Segurança : Dispositivo Cisco NAC (Clean Access)

NAC (acesso limpo): Configurar o acesso do convidado

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar os vários tipos de acesso do convidado no acesso limpo de Cisco ou de ferramenta NAC com o Access Manager limpo (CAM).

Pré-requisitos

Requisitos

Esta configuração é aplicável à versão 3.5 e mais recente CAM.

Componentes Utilizados

A informação neste documento é baseada na versão 4.1 CAM.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Tipos de acesso do convidado

Há três tipos principais de acesso do convidado:

  • Único botão Guest Button

    • Permite o acesso do convidado através de um único botão Guest Button.

    • Fornece a página de usuário aceitável para aceitar/negam-na.

    • Fornece a política, a largura de banda e a sessão/controles da inatividade.

    • Não registra nomes de usuário individuais do convidado.

    • Não impede o relogin/reutilização do convidado.

  • Conta do convidado do usuário local

    • Permite que a entrada admin edite o campo do usuário local somente.

    • Permite criar dos usuários/contas múltiplas convidado da supressão/mudança.

    • Registra nomes de usuário individuais do convidado no usuário on-line.

    • Fornece o AUP, controles policy/bw/session/inactivity.

    • Não suprime automaticamente de contas do convidado.

  • Portal externo do convidado com o acesso limpo API

    • Apoia o portal remoto do convidado com API (https).

    • Permite criar dos usuários/contas múltiplas convidado da supressão/mudança.

    • Apoia DB/AD externo para toda a criação de conta do convidado do empregado.

    Nota: O usuário convidado pode ser autenticado usando o HTTPS somente, mas não com o HTTP. Os pontos quentes são apoiados através do HTTPS somente.

Configurar o único botão Guest Button

Você pode usar o único botão Guest Button em dois modos:

  • Acesso prendido do convidado (MELHOR)

    • Para o uso nas salas de conferência, salas de formação, quiosque do visitante

    • Os usuários podem somente alcançar a rede de convidado quando permitidos ou acompanhados dos empregados

    • Restringe o acesso do convidado ao Internet somente

    • Pode ter as páginas de login diferentes baseadas em VLAN prendido (o mercado)

  • Acesso wireless do convidado (DEPENDE)

    • Bom se os AP alcançam dentro do terreno somente

    • Os usuários no estacionamento podem obter o acesso do convidado

Conclua estes passos:

  1. Crie o papel de usuário:

    1. No CAM, escolha o gerenciamento de usuário > o papel de usuário a fim criar o papel de usuário convidado, como mostrado.

    2. Opcional: Especifique uma reorientação URL em cima do início de uma sessão do convidado.

      /image/gif/paws/107496/cca_guestaccess1_107496.gif

  2. Escolha o gerenciamento de usuário > o controle de tráfego > o IP a fim criar uma política de tráfego para o convidado, tal como “ao roteador de Internet através da porta 80/443 somente.”

    /image/gif/paws/107496/cca_guestaccess2_107496.gif

  3. Escolha o gerenciamento de usuário > os usuários locais > novo a fim criar o usuário convidado novo.

    /image/gif/paws/107496/cca_guestaccess3_107496.gif

  4. Escolha o > Add da administração > das páginas de usuário > da página de login a fim especificar a informação para a página de usuário, tal como a imagem, o título, a etiqueta do convidado, e as instruções.

    cca_guestaccess4_107496.gif

  5. Crie uma página do framed user para introduzir no mercado ou marcar.

    /image/gif/paws/107496/cca_guestaccess5_107496.gif

    • O acesso direito do quadro (por exemplo a cisco.com somente) é permitido no papel não autenticado.

    • Uma vez que o usuário clica sobre o convidado, o usuário pode alcançar o Internet também.

Configurar a conta do convidado do usuário local

Conta do convidado do usuário local

  • A entrada Admin deve entrar para limpar o Access Manager com o acesso de usuário local restrito somente.

  • A entrada Admin deve criar/supressão/altera contas do convidado manualmente.

  • Os log de eventos mostram a criação de conta específica do convidado pelo início de uma sessão da conta do timestamp e do convidado.

  • A Permite múltiplas reorienta as páginas baseadas em tipos de papéis de convidado. Por exemplo, guest_to_training reorienta a www.cisco.com/go/training.

  • Não impede o relogin da conta do convidado até suprimido do usuário local.

  • Melhor para o media à baixa criação de conta do convidado, tal como 20 visitantes pela semana.

Conclua estes passos:

  1. Escolha a administração > usuários admin > grupos Admin a fim criar o admin group da entrada. Selecione o controle total no menu suspenso para o campo dos usuários locais.

    /image/gif/paws/107496/cca_guestaccess6_107496.gif

  2. Escolha a administração > usuários admin > usuários admin a fim criar o username da entrada com uma senha, xxxxx.

    O clique cria o Admin, e o clique cria o Admin.

    /image/gif/paws/107496/cca_guestaccess7_107496.gif

  3. Crie os papéis de usuário múltiplo baseados no uso do tempo, tal como Guest_4hours, Guest_8hours, e convidado (1 hora).

    cca_guestaccess8_107496.gif

  4. Edite os papéis de usuário baseados na programação.

    /image/gif/paws/107496/cca_guestaccess9_107496.gif

  5. A entrada Admin cria um usuário local e atribui um usuário a um papel de convidado específico, cliques cria o usuário.

    /image/gif/paws/107496/cca_guestaccess10_107496.gif

  6. Crie uma página do framed user para introduzir no mercado ou marcar

    /image/gif/paws/107496/cca_guestaccess11_107496.gif

    • O acesso direito do quadro (por exemplo a cisco.com somente) é permitido no papel não autenticado.

    • Uma vez que o usuário incorpora um username/senha, o usuário pode alcançar o Internet também.

    • Pode reorientar um tipo específico do convidado a uma URL para o mercado.

Portal externo do convidado com o API

  • Melhor para a criação de conta alta do convidado, tal como 20 visitantes pelo dia.

  • Melhor se há uns interesses de segurança sobre o acesso CAM pela entrada Admin.

  • O portal externo pode ser construído por clientes ou por Serviços avançados de Cisco.

  • O portal pode ter calendaring, enviar por correio eletrónico, imprimir e relatar funções.

  • O portal pode executar o faturamento ou a informação de contabilidade à fatura.

  • O script utilitário limpo do acesso API de Cisco, cisco_api.jsp, fornece três funções que permitem que os administradores criem, suprimam, e as contas de usuário local da vista no CAM:

    • getlocaluserlist — Retorna uma lista de usuários locais com nome de usuário e nome do papel.

    • addlocaluser — Toma o nome de usuário, a senha, e o nome do papel. Sucesso ou falha dos retornos.

    • deletelocaluser — Nome de usuário ou “TUDO” das tomadas (para suprimir da lista inteira). Sucesso ou falha dos retornos.

  • Saídas limpas do temporizador de inatividade do acesso de Cisco o usuário quando inativo (modo da em-faixa).

cca_guestaccess12_107496.gif

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 107496