La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Cisco Identity Services Engine (ISE) versione 1.3 dispone di un nuovo tipo di portale per utenti guest, denominato Self Registered Guest Portal, che consente agli utenti guest di eseguire la registrazione automatica quando ottengono l'accesso alle risorse di rete. Questo portale consente di configurare e personalizzare più funzionalità. In questo documento viene descritto come configurare questa funzionalità e come risolverne i problemi.
Cisco raccomanda la conoscenza della configurazione ISE e delle conoscenze base sui seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
In questo scenario vengono presentate diverse opzioni disponibili per gli utenti guest quando eseguono la registrazione automatica.
Di seguito è riportato il flusso generale:
Passaggio 1. Utente guest associato a SSID (Service Set Identifier): Guest. Questa è una rete aperta con filtro MAC e ISE per l'autenticazione. Questa autenticazione corrisponde alla seconda regola di autorizzazione su ISE e il profilo di autorizzazione reindirizza al portale Guest Self Registered. ISE restituisce un elemento RADIUS Access-Accept con due coppie cisco-av:
Passaggio 2. L'utente guest viene reindirizzato ad ISE. Anziché fornire le credenziali per l'accesso, l'utente fa clic su "Non ha un account". L'utente viene reindirizzato a una pagina in cui è possibile creare l'account. È possibile attivare un codice di registrazione segreto facoltativo per limitare il privilegio di registrazione automatica agli utenti che conoscono tale valore segreto. Dopo la creazione dell'account, all'utente vengono fornite le credenziali (nome utente e password) e consente di eseguire l'accesso con tali credenziali.
Passaggio 3. L'ISE invia al WLC un messaggio CoA (Change of Authorization) RADIUS autenticato nuovamente. Il WLC autentica nuovamente l'utente quando invia la richiesta di accesso RADIUS con l'attributo Authorize-Only. ISE risponde con ACL Access-Accept e Airespace definiti localmente sul WLC, che fornisce accesso solo a Internet (l'accesso finale per gli utenti guest dipende dalla policy di autorizzazione).
Notare che per le sessioni EAP (Extensible Authentication Protocol), ISE deve inviare un messaggio CoA Terminate per attivare la riautenticazione, in quanto la sessione EAP è tra il richiedente e l'ISE. Ma per MAB (filtro MAC), la riautenticazione CoA è sufficiente; non è necessario dissociare/deautenticare il client wireless.
Passaggio 4. L'utente guest ha desiderato accedere alla rete.
È possibile abilitare diverse funzioni aggiuntive, ad esempio la postura e il BYOD (Bring Your Own Device) (illustrate più avanti).
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
In questa fase, ISE presenta i seguenti log:
Ecco il flusso:
I rapporti (Operazioni > Rapporti > Rapporti ISE > Rapporti Accesso guest > Rapporto Guest principale) confermano anche che:
Un utente sponsor (con privilegi corretti) è in grado di verificare lo stato corrente di un utente guest.
In questo esempio viene confermata la creazione dell'account, ma l'utente non ha mai eseguito l'accesso ("In attesa dell'accesso iniziale"):
Per ogni fase del flusso è possibile configurare diverse opzioni. Tutto questo è configurato per il portale guest in Accesso guest > Configura > Portali guest > NomePortale > Modifica > Impostazioni comportamento e flusso del portale. Le impostazioni più importanti includono:
Se è selezionata l'opzione Richiedi approvazione ospiti registrati automaticamente, l'account creato dall'ospite deve essere approvato da uno sponsor. Questa funzionalità potrebbe utilizzare l'e-mail per inviare la notifica allo sponsor (per l'approvazione dell'account guest):
Se il server SMTP (Simple Mail Transfer Protocol) o il server predefinito per la notifica da posta elettronica non è configurato, l'account non verrà creato:
Il log di guest.log conferma che l'indirizzo iniziale globale utilizzato per la notifica è mancante:
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
Se la configurazione e-mail è corretta, l'account viene creato:
Dopo aver abilitato l'opzione Richiedi approvazione ospiti registrati automaticamente, i campi nome utente e password vengono automaticamente rimossi dalla sezione Includi queste informazioni nella pagina Registrazione automatica riuscita. Per questo motivo, quando è necessaria l'approvazione dello sponsor, le credenziali per gli utenti guest non vengono visualizzate per impostazione predefinita nella pagina Web che presenta informazioni che mostrano che l'account è stato creato. Devono invece essere recapitati tramite SMS (Short Message Service) o posta elettronica. Questa opzione deve essere abilitata nella sezione Invia notifica credenziali all'approvazione tramite (contrassegna e-mail/SMS).
Allo sponsor viene inviato un messaggio di posta elettronica di notifica:
Lo sponsor accede al portale e approva l'account:
Da questo momento in poi, l'utente guest può eseguire l'accesso (con le credenziali ricevute tramite e-mail o SMS).
In sintesi, in questo flusso vengono utilizzati tre indirizzi e-mail:
Le credenziali degli utenti guest possono essere recapitate anche tramite SMS. È necessario configurare le seguenti opzioni:
Se l'opzione Consenti agli utenti guest di registrare i dispositivi è selezionata dopo che un utente guest ha eseguito l'accesso e ha accettato le CDS, è possibile registrare i dispositivi:
Si noti che il dispositivo è già stato aggiunto automaticamente (si trova nell'elenco Gestione dispositivi). Ciò si verifica perché è stata selezionata la registrazione automatica dei dispositivi guest.
Se l'opzione Richiedi conformità dispositivo guest è selezionata, agli utenti guest viene assegnato un agente che esegue la postura (NAC/Web Agent) dopo l'accesso e l'accettazione dell'AUP (e facoltativamente la registrazione del dispositivo). ISE elabora le regole di provisioning client per decidere quale agente deve essere sottoposto a provisioning. L'agente in esecuzione sulla stazione esegue quindi la postura (in base alle regole di postura) e invia i risultati all'ISE, che invia la nuova autenticazione CoA per modificare lo stato di autorizzazione, se necessario.
Le regole di autorizzazione possibili potrebbero avere un aspetto simile al seguente:
I primi nuovi utenti che incontrano la regola Guest_Authenticate reindirizzano al portale Guest con registrazione automatica. Dopo che l'utente si è registrato e ha effettuato l'accesso, la CoA cambia lo stato di autorizzazione e l'utente dispone di accesso limitato per eseguire la postura e la correzione. Solo dopo il provisioning dell'agente NAC e la conformità della stazione, CoA cambia nuovamente lo stato di autorizzazione per fornire l'accesso a Internet.
I problemi tipici della postura includono la mancanza di regole di provisioning client corrette:
Questa condizione può essere confermata anche esaminando il file guest.log (nuovo in ISE versione 1.3):
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
Se l'opzione Consenti ai dipendenti di utilizzare i dispositivi personali in rete è selezionata, gli utenti aziendali che utilizzano questo portale possono passare attraverso il flusso BYOD e registrare i dispositivi personali. Per gli utenti guest, questa impostazione non modifica nulla.
Cosa significa "dipendenti che utilizzano il portale come guest"?
Per impostazione predefinita, i portali guest sono configurati con l'archivio identità Guest_Portal_Sequence:
Questa è la sequenza di memorizzazione interna che tenta prima gli utenti interni (prima degli utenti guest):
Quando in questa fase sul portale guest, l'utente fornisce le credenziali definite nell'archivio Utenti interni e si verifica il reindirizzamento BYOD:
In questo modo gli utenti aziendali possono eseguire BYOD per i dispositivi personali.
Quando invece delle credenziali degli utenti interni, vengono fornite le credenziali degli utenti guest, il flusso normale continua (senza BYOD).
Questa opzione è simile alla modifica della VLAN configurata per il portale guest in ISE versione 1.2. Consente di eseguire activeX o un'applet Java, che attiva DHCP per il rilascio e il rinnovo. Questa operazione è necessaria quando la funzione CoA attiva la modifica della VLAN per l'endpoint. Quando si usa il protocollo MAB, l'endpoint non rileva una modifica della VLAN. Una soluzione possibile è modificare la VLAN (rilascio/rinnovo DHCP) con l'agente NAC. In alternativa è possibile richiedere un nuovo indirizzo IP tramite l'applet restituito sulla pagina Web. È possibile configurare un ritardo tra rilascio/CoA/rinnovo. Questa opzione non è supportata per i dispositivi mobili.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
13-Feb-2015 |
Versione iniziale |