はじめに
このドキュメントでは、さまざまな Identity Services Engine(ISE)ゲスト アクセス設定方法について説明します。許可ルールのさまざまな条件に基づく:
- ネットワークへの永続的なアクセスを提供できる(以降の認証には不要)
- ネットワークへの一時的なアクセスを提供できます(セッションの有効期限が切れた後にゲスト認証が必要)。
また、セッションを削除するための特定のワイヤレスLANコントローラ(WLC)の動作も、一時的なアクセスのシナリオへの影響とともに示します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ISE の導入およびゲスト フロー
- ワイヤレス LAN コントローラ(WLC)の設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Microsoft Windows 7
- Cisco WLC バージョン 7.6 以降
- ISE ソフトウェア バージョン 1.3 以降
設定
基本的なゲストアクセス設定については、設定例を使用して参照を確認してください。この記事では、認可ルールの設定と認可条件の違いに焦点を当てています。
ネットワーク図

永続的なアクセス
ISEバージョン1.3以降の場合:デバイス登録が有効な状態でゲストポータルでの認証に成功した後。

エンドポイントデバイス(MACアドレス)は、特定のエンドポイントグループ(この例ではGuestEndpoints)に静的に登録されます。

このグループは、次の図に示すように、ユーザのゲストタイプから取得されます。

それが企業ユーザ(ゲスト以外のアイデンティティストア)である場合、その設定はポータル設定から取得されます。

その結果、ゲストに関連付けられたMACアドレスは、常にその特定のIDグループに属することになります。これは自動的には変更できません(プロファイラサービスなど)。
注:Profilerの結果を適用するには、EndPointPolicy認可条件を使用できます。
デバイスが常に特定のエンドポイントIDグループに属することを知っていれば、次の図に示すように、それに基づいて認可ルールを作成できます。

ユーザが認証されないと、認可は汎用ルールRedirectToPortalに一致します。ゲストポータルへのリダイレクトと認証の後、エンドポイントは特定のエンドポイントアイデンティティグループに配置されます。最初のより具体的な条件で使用されます。そのエンドポイントに対する以降のすべての認証は最初の認可ルールに一致し、ユーザにはゲストポータルで再認証を行わずにフルネットワークアクセスが提供されます。
ゲストアカウントのエンドポイントの消去
この状況はいつまでも続くかもしれない。ただし、ISE 1.3では、エンドポイントの削除機能が導入されました。デフォルト設定を使用します。

ゲスト認証に使用されるすべてのエンドポイントは、30日後に削除されます(エンドポイントの作成から)。 その結果、通常、ネットワークにアクセスしようとするゲストユーザは30日後にRedirectToPortal認可ルールにヒットし、認証のためにリダイレクトされます。
注:エンドポイント消去機能は、ゲストアカウント消去ポリシーおよびゲストアカウント有効期限とは無関係です。
注:ISE 1.2では、内部プロファイラキュー制限に達した場合にのみエンドポイントを自動的に削除できました。その後、最も最近使用されなかったエンドポイントが削除されます。
一時アクセス
ゲストアクセスのもう1つの方法は、ゲストフロー条件を使用する方法です。

この条件は、ISE上のアクティブセッションとその属性を確認しています。そのセッションに、以前にゲストユーザが正常に認証されたことを示す属性がある場合は、条件が一致します。ISEがネットワークアクセスデバイス(NAD)からRADIUSアカウンティング停止メッセージを受信すると、セッションが終了し、後で削除されます。その段階で、Network Access:UseCase = Guest Flowの条件が満たされなくなっています。その結果、そのエンドポイントに対する以降のすべての認証は、ゲスト認証にリダイレクトされる一般的なルールにヒットします。
注:ユーザがホットスポットポータル経由で認証される場合、ゲストフローはサポートされません。これらのシナリオでは、UseCase属性がGuest FlowではなくHost Lookupに設定されます。
WLCの接続解除動作
クライアントがワイヤレスネットワークから切断されると(Windowsの切断ボタンの使用など)、認証解除フレームが送信されます。ただし、これはWLCで省略されており、「debug client xxxx」を使用して確認できます。クライアントがWLANから切断されると、WLCにはデバッグが表示されません。その結果、Windowsクライアントでは次のようになります。
- ipアドレスがインターフェイスから削除されている
- インターフェイスがin state: media disconnected
ただし、WLCではステータスは変化しません(クライアントはまだRUN状態です)。
これはWLC用に計画されている設計であり、セッションが
- ユーザアイドルタイムアウトヒット
- セッションタイムアウトヒット
- l2暗号化を使用している場合、group key rotation interval(GKRP)が
- 他の要因(AP無線のリセット、WLANのシャットダウンなど)により、AP/WLCがクライアントをキックオフする
ユーザがWLANセッションから切断した後のこの動作と一時的なアクセス設定では、WLCがそのセッションをクリアしたことがなく(Radius Accounting Stopを送信しなかったため)、ISEから削除されません。 セッションが削除されない場合でも、ISEは古いセッションを記憶しており、ゲストフロー条件が満たされます。切断および再接続された後、ユーザは再認証の要件なしで完全なネットワークアクセスを得ることができます。

しかし、接続解除後にユーザが別のWLANに接続した場合、WLCは古いセッションをクリアすることを決定します。RADIUS Accounting Stopが送信され、ISEがセッションを削除します。クライアントが元のWLANに接続しようとすると、ゲストフロー条件が満たされず、ユーザは認証のためにリダイレクトされます。
注:Management Frame Protection(MFP)が設定されたWLCは、CCXv5 MFPクライアントからの暗号化された認証解除フレームを受け入れます。
確認
永続的なアクセス
ゲストポータルへのリダイレクトと認証の成功後、ISEは認可変更(CoA)を送信して再認証をトリガーします。その結果、新しいMAC認証バイパス(MAB)セッションが構築されます。今回のエンドポイントはGuestEndpoints IDグループに属し、フルアクセスを提供するルールに一致します。

この段階で、ワイヤレスユーザは切断し、別のWLANに接続してから再接続できます。これらの後続の認証はすべてMACアドレスに基づくIDを使用しますが、特定のIDグループに属するエンドポイントがあるため、最初のルールに一致します。完全なネットワークアクセスは、ゲスト認証なしで提供されます。

一時アクセス
2番目のシナリオ(ゲストフローに基づく条件を含む)では、開始は同じです。

ただし、後続のすべての認証でセッションが削除されると、guestは一般的なルールにヒットし、再度guest認証にリダイレクトされます。

正しい属性がセッションに存在する場合、ゲストフロー条件が満たされます。エンドポイント属性を調べることで確認できますゲスト認証が成功した結果が表示されます。

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow
バグ
CSCuu41157 ISE ENH CoA terminate send on guest account removal or expiry.
(ゲストアカウントの削除後または有効期限後にゲストセッションを終了するための機能拡張要求)
参考資料