セキュリティ : Cisco Identity Services Engine

ISE バージョン 1.3 自己 登録済みのゲスト ポータル設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

Cisco Identity Services Engine (ISE)バージョン 1.3 にネットワークリソースへのアクセス権を得るときゲストユーザ自己レジスタを可能にする自己によって登録されているゲスト ポータルと呼ばれるゲスト ポータルの新型があります。 このポータルは複数の機能を設定し、カスタマイズすることを可能にします。 この資料にこの機能性を設定し解決する方法を記述されています。

ミカル Garcarz およびニコラス Darchis によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこれらのトピックの ISE 設定および基本的な知識のエクスペリエンスがあることを推奨します:

  • ISE 配備およびゲスト フロー
  • ワイヤレス LAN コントローラ(WLC)の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 7
  • Cisco WLC バージョン 7.6 および それ 以降
  • ISE ソフトウェア、バージョン 3.1 および それ 以降

トポロジーおよびフロー

このシナリオは自己登録を行うときゲストユーザ向けに利用可能 な 複数のオプションを示します。

一般的なフローはここにあります:

ステップ 1. Service Set Identifier (SSID)へのゲストユーザ関連: ゲスト。 これは認証のための ISE の MAC フィルタリングのオープンネットワークです。 この認証はゲスト自己によって登録されているポータルに ISE の第 2 承認規則および許可 プロファイル リダイレクトを一致させます。 ISE は 2 つの Cisco AVペアとの RADIUS Access-Accept を戻します:

  • (トラフィックがリダイレクトする必要がある、および WLC でローカルで定義される Access Control List (ACL)の名前) URL リダイレクト ACL
  • URL リダイレクト(ISE にそのトラフィックをどこでリダイレクトするか)

ステップ 2: ゲストユーザは ISE にリダイレクトされます。 資格情報 ログインを提供しなさいよりもむしろ、ユーザは"Donot have a account"を クリックする。 ユーザはそのアカウントが作成することができるページにリダイレクトされます。 オプションの秘密登録コードはだれがその秘密の値を知っているか民を住まわせるために自己登録 特権を制限するために有効に なるかもしれません。 アカウントが作成された後、ユーザは提供された資格情報(ユーザ名 および パスワード)で、それらの資格情報とログオンします。

ステップ 3. ISE は WLC に許可(CoA)の RADIUS 変更を再認証します送信 します。 WLC は承認だけアトリビュートの RADIUS Access-Request を送信 するときユーザを再認証します。 ISE はインターネットだけにアクセスを提供する WLC でローカルで定義される Access-Accept および Airespace ACL と応答します(ゲストユーザ向けの最終的なアクセスは承認ポリシーによって異なります)。

EAP セッションがサプリカントと ISE の間にあるので Extensible Authentication Protocol (EAP) セッションのために、再認証を引き起こすために ISE が CoA 終端を送信 する必要があることに注目して下さい。 しかし MAB (MAC フィルタリング)のために、CoA Reauthenticate 十分です; 必要非 associate/de 認証するが無線クライアントありません。

ステップ 4 ゲストユーザはネットワークにアクセスを望みました。

ポスチャのような複数の追加機能はあなた自身のデバイス(BYOD)を有効に なることができます持って来、(説明されていた以降)。

設定

WLC

  1. 認証および会計のための新しい RADIUSサーバを追加して下さい。 セキュリティ > AAA > Radius > 認証に RADIUS CoA (RFC 3576)を有効に するためにナビゲート して下さい。

    会計のための同じような設定があります。 また ISE が SSID に基づいて適用範囲が広いルールを設定するようにする被呼局 ID アトリビュートの SSID を送信 するために WLC を設定することを助言します:



  2. WLAN タブの下で、Wireless LAN (WLAN)ゲストを作成し、正しいインターフェイスを設定して下さい。 MAC フィルタリングのどれもに Layer2 セキュリティを設定 しない で下さい。 セキュリティ/認証、許可、アカウンティング(AAA)サーバで、認証および会計両方に ISE IP アドレスを選択して下さい。 Advanced タブで、AAA 上書きするを有効に し、RADIUS NAC (CoA サポート)にネットワーク アドミッション コントロール(NAC)状態を設定 して下さい。

  3. セキュリティ > アクセスコントロール アクセス・コントロール・リスト > アクセスコントロール アクセス・コントロール・リストにナビゲート し、2 つのアクセス リストを作成して下さい:

    • リダイレクトするべきではないし、他のトラフィックをすべてリダイレクトする割り当てトラフィック GuestRedirect、
    • 社内ネットワークのために否定され、他のために許可されるインターネット、


    GuestRedirect ACL (リダイレクションから ISE に出入するトラフィックを除く必要)のための例はここにあります:

ISE

  1. ゲスト アクセスへのナビゲートは > > ゲスト ポータル設定し、新しい門脈型を、自己によって登録されているゲスト ポータル作成します:



  2. 許可 プロファイルで参照される門脈名前を選択して下さい。 ディフォルトするために他の設定すべてを行って下さい。 門脈ページ カスタマイゼーションの下で、示されるすべてのページはカスタマイズすることができます。

  3. 許可プロファイルを設定して下さい:

    • ゲスト(ゲスト門脈名前および ACL GuestRedirect へのリダイレクションと)



    • PermitInternet (Airespace ACL 等号インターネットと)





  4. 承認規則を、ナビゲート ポリシー > 許可に確認するため。 ISE で壊れる MAC 認証 バイパス(MAB)アクセス(見つけられない MAC アドレス)認証のためのバージョン 1.3 はデフォルトで続きます(拒否されない)。 これはデフォルトの認証ルールで何でも変更する必要がないのでゲスト ポータルに非常に役立ちます。



    ゲスト SSID に関連付ける新規 ユーザはまだあらゆる識別グループの一部でない。 こういうわけで彼らは正しいゲスト ポータルにそれらをリダイレクトするのにゲスト許可 プロファイルを使用する第 2 ルールを一致する。

    ユーザがアカウントを作成した、正常にログオンする後、ISE は RADIUS CoA を送信 し、WLC は再認証を行います。 今回、最初のルールは許可 プロファイル PermitInternet と共に一致し、WLC で適用される ACL 名前を戻します。

  5. Administration > ネットワークリソース > ネットワークデバイスからネットワーク アクセス デバイスとして WLC を追加して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

  1. ゲスト SSID と関連付けた、URL をタイプする後、そしてログイン ページにリダイレクトされます:



  2. 資格情報をまだ持っていないので、持っていませんアカウントを選択して下さいか。 オプション。 New ページ アカウント の 作成 ディスプレイを可能にする。 登録コード オプションがゲスト門脈設定の下で有効に なった場合、正しい 許可の個人だけ自己レジスタを与えられるように)その秘密の値が必要となります(これはします。



  3. パスワードまたはユーザポリシーに問題がゲスト アクセス > 設定 > ゲスト パスワード ポリシーまたはゲスト アクセス > 設定 > ゲスト ユーザ名 ポリシーへ、ナビゲート設定を変更するためにあれば。 次に例を示します。



  4. 正常なアカウント の 作成の後で、資格情報(ゲスト パスワード ポリシーによって生成されるパスワード)が表示されます:



  5. サインをクリックし、資格情報を提供して下さい(ゲスト ポータルの下で追加アクセス パスコードがもし設定するなら必要となるかもしれません; これはログインにパスワードを知っている)人だけ可能にするもう一つのセキュリティ機構です。



  6. 正常な場合、オプションの Acceptable Use Policy (AUP)は示されるかもしれません(もし設定するならゲスト ポータルの下で)。 ポスト アクセス ページ(また設定可能な下ゲスト ポータル)はまた表示するかもしれません。



    最後のページはアクセスが認められたことを確認します:

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

この段階では、ISE はこれらのログを示します:

ここで、フローを示します。

  • ゲストユーザは第 2 承認規則(Guest_Authenticate)に出会い、ゲストにリダイレクトされます(「Auhentication」は成功しました)。

  • ゲストは自己登録のためにリダイレクトされます。 正常にログオンが(新しく作成されたアカウントと)、ISE WLC (「成功する」動的許可)によって確認される CoA を送信 した後再認証して下さい。

  • WLC は承認だけアトリビュートと再認証を行い、ACL 名前は戻ります(「成功する」承認だけ)。 ゲストは正しいネットワーク アクセス提供されます。

レポートはまた(オペレーション > レポート > ISE は > ゲスト アクセス レポート > マスター Guest レポート報告します)それを確認します:

スポンサー ユーザは(正しい特権と)ゲストユーザの現在のステータスを確認できます。

この例はアカウントが作成されるが、ユーザは決してログオンしことを確認しま(「最初のログイン」を待ちます):

オプション設定

このフローの各ステージの場合、異なるオプションは設定することができます。 これすべてはゲスト アクセスのゲスト ポータルごとに > 設定し、> ゲスト ポータル > PortalName > Edit > 門脈動作設定フローします設定されます。 より重要な設定は下記のものを含んでいます:

自己登録設定

  • ゲスト型-パスワード終止オプション、ログオン時間およびオプション(これは ISE バージョンからの時間プロファイルおよびゲスト ロールの 1.2)か組み合わせですどの位アカウントであるアクティブ記述します
  • 登録コード-有効に された、暗号を知っている場合アカウントが作成されるときユーザだけ自己レジスタを与えられます(パスワードを提供しなければなりません)
  • AUP - 自己登録の間に使用 ポリシーを受け入れて下さい
  • 承認するべきスポンサー/アクティブ化ゲスト アカウントのための要件

ログイン ゲスト設定

  • アクセスコード-有効に された、暗号を知っている場合ゲストユーザだけログインに許可されます
  • AUP - 自己登録の間に使用 ポリシーを受け入れて下さい
  • パスワード変更オプション

デバイス 登録設定

  • デフォルトで、デバイスは自動的に登録されています

ゲスト デバイス 準拠性設定

  • フロー内のポスチャを可能に

BYOD 設定

  • 個人的なデバイスを登録するのにゲストとしてポータルを使用する企業ユーザを許可します

スポンサー公認アカウント

承認されたオプションである Require 自己登録済みのゲストが選択される場合、ゲストが作成するアカウントはスポンサーによって承認する必要があります。 この機能はスポンサーに通知を渡すために電子メールを使用するかもしれません(ゲスト アカウント承認のために):

電子メールからの通知からの Simple Mail Transfer Protocol (SMTP) サーバかデフォルトが設定されない場合、アカウントは作成されません:

guest.log からのログは通知に使用するアドレスからのグローバルの抜けていることを確認します:

2014-08-01 22:35:24,271 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null.  A global default From address can be
configured in global settings for SMTP server.

適切な電子メール設定があるとき、アカウントは作成されます:

承認されたオプションであることを Require 自己登録済みのゲストが可能にした後ユーザ名 および パスワード フィールドはから自動的に自己登録成功ページ セクションのこの情報削除されます。 こういうわけで、スポンサー承認が必要なときアカウントが作成されたことを示すために、ゲストユーザ向けの資格情報は Webページでこと提供情報デフォルトで表示する。 その代りそれらは短いメッセージ サービス(SMS)または電子メールによって渡す必要があります。 このオプションはセクション(マーク email/SMS)を使用して承認に送信クレデンシャル通知で有効に する必要があります。

通知電子メールはスポンサーに渡されます:

スポンサーは門脈スポンサーにログイン し、アカウントを承認します:

ここから先は、ゲストユーザはログインに許可されます(電子メールか SMS によって受け取られて資格情報が)。

要約すると、このフローで使用される 3 つの eメールアドレスがあります:

  • 」アドレスからの通知「。 これは統計的に定義されか、またはスポンサー アカウントから奪取 され、アドレスからのとして両方のために使用されます: ゲストに(承認のために)およびクレデンシャル詳細後援するべき通知。 これはゲスト アクセスの下で > 設定します > 設定 > ゲスト電子メール設定設定されます。

  • 当たるべき通知「」。 これは承認のためのアカウントを受け取ったことスポンサーを知らせるために使用されます。 これはゲスト アクセスの下のゲスト ポータルで > 設定します > ゲスト ポータル > 門脈名前 > > 電子メール承認要求に承認されるべき Require 自己登録済みのゲスト設定されます。

  • 当たるべきゲスト「」。 これは登録の間にゲストユーザによって提供されます。 電子メールを使用して承認に送信クレデンシャル通知が選択される場合、クレデンシャル詳細(ユーザ名 および パスワード)が付いている電子メールはゲストに渡されます。

SMS によって資格情報を提供して下さい

ゲスト資格情報はまた SMS によって提供することができます。 これらのオプションは設定する必要があります:

  1. SMS サービスプロバイダーを選択して下さい:



  2. 承認に送信クレデンシャル通知をを使用してチェックして下さい: SMS チェックボックス。

  3. それから、ゲストユーザは彼がアカウントを作成するとき利用可能 な プロバイダを選択するように頼まれます:



  4. SMS は選択されたプロバイダおよび電話番号によって渡されます:



  5. Administration > システム > 設定 > SMS ゲートウェイの下で SMS プロバイダを設定できます。

デバイス 登録

ゲストユーザが AUP をログオンした、受け入れる後デバイス オプションを登録する割り当てゲストが選択されれば、デバイスを登録できます:

デバイスが既に自動的に追加されていたことに注意して下さい(Manage デバイス・リストにあります)。 これは自動的にレジスタ ゲスト デバイスが選択されたという理由によります。

ポスチャ

必要とゲスト デバイス 準拠性 オプションが選択される場合、ゲストユーザはポスチャ(NAC/Web エージェント)を後彼らログイン行った、AUP を受け入れますエージェントによって提供されます(およびオプションでデバイス 登録を行って下さい)。 ISE はどのエージェントが提供する必要があるか決定するクライアント プロビジョニング ルールを処理します。 それからステーションで動作するエージェントはポスチャを(ポスチャ ルールによって)行い、認証ステータスを変更するために CoA を再認証するもし必要なら送信 する ISE に結果を送ります。

可能性のある承認規則はこれに類似したに検知 するかもしれません:

自己 レジスタ ゲスト ポータルに Guest_Authenticate ルール リダイレクトに出会う最初の新規 ユーザ。 ユーザ自己登録はログオンした、後、CoA は認証ステータスを変更し、ポスチャおよび治療を行うためにユーザは制限されたアクセスを与えられます。 NAC エージェントがおよび提供される後やっとステーションは対応もう一度しますインターネットにアクセスを提供するために CoA 変更認証ステータスをです。

ポスチャにおける典型的な問題は正しいクライアント プロビジョニング ルールの欠如が含まれています:

これはまた guest.log ファイルを検査する場合確認することができます(1.3) ISE バージョンで新しい:

2014-08-01 21:35:08,435 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY

BYOD

Network オプションの個人的なデバイスを使用する割り当て従業員が選択される場合、このポータルを使用する企業ユーザは BYOD をフローし、登録します個人的なデバイスを通過できます。 ゲストユーザ向けに、その設定は何も変更しません。

従業員「ゲストとしてポータルを」は使用しているどういうことを意味しますか。

デフォルトで、ゲスト ポータルは Guest_Portal_Sequence 識別ストアで設定されます:

 内部ユーザを最初に裁判にかけるこれは内部 ストア シーケンスです(ゲストユーザの前に):

この段階でゲスト ポータルで、ユーザは内部ユーザで保存する定義される BYOD リダイレクションは発生します資格情報を提供し、とき:

この方法企業ユーザは個人的なデバイスのための BYOD を行うことができます。

内部ユーザ 資格情報の代りに、ゲストユーザ 資格情報は、標準フロー続きます提供されます時(BYOD 無し)。

VLAN の 変更

これは ISE バージョン 1.2 のゲスト ポータルのために設定される VLAN の 変更へ同じようなオプションです。 それは ActiveX かリリースし、更新するために DHCP を引き起こす Javaアプレットを実行することを可能にします。 これは CoA がエンドポイントのための VLAN の変更を引き起こすとき必要です。 MAB が使用されるとき、エンドポイントは VLAN の変更に気づいていません。 可能 な 解決策は NAC エージェントとの VLAN を(DHCP リリースは/更新します)変更することです。 もう一つのオプションは Webページで戻るアプレットによって新しい IP アドレスを要求することです。 リリース/CoA 間の遅延は/設定することができます更新します。 このオプションはモバイルデバイスのためにサポートされません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118742