Catalyst 9800とCisco ISEのCWAの設定例/CWA_configuration_example_for_Catalyst 9800_and_Cisco_ISE

Transcript

1. Catalyst 9800とCisco ISEの CWA (Central Web Authentication) の設定例 初版作成日: 2025/01/12

   作成者: MyHomeNWLab

2. 概要 • Cisco社のCatalyst 9800からCisco ISEにRADIUSで認証連携をし て、CWA (Central Web Authentication)で無線LAN端末を認 証する設定例を紹介します。

3. 検証時の情報 • Catalyst 9800-CL Version 17.14.1 • Catalyst CW9162I-Q •

   Cisco ISE Version 3.3.0.430 • Windows 11 Pro 23H2 (言語設定: 英語)

4. 前提条件や注意事項 • FlexConnect mode (Central/Local Switching)想定の設定手順になっております。 筆者による機能の妥当性の検証自体はLocal modeでも行っております。 • Catalyst

   9800のWeb UIでの送信元のVRFやInterfaceの指定はVersionによって若干 異なります。筆者の資料では v17.13.1 以上を想定しています。 • Cisco ISEは v3.3 系のデフォルト設定であるのを前提としています。 • Policy ProfileのNAC State (nac)の設定は、CSCwk45246 によりWeb UIからだと show running-config に反映されない事象があります。該当個所で補足します。

5. 事前整理

6. 作業項目の概要 • 本資料ではCWAを動作させるために下記の最小限の設定を行います。 • Catalyst 9800の設定 • RADIUS Server •

   RADIUS Server Group • AAA Method List - Authorization (AuthZ) • AAA Method List - Accounting • 既存設定の変更対象 - WLAN Profile • 既存設定の変更対象 - Policy Profile • Redirect ACLの設定 • 既存設定の変更対象 - Flex Profile • Cisco ISEの設定 • Network Access Device (NAD) • Authorization Policyの設定変更 • Network Access Users (資格情報の追加) • その他の機器に設定すべきCisco ISEの関連設定 • DNS ServerでのCaptive Portal用のDNSレコードの追加 • 端末側でのCisco ISEのCWA用証明書の信頼設定

7. 利用用途とAAA関連設定の必要有無 • 無線LANでよく利用されるセキュリティ機能にはEAP-TLS, CWA, MABなどがありま すが、利用する機能によってAAA Method ListとCoAの設定有無が変わるため整 理します。 設定種別

   EAP-TLS CWA (MAB含む) EAP-TLSとCWA AAA Method ListのAuthentication (認証) 必要 - 必要 〃 Authorization (認可) - 必要 必要 〃 Accounting - 必要 必要 RADIUS ServerのCoA - 必要 必要 【略語】 CWA: Central Web Authentication MAB: MAC Authentication Bypass CoA: Change of Authorization ↑ 本資料ではCWAのみを扱います。

8. RADIUS関連の設定例 • 各種設定の命名を整理します。 • 本設定例ではRADIUS Serverは1台想定のため、必要に応じて2台 目を追加してください。 設定種別 命名規則 RADIUS

   Server RADSV_ISE01 RADIUS Server Group RADGRP_ISE Authorization Method List AuthZ_MAB Accounting Method List Acct_CWA Redirect ACL ACL_WEBAUTH_REDIREC

9. 既存設定の変更対象 • 既存設定に対して変更を行うため、変更内容の概要をまとめます。 設定項目 変更内容 WLAN Profile • MAC Filteringの有効化

   • Authorization Listの適用 Policy Profile • Allow AAA Overrideの有効化 • NAC Stateの有効化 • Accounting Listの適用 Flex Profile (設計に依存) • Redirect ACLの反映 • CWA (Central Web Authentication)の有効化 ※備考: FlexConnectのLocal Switchingの通信がある場合に必要です。

10. Catalyst 9800のCWA設定 1. RADIUS Server 2. RADIUS Server Group 3.

    AAA Method List - Authorization (AuthZ) 4. AAA Method List - Accounting 5. 既存設定の変更対象 - WLAN Profile 6. 既存設定の変更対象 - Policy Profile 7. Redirect ACLの設定 8. 既存設定の変更対象 - Flex Profile

11. RADIUS Server • メニュー「Configuration > Security > AAA」の「Servers / Groups

    > RADIUS > Server」 設定項目 設定値 備考 Name RADSV_ISE01 Server Address Cisco ISEのIPアドレス Key / Confirm Key 強固なパスワードを指定 CLI例示: TODO_CHANGE_PASSWORD Support for CoA ENABLED CWAではCoAの有効化が必要 CoA Server Key / Confirm CoA Server Key Key と同じものを指定 Key と同じものを指定 VRF ※v17.13.1 以上で対応 任意: 設計に応じて指定 VRF利用時のみ指定 EAP-TLSなどのために”既に”RADIUS Serverを設定済みの場合は、CoAの設定を追加します。 CoA関連

12. CLI: RADIUS Server (VRFあり) configure terminal aaa new-model aaa server

    radius dynamic-author client 192.0.2.111 vrf Mgmt-intf server-key TODO_CHANGE_PASSWORD ! aaa session-id common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! CoAの設定です。環境に応じてCisco ISEのIPアドレスを書き換えます。 Keyを強固なパスワードに書き換えます。 Keyを強固なパスワードに書き換えます。 環境に応じてCisco ISEのIPアドレスを書き換えます。 VRFの有無は必要に応じて修正します。

13. 先に「Server」タブを設定します。

14. CWAではCoAの有効化が必要です。 VRFの利用可否は 設計に応じて検討してください。 RADSV_ISE01 同じ値を設定

15. RADIUS Server Group • メニュー「Configuration > Security > AAA」 の

    「Servers / Groups > RADIUS > Server Group」 設定項目 設定値 備考 Name RADGRP_ISE Group Type RADIUS 固定値です。 IPv4 Source Interface ※環境に応じて指定 IPv4 VRF - ※未指定 対象InterfaceにVRFがある場合でも、 RADIUS Server Groupの方では未指定にします。 Assigned Servers RADSV_ISE01 先にRADIUS Serverを複数作成した場合は、忘れずに 全て指定します。

16. 「Server Group」タブで設定します。

17. 管理系やサービス系の有無を問わずに VRFは未指定のままにします。 対象の設定をAssigned Server側に移動します。 RADGRP_ISE 送信元Interfaceを明示的に指定します。

18. CLI: RADIUS Server Group aaa group server radius RADGRP_ISE server

    name RADSV_ISE01 ip radius source-interface GigabitEthernet1 deadtime 5 ! 環境に応じて送信元Interfaceを書き換えます。 Dead-Time (deadtime)はWeb UIで設定される値と同じにしてます。 適宜チューニングしてください。

19. Authorization (AuthZ) • メニュー: 「Configuration > Security > AAA」の「AAA Method

    List > Authorization」 • CWAによる認証が通った端末はMACアドレスがCisco ISEに登録されて、MAB (MAC Authentication Bypass)により通信が許可されるようにします。本設定はC9800側の MAB関連の設定であり、WLAN ProfileのMAC Filtering設定に適用します。 設定項目 設定値 備考 Method List Name AuthZ_MAB Group Type network Group Type group Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。

20. Authorization (AuthZ)の方です。 Authentication (AuthC/AuthN)と混同しないように注意します。

21. AuthZ_MAB 対象の設定を Assigned Server Groups側に移動します。

22. CLI: Authorization (AuthZ) aaa authorization network AuthZ_MAB group RADGRP_ISE

23. Accounting • メニュー: 「Configuration > Security > AAA」の「AAA Method List

    > Accounting」 • 備考: 本設定をWeb UIで行った段階で、IBNS (legacy)からIBNS 2.0 (new-style)に変更されます。詳細はCLIの設定個所で言及しま す。 設定項目 設定値 備考 Method List Name Acct_CWA Group Type identity Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。 【参考情報】 IBNSとIBNS 2.0 - Cisco Community https://community.cisco.com/t5/-/-/ta-p/4069346
24. None

25. Acct_CWA 対象の設定を Assigned Server Groups側に移動します。

26. CLI: Accounting do authentication display config-mode aaa accounting identity Acct_CWA

    start-stop group RADGRP_ISE do authentication display config-mode wlc01(config)#aaa accounting identity Acct_CWA start-stop group RADGRP_ISE This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. Do you wish to continue? [yes]: wlc01(config)# 【参考情報】 IBNSとIBNS 2.0 - Cisco Community https://community.cisco.com/t5/-/-/ta-p/4069346 「aaa accounting identity」はIBNS 2.0 (new-style)のコマンドのため 変換処理が走る可能性があります。 CLIからだと下記のような対話プロンプトが表示されたので、事前と事後にモードの確認を行う手順にしています。

27. 参考情報: C9800-CL (vSphere版)の場合 wlc01(config)#do authentication display config-mode Current configuration mode

    is legacy wlc01(config)# wlc01(config)# wlc01(config)#aaa accounting identity Acct_CWA start-stop group RADGRP_ISE This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. Do you wish to continue? [yes]: wlc01(config)# wlc01(config)# wlc01(config)#do authentication display config-mode Current configuration mode is new-style wlc01(config)#

28. 既存設定の変更 • 下記の「既存設定の変更」を次のスライドから順番に行っていきます。 設定項目 変更内容 WLAN Profile • MAC Filteringの有効化

    • Authorization Listの適用 Policy Profile • Allow AAA Overrideの有効化 • NAC Stateの有効化 • Accounting Listの適用 Flex Profile (設計に依存) • Redirect ACLの反映 • CWA (Central Web Authentication)の有効化 ※備考: FlexConnectのLocal Switchingの通信がある場合に必要です。

29. 既存WLAN Profileの変更 • メニュー: 「Configuration > Tags & Profiles >

    WLANs」より設定 対象のWLAN Profileを選択します。 • 「Security タブ > Layer 2 タブ」より下記の設定を変更します。 設定項目 設定値 備考 MAC Filtering 有効化 Authorization List AuthZ_MAB

30. 設定対象のWLAN Profileを選択してください。 MAC Filteringを有効化して、 Authorization Listを指定します。

31. CLI: MAC Filtering & Authorization-List (一例) wlan WLAN_OFFICE 98 OFFICE

    shutdown mac-filtering AuthZ_MAB no shutdown 対象のWLAN Profileは環境に応じたものを指定してください。

32. 既存Policy Profileの設定変更 • メニュー「Configuration > Tags & Profiles > Policy」より設定対

    象のPolicy Profileを選択します。 • 「Advanced タブ」より下記の設定を変更します。 設定項目 設定値 備考 Allow AAA Override 有効化 NAC State 有効化 CSCwk45246 の影響により、Web UIからの設定がshow running-config に反映されない事象があります。v17.14.1は該当しています。 該当している場合は回避策としてCLIから設定を反映してください。 Accounting List Acct_CWA 注記: Web UIから設定すると、NAC State (nac)の設定が show running-config に表示されない事象があります。 詳細な事象は下記を参照してください。 Cisco Bug: CSCwk45246 - NAC State cannot be saved to running-config via GUI https://bst.cisco.com/quickview/bug/CSCwk45246

33. 設定対象のPolicy Profileを選択してください。 v17.14.1では CSCwk45246 の影響により show running-configに nac コマンドが反映されませんでした。 備考:

    v17.15.1 では反映されました。

34. CLI: 既存Policy Profileの設定変更 (一例) wireless profile policy PolProf_OFFICE_Flex_Local shutdown aaa-override

    nac accounting-list Acct_CWA no shutdown 対象のPolicy Profileは環境に応じたものを指定してください。 【注記】 Central SwitchingとLocal SwitchingでPolicy Profileを分けている場合などは、 対象のPolicy Profileの全てに設定するのを忘れないようにします。

35. CSCwk45246 による影響 wlc01#show running-config | section PolProf_OFFICE_Flex_Local wireless profile policy

    PolProf_OFFICE_Flex_Local aaa-override accounting-list Acct_CWA no central dhcp no central switching nac vlan FLX_v101 no shutdown wlan WLAN_OFFICE policy PolProf_OFFICE_Flex_Local wlc01# ここに表示されるべき「nac」コマンドが GUIから設定するとshow running-configに反映されません。

36. Redirect ACLの設定 • Web UIではパラメータが多くてミスを誘発しやすいため、本手順ではCLIから設定します。 ip access-list extended ACL_WEBAUTH_REDIRECT deny

    ip any host <ISE-IP> deny ip host <ISE-IP> any deny udp any any eq domain deny udp any eq domain any permit tcp any any eq 80 【情報源】 Configure Central Web Authentication (CWA) on Catalyst 9800 WLC and ISE - Cisco https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213920-central-web-authentication-cwa-on-cata.html#toc-hId-881505252 TODO: <ISE-IP>の部分は環境に応じて、 Cisco ISEのIPアドレスに書き換えます。 リダイレクト ループを防ぐために「deny」します。 ACL名はCisco ISE側のデフォルト設定に合わせています。 • 「deny」が「リダイレクトさせずに通す通信」を指定します。認証前に必要な通信を指定します。 • 「permit」が「リダイレクト対象にする通信」を指定します。 • 「暗黙 (未指定)」(それ以外)は、リダイレクトされず、通信も通りません。

37. 補足: Redirect ACLとHTTP Server機能の有効化状態 • Redirect ACLでHTTP (80/tcp)を対象とする際は、C9800で「HTTP Server」もしく は「Enable

    HTTP server for Web Auth」のいずれかが有効化されている必要があり ます。 • 特にWeb UIの管理アクセスで、ハードニングのためにHTTP Serverを無効化するシナリオで 該当する可能性が高くなります。 HTTP (80/tcp)の Redirect可否 HTTP Server CLI: ip http server Enable HTTP server for Web Auth ◦ Redirect可 ◦ 有効化 (Enabled) ◦ 有効化 (Enabled) ◦ Redirect可 ◦ 有効化 (Enabled) × 無効化 (Disabled) ◦ Redirect可 × 無効化 (Disabled) ◦ 有効化 (Enabled) × Redirect不可 × 無効化 (Disabled) × 無効化 (Disabled)

38. • IOS/IOS-XEでお馴染みの下記のコマンドで制御が可能です。 • 有効化 (ENABLED): 無効化 (DISABLED): • Web UIではメニュー「Administration

    > Management > HTTP/HTTPS/Netconf/VY」の「HTTP Access」が該当します。 ip http server 補足: HTTP Serverの有効化と無効化 no ip http server 設定変更時は「Apply」ボタンでの適用を忘れないように。

39. 補足: Enable HTTP server for Web Authの設定個所 • メニュー「Configuration >

    Security > Web Auth」の「global」の「General」タブに設 定個所が存在します。注記: 「global」のみに表示されます。

40. 補足: HTTP (80/tcp)のRedirect可否 wlc01#show running-config | include ip http server|ip

    http secure-server ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global wlc01# wlc01#show running-config | include ip http server|ip http secure-server no ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global parameter-map type webauth global type webauth webauth-http-enable wlc01# wlc01#show running-config | include ip http server|ip http secure-server no ip http server ip http secure-server wlc01# wlc01#show running-config | section parameter-map type webauth global wlc01# ◦ Redirect可能 × Redirect不可 ip access-list extended ACL_WEBAUTH_REDIRECT deny ip any host <ISE-IP> deny ip host <ISE-IP> any deny udp any any eq domain deny udp any eq domain any permit tcp any any eq 80 Redirect ACLの想定例です。 HTTP (80/tcp)をpermitで Redirect対象にしています。 ハードニングでHTTP Serverを無効化しているものの、 「webauth-http-enable」が有効化されていません。 ※備考: 代表的な設定例を記載

41. CLIから設定した内容が反映されているのを確認します。 Web UIから設定を確認する際は メニュー「Configuration > Security > ACL」に移動します。

42. 既存Flex Profileの設定変更 (設計依存) • FlexConnectのLocal Switchingの通信がある場合は本設定が必要です。 • 備考: Local modeやFlexConnect

    Central Switchingだけの場合は不要です。 • メニュー: 「Configuration > Tags & Profiles > Flex」の設定対象のFlex Profileを選択します。 • 「Policy ACL」より下記の設定を追加します。 設定項目 設定値 備考 ACL Name ACL_WEBAUTH_REDIRECT 先に作成したRedirect ACLを指定します。 Central Web Auth 有効化 設定対象の既存Flex Profileを選択します。 Redirect ACLを指定して、 Central Web Authにチェックを入れます。

43. CLI: 既存Flex Profileの設定変更 wireless profile flex FlexProf_Common acl-policy ACL_WEBAUTH_REDIRECT central-webauth

    対象のFlex Profileは環境に応じたものを指定してください。

44. 参考情報: Flex ProfileにRedirect ACLがない場合 • Flex ProfileにRedirect ACLが無い状態で、CWA設定済みのLocal SwitchingのSSIDに接続すると下記のようなエラーが表示されます。 Aug

    20 2024 01:20:36.958 JST: %SESSION_MGR-5-FAIL: Chassis 1 R0/0: wncd: Authorization failed or unapplied for client (****.****.****) on Interface capwap_9000000c AuditSessionID ************************. Failure Reason: Redirect ACL Failure.

45. 設定の保存 • 設定の保存を忘れないようにしてください。

46. Cisco ISEのCWA設定 1. Network Access Device (NAD) 2. Authorization Policyの設定変更

    3. Network Access Users (資格情報の追加)

47. Cisco ISEのCenral Web Auth設定の概要 • Cisco ISEの v3.3 系の場合はデフォルト値を活用すれば、下記の設定のみ でCWA

    (Central Web Auth)が動作します。 • Cisco ISE本体に関わる設定 1. Network Access Device (NAD)の追加 2. Authorization Policyの設定変更 3. Network Access Users (資格情報の追加) • その他の機器に設定すべきCisco ISEの関連設定 1. DNS ServerでのCaptive Portal用のDNSレコードの追加 2. 端末側でのCisco ISEのCWA用証明書の信頼設定

48. Network Access Device (NAD)の追加 • メニュー: 「Administration > Network Resource

    > Network Devices」の「Network Devices」 • Cisco ISEでC9800からのRADIUS通信を受けるための設定です。 設定項目 設定値 備考 Name 例: wlc01 管理しやすい名称を指定します。 IP Address IP: Catalyst 9800のIPアドレス / 32 管理系 (VRF: Mgmt-intf)とサービ ス系 (WMI)を混同しないように注意 します。 RADIUS Authentication Settings Shared Secret 強固なパスワードを指定 C9800側のCLI例示用設定: TODO_CHANGE_PASSWORD
49. None

50. NAD (Network Access Device)としてWLCを登録 (Add)します。

51. C9800の送信元IPアドレスを指定します。 管理系 (VRF: Mgmt-intf)とサービス系 (WMI)があるため、 混同しないように注意して設定します。 管理しやすい名称を指定します。 特に指定がなければHostnameと合わせます。

52. C9800のRADIUS ServerのKey (CoA含む)と合わせます。 設定後は画面下部にあるSaveボタンの押下を忘れないでください。

53. Authorization Policyの設定変更 • メニュー「Policy > Policy Sets」から設定対象のPolicy Setsを選択します。デフォルト設定の状態 では「Policy Sets:

    Default」を選択します。 • 「Authorization Policy」を展開して、下記のRuleを有効化します。 • 注記: dot1x (例: EAP-TLSやPEAP)を利用する場合は「Conditions」の「Wireless_MAB」 を「Wireless_802.1X」に変更します。 設定項目 設定値 備考 Wi-Fi_Guest_Access 有効化 CWAの認証後に許可するRuleです。 認証後もCWAにリダイレクトされないように、後述のRuleよりも前に 存在しています。 Wi-Fi_Redirect_to_Guest_Login 有効化 認証を実施するためにCWAでリダイレクトするRuleです。 なお、本RuleのAuthorization Profile: Cisco_WebAuthにて Redirect ACLの名称指定が行われています。
54. None

55. 設定対象のPolicy Setsに移動します。

56. Authorization Policy (AuthZ Policy)を展開します。

57. 「Wi-Fi_Guest_Access」と「Wi-Fi_Redirect_to_Guest_Login」を有効化します。 設定後は画面下部にあるSaveボタンの押下を忘れないでください。 無効化 → 有効化 WPA2 PSKやWPA3 SAE”のみ”の場合は「Wireless_MAB」にヒットしますが、 dot1x (例:

    EAP-TLSやPEAP)の場合はヒットしません。

58. CWA利用時の条件式の参考 WPA2 PSK, WPA3 SAE向け WPA2 PSK, WPA3 SAE, dot1x

    (例: EAP-TLSやPEAP)向け

59. Rule Name: Wi-Fi_Guest_Access WPA2 PSK, WPA3 SAE, dot1x (例: EAP-TLSやPEAP)向け

    「OR」や「AND」や条件式のネストを間違えないように注意します。 Libraryから必要な要素を検索してDrag & Dropします。 注意: MABとdot1x併用時の設定例

60. Rule Name: Wi-Fi_Redirect_to_Guest_Login WPA2 PSK, WPA3 SAE, dot1x (例: EAP-TLSやPEAP)向け

    「OR」条件を用いて MABまたはdot1x (EAP-TLSやPEAP)の いずれかがヒットするように修正しています。 注意: MABとdot1x併用時の設定例

61. Network Access Users (資格情報の追加) • メニュー: 「Administration > Identity Management

    > Identities」に移動します。 • 「Users」より「Add」ボタンを押下して下記の例を参考にユーザーを追加 します。 設定項目 設定値 備考 Username 任意 CWAで認証に利用するユーザーです。 例: testuser Password Lifetime 例: Never Expires 検証環境であればパスワードの有効期限は無し (Never Expires) にしておくと、不意の期限切れを避けれます。 Login Password 強固なパスワードを指定
62. None
63. None

64. 設定後は画面下部にあるSaveボタンの押下を忘れないでください。 例: testuser

65. その他の機器に設定すべきCisco ISEの関連設定 1. DNS ServerでのCaptive Portal用のDNSレコードの追加 2. 端末側でのCisco ISEのCWA用証明書の信頼設定

66. DNS ServerでのCaptive Portal用のDNS レコードの追加 • DNS Serverの種別に依存になる設定のため、DNS Server側の具体的な設定方 法は本資料では扱いません。 •

    登録対象のFQDNは、Authorization Profile (本例では Cisco_WebAuth)の 「Attribute Details」よりURLのFQDN部分に対するDNSレコードを登録してくださ い。 • 何かしらの理由でDNS Serverの設定が不可能な場合は、Cisco ISE側の該当 Authorization Profileにて「Static IP/Host name/FQDN」の設定項目で Cisco ISEのIPアドレスを指定します。

67. 拡大 反映後のURLの確認 Authorization Profile: Cisco_WebAuth の設定画面です。 IPアドレスでCWAのCaptive Portalにアクセスしたい場合は 「Static IP/Host

    name/FQDN」で設定します。

68. 端末側でのCisco ISEのCWA用 証明書の信頼設定 Windows端末での証明書の信頼設定の一例

69. 端末側でのCisco ISEのCWA用証明書の信頼設定 • Central Web Authで「Cisco ISEの証明書」が提示されるため、端末側でその証 明書を信頼しておく必要があります。本資料ではWindowsでの設定例を紹介します。 1. Cisco

    ISEより「Cisco ISEの証明書」をエクスポートします。 • メニュー「Administration > System > Certificates」より「Certificate Management > System Certificates」に移動します。 • 「Used by」が「EAP Authentication」の証明書をエクスポートします。 2. 「Cisco ISEの証明書」をWindowsにインポートして信頼する設定を行います。

70. 端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

71. 「Used By」に「EAP Authentication」がある証明書を探します。 端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

72. 対象の証明書にチェックをつけてから 「Export」を押下します。 端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

73. 「Export Certificate Only」を選択します。 Private Keyは含めないのでPassword入力は不要です。 端末側でのCisco ISEのCWA用証明書の信頼設定 - ISE側でのCWA用証明書のエクスポート

74. Crypto Shell Extensionsでファイルを開けるようにするために、 Cisco ISEからダウンロードした証明書の拡張子を「.crt」に変更します。 端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

75. Cisco ISEの証明書を端末に信頼させるために、インストール処理を行います。 端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

76. 筆者の場合は 証明書の格納先を現在のユーザーに限定したいため、 「Current user」を選択しています。 端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

77. 「Trusted Root Certification Authorities」を選択します。 端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

78. ここまでに指定した設定情報を確認します。 確認が済んだら「Finish」ボタンを押下します。 端末側でのCisco ISEのCWA用証明書の信頼設定 - Windows側での設定

79. Cisco ISE設定の参考情報

80. Cisco ISE設定の参考情報 • 補足説明が必要なものを一部取り上げます。 • CWA関連のAuthentication Policy • CWAはMABの動作として扱われるため、「Wireless MAB」の条件式が関与します。

    • 初回接続時はEndpointの情報が登録されてないため、「If User not found」の 「CONTINUE」によりAuthorization Policyの評価が続行されます。 • CWAのポータルでユーザーがログインするとEndpointが登録されるため、以降はMABの認証が通 るようになります • Redirect ACLの名称 • ISEのAuthorization ProfileでRedirect ACLの名称が指定されます。 • ISE側とC9800側の両担当者で連携が必要な要素のため、該当の設定個所を掘り下げます。

81. CWA関連のAuthentication Policy

82. CWAがMABの動作として扱われて、 「Wireless_MAB」にヒットします。 MABによる認証ではMACアドレスが登録されている必要がありますが、 「IF User not found」が「Continue」になっているため、 未登録状態でもAuthorization Policyが評価されるようになっています。

83. Redirect ACLの名称 • Authorization PolicyでAuthorization Profileを参照している個所 • そのAuthorization ProfileでRedirect ACLの名称を指定している個所

    の画面キャプチャを掲載します。

84. 「Wi-Fi_Redirect_to_Guest_Login」の 「Cisco_WebAuth」がRedirect ACLの適用を行っております。

85. None

86. デフォルトで存在する「Cisco_WebAuth」の設定を開きます。

87. 「Redirect ACLの名称」は本設定で指定されています。

88. CWAのCaptive Portalの挙動 CWAにより端末にCaptive Portalが表示された際の画面キャプチャを掲載します。

89. 拡大 本例ではFQDNでアクセスしています。 端末に証明書の信頼設定をしていないと警告が出ます。本例では信頼設定していない状態です。 Network Access Userで設定したユーザー情報でログインします。

90. None

91. ユーザー認証に成功したらWebサイトに接続して、 CWAへのリダイレクト処理のループが発生しないかなどを確認します。

92. 学習済みEndpoint情報の手動 削除

93. 学習済みEndpoint情報の手動削除 • CWAによる認証が通るとMACアドレスがEndpoint情報として登録されるため、 以降は(CWAではなく)MABのRuleによって通信が許可・認可されます。 • 検証でCWAによる認証からやり直したい場合は、Endpoint情報を削除する 必要があるため手順を紹介します。 • メニュー「Context Visibility

    > Endpoints」の「Authentication タブ」より 対象のEndpointを削除できます。複数選択して削除する場合は、ランダムに 表示される文字列を入力する必要があります。
94. None

95. 複数を選択すると、削除確認のダイアログが1ステップ増えます。(本画面サンプルでは1つのみ選択してます。)

96. 複数のEndpointの選択時は 追加のダイアログが表示されます。

97. 参考情報

98. CSCwn17412 • Central Web Authに関連するIssueです。 • CSCwn17412: On a web-auth

    SSID, FlexConnect local switching traffic is randomly getting centralized • https://bst.cisco.com/quickview/bug/CSCwn17412 • 該当Version: v17.9.6, v17.15.2 • 条件: 「Web Authを利用しているSSID」と「FlexConnect Local Switchingを利用」していると、ランダ ムに通信がCentral Switchingに切り替わってしまい、通信が途切れてしまう事象です。 • Wireless TAC Timeで紹介されています。 • [録画公開] 12/18 開催 Wireless TAC Time - 今すぐ現場に効く Tips 紹介 - - Cisco Community • https://community.cisco.com/t5/-/-/ba-p/5238325 • 動画の解説は「43:20」付近です。

99. End Of File 本スライドが資料の最後です。