Acceso Invitado sobre ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
_________________________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
De igual manera, se debe haber preconfigurado Cisco ISE para integración con Active Directory.
_________________________________________________________________________________
Cisco ISE v2.1
incluye la autenticación via Web de
usuarios invitados. Dichos usuarios comúnmente son conectados a través de redes
inalámbricas.
Dentro de un despliege de red
inalámbrica para empleados se utiliza con regularidad el Filtro de Mac-Address lo que ISE
recibe como usuarios y dispositivos MAB (MacAddress Authentication Bypass).(*)
Como
complemento de este modo de seguridad en capa 2 (Modelo OSI), el WLC aplica un
modelo de política de seguridad de Autenticación Web junto a Listas de Control
de Acceso (ACL) aplicadas de manera previa a la autenticación y autorización.
El portal Web
de autenticacion para usuarios
y el portal generador de cuentas (Sponsor) son contenidos y configurados dentro
de la Plataforma Cisco ISE.
(*) MAC Authentication Bypass Deployment Guide.
Proceso 0: Configurar una política de Autorización. Acceso Invitado
MAB permitirá a un dispositivo de usuario final específico pasar por alto el proceso de autenticación. MAB por default este pre configurado en Cisco ISE.
Paso 1: Navegar a traves de la ruta Policy > Authentication Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: AuthPolicy_MAB.
Paso 3: Ahora sobre el campo que contiene Internal Endpoints hacer click en el simbolo “+”. Validar Figura27.
Paso 4: Una vez alli se despliega una nueva seccion. En el campo If authentication failed optar porContinue, en el campo If user not found elegir Continue y en el campo If process failed Drop. Validar Figura27.
Paso 5: Click en Save.
Figura27.: Configurando MAB, Politica de Autenticacion
Proceso 1: Configurar Condición de Autorización, Servicio RADIUS
Acceso Invitado
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: Guest_Portal_Auth.
Paso 4: En el campo Description de la sección Condition
Expression elegir NetworkAccess:UseCase,
seguido por Equals y por último GuestFlow. Validar
Figura 37.
Paso 5: Click en Save.
Figura37.: Condición Política de Autorización,
Servicio RADIUS Acceso Invitado
Proceso 2: Configurar Perfil de Autorización, Servicio Acceso
Invitado
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Result.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Authorization Profiles.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para el perfil, por ejemplo: Guest_Permiso_Full.
Paso 4: En el campo Access Type elegir ACCESS_ACCEPT, en el campo Network Device Profile optar por Cisco y en
la sección Common Task marcar la
casilla DACL Name, además
de elegir la opción PERMIT_ALL_TRAFFIC, en el
campo de seleccion. Validar Figura 38.
Paso 5: Click en Save.
Figura38.: Perfil de Autorización,
Servicio RADIUS Acceso Invitado
Proceso 3: Configurar Política de Autorización, Servicio Acceso
Invitado (Caso Flujo Invitado)
Paso 1: Navegar
a traves de la ruta Policy > Authorization
Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: WIFI_GuestPortalAuth_BCOEXT.
Paso 3: Ahora sobre el campo Conditions, elegir Guest_Portal_Auth. En
el campo Permissions, elegir PermitAccess.
Validar Figura39.
Paso 4: Click
en Done (del lado derecho de la
sección) y en Save.
Figura39.: Política de Autorización,
Servicio RADIUS Acceso Invitado
Proceso 4: Configurar Política de Autorización, Servicio Acceso
Invitado (Caso Invitado Registrado)
Paso 1: Navegar
a traves de la ruta Policy > Authorization
Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: WIFI_GuestPermit.
Paso 3: Ahora sobre el campo Conditions, elegir GuestEndpoints. En
el campo Permissions, elegir Guest_Permiso_Full.
Validar Figura40.
Paso 4: Click
en Done (del lado derecho de la
sección) y en Save.
Figura40.: Política de Autorización,
Servicio RADIUS Acceso Invitado
Proceso 5: Configurar Perfil de Autorización, Servicio RADIUS Acceso
Invitado
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Result.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Autorization Profiles.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: BCOEXT_WLC.
Paso 4: En el campo Description escibrir WEB ACCESS REDIRETION, en
el campo Access Type elegir ACCESS_ACCEPT.
Paso 5: En la sección Common Task, marcar la casilla Web Redirection (CWA, MDM, NSP, CPP), a la
izquierda optar por Centralized Web Auth, en
el campo ACL colocar PreAuth_Invitado
(lista de acceso configurada en el WLC, validar Figura 41) y en campo Value optar por (el nombre de portal de
invitado, ya debe estar configurado) Invitado_BancoExterior. Validar
Figura 42.
Paso 5: Click en Save.
Figura41.: Lista de Acceso de
PreAutenticación en WLC, Servicio RADIUS Acceso Invitado
Figura42.: Perfil de Autorización,
Servicio RADIUS Acceso Invitado
Proceso 6: Configurar Política de Autorización, Servicio Acceso
Invitado
Paso 1: Navegar
a traves de la ruta Policy > Authorization
Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: WIFI_GuestRedirect_BCOEXT.
Paso 3: Ahora sobre el campo Conditions, elegir Wireless_MAB (condición
existente ya en la librería). En el campo Permissions,
elegir BCOEXT_WLC. Validar Figura43.
Paso 4: Click
en Done (del lado derecho de la
sección) y en Save.
Figura43.: Política Autorización,
Servicio RADIUS Acceso Invitado
Configurando Portal Acceso Invitado sobre Cisco (ISE)
Proceso 1: Configurar Condición de Autorización, Servicio RADIUS
Acceso Invitado
Paso 1: Navegar
a traves de la ruta Work Centers > Guest
Access > Configure.
Paso 2: A la izquierda hacer click Guest Portals y a la derecha en Create.
Paso 3: Ahora sobre la ventana emergente
optar por la opcion Sponsored-Guest Portal y
click en Continue…
Paso 4: Click en
Done (del lado derecho de la sección) y en Save. Validar Figura 44.
Figura44.: Creacion Portal
Invitado, elegir tipo de portal, Servicio RADIUS Acceso Invitado
Proceso 2: Configurar Portal Invitado, Servicio RADIUS Acceso
Invitado
Paso 1: Una vez, cumplido con el Proceso 1, se comienza
con la configuración real del portal. A la derecha de la ventana llegar el
campo Portal Name, colocar el nombre
del portal, por ejemplo: Invitado_BancoExterior y en el campo Description, describir las características y funciones de dicho portal.
Validar figura 45.
Figura45.: Nombre y descripcion
del portal, Servicio RADIUS Acceso Invitado
Paso 2: Luego hacer click sobre la seccion
Portal Settings. Dejar las
configuraciones por defecto como muestra la Figura46, solo realizar cambios en
la seccion Display Lenguage marcando
la casilla Always Use optando por Spanish-Español,y en
el campo Authentication Method elegir
la Identity Source Sequence (la fuente de identidades que se
permitiran como credenciales validas), para
editarlas o crear una nueva:
Navegar a través de la ruta Work Centers > Guest Access > Identities > Identity Source
Sequence. A la derecha hacer click en +Add.
Editar el campo Name, por ejemplo UsuariosInternos. En Authentication Search List, seleccionar Guest Users. Dejar marcada la opcion Treat as if the user was not found an proceed to the next store in the
sequence. Click en Save. Validar
figura 47.
Figura46.: Portal Settings,
Servicio RADIUS Acceso Invitado
Figura47.: Identity Source
Sequence, Servicio RADIUS Acceso Invitado
Paso 4: Hacer click sobre la seccion Login Page Settings, solo dejar marcada
la casilla Include an AUP, on page.
Paso 5: Hacer click sobre Acceptable Use Policy (AUP) Page Setting y
marcar las casillas Include an AUP page,
luego Skip AUP for employees y
por ultimo On first login only. Validar
Figura 48.
Figura48.: Login and AUP Page
Settings, Servicio RADIUS Acceso Invitado
Paso 6: Hacer click sobre Guest Change Password Settings, no
marcar ninguna casilla.
Paso 7: Hacer click sobre Guest Device Registration Settings¸ marcar
la casilla Automaticaly register guest
devices.
Paso 8: Hacer click sobre BYOD Settings, no marcar ninguna
casilla. Validar Figura 49.
Figura49.: Password, Devices Registration and BYOD Settings,
Servicio RADIUS Acceso Invitado
Paso 9: Hacer click sobre Guest Device Compliance Settings, no
marcar ninguna casilla.
Paso 10: Hacer click sobre Post Login Banner Portal Settings, marcar
Include a Post Login Banner Page.
Paso 11: Hacer click sobre VLAN DHCP Release Banner Settings, no
marcar ninguna casilla.
Paso 12: Hacer click sobre Authentication Success Settings, marcar
Authentication Success Page. Validar
Figura50.
Figura50.: Password, Devices Registration and BYOD Settings,
Servicio RADIUS Acceso Invitado
Paso 13: Hacer click sobre Support Information Page Settings, marcar
Include Support Information Page, luego
las casillas MAC address, IP address,
Browser user agent, Policy server y Failure code. En la seccion inferior Empty Fields, marcar Hide Field. Validar Figura50.
Figura51.: Support Information Page Settings, Servicio RADIUS
Acceso Invitado
Paso 14: Hacer click sobre el boton Save, en la parte superior de la
ventana. Validar Figura 52.
Paso 15: Hacer click sobre Portal
Page Customization.
Figura52.: Guardando la configuracion:
Portal Behaviorand Flow Settings, Servicio RADIUS Acceso Invitado
Paso 16: En el campo Portal
Theme, optar por un tema, por ejemplo: DefaultBluetheme.
Paso 17: En el campo View in, elegir
Spanish-Español.
Paso 18: En la seccion Text
Elements, colocar el nombre visible del portal en el campo Banner tittle, por ejemplo Portal de
Invitado Patrocinado.
Paso 19: En la sección Global
Page Customizations Imágenes, subir los logos y emblemas del cliente tanto
para la version de navegador del dispositivo movil como para el desktop.
Validar Figura53.
Paso 20: Click en boton Save.
Figura53.: Guardando la
configuracion: Portal Page Customization, Servicio RADIUS Acceso Invitado
Proceso 3: Configurar Portal Sponsor, Servicio RADIUS Acceso
Invitado
Paso 1: Navegar a traves de la ruta Work Centers > Guest Access > Configure > Sponsor
Groups.
Paso 2: En la
parte derecha hacer click sobre el boton +Add.
Paso 3: Ahora sobre la nueva visualizacion, colocar un
nombre al grupo de sponsor o patrocinadores en el campo Sponsor group name, por ejemplo AutoGenBCOEXT_Sponsor Group.
Colocar una descripion de funciones a cumplir por este grupo.
Paso 4: En la
zona de integrantes, elegir el grupo de Active Directory destinado para tal
fin. Hacer click sobre el boton Members…
y elegir por ejemplo: SETRYS:Setrys.com/Users/Domain Admins.
Paso 5: Dejar la configuracion por defecto
para el resto de las opciones, hacer click en Save. Validar Figura 54.
Figura54.: Guardando la
configuracion: Portal Page Customization, Servicio RADIUS Acceso Invitado
Paso 6: Navegar a traves de la ruta Work Centers > Guest Access > Configure > Sponsor
Portal.
Paso 7: Hacer click sobre el boton Create.
Paso 8: En la nueva Ventana, editar el
campo Portal Name, por ejemplo: Portal
de Administracion.
Paso 9: Hacer click sobre Portal Settings. En el campo Identity Soure Sequence, elegir el
grupo de se configuro entre los pasos 1 y 5. Ademas marcar la seccion de Display Lenguage la casilla Always Use y optar por Spanish –
Espanol.
Paso 10: Dejar el resto de las secciones
con las configuraciones por defectos del sistema.
Paso 11: Hacer click en Save. Validar Figura 55.
Figura55.: Configuracion Portal Behavior Sponsor and Flow Settings,
Servicio RADIUS Acceso Invitado
Paso 12: Click sobre la seccion Portal
Page Customization.
Paso 13: En el campo Portal
Theme, optar por un tema, por ejemplo: DefaultBluetheme.
Paso 14: En el campo View in, elegir
Spanish-Español.
Paso 15: En la seccion Banner
Elements, colocar el nombre visible del portal en el campo Banner tittle, por ejemplo Sponsor Portal.
Paso 16: En la sección Global
Page Customizations Imágenes, subir los logos y emblemas del cliente tanto
para la version de navegador del dispositivo movil como para el desktop.
Validar Figura56.
Paso 17: Click en boton Save.
Figura56.: Configuracion Portal Sponsor Page Customization, Servicio
RADIUS Acceso Invitado
¿Cómo verificar Logs de Autenticaciones?
Paso 1: Navegar a través de la ruta Operations > TACACS+ > Live Logs.
Paso 2: Click en el botón Refresh. Validar Figura57.
Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
KUNST, Jason. ISE 2.0 Wireless Guest Setup Guide. Marzo 2016.
Campus Wireless LAN. Techmology Design. Agosto 2014.
Wireless LAN Advanced Guest Access Deploy Guide. Smart Business Architecture. Febrero 2013.
No hay comentarios:
Publicar un comentario