Безопасность : Устройство Cisco NAC (Clean Access)

NAC (Clean Access): Настройка гостевого доступа

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить различные типы гостевого доступа на Cisco Clean Access или NAC-устройстве с Clean Access Manager (CAM).

Предварительные условия

Требования

Эта конфигурация применима к версии 3.5 CAM и позже.

Используемые компоненты

Сведения в этом документе основываются на версии 4.1 CAM.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Типы гостевого доступа

Существует три основных типа гостевого доступа:

  • Одиночная гостевая кнопка

    • Предоставляет гостевой доступ через одиночную кнопку Guest.

    • Предоставляет допустимого пользователя Пэйджа для принятия.

    • Предоставляет политику, пропускную способность и средства управления за сеансом/бездействием.

    • Не регистрирует отдельные гостевые имена пользователей.

    • Не предотвращает гостевой перевход в систему/повторное использование.

  • Гостевая учетная запись локального пользователя

    • Позволяет admin лобби редактировать поле Local User только.

    • Позволяет пользователям создавать/удалять/изменять множественные гостевые учетные записи.

    • Регистрирует отдельные гостевые имена пользователей в Подключенном пользователе.

    • Предоставляет AUP, средства управления за политикой/шириной полосы частот/сеансом/бездействием.

    • Автоматически не удаляет гостевые учетные записи.

  • Внешний гостевой портал через чистый API доступа

    • Поддерживает удаленный гостевой портал через API (https).

    • Позволяет пользователям создавать/удалять/изменять множественные гостевые учетные записи.

    • Поддерживает внешний DB/AD для всего гостевого создания учетной записи сотрудника.

    Примечание: Гость может быть заверен при помощи HTTPS только, но не через HTTP. Хот-споты поддерживаются через HTTPS только.

Настройте одиночную гостевую кнопку

Можно использовать одиночную гостевую кнопку в двух режимах:

  • Гостевой доступ к проводной сети (BEST)

    • Для использования в конференц-залах, учебных комнатах, Киосках посетителя

    • Пользователи могут только обратиться к Гостевой сети, когда позволено или сопровождается сотрудниками

    • Ограничивает Гостевой доступ к Интернету только

    • Может иметь другие страницы входа на основе Проводной VLAN (маркетинг)

  • Беспроводный гостевой доступ (ЗАВИСИТ)

    • Хороший, если AP достигают в кампусе только

    • Пользователи в parking lot могут получить Гостевой доступ

Выполните следующие действия:

  1. Создайте роль пользователя:

    1. В CAM выберите User Management> User Role для создания роли Гостя, как показано.

    2. Дополнительно: Задайте URL перенаправления после гостевого входа в систему.

      /image/gif/paws/107496/cca_guestaccess1_107496.gif

  2. Выберите User Management> Traffic Control> IP для создания Политики трафика для Гостя, такой как "к Интернет-маршрутизатору через порт 80/443 только".

    /image/gif/paws/107496/cca_guestaccess2_107496.gif

  3. Выберите User Management> Local Users> New для создания нового гостя.

    /image/gif/paws/107496/cca_guestaccess3_107496.gif

  4. Выберите Administration> User Pages> Login Page> Add для определения информации для Страницы пользователя, такой как Образ, Название, Гостевая Метка и Инструкции.

    cca_guestaccess4_107496.gif

  5. Создайте Framed user Пэйджа для маркетинга или брендинга.

    /image/gif/paws/107496/cca_guestaccess5_107496.gif

    • Правильный доступ кадра (например, только к cisco.com) предоставлен в неаутентифицированной роли.

    • Как только пользователь щелкает по Guest, пользователь может обратиться к Интернету также.

Настройте гостевую учетную запись локального пользователя

Гостевая учетная запись локального пользователя

  • Admin лобби должен войти в систему для Очистки, Access Manager с ограниченным Локальным пользователем обращаются только.

  • Admin лобби должен создавать/удалять/модифицировать Гостевые учетные записи вручную.

  • Журналы событий показывают определенное Гостевое создание учетной записи меткой времени и гостевой вход в систему учетной записи.

  • Страницы перенаправления разрешения объединения нескольких команд на основе типов Ролей guest. Например, guest_to_training перенаправляет к www.cisco.com/go/training.

  • Не предотвращает Гостевой перевход в систему учетной записи, пока не удалено от Локального пользователя.

  • Лучше всего для чередующегося от среднего до низкого Гостевого создания учетной записи, такого как 20 посетителей в неделю.

Выполните следующие действия:

  1. Выберите Administration> Admin Users> Admin Groups для создания Административной группы Лобби. Выберите полное управление в раскрывающемся меню для поля Local Users.

    /image/gif/paws/107496/cca_guestaccess6_107496.gif

  2. Выберите Administration> Admin Users> Admin Users для создания имени пользователя лобби с паролем, xxxxx.

    Нажмите Create Admin и нажмите Create Admin.

    /image/gif/paws/107496/cca_guestaccess7_107496.gif

  3. Создайте многопользовательские роли на основе использования времени, такие как Guest_4hours, Guest_8hours и Гость (1 час).

    cca_guestaccess8_107496.gif

  4. Отредактируйте роли пользователя на основе списка.

    /image/gif/paws/107496/cca_guestaccess9_107496.gif

  5. Admin Лобби создает Локального пользователя и назначает пользователя на определенную Роль guest, нажимает Create User.

    /image/gif/paws/107496/cca_guestaccess10_107496.gif

  6. Создайте Framed user Пэйджа для маркетинга или брендинга

    /image/gif/paws/107496/cca_guestaccess11_107496.gif

    • Правильный доступ кадра (например, только к cisco.com) предоставлен в неаутентифицированной роли.

    • Как только пользователь вводит имя пользователя/пароль, пользователь может обратиться к Интернету также.

    • Может перенаправить определенный Гостевой тип к URL для маркетинга.

Внешний гостевой портал через API

  • Лучше всего для высокого Гостевого создания учетной записи, такого как 20 посетителей в день.

  • Лучше всего, если существуют проблемы безопасности по доступу CAM Admin Лобби.

  • Внешний портал может быть создан Расширенными сервисами Cisco или клиентами.

  • Портал может иметь ведение календаря, пользование электронной почтой, печать и создание отчетов о функциях.

  • Портал может выполнить информацию о выставлении счетов или учетную информацию к составлению счетов.

  • Сценарий утилиты Cisco Clean Access API, cisco_api.jsp, предоставляет три функции, которые позволяют администраторам создавать, удалять и просматривать учетные записи локального пользователя на CAM:

    • getlocaluserlist — Возвращает список локальных пользователей с именем пользователя и именем роли.

    • addlocaluser — Берет имя пользователя, пароль и имя роли. Возвращает успешность или неуспешность.

    • deletelocaluser — Берет имя пользователя или "ALL" (для удаления всего списка). Возвращает успешность или неуспешность.

  • Таймер неактивности Cisco Clean Access выходит из системы пользователь когда неактивный (внутриполосный режим).

cca_guestaccess12_107496.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения