Catalyst 9800とCisco ISEのCWAの設定例/CWA_configuration_example_for_Catalyst 9800_and_Cisco_ISE

Slide 1

Slide 1 text

Catalyst 9800とCisco ISEの CWA (Central Web Authentication) の設定例初版作成日: 2025/01/12 作成者: MyHomeNWLab

Slide 2

Slide 2 text

概要 • Cisco社のCatalyst 9800からCisco ISEにRADIUSで認証連携をして、CWA (Central Web Authentication)で無線LAN端末を認証する設定例を紹介します。

Slide 3

Slide 3 text

検証時の情報 • Catalyst 9800-CL Version 17.14.1 • Catalyst CW9162I-Q • Cisco ISE Version 3.3.0.430 • Windows 11 Pro 23H2 (言語設定: 英語)

Slide 4

Slide 4 text

前提条件や注意事項 • FlexConnect mode (Central/Local Switching)想定の設定手順になっております。筆者による機能の妥当性の検証自体はLocal modeでも行っております。 • Catalyst 9800のWeb UIでの送信元のVRFやInterfaceの指定はVersionによって若干異なります。筆者の資料では v17.13.1 以上を想定しています。 • Cisco ISEは v3.3 系のデフォルト設定であるのを前提としています。 • Policy ProfileのNAC State (nac)の設定は、CSCwk45246 によりWeb UIからだと show running-config に反映されない事象があります。該当個所で補足します。

Slide 5

Slide 5 text

事前整理

Slide 6

Slide 6 text

作業項目の概要 • 本資料ではCWAを動作させるために下記の最小限の設定を行います。 • Catalyst 9800の設定 • RADIUS Server • RADIUS Server Group • AAA Method List - Authorization (AuthZ) • AAA Method List - Accounting • 既存設定の変更対象 - WLAN Profile • 既存設定の変更対象 - Policy Profile • Redirect ACLの設定 • 既存設定の変更対象 - Flex Profile • Cisco ISEの設定 • Network Access Device (NAD) • Authorization Policyの設定変更 • Network Access Users (資格情報の追加) • その他の機器に設定すべきCisco ISEの関連設定 • DNS ServerでのCaptive Portal用のDNSレコードの追加 • 端末側でのCisco ISEのCWA用証明書の信頼設定

Slide 7

Slide 7 text

利用用途とAAA関連設定の必要有無 • 無線LANでよく利用されるセキュリティ機能にはEAP-TLS, CWA, MABなどがありますが、利用する機能によってAAA Method ListとCoAの設定有無が変わるため整理します。設定種別 EAP-TLS CWA (MAB含む) EAP-TLSとCWA AAA Method ListのAuthentication (認証) 必要 - 必要〃 Authorization (認可) - 必要必要〃 Accounting - 必要必要 RADIUS ServerのCoA - 必要必要【略語】 CWA: Central Web Authentication MAB: MAC Authentication Bypass CoA: Change of Authorization ↑ 本資料ではCWAのみを扱います。

Slide 8

Slide 8 text

RADIUS関連の設定例 • 各種設定の命名を整理します。 • 本設定例ではRADIUS Serverは1台想定のため、必要に応じて2台目を追加してください。設定種別命名規則 RADIUS Server RADSV_ISE01 RADIUS Server Group RADGRP_ISE Authorization Method List AuthZ_MAB Accounting Method List Acct_CWA Redirect ACL ACL_WEBAUTH_REDIREC

Slide 9

Slide 9 text

既存設定の変更対象 • 既存設定に対して変更を行うため、変更内容の概要をまとめます。設定項目変更内容 WLAN Profile • MAC Filteringの有効化 • Authorization Listの適用 Policy Profile • Allow AAA Overrideの有効化 • NAC Stateの有効化 • Accounting Listの適用 Flex Profile (設計に依存) • Redirect ACLの反映 • CWA (Central Web Authentication)の有効化 ※備考: FlexConnectのLocal Switchingの通信がある場合に必要です。

Slide 10

Slide 10 text

Catalyst 9800のCWA設定 1. RADIUS Server 2. RADIUS Server Group 3. AAA Method List - Authorization (AuthZ) 4. AAA Method List - Accounting 5. 既存設定の変更対象 - WLAN Profile 6. 既存設定の変更対象 - Policy Profile 7. Redirect ACLの設定 8. 既存設定の変更対象 - Flex Profile

Slide 11

Slide 11 text

RADIUS Server • メニュー「Configuration > Security > AAA」の「Servers / Groups > RADIUS > Server」設定項目設定値備考 Name RADSV_ISE01 Server Address Cisco ISEのIPアドレス Key / Confirm Key 強固なパスワードを指定 CLI例示: TODO_CHANGE_PASSWORD Support for CoA ENABLED CWAではCoAの有効化が必要 CoA Server Key / Confirm CoA Server Key Key と同じものを指定 Key と同じものを指定 VRF ※v17.13.1 以上で対応任意: 設計に応じて指定 VRF利用時のみ指定 EAP-TLSなどのために”既に”RADIUS Serverを設定済みの場合は、CoAの設定を追加します。 CoA関連

Slide 12

Slide 12 text

CLI: RADIUS Server (VRFあり) configure terminal aaa new-model aaa server radius dynamic-author client 192.0.2.111 vrf Mgmt-intf server-key TODO_CHANGE_PASSWORD ! aaa session-id common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! CoAの設定です。環境に応じてCisco ISEのIPアドレスを書き換えます。 Keyを強固なパスワードに書き換えます。 Keyを強固なパスワードに書き換えます。環境に応じてCisco ISEのIPアドレスを書き換えます。 VRFの有無は必要に応じて修正します。

Slide 13

Slide 13 text

先に「Server」タブを設定します。

Slide 14

Slide 14 text

CWAではCoAの有効化が必要です。 VRFの利用可否は設計に応じて検討してください。 RADSV_ISE01 同じ値を設定

Slide 15

Slide 15 text

RADIUS Server Group • メニュー「Configuration > Security > AAA」の「Servers / Groups > RADIUS > Server Group」設定項目設定値備考 Name RADGRP_ISE Group Type RADIUS 固定値です。 IPv4 Source Interface ※環境に応じて指定 IPv4 VRF - ※未指定対象InterfaceにVRFがある場合でも、 RADIUS Server Groupの方では未指定にします。 Assigned Servers RADSV_ISE01 先にRADIUS Serverを複数作成した場合は、忘れずに全て指定します。

Slide 16

Slide 16 text

「Server Group」タブで設定します。

Slide 17

Slide 17 text

管理系やサービス系の有無を問わずに VRFは未指定のままにします。対象の設定をAssigned Server側に移動します。 RADGRP_ISE 送信元Interfaceを明示的に指定します。

Slide 18

Slide 18 text

CLI: RADIUS Server Group aaa group server radius RADGRP_ISE server name RADSV_ISE01 ip radius source-interface GigabitEthernet1 deadtime 5 ! 環境に応じて送信元Interfaceを書き換えます。 Dead-Time (deadtime)はWeb UIで設定される値と同じにしてます。適宜チューニングしてください。

Slide 19

Slide 19 text

Authorization (AuthZ) • メニュー: 「Configuration > Security > AAA」の「AAA Method List > Authorization」 • CWAによる認証が通った端末はMACアドレスがCisco ISEに登録されて、MAB (MAC Authentication Bypass)により通信が許可されるようにします。本設定はC9800側の MAB関連の設定であり、WLAN ProfileのMAC Filtering設定に適用します。設定項目設定値備考 Method List Name AuthZ_MAB Group Type network Group Type group Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。

Slide 20

Slide 20 text

Authorization (AuthZ)の方です。 Authentication (AuthC/AuthN)と混同しないように注意します。

Slide 21

Slide 21 text

AuthZ_MAB 対象の設定を Assigned Server Groups側に移動します。

Slide 22

Slide 22 text

CLI: Authorization (AuthZ) aaa authorization network AuthZ_MAB group RADGRP_ISE

Slide 23

Slide 23 text

Accounting • メニュー: 「Configuration > Security > AAA」の「AAA Method List > Accounting」 • 備考: 本設定をWeb UIで行った段階で、IBNS (legacy)からIBNS 2.0 (new-style)に変更されます。詳細はCLIの設定個所で言及します。設定項目設定値備考 Method List Name Acct_CWA Group Type identity Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。【参考情報】 IBNSとIBNS 2.0 - Cisco Community https://community.cisco.com/t5/-/-/ta-p/4069346

Slide 24

Slide 24 text

No content

Slide 25

Slide 25 text

Acct_CWA 対象の設定を Assigned Server Groups側に移動します。

Slide 26

Slide 26 text

CLI: Accounting do authentication display config-mode aaa accounting identity Acct_CWA start-stop group RADGRP_ISE do authentication display config-mode wlc01(config)#aaa accounting identity Acct_CWA start-stop group RADGRP_ISE This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. Do you wish to continue? [yes]: wlc01(config)# 【参考情報】 IBNSとIBNS 2.0 - Cisco Community https://community.cisco.com/t5/-/-/ta-p/4069346 「aaa accounting identity」はIBNS 2.0 (new-style)のコマンドのため変換処理が走る可能性があります。 CLIからだと下記のような対話プロンプトが表示されたので、事前と事後にモードの確認を行う手順にしています。

Slide 27

Slide 27 text

参考情報: C9800-CL (vSphere版)の場合 wlc01(config)#do authentication display config-mode Current configuration mode is legacy wlc01(config)# wlc01(config)# wlc01(config)#aaa accounting identity Acct_CWA start-stop group RADGRP_ISE This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. Do you wish to continue? [yes]: wlc01(config)# wlc01(config)# wlc01(config)#do authentication display config-mode Current configuration mode is new-style wlc01(config)#

Slide 28

Slide 28 text

既存設定の変更 • 下記の「既存設定の変更」を次のスライドから順番に行っていきます。設定項目変更内容 WLAN Profile • MAC Filteringの有効化 • Authorization Listの適用 Policy Profile • Allow AAA Overrideの有効化 • NAC Stateの有効化 • Accounting Listの適用 Flex Profile (設計に依存) • Redirect ACLの反映 • CWA (Central Web Authentication)の有効化 ※備考: FlexConnectのLocal Switchingの通信がある場合に必要です。

Slide 29

Slide 29 text

既存WLAN Profileの変更 • メニュー: 「Configuration > Tags & Profiles > WLANs」より設定対象のWLAN Profileを選択します。 • 「Security タブ > Layer 2 タブ」より下記の設定を変更します。設定項目設定値備考 MAC Filtering 有効化 Authorization List AuthZ_MAB

Slide 30

Slide 30 text

設定対象のWLAN Profileを選択してください。 MAC Filteringを有効化して、 Authorization Listを指定します。

Slide 31

Slide 31 text

CLI: MAC Filtering & Authorization-List (一例) wlan WLAN_OFFICE 98 OFFICE shutdown mac-filtering AuthZ_MAB no shutdown 対象のWLAN Profileは環境に応じたものを指定してください。

Slide 32

Slide 32 text

既存Policy Profileの設定変更 • メニュー「Configuration > Tags & Profiles > Policy」より設定対象のPolicy Profileを選択します。 • 「Advanced タブ」より下記の設定を変更します。設定項目設定値備考 Allow AAA Override 有効化 NAC State 有効化 CSCwk45246 の影響により、Web UIからの設定がshow running-config に反映されない事象があります。v17.14.1は該当しています。該当している場合は回避策としてCLIから設定を反映してください。 Accounting List Acct_CWA 注記: Web UIから設定すると、NAC State (nac)の設定が show running-config に表示されない事象があります。詳細な事象は下記を参照してください。 Cisco Bug: CSCwk45246 - NAC State cannot be saved to running-config via GUI https://bst.cisco.com/quickview/bug/CSCwk45246

Slide 33

Slide 33 text

設定対象のPolicy Profileを選択してください。 v17.14.1では CSCwk45246 の影響により show running-configに nac コマンドが反映されませんでした。備考: v17.15.1 では反映されました。

Slide 34

Slide 34 text

CLI: 既存Policy Profileの設定変更 (一例) wireless profile policy PolProf_OFFICE_Flex_Local shutdown aaa-override nac accounting-list Acct_CWA no shutdown 対象のPolicy Profileは環境に応じたものを指定してください。【注記】 Central SwitchingとLocal SwitchingでPolicy Profileを分けている場合などは、対象のPolicy Profileの全てに設定するのを忘れないようにします。

Slide 35

Slide 35 text

CSCwk45246 による影響 wlc01#show running-config | section PolProf_OFFICE_Flex_Local wireless profile policy PolProf_OFFICE_Flex_Local aaa-override accounting-list Acct_CWA no central dhcp no central switching nac vlan FLX_v101 no shutdown wlan WLAN_OFFICE policy PolProf_OFFICE_Flex_Local wlc01# ここに表示されるべき「nac」コマンドが GUIから設定するとshow running-configに反映されません。

Slide 36

Slide 36 text

Redirect ACLの設定 • Web UIではパラメータが多くてミスを誘発しやすいため、本手順ではCLIから設定します。 ip access-list extended ACL_WEBAUTH_REDIRECT deny ip any host deny ip host any deny udp any any eq domain deny udp any eq domain any permit tcp any any eq 80 【情報源】 Configure Central Web Authentication (CWA) on Catalyst 9800 WLC and ISE - Cisco https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213920-central-web-authentication-cwa-on-cata.html#toc-hId-881505252 TODO: の部分は環境に応じて、 Cisco ISEのIPアドレスに書き換えます。リダイレクトループを防ぐために「deny」します。 ACL名はCisco ISE側のデフォルト設定に合わせています。 • 「deny」が「リダイレクトさせずに通す通信」を指定します。認証前に必要な通信を指定します。 • 「permit」が「リダイレクト対象にする通信」を指定します。 • 「暗黙 (未指定)」(それ以外)は、リダイレクトされず、通信も通りません。

Slide 37

Slide 37 text

補足: Redirect ACLとHTTP Server機能の有効化状態 • Redirect ACLでHTTP (80/tcp)を対象とする際は、C9800で「HTTP Server」もしくは「Enable HTTP server for Web Auth」のいずれかが有効化されている必要があります。 • 特にWeb UIの管理アクセスで、ハードニングのためにHTTP Serverを無効化するシナリオで該当する可能性が高くなります。 HTTP (80/tcp)の Redirect可否 HTTP Server CLI: ip http server Enable HTTP server for Web Auth ○ Redirect可 ○ 有効化 (Enabled) ○ 有効化 (Enabled) ○ Redirect可 ○ 有効化 (Enabled) × 無効化 (Disabled) ○ Redirect可 × 無効化 (Disabled) ○ 有効化 (Enabled) × Redirect不可 × 無効化 (Disabled) × 無効化 (Disabled)

Slide 38

Slide 38 text

• IOS/IOS-XEでお馴染みの下記のコマンドで制御が可能です。 • 有効化 (ENABLED): 無効化 (DISABLED): • Web UIではメニュー「Administration > Management > HTTP/HTTPS/Netconf/VY」の「HTTP Access」が該当します。 ip http server 補足: HTTP Serverの有効化と無効化 no ip http server 設定変更時は「Apply」ボタンでの適用を忘れないように。

Slide 39

Slide 39 text

補足: Enable HTTP server for Web Authの設定個所 • メニュー「Configuration > Security > Web Auth」の「global」の「General」タブに設定個所が存在します。注記: 「global」のみに表示されます。

Slide 40

Slide 40 text

補足: HTTP (80/tcp)のRedirect可否 wlc01#show running-config | include ip http server|ip http secure-server ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global wlc01# wlc01#show running-config | include ip http server|ip http secure-server no ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global parameter-map type webauth global type webauth webauth-http-enable wlc01# wlc01#show running-config | include ip http server|ip http secure-server no ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global wlc01# ○ Redirect可能 × Redirect不可 ip access-list extended ACL_WEBAUTH_REDIRECT deny ip any host deny ip host any deny udp any any eq domain deny udp any eq domain any permit tcp any any eq 80 Redirect ACLの想定例です。 HTTP (80/tcp)をpermitで Redirect対象にしています。ハードニングでHTTP Serverを無効化しているものの、「webauth-http-enable」が有効化されていません。 ※備考: 代表的な設定例を記載

Slide 41

Slide 41 text

CLIから設定した内容が反映されているのを確認します。 Web UIから設定を確認する際はメニュー「Configuration > Security > ACL」に移動します。

Slide 42

Slide 42 text

既存Flex Profileの設定変更 (設計依存) • FlexConnectのLocal Switchingの通信がある場合は本設定が必要です。 • 備考: Local modeやFlexConnect Central Switchingだけの場合は不要です。 • メニュー: 「Configuration > Tags & Profiles > Flex」の設定対象のFlex Profileを選択します。 • 「Policy ACL」より下記の設定を追加します。設定項目設定値備考 ACL Name ACL_WEBAUTH_REDIRECT 先に作成したRedirect ACLを指定します。 Central Web Auth 有効化設定対象の既存Flex Profileを選択します。 Redirect ACLを指定して、 Central Web Authにチェックを入れます。

Slide 43

Slide 43 text

CLI: 既存Flex Profileの設定変更 wireless profile flex FlexProf_Common acl-policy ACL_WEBAUTH_REDIRECT central-webauth 対象のFlex Profileは環境に応じたものを指定してください。

Slide 44

Slide 44 text

参考情報: Flex ProfileにRedirect ACLがない場合 • Flex ProfileにRedirect ACLが無い状態で、CWA設定済みのLocal SwitchingのSSIDに接続すると下記のようなエラーが表示されます。 Aug 20 2024 01:20:36.958 JST: %SESSION_MGR-5-FAIL: Chassis 1 R0/0: wncd: Authorization failed or unapplied for client (****.****.****) on Interface capwap_9000000c AuditSessionID ************************. Failure Reason: Redirect ACL Failure.

Slide 45

Slide 45 text

設定の保存 • 設定の保存を忘れないようにしてください。

Slide 46

Slide 46 text

Cisco ISEのCWA設定 1. Network Access Device (NAD) 2. Authorization Policyの設定変更 3. Network Access Users (資格情報の追加)

Slide 47

Slide 47 text

Cisco ISEのCenral Web Auth設定の概要 • Cisco ISEの v3.3 系の場合はデフォルト値を活用すれば、下記の設定のみでCWA (Central Web Auth)が動作します。 • Cisco ISE本体に関わる設定 1. Network Access Device (NAD)の追加 2. Authorization Policyの設定変更 3. Network Access Users (資格情報の追加) • その他の機器に設定すべきCisco ISEの関連設定 1. DNS ServerでのCaptive Portal用のDNSレコードの追加 2. 端末側でのCisco ISEのCWA用証明書の信頼設定

Slide 48

Slide 48 text

Network Access Device (NAD)の追加 • メニュー: 「Administration > Network Resource > Network Devices」の「Network Devices」 • Cisco ISEでC9800からのRADIUS通信を受けるための設定です。設定項目設定値備考 Name 例: wlc01 管理しやすい名称を指定します。 IP Address IP: Catalyst 9800のIPアドレス / 32 管理系 (VRF: Mgmt-intf)とサービス系 (WMI)を混同しないように注意します。 RADIUS Authentication Settings Shared Secret 強固なパスワードを指定 C9800側のCLI例示用設定: TODO_CHANGE_PASSWORD

Slide 49

Slide 49 text

No content

Slide 50

Slide 50 text

NAD (Network Access Device)としてWLCを登録 (Add)します。

Slide 51

Slide 51 text

C9800の送信元IPアドレスを指定します。管理系 (VRF: Mgmt-intf)とサービス系 (WMI)があるため、混同しないように注意して設定します。管理しやすい名称を指定します。特に指定がなければHostnameと合わせます。

Slide 52

Slide 52 text

C9800のRADIUS ServerのKey (CoA含む)と合わせます。設定後は画面下部にあるSaveボタンの押下を忘れないでください。

Slide 53

Slide 53 text

Authorization Policyの設定変更 • メニュー「Policy > Policy Sets」から設定対象のPolicy Setsを選択します。デフォルト設定の状態では「Policy Sets: Default」を選択します。 • 「Authorization Policy」を展開して、下記のRuleを有効化します。 • 注記: dot1x (例: EAP-TLSやPEAP)を利用する場合は「Conditions」の「Wireless_MAB」を「Wireless_802.1X」に変更します。設定項目設定値備考 Wi-Fi_Guest_Access 有効化 CWAの認証後に許可するRuleです。認証後もCWAにリダイレクトされないように、後述のRuleよりも前に存在しています。 Wi-Fi_Redirect_to_Guest_Login 有効化認証を実施するためにCWAでリダイレクトするRuleです。なお、本RuleのAuthorization Profile: Cisco_WebAuthにて Redirect ACLの名称指定が行われています。

Slide 54

Slide 54 text

No content

Slide 55

Slide 55 text

設定対象のPolicy Setsに移動します。

Slide 56

Slide 56 text

Authorization Policy (AuthZ Policy)を展開します。

Slide 57

Slide 57 text

「Wi-Fi_Guest_Access」と「Wi-Fi_Redirect_to_Guest_Login」を有効化します。設定後は画面下部にあるSaveボタンの押下を忘れないでください。無効化 → 有効化 WPA2 PSKやWPA3 SAE”のみ”の場合は「Wireless_MAB」にヒットしますが、 dot1x (例: EAP-TLSやPEAP)の場合はヒットしません。

Slide 58

Slide 58 text

CWA利用時の条件式の参考 WPA2 PSK, WPA3 SAE向け WPA2 PSK, WPA3 SAE, dot1x (例: EAP-TLSやPEAP)向け

Slide 59

Slide 59 text

Rule Name: Wi-Fi_Guest_Access WPA2 PSK, WPA3 SAE, dot1x (例: EAP-TLSやPEAP)向け「OR」や「AND」や条件式のネストを間違えないように注意します。 Libraryから必要な要素を検索してDrag & Dropします。注意: MABとdot1x併用時の設定例

Slide 60

Slide 60 text

Rule Name: Wi-Fi_Redirect_to_Guest_Login WPA2 PSK, WPA3 SAE, dot1x (例: EAP-TLSやPEAP)向け「OR」条件を用いて MABまたはdot1x (EAP-TLSやPEAP)のいずれかがヒットするように修正しています。注意: MABとdot1x併用時の設定例

Slide 61

Slide 61 text

Network Access Users (資格情報の追加) • メニュー: 「Administration > Identity Management > Identities」に移動します。 • 「Users」より「Add」ボタンを押下して下記の例を参考にユーザーを追加します。設定項目設定値備考 Username 任意 CWAで認証に利用するユーザーです。例: testuser Password Lifetime 例: Never Expires 検証環境であればパスワードの有効期限は無し (Never Expires) にしておくと、不意の期限切れを避けれます。 Login Password 強固なパスワードを指定

Slide 62

Slide 62 text

No content

Slide 63

Slide 63 text

No content

Slide 64

Slide 64 text

設定後は画面下部にあるSaveボタンの押下を忘れないでください。例: testuser

Slide 65

Slide 65 text

その他の機器に設定すべきCisco ISEの関連設定 1. DNS ServerでのCaptive Portal用のDNSレコードの追加 2. 端末側でのCisco ISEのCWA用証明書の信頼設定

Slide 66

Slide 66 text

DNS ServerでのCaptive Portal用のDNS レコードの追加 • DNS Serverの種別に依存になる設定のため、DNS Server側の具体的な設定方法は本資料では扱いません。 • 登録対象のFQDNは、Authorization Profile (本例では Cisco_WebAuth)の「Attribute Details」よりURLのFQDN部分に対するDNSレコードを登録してください。 • 何かしらの理由でDNS Serverの設定が不可能な場合は、Cisco ISE側の該当 Authorization Profileにて「Static IP/Host name/FQDN」の設定項目で Cisco ISEのIPアドレスを指定します。

Slide 67

Slide 67 text

拡大反映後のURLの確認 Authorization Profile: Cisco_WebAuth の設定画面です。 IPアドレスでCWAのCaptive Portalにアクセスしたい場合は「Static IP/Host name/FQDN」で設定します。

Slide 68

Slide 68 text

端末側でのCisco ISEのCWA用証明書の信頼設定 Windows端末での証明書の信頼設定の一例

Slide 69

Slide 69 text

端末側でのCisco ISEのCWA用証明書の信頼設定 • Central Web Authで「Cisco ISEの証明書」が提示されるため、端末側でその証明書を信頼しておく必要があります。本資料ではWindowsでの設定例を紹介します。 1. Cisco ISEより「Cisco ISEの証明書」をエクスポートします。 • メニュー「Administration > System > Certificates」より「Certificate Management > System Certificates」に移動します。 • 「Used by」が「EAP Authentication」の証明書をエクスポートします。 2. 「Cisco ISEの証明書」をWindowsにインポートして信頼する設定を行います。

Slide 70

Slide 70 text

端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

Slide 71

Slide 71 text

「Used By」に「EAP Authentication」がある証明書を探します。端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

Slide 72

Slide 72 text

対象の証明書にチェックをつけてから「Export」を押下します。端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

Slide 73

Slide 73 text

「Export Certificate Only」を選択します。 Private Keyは含めないのでPassword入力は不要です。端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

Slide 74

Slide 74 text

Crypto Shell Extensionsでファイルを開けるようにするために、 Cisco ISEからダウンロードした証明書の拡張子を「.crt」に変更します。端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

Slide 75

Slide 75 text

Cisco ISEの証明書を端末に信頼させるために、インストール処理を行います。端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

Slide 76

Slide 76 text

筆者の場合は証明書の格納先を現在のユーザーに限定したいため、「Current user」を選択しています。端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

Slide 77

Slide 77 text

「Trusted Root Certification Authorities」を選択します。端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

Slide 78

Slide 78 text

ここまでに指定した設定情報を確認します。確認が済んだら「Finish」ボタンを押下します。端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

Slide 79

Slide 79 text

Cisco ISE設定の参考情報

Slide 80

Slide 80 text

Cisco ISE設定の参考情報 • 補足説明が必要なものを一部取り上げます。 • CWA関連のAuthentication Policy • CWAはMABの動作として扱われるため、「Wireless MAB」の条件式が関与します。 • 初回接続時はEndpointの情報が登録されてないため、「If User not found」の「CONTINUE」によりAuthorization Policyの評価が続行されます。 • CWAのポータルでユーザーがログインするとEndpointが登録されるため、以降はMABの認証が通るようになります • Redirect ACLの名称 • ISEのAuthorization ProfileでRedirect ACLの名称が指定されます。 • ISE側とC9800側の両担当者で連携が必要な要素のため、該当の設定個所を掘り下げます。

Slide 81

Slide 81 text

CWA関連のAuthentication Policy

Slide 82

Slide 82 text

CWAがMABの動作として扱われて、「Wireless_MAB」にヒットします。 MABによる認証ではMACアドレスが登録されている必要がありますが、「IF User not found」が「Continue」になっているため、未登録状態でもAuthorization Policyが評価されるようになっています。

Slide 83

Slide 83 text

Redirect ACLの名称 • Authorization PolicyでAuthorization Profileを参照している個所 • そのAuthorization ProfileでRedirect ACLの名称を指定している個所の画面キャプチャを掲載します。

Slide 84

Slide 84 text

「Wi-Fi_Redirect_to_Guest_Login」の「Cisco_WebAuth」がRedirect ACLの適用を行っております。

Slide 85

Slide 85 text

No content

Slide 86

Slide 86 text

デフォルトで存在する「Cisco_WebAuth」の設定を開きます。

Slide 87

Slide 87 text

「Redirect ACLの名称」は本設定で指定されています。

Slide 88

Slide 88 text

CWAのCaptive Portalの挙動 CWAにより端末にCaptive Portalが表示された際の画面キャプチャを掲載します。

Slide 89

Slide 89 text

拡大本例ではFQDNでアクセスしています。端末に証明書の信頼設定をしていないと警告が出ます。本例では信頼設定していない状態です。 Network Access Userで設定したユーザー情報でログインします。

Slide 90

Slide 90 text

No content

Slide 91

Slide 91 text

ユーザー認証に成功したらWebサイトに接続して、 CWAへのリダイレクト処理のループが発生しないかなどを確認します。

Slide 92

Slide 92 text

学習済みEndpoint情報の手動削除

Slide 93

Slide 93 text

学習済みEndpoint情報の手動削除 • CWAによる認証が通るとMACアドレスがEndpoint情報として登録されるため、以降は(CWAではなく)MABのRuleによって通信が許可・認可されます。 • 検証でCWAによる認証からやり直したい場合は、Endpoint情報を削除する必要があるため手順を紹介します。 • メニュー「Context Visibility > Endpoints」の「Authentication タブ」より対象のEndpointを削除できます。複数選択して削除する場合は、ランダムに表示される文字列を入力する必要があります。

Slide 94

Slide 94 text

No content

Slide 95

Slide 95 text

複数を選択すると、削除確認のダイアログが1ステップ増えます。(本画面サンプルでは1つのみ選択してます。)

Slide 96

Slide 96 text

複数のEndpointの選択時は追加のダイアログが表示されます。

Slide 97

Slide 97 text

参考情報

Slide 98

Slide 98 text

CSCwn17412 • Central Web Authに関連するIssueです。 • CSCwn17412: On a web-auth SSID, FlexConnect local switching traffic is randomly getting centralized • https://bst.cisco.com/quickview/bug/CSCwn17412 • 該当Version: v17.9.6, v17.15.2 • 条件: 「Web Authを利用しているSSID」と「FlexConnect Local Switchingを利用」していると、ランダムに通信がCentral Switchingに切り替わってしまい、通信が途切れてしまう事象です。 • Wireless TAC Timeで紹介されています。 • [録画公開] 12/18 開催 Wireless TAC Time - 今すぐ現場に効く Tips 紹介 - - Cisco Community • https://community.cisco.com/t5/-/-/ba-p/5238325 • 動画の解説は「43:20」付近です。

Slide 99

Slide 99 text

End Of File 本スライドが資料の最後です。