléments à vérifier pour s'assurer que MSE est correctement configuré :

1- Assurez-vous que le WLC auquel l'utilisateur est connecté dispose d'une connexion NMSP valide à l'ISE MSE est intégré avec :

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

Dans le cas contraire, ce document vous aidera

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2- Vérifier si MSE est capable de suivre les périphériques

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0

Historique de révision

Révision Date de publication Commentaires
1.0
19-Oct-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits