Sécurité : Dispositif Cisco NAC (Clean Access)

NAC (Clean Access) : Configurer l'accès invité

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer les divers types de l'accès invité sur Cisco Clean Access ou d'appliance NAC avec Clean Access Manager (CAM).

Conditions préalables

Conditions requises

Cette configuration s'applique à la version 3.5 et ultérieures de CAM.

Composants utilisés

Les informations dans ce document sont basées sur la version 4.1 de CAM.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Types d'accès invité

Il y a trois types principaux d'accès invité :

  • Bouton simple d'invité

    • Permet l'accès invité par un bouton simple d'invité.

    • Fournit la page utilisateur acceptable pour recevoir/refuse.

    • Fournit la stratégie, la bande passante et la session/contrôles d'inactivité.

    • Ne se connecte pas différents noms d'utilisateur d'invité.

    • N'empêche pas le relogin/réutilisation d'invité.

  • Compte d'invité d'utilisateur local

    • Permet à l'admin de lobby pour éditer le champ d'utilisateur local seulement.

    • Permet créer d'utilisateurs pour/de plusieurs comptes invité d'effacement/modification.

    • Se connecte différents noms d'utilisateur d'invité dans l'utilisateur en ligne.

    • Fournit l'AUP, des contrôles policy/bw/session/inactivity.

    • Ne supprime pas automatiquement des comptes d'invité.

  • Portail externe d'invité par Clean Access API

    • Prend en charge le portail distant d'invité par API (https).

    • Permet créer d'utilisateurs pour/de plusieurs comptes invité d'effacement/modification.

    • Supports DB/AD externe pour toute la création de compte d'invité des employés.

    Remarque: L'utilisateur d'invité peut être authentifié à l'aide de HTTPS seulement, mais pas par le HTTP. Les hotspots sont pris en charge par l'intermédiaire de HTTPS seulement.

Configurez le bouton simple d'invité

Vous pouvez utiliser le bouton simple d'invité en deux modes :

  • Accès invité de câble (MEILLEUR)

    • Pour l'usage dans des salles de conférence, salles s'exerçantes, kiosques de visiteur

    • Les utilisateurs peuvent seulement accéder au réseau d'invité une fois autorisés ou accompagnés des employés

    • Limite l'accès invité à l'Internet seulement

    • Peut avoir différentes pages de connexion basées sur VLAN de câble (la vente)

  • Accès invité sans fil (DÉPEND)

    • Bon si les aps atteignent dans le campus seulement

    • Les utilisateurs dans le parc de stationnement peuvent obtenir l'accès invité

Procédez comme suit :

  1. Créez le rôle de l'utilisateur :

    1. Dans le CAM, choisissez la gestion des utilisateurs > le rôle de l'utilisateur afin de créer le rôle de l'utilisateur d'invité, comme affiché.

    2. Facultatif : Spécifiez un URL de réorientation sur la procédure de connexion d'invité.

      /image/gif/paws/107496/cca_guestaccess1_107496.gif

  2. Choisissez la gestion des utilisateurs > le contrôle de trafic > l'IP afin de créer une stratégie de trafic pour l'invité, tel que « au routeur internet par le port 80/443 seulement. »

    /image/gif/paws/107496/cca_guestaccess2_107496.gif

  3. Choisissez la gestion des utilisateurs > les utilisateurs locaux > nouveau afin de créer le nouvel utilisateur d'invité.

    /image/gif/paws/107496/cca_guestaccess3_107496.gif

  4. Choisissez la gestion > les pages utilisateur > la page de connexion > ajoutent afin de spécifier les informations pour la page utilisateur, telle que l'image, le titre, l'étiquette d'invité, et les instructions.

    cca_guestaccess4_107496.gif

  5. Créez une page utilisateur encadrée pour lancer ou stigmatiser sur le marché.

    /image/gif/paws/107496/cca_guestaccess5_107496.gif

    • On permet le bon accès de trame (par exemple à cisco.com seulement) dans le rôle Unauthenticated.

    • Une fois que l'utilisateur clique sur en fonction l'invité, l'utilisateur peut accéder à l'Internet aussi bien.

Configurez le compte d'invité d'utilisateur local

Compte d'invité d'utilisateur local

  • L'admin de lobby doit ouvrir une session à Clean Access Manager avec l'accès d'utilisateur local restreint seulement.

  • L'admin de lobby doit créer/effacement/modifie des comptes d'invité manuellement.

  • La création spécifique de compte d'invité d'exposition de journaux d'événements par compte d'horodateur et d'invité ouvrent une session.

  • Permet le multiple réorientent des pages basées sur des types de rôles d'invité. Par exemple, redirect to guest_to_training www.cisco.com/go/training.

  • N'empêche pas le relogin de compte d'invité jusqu'à supprimé de l'utilisateur local.

  • Meilleur pour le support à la basse création de compte d'invité, telle que 20 visiteurs par semaine.

Procédez comme suit :

  1. Choisissez les utilisateurs de gestion > d'admin > les groupes d'admin afin de créer le groupe d'admin de lobby. Le plein contrôle choisi dans le menu déroulant pour les utilisateurs locaux mettent en place.

    /image/gif/paws/107496/cca_guestaccess6_107496.gif

  2. Choisissez les utilisateurs de gestion > d'admin > les utilisateurs d'admin afin de créer le nom d'utilisateur de lobby avec un mot de passe, xxxxx.

    Le clic créent l'admin, et le clic créent l'admin.

    /image/gif/paws/107496/cca_guestaccess7_107496.gif

  3. Créez les rôles de plusieurs utilisateurs basés sur l'utilisation de temps, telle que Guest_4hours, Guest_8hours, et invité (1 heure).

    cca_guestaccess8_107496.gif

  4. Éditez les rôles de l'utilisateur basés sur le programme.

    /image/gif/paws/107496/cca_guestaccess9_107496.gif

  5. L'admin de lobby crée un utilisateur local et affecte un utilisateur à un rôle spécifique d'invité, des clics créent l'utilisateur.

    /image/gif/paws/107496/cca_guestaccess10_107496.gif

  6. Créez une page utilisateur encadrée pour lancer ou stigmatiser sur le marché

    /image/gif/paws/107496/cca_guestaccess11_107496.gif

    • On permet le bon accès de trame (par exemple à cisco.com seulement) dans le rôle Unauthenticated.

    • Une fois que l'utilisateur entre dans un nom d'utilisateur/mot de passe, l'utilisateur peut accéder à l'Internet aussi bien.

    • Peut réorienter un type spécifique d'invité à un URL pour le marketing.

Portail externe d'invité par l'API

  • Meilleur pour la création élevée de compte d'invité, telle que 20 visiteurs par jour.

  • Le meilleur s'il y a des problèmes de sécurité au-dessus de l'accès de CAM par admin de lobby.

  • Le portail externe peut être construit par des clients ou des Services avancés de Cisco.

  • Le portail peut avoir classer, envoyer, imprimer et signaler des fonctions.

  • Le portail peut effectuer la facturation ou l'information de comptabilité à l'affichage.

  • Le script de service de Cisco Clean Access API, cisco_api.jsp, fournit trois fonctions qui permettent à des administrateurs pour créer, supprimer, et à des comptes d'utilisateur local de vue sur le CAM :

    • getlocaluserlist — Renvoie une liste d'utilisateurs locaux avec le nom d'utilisateur et la role name.

    • addlocaluser — Prend le nom d'utilisateur, le mot de passe, et la role name. Renvoie le succès ou échec.

    • deletelocaluser — Nom d'utilisateur ou « TOUS » de prises (pour supprimer la liste entière). Renvoie le succès ou échec.

  • Le temporisateur d'inactivité de Cisco Clean Access se déconnecte l'utilisateur si inactif (mode d'intrabande).

cca_guestaccess12_107496.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 107496