Acceso temporal y permanente del invitado de la configuración ISE

Opciones de descarga

  • PDF     (1.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de noviembre de 2015
ID del documento:200273

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).


Introducción

Este documento describe los métodos distintos para la configuración del acceso de invitado del Identity Services Engine (ISE). De acuerdo con diversas condiciones en las reglas de la autorización:

  • el acceso permanente a la red puede ser proporcionado (ningún requisito para las autenticaciones subsiguientes)
  • el Acceso temporario a la red puede ser proporcionado (requiriendo la autenticación del invitado después de que expire la sesión)

También el comportamiento específico del regulador del Wireless LAN (WLC) para el retiro de la sesión se presenta a lo largo del impacto en el escenario del Acceso temporario.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Implementaciones ISE y flujos del invitado
  • Configuración de los reguladores del Wireless LAN (WLCs)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Microsoft Windows 7
  • Versión 7.6 y posterior del WLC de Cisco
  • Software ISE, versión 1.3 y posterior

Configurar

Para la configuración básica del acceso de invitado marque por favor las referencias con los ejemplos de configuración. Este artículo se centra en las reglas configuración y diferencias de la autorización en las condiciones de la autorización.

Diagrama de la red

Acceso permanente

Para la versión 1.3 posterior ISE después de la autenticación satisfactoria en el portal del invitado con el registro del dispositivo habilitado.

El dispositivo de punto final (MAC address) se registra estáticamente en el grupo específico del punto final (GuestEndpoints en este ejemplo).

Derivan a ese grupo del tipo del invitado del usuario, tal y como se muestra en de esta imagen.

Si es usuario corporativo (almacén de la identidad el otro entonces invitado) esa configuración se deriva de las configuraciones porta.

Como consecuencia el MAC address asociado al invitado pertenece siempre a ese grupo específico de la identidad. Eso no puede ser cambiada automáticamente (por ejemplo por el servicio del Profiler).

Note: Para aplicar la condición de la autorización de EndPointPolicy de los resultados del Profiler puede ser utilizada.

Sabiendo que el dispositivo pertenece siempre al grupo específico de la identidad del punto final que es posible construir las reglas de la autorización basadas en ésa, tal y como se muestra en de esta imagen.

Una vez que no autentican a un usuario, la autorización hace juego la regla genérica RedirectToPortal. Después del cambio de dirección al portal y a la autenticación del invitado, el punto final se pone en el grupo específico de la identidad del punto final. Eso es utilizada por el primer, una condición más específica. Todas las autenticaciones subsiguientes de ese punto final golpean la primera regla de la autorización y el usuario es acceso a la red completo proporcionado sin la necesidad de reautentificar en el portal del invitado.

Purgación del punto final para las cuentas de invitado

Esta situación podía durar para siempre. Pero en el punto final de la purgación ISE 1.3 se han introducido las funciones. Con la configuración predeterminada.

Todos los puntos finales usados para la autenticación del invitado se quitan después de 30 días (de la creación del punto final). Como consecuencia después de 30 días el Usuario invitado que intenta a la red de acceso golpea la regla de la autorización de RedirectToPortal y se reorienta generalmente para la autenticación.

Note: Las funciones de la purgación del punto final son independiente de la expiración de la directiva y de la cuenta de invitado de la purgación de la cuenta de invitado.

Note: En ISE 1.2 los puntos finales podían ser quitados automáticamente solamente al golpear los límites de cola internos del profiler. Entonces menos puntos finales usados recientemente se están quitando.

Acceso temporario

Otro método para el acceso de invitado es utilizar la condición de flujo del invitado.

Que la condición está marcando a las sesiones activas en el ISE y ella es atributos. Si esa sesión tiene el atributo que indica que el Usuario invitado ha autenticado previamente con éxito condicione se corresponde con. Después de que el ISE reciba el mensaje de la parada de las estadísticas del radio del dispositivo de acceso a la red (NAD), la sesión se termina y posterior quitó. En esa etapa el acceso a la red de la condición: UseCase = el flujo del invitado no se satisface más. Como consecuencia todas las autenticaciones subsiguientes de ese punto final golpean la regla genérica que reorienta para la autenticación del invitado.

Note: Flujo del invitado no soportado cuando autentican al usuario vía el portal del hotspot. Para esos escenarios el atributo de UseCase se fija a las operaciones de búsqueda del host en vez del flujo del invitado.

Comportamiento de la desconexión del WLC

Después de que las desconexiones de los clientes de la red inalámbrica (por ejemplo usando el botón disconnect en Windows) él envíen la trama del deauthentication. Pero eso es omitida por el WLC y se puede confirmar usando “el xxxx del cliente del debug” - el WLC no presenta ningún debug cuando el cliente está desconectando de la red inalámbrica (WLAN). Como consecuencia en el cliente de Windows:

  • el IP Address se quita de la interfaz
  • la interfaz está en el estado: media desconectados

Pero en el WLC el estatus es sin cambios (todavía cliente en el estado de FUNCIONAMIENTO).

Se quita ése es diseño previsto para el WLC, la sesión cuando

  • golpes del tiempo de inactividad del usuario
  • golpes del sesión-descanso 
  • si usa el cifrado L2, entonces cuando el intervalo de la rotación de la clave del grupo golpea
  • el algo más hace el AP/WLC golpear al cliente con el pie de (e.g. las restauraciones de la radio AP, alguien apagan el WLAN, el etc.)

Con esa configuración del comportamiento y del Acceso temporario después de que las desconexiones del usuario de la sesión de la red inalámbrica (WLAN) no se quiten del ISE porque el WLC nunca ha borrado lo (y la parada nunca enviada de las estadísticas del radio). Si la sesión no se quita, el ISE todavía recuerda que la vieja condición de flujo de la sesión y del invitado está satisfecha. Después del usuario de la desconexión y de la reconexión tenga acceso a la red completo sin el requisito de reauthenticate.

Pero si después de que el usuario de la desconexión conecte con diversa red inalámbrica (WLAN), después el WLC decide a borrar la vieja sesión. Se envía la parada de las estadísticas del radio y el ISE quita la sesión. Si los intentos del cliente a conectar con la condición de flujo original del invitado de la red inalámbrica (WLAN) no se satisfacen y reorientan al usuario para la autenticación.

Note: El WLC configurado con la protección del capítulo de la Administración (MFP) valida la trama cifrada del deauthentication del cliente CCXv5 MFP.

Verificación

Acceso permanente

Después del cambio de dirección al portal y a la autenticación satisfactoria del invitado el ISE envía el cambio de la autorización (CoA) de accionar el reauthentication. Como consecuencia la nueva sesión de puente de la autenticación de MAC (MAB) se está construyendo. Este punto final del tiempo pertenece al grupo de la identidad de GuestEndpoints y hace juego la regla que proporciona al acceso total.

En ese usuario de red inalámbrica de la etapa puede desconectar, conectar con diversos WLAN, después volver a conectar. Todas esas autenticaciones subsiguientes utilizan la identidad basada en el MAC address, pero golpean la primera regla debido al punto final que pertenece al grupo específico de la identidad. El acceso a la red completo se proporciona sin la autenticación del invitado.

Acceso temporario

Para el segundo principio del escenario (con la condición basada en el flujo del invitado) es lo mismo.

Pero después de que la sesión se quite para todas las autenticaciones subsiguientes, el invitado golpeó la regla genérica y se reorienta otra vez para la autenticación del invitado.

Satisfagan al invitado que es la condición de flujo cuando los atributos correctos son existentes para la sesión. Eso puede ser verificada mirando los atributos del punto final. El resultado de la autenticación acertada del invitado se indica.

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

Bug

El CoA CSCuu41157 ISE ENH termina envía encendido el retiro o el vencimiento de la cuenta de invitado.

(pedido de mejora de terminar las sesiones del invitado después del retiro o del vencimiento de la cuenta de invitado)

Referencias

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Michal Garcarz
    Ingeniero de Cisco TAC
  • Serhii Kucherenko
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos