セキュリティ : Cisco Identity Services Engine Software

ISE バージョン 1.3 ホットスポット設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

Cisco Identity Services Engine (ISE)バージョン 1.3 にゲスト ポータルによって問い合わせられる Hotspot の新型があります。 門脈のこの型はネットワークにゲスト アクセスを提供することを可能にし、ユーザに資格情報を提供させます。 この資料にこの機能性を設定し解決する方法を記述されています。

ミカル Garcarz およびニコラス Darchis によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこれらのトピックの ISE 設定および基本的な知識のエクスペリエンスがあることを推奨します:

  • ISE 配備およびゲスト フロー
  • ワイヤレス LAN コントローラ(WLCs)の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 7
  • Cisco WLC バージョン 7.6 および それ 以降
  • ISE ソフトウェア、バージョン 1.3 および それ 以降

トポロジーおよびフロー

このシナリオは Acceptable Use Policy (AUP)を受け入れる、インターネット可能になりますゲストユーザのため(または他のどの制限されたアクセス)にもそしてアクセスを。

ステップ 1. Service Set Identifier (SSID)へのゲストユーザ関連: ホットスポット。 これは認証のための ISE の MAC フィルタリングのオープンネットワークです。 この認証はホットスポットに ISE の第 2 承認規則および許可 プロファイル リダイレクトを一致させます。 ISE は 2 つの Cisco AVペアとの RADIUS Access-Accept を戻します:

  • (トラフィックがリダイレクトする必要がある、および WLC でローカルで定義される Access Control List (ACL)の名前) URL リダイレクト ACL
  • URL リダイレクト(ISE にそのトラフィックをどこでリダイレクトするか)

ステップ 2: ゲストユーザは ISE にリダイレクトされ、AUP を受け入れ、オプションで秘密アクセスコードを提供します。

ステップ 3. ISE は WLC に許可(CoA) Admin リセットの RADIUS 変更を送信 します。 WLC は RADIUS Access-Request を送信 するときユーザを再認証します。 ISE はインターネットだけにアクセスを提供する WLC でローカルで定義される Access-Accept および Airespace ACL と応答します。

: CoA Admin リセットはホットスポット機能性のために特定で、Cisco バグ ID CSCus46754 に説明があります。 ゲスト ポータルが付いている ISE バージョン 1.2 のための動作は異なっていました; CoA は再認証しますまたは終端は送信 されました。

ステップ 4 ゲストユーザはネットワークにアクセスを望みます。 ネットワーク管理者はユーザが AUP を受け入れたことを確認しています。 ゲストユーザはオリジナル URL、静的に設定された URL、または成功ページにリダイレクトすることができます。 ISE によって表示するすべてのページはカスタマイズすることができます。

オプションのポスチャ チェックの統合は最後のセクションで示されます。

設定

WLC

  1. 認証および会計のための新しい RADIUSサーバを追加して下さい。 セキュリティ > AAA > Radius > 認証に RADIUS CoA (RFC 3576)を有効に するためにナビゲート して下さい。



    会計のための同じような設定があります。 また ISE が SSID に基づいて適用範囲が広いルールを設定するようにする被呼局 ID アトリビュートの SSID を送信 するために WLC を設定することを助言します:



  2. WLAN タブの下で、Wireless LAN (WLAN)ホットスポットを作成し、正しいインターフェイスを設定して下さい。 MAC フィルタリングのどれもに Layer2 セキュリティを設定 しない で下さい。 セキュリティ/認証、許可、アカウンティング(AAA)サーバで、認証および会計両方(会計はオプションです)に ISE IP アドレスを選択して下さい。 Advanced タブで、AAA 上書きするを有効に し、RADIUS NAC (CoA サポート)にネットワーク アドミッション コントロール(NAC)状態を設定 して下さい。

  3. セキュリティ > アクセスコントロール アクセス・コントロール・リスト > アクセスコントロール アクセス・コントロール・リストにナビゲート し、2 つのアクセス リストを作成して下さい:

    • リダイレクトするべきではないし、他のトラフィックをすべてリダイレクトする割り当てトラフィック HotspotRedirect、
    • 社内ネットワークのために否定され、他のために許可されるインターネット、


    HotspotRedirect ACL (リダイレクションから ISE に出入するトラフィックを除く必要)の例はここにあります:

ISE

  1. ゲスト アクセスへのナビゲートは > > ゲスト ポータル設定し、新しい門脈型を、ホットスポット ゲスト ポータル作成します:



  2. 許可 プロファイルで参照される門脈名前を選択して下さい。 門脈動作およびフロー設定からのポータルをカスタマイズするために、AUP および暗号(オプションの)を有効に して下さい:



    複数のより多くのオプションは門脈ページ カスタマイゼーションの下で有効に することができます; 示されるすべてのページはカスタマイズすることができます。

  3. ポリシーへのナビゲートは > > 許可 > 許可 プロファイル 許可プロファイルを設定するために生じます

    • ホットスポット(ホットスポット門脈名前および ACL HotspotRedirect へのリダイレクションと):



    • インターネット(Airespace と ACL はインターネットに匹敵します):



  4. 承認規則を、ナビゲート ポリシー > 許可に確認するため。 壊れる MAC 認証 バイパス(MAB)アクセス(見つけられない MAC アドレス)のための ISE バージョン 1.3 ではデフォルトで、認証は続きます(拒否されない)。 これはデフォルトの認証ルールで何でも変更する必要がないのでゲスト ポータルに非常に役立ちます。



    最初の MAB 認証に関しては、第 2 ルールは一致します(エンドポイントはあらゆる識別グループにまだありませんです)。 それからユーザは webportal に(ホットスポット)リダイレクトされ、AUP を受け入れ、オプションで正しい秘密アクセスコードを入力します。 ISE は RADIUS CoA を送信 し、WLC は再認証を行います。 第 2 認証に関しては、最初のルールは許可 プロファイル PermitInternet と共に一致し、WLC で適用される ACL 名前を戻します(今回、エンドポイントは GuestEndpoints グループに既にあっています)。

    デフォルトで、AUP を受け入れるゲストは GuestEndpoints 識別グループに入ります。 識別グループは各ポータルのために異なりますゲスト門脈設定の下でそれらのエンドポイントに割り当てられる設定されます。

  5. Administration > ネットワークリソース > ネットワークデバイスからネットワーク アクセス デバイスとして WLC を追加して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

  1. ゲストユーザが SSID ホットスポットと関連付けた、URL を入力する後、AUP にリダイレクトされます:



  2. アクセスコードがゲスト ポータルの下で設定された場合、必要となります。 ユーザが不正確なコードを提供する場合、エラー表示:



  3. 正しいコードが入力される場合画面はここにあります表示する:



  4. 正しいコードが入力されれば、WLC は再認証を行い、セッションに接続されるインターネット ACL を示します。

追加ポスチャ

ゲストユーザにアクセスを提供する必要性があるがときだけそれらが新しいアンチウィルス アップデートおよび Microsoft Windows アップデートのような特定のポリシー(ポスチャ)を満たす場合、これらのルールと達成することができます:

ホットスポット ルールはインターネットにアクセスを提供しませんが、ポスチャ サービスに代りにリダイレクションを行います。 それから Web エージェントはステーションに(クライアント プロビジョニングは支配します)押され、ポリシー チェック(ポスチャ ルール)を行うことができます。 レポート準拠性は ISE に Web エージェントによって送信 されます。 ステーションが対応だった後、ISE は WLC の許可 アップデートを引き起こす別の CoA を再認証します送信 します。 それから HotSpot_Compliant ルールは見つけられ、インターネットへのアクセスは提供されます。

NAC または Web エージェントとのポスチャ 設定は非常に同じような次 ISE バージョン 1.2 で、この資料のためのスコープからあります(詳細については関連情報セクションを参照して下さい)。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

ISE は示す必要があります:

ここで、フローを示します。

  • ゲストユーザは第 2 承認規則に出会い、ホットスポット(「成功する」認証)にリダイレクトされます。

  • ユーザが AUP を受け入れた後、WLC (「成功する」動的許可)によって確認される ISE は CoA Admin リセットを送信 します。

  • WLC は再認証を行い、ACL 名前は戻ります(「成功する」承認だけ)。

これはまたオペレーション > レポート > ISE報告すれば > ゲスト アクセス レポート > AUP 受諾ステータス ナビゲート する場合確認することができます:

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118741