Cisco ISE - Web Auth with dACL - Catalyst



 ◆ Cisco ISE - Web Auth with dACL - Success !

 CatalystスイッチのWeb認証において、Cisco ISEをRadiusサーバとして使用する場合は、認証成功後に
 認可(Authorization)の定義でdACLをダウンロードさせて追加の許可ACLを適用させるのが一般的です。

 ・ Cisco ISE - Operations - Authentication - Details

 


 ・ Catalyst 2960-X - IOS 15.x - show authentication sessions interface gigabitEthernet 1/0/1

 %DOT1X-5-FAIL: Authentication failed for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %AUTHMGR-7-RESULT: Authentication result 'no-response' from 'dot1x' for client (0000.0011.1111) on Interface
 Gi1/0/1 AuditSessionID C0A000
 %AUTHMGR-7-FAILOVER:
Failing over from 'dot1x' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000

 %AUTHMGR-5-START: Starting 'mab' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %MAB-5-FAIL: Authentication failed for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %AUTHMGR-7-RESULT: Authentication result 'no-response' from 'mab' for client (0000.0011.1111) on Interface Gi1/0/1
 AuditSessionID C0A000
 %AUTHMGR-7-FAILOVER:
Failing over from 'mab' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000

 %AUTHMGR-5-START: Starting 'webauth' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %EPM-6-POLICY_REQ: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE AUTHPROXY|
 EVENT APPLY
 %EPM-6-POLICY_APP_SUCCESS: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE AUTHPROXY|
 POLICY_TYPE Named ACL| POLICY_NAME UNAUTH| RESULT SUCCESS
 %AUTHMGR-7-RESULT:
Authentication result 'success' from 'webauth' for client (0000.0011.1111) on Interface Gi1/0/1
 AuditSessionID C0A000
 %EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X| EVENT APPLY
 %AUTHMGR-5-SUCCESS:
Authorization succeeded for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000

 


 しかるべき設定により、WebAuthに落ちる前にDHCPによりIPアドレスが割り当てられます。上記の通り
 Authz Success、Authc SuccessとなってもPre-ACLが設定されている場合には、Pre-ACLの範囲でしか
 通信できません。そして、Web認証を行うためには例えばYahooやGoogleを開いてWeb認証を行います。


 適切なIPアドレッシング(IPアドレス、デフォルトゲートウェイ、DNSサーバのIP)されたPC上でブラウザを
 開くと認証画面が表示されるのでユーザ名とパスワードを入力して認証が成功すると以下のようにログが出力
 されてdACLが適用されることになります。

 %EPM-6-IPEVENT: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X|
 EVENT IP-ASSIGNMENT
 %EPM-6-POLICY_REQ: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE AUTHPROXY|
 EVENT APPLY
 %EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-REQUEST
 %EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-SUCCESS
 %EPM-6-POLICY_APP_SUCCESS: IP 192.168.30.31| MAC 0000.0011.1111| AuditSessionID C0A000|
 AUTHTYPE AUTHPROXY| POLICY_TYPE Named ACL| POLICY_NAME xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6|
 RESULT SUCCESS

 


 show ip access-listsで、例えば以下のACLが追加されていることを確認できます。

 Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6 (per-user)
 10 permit ip any any


 CatalystスイッチのWeb認証の場合、トラフィック
 のインターセプトのタイミングがWLCとは異なる
 ので最初の1セッション分、認証前にWebページ
 が表示される場合があります。ただし、その後、
 その画面から、HTTPまたはHTTPSパケットを
 送出しようとするとすぐに認証画面へ遷移します。

 そもそも、一般的にWeb認証の実装は有線LAN
 ではなく、無線LANだけで実装させることもあり、
 有線LANスイッチでのWeb認証はお勧めしません。




Cisco ISE

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.