View
4
Download
0
Category
Preview:
Citation preview
Florian Haakeflorian.haake@tu-braunschweig.de
eduroam on ISE
Eduroam on ISE - Themen
• Technischer Überblick über die Installation an der TU Braunschweig• Ablösung FreeRadius ISE• Policy Set (eduroam / tubs-guest)• Eduroam Fehlerseite• ISE + Radsec• Aus der Praxis• WLAN-Test• Ausblick
Technischer Überblick
Kurzer Überblick über eduroam an der TU Braunschweig• 3x Cisco 5520 WLC (Primary + Secondary @ 8.5.140.0 / Testing @ 8.8.111.0)• Ca. 1000 APs (2602 / 2702 / 2802)• 2x SNS-3595-K9 ISE – Appliances @ 2.2 Patch 13• 2x ISE VMs @ 2.4 Patch 6• 1x Cisco DNA Appliance
• Lizensierung über Smart Licensing
Technischer Überblick – ISE Aufbau
ise-1-1 ise-1-2 ise-2-1 ise-2-1
Produktiv Test im GITZ-Gebäude
Ablösung FreeRadius ISE
• Inbetriebnahme ISE zusammen mit Schwenk auf neue Root-CA• Extrem viel Öffentlichkeitsarbeit um alle “mitzunehmen“• Mitgrationszeitraum mit beiden Root-CAs
Policy Sets
• Sets für eduroam, Gast und VPN• Möglichkeit für den DV-Koordinator Kennungen in unterschiedliche Netze zu schalten
ISE Deployment für eduroam
Active Directory Internal ISE Database
MSCHAPv2 mit PEAP, TTLS, EAP-FAST
Active Directory Internal ISE Database
GTC mit PEAP, TTLS, EAP-FAST und PAP
Active Directory LDAP
EAP-TLSPEAP-TLS
Internal ISE Database (only)EAP-MD5CHAP
LDAP Secure Token Server (RSA)
User Backends Achtung nicht jedes Backend ist mit jeder Authentifizierungsmethode kombinierbar
Policy Set - eduroam
User-Kennung ohne „@“ wurde früher sofort abgelehnt
Je nach EAP-Methode wird ein anderes Auth-Backend genutzt.
Ansonsten „Deny“
User ohne „@tu-bs.de“ oder „@tu-braunschweig.de“ werden zum RADSEC Proxy gesendet
Policy Set greift, wenn die Called-Station-ID die SSID enthält
User-Kennung ohne „@“ wird zunächst authentifiziert
Policy Set - eduroam
• Autorisierung des VLANs an Hand eines spezifischen LDAP / AD Attributs (keine Gruppen)• #public “Überschreibt“ das Instituts-VLAN durch das öffentliche eduroam-Netz• Bad_User_On_ISE Fehlerseite falsche Konfiguration
Eduroam Fehlerseite
User hat keinen REALM angegeben, wird autorisiert und zu einer Infos Web Site geleitet • User wird auf Fehlkonfiguration hingewiesen • Links zu Wikis und andere Web Ressourcen einbindbar• ACL im WLC beachten
Policy Set > tubs-guest
ISE + Radsec
• RADSEC Proxy Funktion nicht mit ISE abbildbar• ISE unterstützt RADSEC nur als Server, nicht als Client
listenUDP *:1812listenUDP *:1813
[...]
rewrite remote-to-local {[...]
modifyAttribute 30:/^.*$/roaming:eduroam/[...]
ISE + Radsec
Authentication PolicyUser gehört zu einer Fremdeinrichtung – Load Balancing zu RADSEC auf Basis des ISE Nodes
Authorization Policy
Aus der Praxis – Netzwerkinterfaces bei den Appliances
Aus der Praxis – Netzwerkinterfaces bei den Appliances
! Test ergab reine Verfügbarkeit, ISE prüft keine logischen Fehler (Erreichbarkeit GW, AD..) !
Aus der Praxis – Authorization Policy “Sprünge“
• “Enable EAP TTLS Session Resume” als Ursache
Aus der Praxis – Versionen und Patches
• Patches sind mit Vorsicht zu genießen• Zunächst nach Erscheinen eines Patches einige Wochen verstreichen lassen und die
Deferred Releases beobachten• Wenn möglich in einer Testumgebung vorher auf korrekte Funktion prüfen• Wir mussten schon Patches im Livebetrieb aufgrund von Problemen zurückrollen
Aus der Praxis – Disk IO
• Vergleich Ausgabe - show tech-support | begin „disk IO perf“• Hinweis: ISE VM wurde vorher in eine neue VM Umgebung migriert, auf Grund von I/O –
Performance Warnings
VM – ApplianceSNS-3595 Appliance
Aus der Praxis - Havarieplanung
• Diverse Faktoren können zum Ausfall der ISE-Umgebung führen (Hardwarefehler, Probleme mit einem Patch, Bugs allgemein, vorgelagerte Systeme, etc.)
• Wir haben schmerzlich die Erfahrung machen müssen, dass ein Notfallplan vorhanden sein sollte
• Zur Not reicht ein ausgeschalteter „oldschool“ FreeRadius oder eine ISE-VM mit abgespecktem Regelwerk
WLAN – „Test“
• Feedback bei Problemen ist häufig unvollständig
• Lösung?
Ausblick und Themen die uns bewegen• Nachfrage einer API für die Verwaltung von Gastkennungen ( ISE API)• Lösung für IoT Devices die kein 801.1x unterstützen Identity PSK?
Auf stets besten Empfang! Feedback / Fragen?
Recommended