Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
La version 1.3 du Logiciel Cisco Identity Services Engine (ISE) a un nouveau type de portail d'invité appelé le portail d'invité enregistré par individu, qui permet l'auto-registre d'utilisateurs d'invité quand ils accèdent aux ressources de réseau. Ce portail te permet pour configurer et personnaliser de plusieurs caractéristiques. Ce document décrit comment configurer et dépanner cette fonctionnalité.
Cisco recommande que vous ayez l'expérience avec la configuration ISE et la connaissance de base de ces thèmes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Ce scénario présente des nombreuses options disponibles pour des utilisateurs d'invité quand ils exécutent l'auto-enregistrement.
Voici le flux général :
Étape 1. Associés d'utilisateur d'invité à l'Identifiant SSID (Service Set Identifier) : Invité. C'est un réseau ouvert avec le filtrage MAC avec ISE pour l'authentification. Cette authentification apparie la deuxième règle d'autorisation sur l'ISE et les redirect to de profil d'autorisation le portail enregistré par individu d'invité. ISE renvoie RADIUS Access-reçoit avec deux Cisco-poids du commerce-paires :
Étape 2. L'utilisateur d'invité est réorienté à ISE. Plutôt que fournissent les qualifications afin d'ouvrir une session, l'utilisateur que les clics « n'ont pas un compte ». L'utilisateur est réorienté à une page où ce compte peut être créé. Un code secret facultatif d'enregistrement pourrait être activé afin de limiter le privilège d'auto-enregistrement aux gens qui connaissent cette valeur secrète. Après que le compte soit créé, l'utilisateur est les qualifications fournies (nom d'utilisateur et mot de passe) et les logins avec ces qualifications.
Étape 3. ISE envoie une modification de RADIUS de l'autorisation (CoA) authentifie à nouveau au WLC. Le WLC authentifie à nouveau l'utilisateur quand il envoie l'Access-demande de RADIUS avec l'attribut réservé Autoriser. ISE répond avec ACL Access-reçoit et d'Airespace défini localement sur le WLC, qui fournit l'accès à Internet seulement (l'accès final pour l'utilisateur d'invité dépend de la stratégie d'autorisation).
Notez que pour des sessions de Protocole EAP (Extensible Authentication Protocol), ISE doit envoyer un CoA se termine afin de déclencher la ré-authentification parce que la session d'EAP est entre le suppliant et l'ISE. Mais pour le MAB (filtrage MAC), CoA Reauthenticate est assez ; il n'y a aucun besoin de-associate/de-authenticate le client sans fil.
Étape 4. L'utilisateur d'invité a désiré l'accès au réseau.
De plusieurs fonctionnalités supplémentaires comme la posture et le Bring Your Own Device (BYOD) peuvent être activées (discuté plus tard).
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
À ce stade, ISE présente ces logs :
Voici l'écoulement :
Les états (les exécutions > signale > ISE signale > accès invité signale > état d'invité de maître) confirme également cela :
Un utilisateur de sponsor (avec des privilèges corrects) peut vérifier l'état actuel d'un utilisateur d'invité.
Cet exemple confirme que le compte est créé, mais l'utilisateur n'a jamais ouvert une session (« attendant la procédure de connexion initiale ») :
Pour chaque étape de cet écoulement, différentes options peuvent être configurées. Toute la ceci est configurée par portail d'invité à l'accès invité > configure > des portails > PortalName d'invité > édite > les configurations portailes de comportement et d'écoulement. Des configurations plus importantes incluent :
Si les invités auto-enregistrés Require à être option approuvée est sélectionnés, alors le compte créé par l'invité doit être approuvé par un sponsor. Cette caractéristique pourrait employer l'email afin de fournir la notification au sponsor (pour l'approbation de compte d'invité) :
Si le serveur ou le par défaut de Protocole SMTP (Simple Mail Transfer Protocol) de la notification de l'email n'est pas configuré, alors le compte ne sera pas créé :
Le log de guest.log confirme que le global de l'adresse utilisée pour la notification manque :
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
Quand vous avez la configuration appropriée d'email, le compte est créé :
Après que vous permettiez aux invités auto-enregistrés Require d'être option approuvée, les champs de nom d'utilisateur et mot de passe sont automatiquement retirés de l'inclure ces informations sur la section de page de succès d'Auto-enregistrement. C'est pourquoi, quand l'approbation de sponsor est nécessaire, des qualifications pour des utilisateurs d'invité ne sont pas affichées par défaut sur la page Web qui présente les informations pour prouver que le compte a été créé. Au lieu de cela ils doivent être livrés par Short Message Services (SMS) ou email. Cette option doit être activée dans la notification de créance d'envoi sur l'approbation utilisant la section (marque email/SMS).
Un email de notification est fourni au sponsor :
Le sponsor se connecte dans le sponsor portail et approuve le compte :
À partir de là, on permet à l'l'utilisateur d'invité pour ouvrir une session (les qualifications étant reçu par l'email ou le SMS).
En résumé, il y a trois adresses e-mail utilisées dans cet écoulement :
Des qualifications d'invité peuvent être également livrées par SMS. Ces options devraient être configurées :
Si les invités d'autoriser pour enregistrer l'option de périphériques est sélectionnés après qu'un utilisateur d'invité ouvre une session et reçoive l'AUP, vous pouvez enregistrer des périphériques :
Notez que le périphérique déjà a été ajouté automatiquement (il est sur la liste de périphériques Manage). C'est parce qu'automatiquement des périphériques d'invité de registre ont été sélectionnés.
Si l'option de conformité de périphérique d'invité d'exigence est sélectionnée, alors des utilisateurs d'invité provisioned avec un agent qui exécute la posture (agent NAC/Web) après qu'ils ouvrent une session et reçoivent l'AUP (et exécutez sur option l'enregistrement de périphérique). ISE traite des règles de ravitaillement de client de décider quel agent devrait provisioned. Alors l'agent qui s'exécute sur la station exécute la posture (selon des règles de posture) et envoie des résultats à l'ISE, qui envoie le CoA authentifie à nouveau pour changer l'état d'autorisation si nécessaire.
Les règles possibles d'autorisation pourraient sembler semblables à ceci :
Les premiers nouveaux utilisateurs qui rencontrent le redirect to de règle de Guest_Authenticate le portail d'invité de registre d'individu. Après les auto-registres et les logins d'utilisateur, le CoA change l'état d'autorisation et l'utilisateur est équipé d'accès limité pour exécuter la posture et la correction. Seulement après que l'agent NAC provisioned et la station est conforme fait l'état d'autorisation de modification CoA de nouveau afin de fournir l'accès à Internet.
Les problèmes typiques avec la posture incluent le manque de règles correctes de ravitaillement de client :
Ceci peut également être confirmé si vous examinez le fichier de guest.log (nouveau dans la version 1.3 ISE) :
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
Si les employés d'autoriser pour utiliser les périphériques personnels sur l'option Network est sélectionnés, alors les utilisateurs en entreprise qui utilisent ce portail peuvent passer par BYOD circulent et enregistrent les périphériques personnels. Pour des utilisateurs d'invité, cette configuration ne change rien.
Que les « employés utilisant le portail comme invité » veut-ils dire ?
Par défaut, des portails d'invité sont configurés avec la mémoire d'identité de Guest_Portal_Sequence :
C'est l'ordre interne de mémoire qui juge les utilisateurs internes d'abord (avant des utilisateurs d'invité) :
Quand à ce stade sur le portail d'invité, l'utilisateur fournit les qualifications qui sont définies dans les utilisateurs internes enregistrent et la redirection BYOD se produit :
Les utilisateurs en entreprise de cette manière peuvent exécuter BYOD pour les périphériques personnels.
Quand au lieu des qualifications d'utilisateurs internes, invité des qualifications que d'utilisateurs sont fournis, écoulement normal est continué (aucun BYOD).
C'est une option semblable au changement VLAN configuré pour le portail d'invité de la version 1.2 ISE. Il te permet pour exécuter activeX ou un applet Java, qui déclenche le DHCP pour libérer et renouveler. C'est nécessaire quand le CoA déclenche la modification du VLAN pour le point final. Quand le MAB est utilisé, le point final ne se rend pas compte d'une modification de VLAN. Une solution possible est de changer le VLAN (la release DHCP/renouvellent) avec l'agent NAC. Une autre option est de demander une nouvelle adresse IP par l'intermédiaire de l'applet retourné sur la page Web. Un retard entre la release/CoA/renouvellent peut être configuré. Cette option n'est pas prise en charge pour des périphériques mobiles.