Sécurité : Cisco Identity Services Engine Software

L'invité ISE explique l'exemple de configuration d'authentification RADIUS/802.1x

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer l'invité explique n'importe quelle authentification basée sur rayon, aussi bien qu'authentification basée sur portail, sur le Logiciel Cisco Identity Services Engine (ISE).

Remarque: Contribué par Vivek Santuka et beau Wallace, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Les procédures dans ce document exigent la connaissance de base du Logiciel Cisco Identity Services Engine (ISE) et du 802.1x d'IEEE.

Composants utilisés

Les informations dans ce document sont basées sur le Logiciel Cisco Identity Services Engine (ISE).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Référez-vous au Conventions relatives aux conseils techniques Cisco pour les informations sur des conventions de document.

Informations générales

Cette fonction décrite dans ce document fonctionne différemment entre les versions ISE.

  • Avant ISE 1.1.1 : Tous les comptes d'invité restent dans un état inactif quand ils sont créés, et ils ne sont pas lancés jusqu'à la première connexion par le portail d'invité. Tandis que dans l'état inactif, ils ne peuvent pas ouvrir une session utilisant le RAYON.

  • ISE 1.1.1 et plus tard : Les comptes d'invité créés au groupe par défaut (ActivatedGuest) sont en activité juste après qu'ils sont créés. L'ID de bogue Cisco CSCuc76477 (clients enregistrés seulement) s'applique aux ces la version. En raison de cette question, des comptes ne sont pas créés avec un état active si le profil de temps de DefaultFirstLogin est utilisé. Afin de résoudre ce problème, utilisez un profil différent de temps de par défaut ou de coutume.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Considérations de configuration pour toutes les versions

Ces considérations s'appliquent à toute la version :

  • N'importe quelle règle d'authentification qui utilise les comptes d'invité devrait avoir des utilisateurs internes comme source.

  • N'importe quelle règle d'autorisation pour un tel ordre devrait s'assortir sur l'invité (avant qu'ISE1.1.1) ou l'invité lancé (ISE 1.1.1 et plus tard).

  • Le portail de sponsor et la configuration d'enregistrement d'individu devraient placer le compte d'invité dans le groupe correct. Pour ISE 1.1.1, le groupe correct doit être ActivatedGuest afin d'éviter la condition requise pour la première connexion par le portail d'invité.

Configuration pour ISE 1.1.1 et plus tard

Terminez-vous ces étapes afin de configurer ISE 1.1.1 et plus tard :

  1. Configurez le groupe de sponsor afin d'assigner le rôle d'ActivatedGuest.

    115802-radius-authentication-01.png

  2. Configurez une stratégie d'autorisation afin de permettre l'accès de groupe d'ActivatedGuest.

    115802-radius-authentication-02.png

Les utilisateurs de sponsor devraient maintenant pouvoir créer des invités avec le rôle d'ActivatedGuest. Les utilisateurs créés ici devraient pouvoir ouvrir une session par le 802.1x ou n'importe quelle autre méthode d'authentification qui prend en charge la mémoire interne d'identité. Dans les logs vivants d'authentification, vous devriez voir le texte affiché dans cette image :

115802-radius-authentication-03.png

Remarque:  Le groupe d'identité est correct, et la mémoire d'identité est des « utilisateurs internes. »


Informations connexes


Document ID: 115802