安全 : Cisco Identity Services Engine Software

ISE RADIUS/802.1x身份验证配置示例的访客帐户

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何配置所有基于RADIUS的验证的访客帐户,以及基于PORTAL的验证,在思科身份服务引擎(ISE)。

注意: 贡献用Vivek Santuka和花花公子华莱士, Cisco TAC工程师。

先决条件

要求

在本文的步骤要求思科身份服务引擎(ISE)和IEEE 802.1x基础知识。

使用的组件

本文档中的信息根据思科身份服务引擎(ISE)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

关于文件规则的信息,请参见Cisco技术提示规则

背景信息

在本文描述的此功能不同地运作在ISE版本之间。

  • 在ISE 1.1.1前:所有访客帐户在非活动状态坚持,当他们创建时,并且他们没有激活直到首次登录通过访客门户。使用RADIUS时,当在非活动状态,他们不能登陆。

  • ISE 1.1.1及以后:在默认组创建的访客帐户(ActivatedGuest)中是活跃的,在他们创建之后。Cisco Bug ID CSCuc76477 (仅限注册用户)运用对这些版本。如果使用,由于此问题,帐户没有创建以有效状态DefaultFirstLogin时间配置文件。为了解决此问题,请使用一不同的默认或自定义时间配置文件。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

所有版本的配置注意事项

这些考虑事项适用于所有版本:

  • 使用访客帐户的所有验证规则应该有内部用户作为来源。

  • 这样顺序的所有授权规则在访客(在ISE1.1.1)前或激活的访客(ISE 1.1.1应该配比及以后)。

  • 赞助商门户和自已注册配置应该在正确组中安置访客帐户。对于ISE 1.1.1,正确组必须是ActivatedGuest为了通过访客门户避免首次登录的需求。

ISE的1.1.1配置及以后

完成这些步骤为了配置ISE 1.1.1及以后:

  1. 配置赞助商组为了分配ActivatedGuest角色。

    115802-radius-authentication-01.png

  2. 配置授权策略为了允许ActivatedGuest组访问。

    115802-radius-authentication-02.png

赞助商用户应该当前能创建有ActivatedGuest角色的访客。用户创建此处应该能通过802.1x或支持内部标识存储的其他认证方法登录。在实际验证日志,您应该看到在此镜像显示的文本:

115802-radius-authentication-03.png

注意: 标识组正确,并且标识存储是“内部用户”。


相关信息


Document ID: 115802