Cisco WLC: authentification par utilisateur, nombreux VLAN, quelques SSID

Nous avons un problème simple. Nous voulons restreindre nos utilisateurs sans fil à certains sites Web d'entreprise en fonction de leur nom d'utilisateur lorsqu'ils se connectent. Nous avons de nombreux types d'appareils sans fil: téléphones VoIP, téléphones portables, ordinateurs portables, lecteurs de codes-barres et tablettes.

Supposons qu'il existe toutes ces catégories de sites Web, auxquelles nous avons attribué un SSID et un Vlan pour les adresses source des utilisateurs:

• Internet (SSID-Internet, Vlan101)
• Voix (SSID-Internet, Vlan102)
• Comptabilité (SSID-Business, Vlan103)
• RH (SSID-Business, Vlan104)
• Inventaire (SSID-Business, Vlan105)
• Recherche (SSID-Business, Vlan106)
• Assurance qualité (SSID-Business, Vlan107)
• Fabrication (SSID-Business, Vlan108)

Chacun de nos utilisateurs peut avoir besoin d'utiliser leur connexion Windows pour s'authentifier sur le réseau sans fil, mais il ne doit avoir accès qu'à certains services. Quelques exemples:

• Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone VoIP à SSID-Voice et ne pouvez accéder au réseau vocal qu'à partir de ce téléphone
• Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide d'un ordinateur portable à SSID-Business et ne pouvez accéder aux sites Web de comptabilité qu'à partir de son ordinateur portable
• Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone portable à SSID-Internet et ne pouvez accéder à Internet que via un proxy.
• Utilisateur2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone VoIP à SSID-Voice et ne pouvez accéder au réseau vocal qu'à partir de son téléphone
• Utilisateur 2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du scanner de codes-barres à SSID-Business et ne pouvez accéder aux sites Web d'inventaire qu'à partir de son scanner de codes-barres
• Utilisateur2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone portable à SSID-Internet et ne pouvez accéder à Internet que via un proxy.

Chaque utilisateur devrait pouvoir se connecter avec son téléphone portable à SSID-Internet et son téléphone wifi à SSID-Voice. Cela semble assez facile si nous utilisons le filtrage des adresses mac. Nous utiliserons un pare-feu pour nous assurer que les utilisateurs des VLAN ne sortent pas de leurs limites d'accès.

Le problème est que nous ne voulons pas créer beaucoup de SSID, donc le nombre de VLAN différents pour SSID-Business est difficile. Nous voulons affecter des utilisateurs à plusieurs VLAN différents lorsqu'ils se connectent à SSID-Business. Cisco ISE et Cisco ACS peuvent-ils le faire? Si oui, quelles fonctionnalités devons-nous utiliser dans Cisco ISE, Cisco ACS et le WLC? Toutes ces fonctions peuvent-elles fonctionner si nous n'avons qu'un seul nom d'utilisateur Windows par utilisateur?

Notre WLC est un 5508 exécutant 7.4. Nous avons Cisco ACS 5 et Cisco ISE 1.2.

Si vous n'avez pas besoin de confondre vos utilisateurs avec plusieurs VLAN, ne le faites pas. Tirez parti des outils dont vous disposez. Vous avez mentionné que vous avez ISE et vous devriez pouvoir faire tout cela avec un seul SSID. Comme AdnanG l'a déjà mentionné, vous pouvez utiliser les fonctionnalités de profilage d'ISE pour classer les périphériques.

Votre ACS doit pouvoir se lier à l'authentification MS AD et être en mesure de fournir l'authentification des utilisateurs et les informations de groupe.

À partir de là, il vous suffit de combiner les utilisateurs / groupes avec les profils de périphérique, puis de les lier à un VLAN. Ainsi, par exemple, si l'appareil est identifié comme un téléphone portable et que l'utilisateur fait partie du "groupe A", alors le mettre dans le VLAN "groupe A - Internet".

Je ne l'ai pas fait personnellement avec ISE, donc je ne peux pas donner les étapes exactes, mais c'est ainsi que le marketing Cisco vend ISE dans l'espace BYOD. Je connais également plusieurs personnes qui ont effectué des configurations similaires à ce qui est suggéré. Je commencerais par regarder ce document Cisco BYOD qui vous donnerait un aperçu général de la façon dont BYOD est fait avec Cisco ISE.

Cisco Identitiy SErvices Engine (ISE) peut faire exactement ce que vous recherchez. La fonctionnalité est appelée "Profilage" de vos appareils netowrk. Cisco ACS sera utilisé pour l'authentification et l'intégration avec votre Active Directory. Veuillez noter que pour réaliser ce que vous recherchez, vous pourriez avoir besoin d'une gamme d'appareils dans la structure de votre réseau. Cettelink a un aperçu de la solution qui vous permettra de mieux comprendre ce dont vous avez besoin. Reportez-vous à la section «Composants de déploiement» pour avoir une idée de ce qu'il faut pour avoir un profilage. La solution peut sembler compliquée, mais tout dépend de votre déploiement. Il serait erroné d'acheter quelques appareils en pensant qu'il suffira de vous offrir les fonctionnalités que vous recherchez. Les solutions de Cisco impliquent généralement de nombreux composants et doivent être soigneusement planifiées.

Une solution serait d'appliquer 802.11x sur les points d'accès sans fil (RADIUS) et d'intégrer l'authentification pour cela via LDAP avec Windows, alors seuls les utilisateurs qui ont un nom d'utilisateur et un mot de passe Windows peuvent accéder aux points d'accès.

L'avantage de ceci est que le serveur Windows peut alors contrôler ce qui est accessible en fonction des informations de connexion de l'utilisateur à l'aide de la stratégie de groupe, des autorisations de sécurité dans Active Directory, etc.

Mais cette solution est à deux niveaux, les gars de Windows doivent comprendre comment cela va fonctionner et le côté réseau doit également être configuré.

L'affiche précédente mentionnait également Cisco Identity Services Engine (ISE), qui fonctionnerait également. Cela dépend vraiment de votre configuration