|
◆ Cisco ISE - Web Auth with dACL - Success !
CatalystスイッチのWeb認証において、Cisco ISEをRadiusサーバとして使用する場合は、認証成功後に
認可(Authorization)の定義でdACLをダウンロードさせて追加の許可ACLを適用させるのが一般的です。
・ Cisco ISE - Operations - Authentication - Details
・ Catalyst 2960-X - IOS 15.x - show authentication sessions interface
gigabitEthernet 1/0/1
%DOT1X-5-FAIL: Authentication failed for client (0000.0011.1111) on Interface
Gi1/0/1 AuditSessionID C0A000
%AUTHMGR-7-RESULT: Authentication result 'no-response' from 'dot1x' for
client (0000.0011.1111) on Interface
Gi1/0/1 AuditSessionID C0A000
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
%AUTHMGR-5-START: Starting 'mab' for client (0000.0011.1111) on Interface
Gi1/0/1 AuditSessionID C0A000
%MAB-5-FAIL: Authentication failed for client (0000.0011.1111) on Interface
Gi1/0/1 AuditSessionID C0A000
%AUTHMGR-7-RESULT: Authentication result 'no-response' from 'mab' for
client (0000.0011.1111) on Interface Gi1/0/1
AuditSessionID C0A000
%AUTHMGR-7-FAILOVER: Failing over from 'mab' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
%AUTHMGR-5-START: Starting 'webauth' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
%EPM-6-POLICY_REQ: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID
C0A000| AUTHTYPE AUTHPROXY|
EVENT APPLY
%EPM-6-POLICY_APP_SUCCESS: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID
C0A000| AUTHTYPE AUTHPROXY|
POLICY_TYPE Named ACL| POLICY_NAME UNAUTH| RESULT SUCCESS
%AUTHMGR-7-RESULT: Authentication result 'success' from 'webauth' for client (0000.0011.1111) on Interface Gi1/0/1
AuditSessionID C0A000
%EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X| EVENT APPLY
%AUTHMGR-5-SUCCESS: Authorization succeeded for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
しかるべき設定により、WebAuthに落ちる前にDHCPによりIPアドレスが割り当てられます。上記の通り
Authz Success、Authc SuccessとなってもPre-ACLが設定されている場合には、Pre-ACLの範囲でしか
通信できません。そして、Web認証を行うためには例えばYahooやGoogleを開いてWeb認証を行います。
適切なIPアドレッシング(IPアドレス、デフォルトゲートウェイ、DNSサーバのIP)されたPC上でブラウザを
開くと認証画面が表示されるのでユーザ名とパスワードを入力して認証が成功すると以下のようにログが出力
されてdACLが適用されることになります。
%EPM-6-IPEVENT: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X|
EVENT IP-ASSIGNMENT
%EPM-6-POLICY_REQ: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID
C0A000| AUTHTYPE AUTHPROXY|
EVENT APPLY
%EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-REQUEST
%EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-SUCCESS
%EPM-6-POLICY_APP_SUCCESS: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID
C0A000|
AUTHTYPE AUTHPROXY| POLICY_TYPE Named ACL| POLICY_NAME xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6|
RESULT SUCCESS
show ip access-listsで、例えば以下のACLが追加されていることを確認できます。
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6 (per-user)
10 permit ip any any
|
CatalystスイッチのWeb認証の場合、トラフィック
のインターセプトのタイミングがWLCとは異なる
ので最初の1セッション分、認証前にWebページ
が表示される場合があります。ただし、その後、
その画面から、HTTPまたはHTTPSパケットを
送出しようとするとすぐに認証画面へ遷移します。
そもそも、一般的にWeb認証の実装は有線LAN
ではなく、無線LANだけで実装させることもあり、
有線LANスイッチでのWeb認証はお勧めしません。
|
|
|