アカウントをお持ちの場合
  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Chromebook オンボーディング用の ISE 2.1 を設定する

ダウンロード オプション

  • PDF     (323.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.3 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.6 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 7 月 8 日
Document ID:200552
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

この文書に onboarding Chromebook のための Cisco 識別 サービス エンジン(ISE)バージョン 2.1 およびワイヤレス LAN コントローラ(WLC)を設定する方法を記述されています。

前提条件

要件

 Cisco は次の基本的な知識があることを推奨します

  • Cisco Identity Services Engine
  • Google admin コンソール
  • ドメイン 登録を購入し、インストールし、Chromebooks のための認可して下さいデバイス ライセンス。

使用するコンポーネント

  • ISE 2.1
  • WLC バージョン 8.0.133.0
  • Chromebook (ドメイン 登録ライセンスおよび購入されるデバイス ライセンス)。

フロー概要

フローは Ciscoネットワーク設定 Assistant(NSA)がクライアントに押されるときによって変更します。

(ユーザが SSID の提供に接続する前に) Cisco NSA が帯域から拡張に追加されれば。

1. デバイスはドメインに登録され、Google admin コンソールの config に基づいて、Chromebook は Cisco NSA、WiFi 設定、証明書等をダウンロードします。

2. ユーザは MAB SSID に接続し、CWA のためにリダイレクトされます。

3. ユーザは credentails を入力します。 認証の成功に、ユーザは BYOD ポータルにリダイレクトされます。

4. BYOD が開始すれば、CSR はクライアントによって ISE に送られます。

5. ISE は証明書を生成し、ユーザ許可証はクライアントに押されます。

6. Chromebook はクライアントに押される証明書を使用して TLS SSID に再接続します。

Cisco NSA が提供 SSID に接続の後でダウンロードされれば。

1. ユーザは MAB SSID に接続し、CWA のためにリダイレクトされます。 リダイレクト ACL に DNS、ISE、Google サーバおよび Google ドメインにアクセスできます。

2. デバイスは Cisco NSA を、Wifi 設定、Google admin コンソールで設定される証明書ダウンロードします。

3. ユーザはゲスト ポータル ページの credentails を入力します。 認証の成功に、ユーザは BYOD ポータルにリダイレクトされます。

4. BYOD が開始すれば、CSR はクライアントによって ISE に送られます。

5. ISE は証明書を生成し、ユーザ許可証はクライアントに押されます。

6. Chromebook はクライアントに押される証明書を使用して TLS SSID に再接続します。

ネットワーク図

このフローは Cisco NSA が SSID のか提供に接続する前のエンド ポイントに追加されるシナリオを解説しています。

設定

MAB SSID に接続による Onboarding

ユーザは MAB SSID と接続し、証明書を EAP-TLS と接続するために提供されて得ます。

Google Admin コンソール設定

Step1: https://admin.Google.com にアクセスして Google admin コンソールへのログオン

ステップ 2: デバイス管理 > ネットワーク > Wifi に参照し、Wifi 2 つの設定を、1 および EAP-TLS のための SSID を提供するための他追加して下さい。

サーバ認証局: EAP-TLS Wifi 設定を行っている間、EAP のために内部 CA を使用していれば、CA 認証チェーンはデバイス管理 > ネットワーク > 証明書によって admin コンソールにアップ ロードする必要があります。 CA チェーンがアップロードされれば、サーバ認証局の下でマップされなければなりません。 サード パーティ CA が使用される場合、admin コンソールに CA チェーンをインポートし、サーバ認証局のドロップするからオプション「使用あらゆるデフォルト認証局」を選択する必要がありません。

発行元パターン/サブジェクト パターン: 発行元パターンまたは主題パターンからの少なくとも 1 つの属性はインストールされる証明書の属性と一致する必要があります。

MAB SSID WifI 設定: Chrome MAB

EAP-TLS SSID Wifi 設定: Chrome TLS

Step3: デバイス管理 > Chrome > ユーザ設定 > アプリケーションに参照すれば拡張は、強制インストールされたアプリケーションおよび拡張で、強制インストールされたアプリケーションを『Manage』 をクリック します。 クロム webstore の「Ciscoネットワーク設定アシスタント」を捜し、それを追加して下さい。

ISE 設定

ステップ 1: MAB および EAP_TLS のための認証ルール。

 ステップ 2: CWA および EAP-TLS のゲスト リダイレクトおよび承認規則のための許可プロファイルの作成。

手順 3: Google admin の Wifi 設定を作成している間認証対象パターン属性がコンソール接続を行ったら選択される場合、認証対象パターン属性と一致するために証明書のテンプレートを編集して下さい。 この例「組織で」「Cisco に」一致されています。

Cisco として組織の証明書のテンプレート

 ステップ 4: 既存 NSP プロファイルを作成するか、または使用して下さい

ステップ 5: クライアント プロビジョニング ルールに作成された NSP プロファイルをマップして下さい。 ポリシー > クライアント プロビジョニングに参照して下さい

ステップ 6: ゲスト ポータル設定の下のイネーブル BYOD。 作業センター > ゲスト アクセス> 設定し、> 選択し、門脈ゲストを編集します BYOD 設定を参照して下さい。 可能にして下さいネットワークの個人的なデバイスを」が使用することを「割り当て従業員

コントローラの設定

ステップ 1: Admin コンソールで作成される WiFi 設定と一致する MAB および Dot1x のための SSID を作成して下さい。 この例では、「Chrome MAB」は MAC フィルタリングがイネーブルの状態で MAB のために作成され、「Chrome TLS」は 802.1X のために作成されます。

ステップ 2: リダイレクト ACL を作成して下さい:

Ciscoネットワーク設定アシスタントが帯域から Chromebook にそしてリダイレクト ACL の DNS、DHCP および ISE サーバへのアクセスを提供するちょうど必要押されれば。 このシナリオは一般的に ドメインに SSID の提供に接続する前に Chromebook を登録する場合見られます。  しかしシナリオがダウンロードすることなら Ciscoネットワークは提供 SSID に接続によってアシスタントを設定しました、そして DNS、ISE、Google サーバ whitelist および Google ドメインへのアクセスを提供する必要があります。

: DNS によって基づく ACL は外部固定シナリオおよび Flexconnect ローカル スイッチングでサポートされません。 DNS によって基づく ACL 制限に関する詳細については、この技術情報を参照して下さい: DNS は ACL 制限を基づかせていました

Ciscoネットワーク設定アシスタントが SSID の提供に接続する前にダウンロードされる場合 ACL をリダイレクトして下さい

Ciscoネットワーク設定アシスタントをダウンロードしたらのに提供 SSID が使用されている場合 ACL をリダイレクトして下さい。 Google サーバ whitelist および Google ドメインのための URL によって基づく ACL を追加して下さい。

Onboarding Chromebook

ステップ 1: admin コンソールで作成されるドメインに属するユーザとの Chromebook にログインして下さい。

デバイスが作成されるドメインに既に登録されている場合デバイスは削除される必要がありません。 しかしデバイスが別のドメインに登録されていたり、デバイスをリセットしたら Google admin コンソールで設定される新しいドメインにデバイスを登録すれば。

このテストの間に、Ciscoネットワーク設定アシスタントは SSID の提供に接続する前にダウンロードされました。

Ciscoネットワーク設定アシスタントを確かめる chrome://extensions が拡張にあることを確認して下さい。

ステップ 2: MAB Wifi 設定への接続応答: Chrome MAB

ステップ 3.ゲスト門脈ページにリダイレクトされ、ユーザーの資格情報を入力するために参照して下さい(ユーザは AD ISE 内部ユーザにあるなります)。

ステップ 4: 正常なゲスト認証の後で、ユーザは BYOD ポータルにリダイレクトされます。 [Start] をクリックします。

ステップ 5: デバイス名を追加し、『Continue』 をクリック して下さい

ステップ 6: 証明書をインストールするためにプロンプト表示された場合『Yes』 をクリック して下さい。

ステップ 7: 証明書はインストールされます。

ステップ 8: EAP-TLS SSID に再接続して下さい。 この例では、Chrome TLS。

追加使用例

PEAP SSID に接続による Onboarding

次のステップは「と MAB SSID に異なっている」接続による Onboarding の構成構成だけ含まれています。 残りのステップに関しては上記の設定を参照して下さい。

Google admin コンソールの Wifi 設定

PEAP SSID のための Wifi proifle を追加して下さい

ISE 許可

確認

ISE ライブ ログは正常なゲスト認証および最終的に EAP-TLS 成功と続かれる最初の MAB 要求を示します。

クライアント側で、ユーザは Chrome TLS SSID に接続されます。 証明書は確認することができます。

トラブルシューティング

ISE のデバッグ

検討することは次のコンポーネントのデバッグ レベルに ISE を、変更しますロギングをログオンします:

カリフォルニア サービス、クライアントwebapp、ポータル、門脈セッション マネージャ、プロビジョニング、ランタイム AAA および prrt-JNI。

onboarding プロセスのために検討するべきログ- ise-psc.log および caservice.log

ise-psc.log

2016-06-30 15:33:57,009 DEBUG  [http-bio-10.201.228.86-8445-exec-3][] cisco.cpm.provisioning.cache.FlowStateCacheManager -:::john:- Initialized byod flow state for A4-C4-94-C5-1D-4A
2016-06-30 15:33:57,009 DEBUG  [http-bio-10.201.228.86-8445-exec-3][] cisco.cpm.provisioning.nsp.NSPProvisionRuntime -:::john:- BYODStatus:INIT

2016-06-30 15:34:03,475 DEBUG  [http-bio-10.201.228.86-8445-exec-3][] cpm.provisioning.admin.impl.ResourceManagerImpl -::::- CP:DEBUG Filename read = Cisco-ISE-Chrome-NSP.xml

2016-06-30 15:34:08,078 DEBUG  [portal-http-service11][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Found incoming certifcate request for internal CA. Increasing Cert Request counter.
2016-06-30 15:34:08,120 DEBUG  [portal-http-service11][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Key type is RSA, retrieving ScepCertRequestProcessor for caProfileName=ISE Internal CA
2016-06-30 15:34:08,121 INFO   [portal-http-service11][] com.cisco.cpm.scep.ScepCertRequestProcessor -::::- About to forward certificate request CN=john,OU=Example unit,O=Cisco,L=City,ST=State,C=US with transaction id Voz???=qfw to server http://127.0.0.1:9444/caservice/scep
2016-06-30 15:34:09,664 DEBUG  [portal-http-service13][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- Performing doGetCertInitial found Scep certificate processor for txn id Voz???=qfw
2016-06-30 15:34:09,667 DEBUG  [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- Fetching the Certificate attributes to be added to an Endpoint.
2016-06-30 15:34:09,697 DEBUG  [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- BYODStatus:COMPLETE_CERT_PROVISIONING
2016-06-30 15:34:09,709 DEBUG  [portal-http-service13][] cisco.cpm.provisioning.cert.CertRequestValidator -::::- Storing Endpoint Certificate in the Endpoint Certificate table. (mac a4:c4:94:c5:1d:4a)
2016-06-30 15:34:09,789 DEBUG  [portal-http-service13][] cisco.cpm.provisioning.cert.CertProvisioningFactory -::::- BYODStatus:COMPLETE_OTA_CWA

カリフォルニアservice.log

2016-06-30 15:34:08,160 DEBUG  [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request] com.cisco.cpm.caservice.CrValidator -:::::- performing certificate request validation:
version      [0]
subject      [CN=john,OU=Example unit,O=Cisco,L=City,ST=State,C=US]

2016-06-30 15:34:08,162 DEBUG  [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- CA SAN Extensions = GeneralNames:
    1: A4-C4-94-C5-1D-4A

2016-06-30 15:34:08,191 INFO   [caservice-http-94441441][scep job 16e8668cd9bf1081fbef07d951dfb11c631c7f19 0x4ff42b55 request issuance] com.cisco.cpm.caservice.CertificateAuthority -:::::- issuing Certificate Services Endpoint Certificate:
class [com.cisco.cpm.caservice.CaResultHolder] [515937322]: result: [CA_OK]
subject      [C=US, ST=State, L=City, O=Cisco, OU=Example unit, CN=john]
version      [3]
serial       [0x7d68df87-8c214973-bf32078b-6f2e561b]
validity     [after [2016-06-29T15:34:08+0000] before [2018-06-30T15:34:08+0000]]
keyUsages    [ digitalSignature nonRepudiation keyEncipherment ]

Chromebook ログ

コンソールに関しては Chromebook を、入力しますブラウザの chrome://extensions をログオンします。 右上の「開発者モード」をチェックして下さい、Ciscoネットワーク セットアップセクションにスクロールして下さい、Inspect 意見をクリックして下さい: logging console を開く「バックグラウンド ページ」。 Console タブを選択して下さい。

有用な Chromebook ブラウザ コマンド

Chrome://extensions - Ciscoネットワーク設定アシスタントを表示し、コンソール ログを集めるため。

Chrome://settings/certificates -証明書を表示するため。

Chrome://downloads -ダウンロード フォルダを開くため。

典型的な問題

1. EAP 認証の間に ISE サーバ証明を拒否する Chromebook。 Error: 「ローカルで」拒否される認証証明書

ソリューション: EAP 証明書の CA チェーンが内部 CA である場合、CA 認証はサーバ認証局のために admin の WiFi 設定を作成している間コンソール接続を行いますマップされなければなりません。 内部 CA 認証がマップされない場合、Chromebook はデフォルトでそこにあるルート証明があるようにのためにだけ確認します。

2. ACL が必須アクセスを許可するが Ciscoネットワーク設定アシスタントをダウンロードすることが不可能。

ソリューション: ユーザはドメインの一部でなければなりません。 ユーザがドメインに admin コンソールことをに記録によって属するかどうか確認して下さい。

TAC Authored

シスコ エンジニア提供

  • Harisha Gunna
    Cisco TAC エンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

お問い合わせ先

関連するサポート コミュニティのディスカッション

シスコについて
シスコへのお問い合わせ
採用情報