annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
2977
Visites
25
Compliment
9
Réponses

Demandez-moi N'importe Quoi - Sécurité : Flux ISE - Guest, BYOD et pxGrid

banner_fr_hp_ATE_900x150_pujol_jun_2020.png

Cet événement est l’opportunité de soumettre vos questions à Jean-François Pujol et Polo Arroyo-Folange, ingénieurs et experts de Cisco Suisse et du TAC Amériques. Dans ce forum vous pourrez poser vos questions par rapport aux flux sur ISE pour mieux gérer votre environnement avec Guest, BYOD et pxGrid.

Pour revenir à la page précédente, cliquez ici.


" Trois des principaux flux ISE consistent à gérer les sessions des périphériques internes et externes, ainsi qu'à manipuler ces informations grâce au déploiement via l'API. Ces trois flux sont Guest, BYOD et PxGrid ".

Posez vos questions à nos experts du 29 juin au 10 juillet 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

9 RÉPONSES 9

Sandrine964
Spotlight
Spotlight

Bonjour,

Je suis en train d'essayer l'intégration entre FMC et ISE via pxGrid. Si j’appuie sur le bouton 'test' mon premier PxGrid server dit que l'intégration marche, mais le deuxième dit que ça ne fonctionne pas. Comment est-ce que je peux le corriger?

Merci bcp !

Sandrine

C'est au fait complétement normal d'avoir ce comportement là. Celà arrive parce que l'intégration entre ISE et FMC utilise pxgrid V1.0. Cette version, tant qu'elle est basée sur le protocole XMPP, ne permet qu'un seul serveur pxGrid actif.
Pourtant, seulement un node d'ISE peut répondre quand le FMC fais une requête. Le FMC alors donne un avertissement indiquant que le deuxième node est hors de ligne, et il sera dans cet état lorsque ce node continue dans le mode de standby.

Besoin d'un exemple de politiques pour Cisco ISE CWA ISE 2.4
Pouvez-vous me partager une capture d'écran de Wireless Authentication et Authorization policy set dans ISE 2.4+ pour qu'un utilisateur obtienne tous les permis (Permit all), juste après avoir entré son nom d'utilisateur et son mot de passe dans le portail CWA ?
La policy vidéo de Lab minute CWA ne fonctionne pas avec ISE 2.4+ Radius. Le nom de l'utilisateur ne fonctionne pas sauf si je spécifie le nom, ce qui n'est pas pratique.

En ce moment, l'utilisateur est redirigé vers le portail CWA, où il saisit le mot de passe et le nom d'utilisateur de l'AD. Ensuite le portail CWA vérifie avec l'AD local, une fois que l'authentification est validée nous montre une nouvelle page où l'on lit "you will get the Internet" mais je n’accède pas à Internet car je n'ai pas une politique définie pour donner tous les permis. 

* Voici la traduction d'un message créé à l'origine par pcno en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

 

Bonjour, 

 

Il y a un très bon document décrivant la configuration GUEST wireless intégrée avec ISE ici : "ISE Guest Access Prescriptive Deployment Guide" https://community.cisco.com/t5/security-documents/ise-guest-access-prescriptive-deployment-guide/ta-p/3640475#toc-hId--522975287

 

Si tu utilises un controleur Airespace, il existe une option de configuration d'un SSID ouvert avec une authentification Layer3 de type "Web policy" : c'était la solution utilisée jusqu'à ce que ISE intègre toute la gestion du portail.  Est ce que ce serait la configuration actuelle de ton SSID ? Dans ce cas, l'utilisateur est bien redirigé vers le portail d'ISE, il rentre sur son navigateur les données de son compte invité, mais ensuite il reste bloqué sur la page de succès.

Ce qui est recommandé aujourd'hui, c'est de déléguer complètement la gestion du processus d'authentification web à ISE en configurant le SSID avec un mode de sécurité type "Layer2" : None + Mac Filtering + AAA (ISE), et sans rien en Layer3.

Le mode de fonctionnement est le suivant :
1/ Un nouveau client Wifi apparait avec une nouvelle MAC@, le controleur envoie la demande en Radius à ISE en filtrant la MAC@
2/ Dans un premier temps, ISE ne connait pas la MAC@. L'authorization policy retournée au controleur est celle par "Défaut" (en bas de la liste des policies), avec un "autorisation template" qui force la redirection vers le portail ISE. En plus de la redirection, il faut spécifier une ACL Airespace qui laisse passer les protocoles minimum (DHCP, DNS, HTTPS vers ISE sur le port du portail guest ISE).
3/ L'utilisateur ouvre son navigateur (ou le client intégré de l'OS force l'ouverture automatiquement), il est redirigé vers le portail.
4/ Il rentre son identifiant ; ISE vérifie la validité (ou alors, on passe par l'étape de création de compte dans le flux du portail)
5/ ISE a vérifié la validité du compte, il ré-évalue la policy initiale pour la MAC@ de l'utilisateur qui vient d'être placée dans un groupe des MAC@ Guests valides. De ce fait, il doit y avoir dans la liste des policies une entrée qui vérifie que si la MAC@ appartient au groupe des guests valides, alors on retourne un "autorisation template" avec l'ACL qui laisse passer le trafic vers Internet.

En général, cette règle est faite avec une authentification qui se base sur une condition "Wireless_MAB", et ensuite pour l'autorisation, on teste que l'identity group inclut le groupe GuestEndPoints qui a été configuré dans le portail Guest (celui par défaut ou un rajouté spécifiquement).

Tant que la MAC@ de l'équipement n'est pas présente dans le groupe GuestEndPoints, c'est la policy par défaut qui est appliquée (et le controleur reçoit l'ordre par radius de rediriger le traffic web vers ISE) ; Dès que le portail valide l'identifiant de l'utilisateur, la MAC@ est placée dans le groupe GuestEndPoints, et le portail force la ré-évaluation de la policy. Au deuxième passage dans la policy, la MAC@ est connue, et la règle qui teste l'appartenance au groupe GuestEndPoints renvoie un accept, ainsi que l'ACL qui donne accès à Internet sur le controleur.

Qu'est ce qui peut bloquer dans ce processus ? 

1/ Comme indiqué au début, on utilise un filtrage L3 sur le controleur. SI ISE n'a pas de session radius établie, il n'y a pas de réaction possible une fois que le portail a validé le compte.
2/ Le SSID est configuré en filtrage L2, avec Radius : il y a une session Radius ouverte dans ISE, et dès que l'utilisateur est redirigé vers le portail, on doit voir dans ISE (Live sessions) une entrée pour la MAC@ avec la policy par défaut qui est appliquée. S'il manque la partie AAA sur le controleur, pas de session, pas de réaction d'ISE possible non plus.
3/ Le portail doit etre configuré pour répondre au controleur en Radius (CoA). Sinon, pas de réponse non plus.
4/ Si toutes ces conditions sont remplies, on doit retrouver la MAC@ dans le groupe GuestEndPoints une fois l'utilisateur Guest authentifié sur le portail. Si ce n'est pas le cas, il y a un problème de configuration du portail Guest.
5/ Dans les "Live logs", on doit voir un deuxième évènement au moment ou l'utilisateur fournit son identifiant : c'est la policy qui est ré-évaluée : dans ce cas, on doit vérifier la condition sur le groupe GuestEndPoints, et sélectionner l'autorisation d'accès. Si on retombe dans la policy par défaut, c'est cette règle qui est mal construite.
6/ ISE ré-évalue correctement la policy, retourne la bonne autorisation, mais le controleur ne réagit pas correctement : c'est un problème sur le controleur. Le SSID n'est pas configuré (Advanced) avec l'option AAA Override, et NAC State ISE. Ou alors, il manque l'ACL permit ip any any, ou le nom est faux (on peut voir l'état du client dans le monitoring ...

Normalement, il doit y avoir un souci parmi ces points ... et sinon, il y a toujours le TAC pour aider.
Bon courage, 

 

Jean-Francois

JeanMD
Level 1
Level 1

Salut

Par exemple, si j'ai un produit utilisant pxgrid v2.

Est-il prévu de le voir "hors ligne" dans la page clients de pxgrid ?

JMD

Sur la plupart des intégrations, ce n'est pas toujours un comportement attendu, mais nous devons comprendre que pxGrid v2 utilise des websockets pour communiquer. Cela signifie que l'information peut être publiée par un serveur et consommée ultérieurement par un client sans avoir d'interaction réelle, et être affichée hors ligne pour cette raison. L'exemple le plus commun auquel je puisse penser est DNAc version 1.3.1

Didier M
Level 1
Level 1

Salut,

Comment bénéficier du BYOD avec la dernière version iPad OS si c'est reconnu comme macOS Catalina ?

Didier

Olipo
Level 1
Level 1

Bonjour à tous

Quelle est la différence entre Guest et BYOD ?

 

Merci, Olivier.

Ces 2 concepts signifiaient la même chose il y a quelques années, mais en parlant d'ISE, nous avons 2 workflows différents pour cela. Les deux s'appliquent aux appareils non-corporate, mais la principale différence est que le BYOD doit être utilisé pour les actifs de l'entreprise, tandis que GUEST doit être utilisé pour les actifs tiers qui nécessitent d'un accès Internet.
Le flux BYOD comprend généralement la connexion via les informations d'identification du Active Directory et la configuration d'un demandeur pour le endpoint, accordant un certain niveau de privilèges; tandis que le flux d'invité GUEST oblige les utilisateurs à s'inscrire à ce moment-là ou même pas, par contre il n'accordera que l'accès sur Internet.