ISE-beleid op basis van voorbeelden van SSID-configuratie bekijken
Inleiding
Dit document beschrijft hoe u het autorisatiebeleid in Cisco ISE kunt configureren om onderscheid te maken tussen verschillende serviceset-id’s (SSID’s).
Vereisten
Deze gids gaat ervan uit dat:
1) De Wireless LAN Controller (WLC) is ingesteld en werkt voor alle betrokken SSID's.
2) Verificatie werkt aan alle betrokken SID's tegen ISE.
Draadloze LAN-controllerrelease 7.3.10.0
Identificeer services engine release 1.1.2.145
Eerdere versies hebben beide kenmerken.
Er wordt slechts één configuratiemethode tegelijkertijd gebruikt. Als beide configuraties tegelijkertijd worden geïmplementeerd, wordt de hoeveelheid die door ISE wordt verwerkt, verhoogd en is dit van invloed op de leesbaarheid van regels. In dit document worden de voor- en nadelen van elke configuratiemethode besproken.
Achtergrondinformatie
Het is heel gebruikelijk voor een organisatie om meerdere SSID's in hun draadloze netwerk te hebben voor verschillende doeleinden. Een van de meest voorkomende doelen is om een bedrijfs-SSID voor medewerkers en een gast-SSID voor bezoekers van de organisatie te hebben.
Methode 1: Airespace-WLAN-ID
Elk Wireless Local Area Network (WLAN) dat op de WLC is gemaakt, heeft een WLAN-id. De WLAN-id wordt weergegeven op de overzichtspagina van WLAN.
Wanneer een client verbinding maakt met de SSID, bevat het RADIUS-verzoek naar ISE het kenmerk Aironet-WLAN-ID. Deze eenvoudige eigenschap wordt gebruikt om beleidsbesluiten in ISE te nemen. Een nadeel van deze eigenschap is als de WLAN-id niet overeenkomt op een SSID die over meerdere controllers wordt verspreid. Als dit uw plaatsing beschrijft, ga verder naar Methode 2.
In dit geval wordt Airespace-WLAN-ID als voorwaarde gebruikt. Het kan worden gebruikt als een eenvoudige voorwaarde (op zichzelf) of in een samengestelde voorwaarde (samen met een ander attribuut) om het gewenste resultaat te bereiken. Dit document heeft betrekking op beide gebruikssituaties. Met de twee SSIDs hierboven, kunnen deze twee regels worden tot stand gebracht.
A) Gastgebruikers moeten inloggen op de Guest SSID.
B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" van Active Directory zitten en moeten inloggen bij de Corporate SSID.
Regel A
Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
1) In ISE, ga naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëer een nieuwe voorwaarde.
2) Voer in het veld Naam een naam in voor de voorwaarde.
3) Voer in het veld Description een omschrijving in (optioneel).
4) Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Attributen.
5) Kies Equals in de vervolgkeuzelijst Operator.
6) Kies 2 in de vervolgkeuzelijst Waarde.
7) Klik op Opslaan.
Regel B
Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
1) In ISE, ga naar Policy > Policy Elements > Conditions > Authorisation > Compound conditions en creëer een nieuwe voorwaarde.
2) Voer in het veld Naam een naam in voor de voorwaarde.
3) Voer in het veld Description een omschrijving in (optioneel).
4) Kies Nieuwe voorwaarde maken (geavanceerde optie).
5) Kies Airespace > Airespace-WLAN-ID—[1] in de vervolgkeuzelijst Kenmerken.
6) Kies Equals in de vervolgkeuzelijst Operator.
7) Kies 1 in de vervolgkeuzelijst Waarde.
9) Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerk.
10) Kies Equals in de vervolgkeuzelijst Operator.
11) Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.
12) Klik op Opslaan.
Opmerking: In dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.
Nu we aan de voorwaarden voldoen, kunnen we ze toepassen op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Bepaal waar u de regel in de lijst wilt invoegen of waar u uw bestaande regel wilt bewerken.
Guest Rule
1) Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
2) Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.
3) Onder Voorwaarden, klik op de plus en klik op Selecteer Bestaande Voorwaarden uit bibliotheek.
4) Kies onder Condition Name, Simple Condition > GuestSSID.
5) Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.
6) Klik op Gereed.
Corporate Rule
1) Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
2) Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.
3) Onder Voorwaarden, klik op de plus en klik op Selecteer Bestaande Voorwaarden uit bibliotheek.
4) Kies onder Condition Name, Compound Condition > CorporateSSID.
5) Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.
6) Klik op Gereed.
Opmerking: totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht, op uw implementatie toegepast.
Methode 2: Call-Station-ID
De WLC kan worden geconfigureerd om de SSID-naam te verzenden in het kenmerk RADIUS Call-Station-ID, dat op zijn beurt kan worden gebruikt als voorwaarde op ISE. Het voordeel van deze eigenschap is dat het kan worden gebruikt ongeacht wat de WLAN-id is ingesteld op de WLC. Standaard stuurt de WLC de SSID niet in het attribuut Calling-Station-ID. Om deze functie in te schakelen op de WLC, gaat u naar Security > AAA > RADIUS > Verificatie en stelt u het Call Station ID-type in op AP MAC-adres:SSID. Hiermee wordt de notatie van de opgeroepen-Station-ID ingesteld op <MAC van het toegangspunt waarmee de gebruiker verbinding maakt>:<SSID Name>.
U kunt zien welke SSID Name gaat worden verzonden vanaf de WLAN-overzichtspagina.
Aangezien het kenmerk Call-Station-ID ook het MAC-adres van het toegangspunt bevat, wordt een Regular Expression (REGEX) gebruikt om de SSID-naam in het ISE-beleid aan te passen. De operator 'Matches' in de conditieconfiguratie kan een REGEX lezen uit het veld Waarde.
REGEX-voorbeelden
‘Begint met’—gebruik bijvoorbeeld de REGEX-waarde van ^(Acme).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie PAST OP ‘Acme’ (elke match met een voorwaarde die begint met ‘Acme’).
`Eindigt met '—bijvoorbeeld, gebruik de REGEX waarde van .*(mktg)$—deze voorwaarde wordt geconfigureerd als CERTIFICAAT:Organisatie MATCHES`mktg' (elke match met een voorwaarde die eindigt met "mktg").
Bevat'—bijvoorbeeld, gebruik de REGEX-waarde van .*(1234).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie MATCHT '1234' (elke overeenkomst met een voorwaarde die '1234' bevat, zoals Eng1234, 1234Dev en Corp1234Mktg).
Regex begint niet met '—bijvoorbeeld gebruik de REGEX-waarde van ^(?!LDAP).*—deze voorwaarde is ingesteld als CERTIFICAAT:Organisatie matcht 'LDAP' (elke overeenkomst met een voorwaarde die niet begint met 'LDAP', zoals usLDAP of CorpLDAPmktg).
Oproep-Station-ID eindigt met de SSID-naam, dus de REGEX in dit voorbeeld is .*(:<SSID NAME>)$. Houd dit in gedachten als je door de configuratie gaat.
Met de twee SSIDs hierboven, kunt u twee regels met deze vereisten tot stand brengen:
A) Gastgebruikers moeten inloggen op de Guest SSID.
B) Bedrijfgebruikers moeten in de AD-groep "Domeingebruikers" zijn en moeten inloggen bij de Corporate-SSID.
Regel A
Regel A heeft slechts één vereiste, zodat u een eenvoudige voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
1) In ISE, ga naar Policy > Policy Elements > Conditions > Authorisation > Simple Conditions en creëer een nieuwe voorwaarde.
2) Voer in het veld Naam een naam in voor de voorwaarde.
3) Voer in het veld Description een omschrijving in (optioneel).
4) Kies in de vervolgkeuzelijst Kenmerk Radius > Calling-ID—[30].
5) Kies Overeenkomsten in de vervolgkeuzelijst Operator.
6) Kies in de vervolgkeuzelijst Waarde .*(:Guest)$. Dit is hoofdlettergevoelig.
7) Klik op Opslaan.
Regel B
Regel B heeft twee eisen, zodat u een samengestelde voorwaarde (die op de waarden hierboven wordt gebaseerd) kunt bouwen:
1) In ISE, ga naar Policy > Policy Elements > Conditions > Authorisation > Compound Conditions en creëer een nieuwe voorwaarde.
2) Voer in het veld Naam een naam in voor de voorwaarde.
3) Voer in het veld Description een omschrijving in (optioneel).
4) Kies Nieuwe voorwaarde maken (geavanceerde optie).
5) Kies in de vervolgkeuzelijst Kenmerk de optie Radius > Call-Station-ID—[30].
6) Kies Overeenkomsten in de vervolgkeuzelijst Operator.
7) Kies in de vervolgkeuzelijst Waarde .*(:Corporate)$. Dit is hoofdlettergevoelig.
9) Kies AD1 > Externe groepen in de vervolgkeuzelijst Kenmerk.
10) Kies Equals in de vervolgkeuzelijst Operator.
11) Selecteer de gewenste groep in de vervolgkeuzelijst Waarde. In dit voorbeeld is het ingesteld op Domain Gebruikers.
12) Klik op Opslaan.
Opmerking: In dit document maken we gebruik van eenvoudige autorisatieprofielen die zijn geconfigureerd onder Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Ze zijn ingesteld op Permit Access, maar kunnen worden aangepast aan de behoeften van uw implementatie.
Nu de voorwaarden zijn geconfigureerd, past u deze toe op een autorisatiebeleid. Ga naar Beleid > Autorisatie. Plaats de regel in de lijst op de juiste locatie of bewerk een bestaande regel.
Guest Rule
1) Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
2) Voer een naam in voor uw gastregel en laat het veld Identiteitsgroepen ingesteld op Any.
3) Onder Voorwaarden, klik op de plus en klik op Selecteer Bestaande Voorwaarden uit bibliotheek.
4) Kies onder Condition Name, Simple Condition > GuestSSID.
5) Kies onder Rechten het juiste autorisatieprofiel voor uw Gast-gebruikers.
6) Klik op Gereed.
Corporate Rule
1) Klik op de pijl-omlaag rechts van een bestaande regel en kies Een nieuwe regel invoegen.
2) Voer een naam in voor de bedrijfsregel en laat het veld Identiteitsgroepen ingesteld op Any.
3) Onder Voorwaarden, klik op de plus en klik op Selecteer Bestaande Voorwaarden uit bibliotheek.
4) Kies onder Condition Name, Compound Condition > CorporateSSID.
5) Kies onder Rechten het juiste autorisatieprofiel voor uw zakelijke gebruikers.
6) Klik op Gereed.
7) Klik op Opslaan onder in de lijst Beleid.
Opmerking: totdat u op Opslaan klikt onder in de beleidslijst, worden geen wijzigingen die op dit scherm zijn aangebracht, op uw implementatie toegepast.
Problemen oplossen
Om te weten te komen of het beleid goed is gemaakt en om ervoor te zorgen dat ISE de juiste kenmerken ontvangt, moet u het gedetailleerde verificatierapport bekijken voor een doorgegeven of mislukte verificatie voor de gebruiker. Kies Operations > Verificaties en klik vervolgens op het pictogram Details voor een verificatie.
Controleer eerst het verificatieoverzicht. Hierin worden de basisbeginselen van de verificatie getoond, waaronder het aan de gebruiker verstrekte autorisatieprofiel.
Als het beleid niet correct is, toont de verificatie details wat Airespace-WLAN-Id en wat Calling-Station-ID werd verzonden van de WLC. Pas uw regels dienovereenkomstig aan. De overeenkomende regel voor autorisatiebeleid bevestigt of de authenticatie overeenkomt met uw beoogde regel.
Deze regels zijn doorgaans verkeerd ingesteld. Om het configuratiekwestie te openbaren, stem de regel tegen wat in de authentificatiedetails wordt gezien. Als u de kenmerken niet ziet in het veld Andere kenmerken, moet u ervoor zorgen dat de WLC correct is geconfigureerd.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
19-Dec-2012 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)