Wireless Setup について
Wireless Setup では、802.1x、ゲスト、および BYOD のワイヤレス フローを容易にセットアップできます。また、適切な場合にはゲスト向けのポータルと BYOD 向けのポータルを設定およびカスタマイズするためのワークフローも提供されます。これらのワークフローでは、最も一般的な推奨設定が提供されるため、ISE で関連ポータル フローを設定するよりもシンプルです。Wireless Setup では、ISE と WLC でユーザが実行する必要のあるステップの多くが自動的に処理されるため、迅速に作業環境を構築できます。
フローのテストと開発に、Wireless Setup により作成された環境を使用できます。Wireless Setup 環境が稼働したら、ISE に切り替えることができます。これにより、より多くの拡張設定に対応できるようになります。ISE でのゲストの設定についての詳細は、お使いの ISE バージョンの『ISE Administrators Guide』と Cisco コミュニティ サイト(https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-p/3657224)を参照してください。ISE の Wireless Setup の設定と使用の詳細については、https://community.cisco.com/t5/security-documents/cisco-ise-secure-access-wizard-saw-guest-byod-and-secure-access/ta-p/3636602 を参照してください。
(注) |
ISE Wireless Setup はベータ ソフトウェアです。実稼働ネットワークでは ISE Wireless Setup を使用しないでください。 |
-
Wireless Setup は、Cisco ISE の新規インストール後はデフォルトで無効になっています。Wireless Setup は、ISE CLI から application configure ise コマンド(オプション 17 を選択)を使用するか、または ISE GUI の [ホーム(Home)] ページで [ワイヤレスのセットアップ(Wireless Setup)] オプションを使用して有効にすることができます。
-
ISE を以前のバージョンからアップグレードした場合、Wireless Setup は機能しません。Wireless Setup は、新規の ISE インストールでのみサポートされています。
-
Wireless Setup は、スタンドアロン ノードでのみ機能します。
-
Wireless Setup インスタンスは一度に 1 つだけ実行してください。また、Wireless Setup を実行できるユーザは一度に 1 人だけです。
-
Wireless Setup を使用するには、ポート 9103 と 9104 が開いている必要があります。これらのポートを閉じるには、CLI を使用して Wireless Setup を無効にします。
-
一部のフローの実行後に Wireless Setup の新規インストールを開始する場合には、CLI コマンド application reset-config ise を使用できます。このコマンドは ISE 設定をリセットして ISE データベースをクリアしますが、ネットワーク定義を維持します。したがって、ISE と Wireless Setup をリセットするときに、ISE を再インストールしてセットアップを実行する必要はありません。
Wireless Setup を再び使用開始するには、次の手順に従って ISE と Wireless Setup の両方の設定をリセットできます。
-
CLI で application reset-config を実行し、ISE 設定をすべてリセットします。新規インストールで Wireless Setup をテストしていた場合、このコマンドを実行すると、ISE で Wireless Setup によって行われた設定が削除されます。
-
CLI で application configure ise を実行し、[18]Reset Config Wi-Fi Setup を選択します。これにより、Wireless Setup 設定データベースの内容が消去されます。
-
WLC で、Wireless Setup により WLC に追加された設定を削除します。WLC での Wireless Setup の設定内容については、「Wireless Setup による ISE と WLC の変更」を参照してください。
ISE の新規インストール完了後に VM のスナップショットを取得しておくと、この手順を行わずに済みます。
CLI の詳細については、お使いの ISE バージョンの『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
-
-
Wireless Setup を使用するには、ISE スーパー管理者ユーザである必要があります。
-
Wireless Setup を使用するには、少なくとも 2 つの CPU コアと 8GB のメモリが必要です。
-
Active Directory グループとユーザだけがサポートされています。Wireless Configuration で 1 つ以上のフローを作成すると、Wireless Setup でその他のタイプのユーザ、グループ、認証を使用できますが、これらを ISE で設定する必要があります。
-
ISE で Active Directory をすでに定義しており、この AD を Wireless Setup に使用する予定の場合は、次の要件を満たしている必要があります。
-
参加名とドメイン名が同一である必要があります。これらの名前が同一でない場合は、Wireless Setup でその AD を使用する前に、ISE で名前を同一にしてください。
-
ISE で WLC がすでに設定されている場合、その WLC には共有秘密が設定されている必要があります。WLC 定義に共有秘密がない場合は、Wireless Setup でその WLC を設定する前に、共有秘密を追加するか、または ISE から WLC を削除してください。
-
-
Wireless Setup では ISE コンポーネントを設定できますが、フローの開始後に ISE コンポーネントを削除または変更することはできません。ISE の Wireless Setup で設定するすべての項目のリストについては、お使いの ISE バージョンの『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
-
開始したフローは完了する必要があります。フローでトピック パスをクリックすると、フローが停止します。フローをステップに従って進むと、ISE 設定が動的に変更されます。Wireless Setup では設定変更のリストが表示されるので、手動で変更を元に戻すことができます。1 つの例外を除いて、フローで前に戻って追加の変更を行うことはできません。例外として、ゲスト ポータルまたは BYOD ポータルのカスタマイズ内容を変更する場合には戻ることができます。
-
複数の WLC と Active Directory ドメインがサポートされていますが、各フローでは 1 つの WLC と 1 つの Active Directory だけがサポートされています。
-
Wireless Setup が動作するためには、ISE Basic ライセンスが必要です。BYOD には Plus ライセンスが必要です。
-
Wireless Setup の設定前に ISE リソースを設定している場合、Wireless Setup が既存のポリシーと矛盾することがあります。この状況では、Wireless Setup から、ツールの実行後に認証ポリシーをレビューするよう指示されます。Wireless Setup の実行時には、正常にセットアップされた ISE を使用して開始することが推奨されます。Wireless Setup と ISE の混合設定のサポートは限定されています。
-
Wireless Setup は英語でのみ提供されており、他の言語では提供されていません。ポータルで他の言語を使用する場合には、Wireless Setup の実行後に ISE でその言語を設定してください。
-
BYOD ではデュアル SSID がサポートされています。この設定で使用されるオープン SSID では、競合のためゲスト アクセスはサポートされません。ゲストと BYOD の両方に対応したポータルが必要な場合、Wireless Setup は使用できません。これについてはこのマニュアルでは説明しません。
-
電子メール通知と SMS 通知
-
アカウント登録ゲストの場合、SMS 通知と電子メール通知がサポートされています。これらの通知は、ポータル カスタマイズ通知セクションで設定します。SMS 通知と電子メール通知をサポートするように SMTP サーバを設定する必要があります。ISE に組み込まれているセルラー プロバイダー(AT&T、T Mobile、Sprint、Orange、Verizon など)は、事前に設定されている無料の電子メール/SMS ゲートウェイです。
-
ゲストはポータルで各自のセルラー プロバイダーを選択します。プロバイダーがリストにない場合は、メッセージを受信できません。グローバル プロバイダーも設定できますが、これについてはこのマニュアルでは説明しません。ゲスト ポータルで SMS 通知と電子メール通知が設定されている場合、ゲストは両方のサービスの値を入力する必要があります。
-
Sponsored Guest フローでは、Wireless Setup での SMS 通知または電子メール通知の設定は行いません。このフローについては、ISE で通知サービスを設定する必要があります。
-
ポータルで通知を設定するときには、SMS プロバイダー Global Default を選択しないでください。(デフォルトでは)このプロバイダーは設定されていません。
-
-
Wireless Setup では、HA を使用しないスタンドアロン セットアップだけがサポートされています。認証のために追加の PSN を使用する場合は、それらの PSN の ISE IP アドレスを WLC の RADIUS 設定に追加してください。
Wireless Setup での Apple ミニブラウザ(Captive Network Assistant)のサポート
-
ゲスト フロー:Apple 擬似ブラウザの自動ポップアップは、すべてのゲスト フローで機能します。ゲストは Apple の Captive Network Assistant ブラウザを使用してフローを通過することができます。Apple ユーザが OPEN ネットワークに接続すると、ミニブラウザが自動的に表示されます。これにより、ユーザは AUP(ホットスポット)を受け入れるか、または各自のクレデンシャルを使用してアカウント登録またはログインを実行できます。
-
BYOD
-
シングル SSID:ISE 2.2 では Apple ミニブラウザのサポートが追加されました。ただし Apple デバイスで SSID フローの問題が発生する可能性を抑えるため、リダイレクション ACL に captive.apple.com を追加してミニブラウザが表示されないようにしました。これにより、Apple デバイスはインターネットにアクセスできると想定します。ユーザは、Web 認証またはデバイス オンボーディングのためにポータルにリダイレクトされるように、Safari を手動で起動する必要があります。
-
デュアル SSID:ゲスト アクセスを開始するか、または従業員がデバイス オンボーディング(BYOD)を実行できるようにするために、最初の OPEN ネットワーク WLAN で開始し、セキュア SSID にリダイレクトされるデュアル SSID フローの場合にも、ミニブラウザが表示されなくなります。
-
Apple CAN ミニブラウザの詳細については、https://communities.cisco.com/docs/DOC-71122 を参照してください。