Segurança : Cisco Identity Services Engine Software

O convidado ISE esclarece o exemplo da configuração de autenticação RADIUS/802.1x

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar o convidado esclarece toda a autenticação Raio-baseada, assim como portal-baseou a autenticação, no Cisco Identity Services Engine (ISE).

Nota: Contribuído por Vivek Santuka e Beau Wallace, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Os procedimentos neste documento exigem o conhecimento básico do Cisco Identity Services Engine (ISE) e do IEEE 802.1X.

Componentes Utilizados

A informação neste documento é baseada no Cisco Identity Services Engine (ISE).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Refira as convenções dos dicas técnicas da Cisco para obter informações sobre das convenções de documento.

Informações de Apoio

Esta característica descrita neste documento trabalha diferentemente entre versões ISE.

  • Antes de ISE 1.1.1: Todas as contas do convidado ficam em um estado inativo quando estão criadas, e não estão ativadas até o primeiro início de uma sessão através do portal do convidado. Quando no estado inativo, não puderem entrar usando o RAIO.

  • ISE 1.1.1 e mais atrasado: As contas do convidado criadas no grupo padrão (ActivatedGuest) são ativas imediatamente depois que são criadas. A identificação de bug Cisco CSCuc76477 (clientes registrados somente) aplica aos estes a versão. Devido a esta edição, as contas não estão criadas com um status ativo se o perfil do tempo de DefaultFirstLogin é usado. A fim resolver esta edição, use um perfil diferente do tempo do padrão ou do costume.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Considerações de configuração para todas as versões

Estas considerações aplicam-se a toda a versão:

  • Toda a regra da autenticação que usar as contas do convidado deve ter usuários internos como a fonte.

  • Toda a regra da autorização para tal sequência deve combinar no convidado (antes que ISE1.1.1) ou no convidado ativado (ISE 1.1.1 e mais atrasado).

  • O portal do patrocinador e a configuração do registro do auto devem colocar a conta do convidado no grupo correto. Para ISE 1.1.1, o grupo correto deve ser ActivatedGuest a fim evitar a exigência para o primeiro início de uma sessão através do portal do convidado.

Configuração para ISE 1.1.1 e mais atrasado

Termine estas etapas a fim configurar ISE 1.1.1 e mais atrasado:

  1. Configurar o grupo do patrocinador a fim atribuir o papel de ActivatedGuest.

    115802-radius-authentication-01.png

  2. Configurar uma política da autorização a fim permitir o acesso do grupo de ActivatedGuest.

    115802-radius-authentication-02.png

Os usuários do patrocinador devem agora poder criar convidados com o papel de ActivatedGuest. Os usuários criados aqui devem poder entrar com o 802.1x ou o todo o outro método de autenticação que apoiar a loja interna da identidade. Nos logs vivos da autenticação, você deve ver o texto mostrado nesta imagem:

115802-radius-authentication-03.png

Nota:  O grupo da identidade está correto, e a loja da identidade é “usuários internos.”


Informações Relacionadas


Document ID: 115802