この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Wireless Setup では、802.1x、ゲスト、および BYOD のワイヤレス フローを容易にセットアップできます。また、適切な場合にはゲスト向けのポータルと BYOD 向けのポータルを設定およびカスタマイズするためのワークフローも提供されます。これらのワークフローでは、最も一般的な推奨設定が提供されるため、ISE で関連ポータル フローを設定するよりもシンプルです。Wireless Setup では、ISE と WLC でユーザが実行する必要のあるステップの多くが自動的に処理されるため、迅速に作業環境を構築できます。
フローのテストと開発に、Wireless Setup により作成された環境を使用できます。Wireless Setup 環境が稼働したら、ISE に切り替えることができます。これにより、より多くの拡張設定に対応できるようになります。ISE でのゲストの設定についての詳細は、『ISE Administrators Guide』の Cisco ISE ゲスト サービスと Cisco コミュニティ サイト(https://communities.cisco.com/docs/DOC-64018)を参照してください。Wireless Setup の設定と使用の詳細については、https://communities.cisco.com/docs/DOC-71189を参照してください。
(注) | ISE Wireless Setup はベータ ソフトウェアです。実稼働ネットワークでは ISE Wireless Setup を使用しないでください。 |
Wireless Setup は、Cisco ISE の新規インストール後はデフォルトで無効になっています。Wireless Setup は、ISE CLI から application configure ise コマンド(オプション 17 を選択)を使用するか、または ISE GUI の [ホーム(Home)] ページで [ワイヤレスのセットアップ(Wireless Setup)] オプションを使用して有効にすることができます。
ISE を以前のバージョンからアップグレードした場合、Wireless Setup は機能しません。Wireless Setup は、新規の ISE インストールでのみサポートされています。
Wireless Setup は、スタンドアロン ノードでのみ機能します。
Wireless Setup インスタンスは一度に 1 つだけ実行してください。また、Wireless Setup を実行できるユーザは一度に 1 人だけです。
一部のフローの実行後に Wireless Setup の新規インストールを開始する場合には、CLI コマンド application reset-config ise を使用できます。このコマンドは ISE 設定をリセットして ISE データベースをクリアしますが、ネットワーク定義を維持します。したがって、ISE と Wireless Setup をリセットするときに、ISE を再インストールしてセットアップを実行する必要はありません。
Wireless Setup を再び使用開始するには、次の手順に従って ISE と Wireless Setup の両方の設定をリセットできます。
CLI で application reset-config を実行し、ISE 設定をすべてリセットします。新規インストールで Wireless Setup をテストしていた場合、このコマンドを実行すると、ISE で Wireless Setup によって行われた設定が削除されます。
CLI で application configure ise を実行し、[18]Reset Config Wi-Fi Setup を選択します。これにより、Wireless Setup 設定データベースの内容が消去されます。
WLC で、Wireless Setup により WLC に追加された設定を削除します。WLC での Wireless Setup の設定内容については、Wireless Setup による ISE と WLC の変更を参照してください。
ISE の新規インストール完了後に VM のスナップショットを取得しておくと、この手順を行わずに済みます。
CLI の詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
Wireless Setup を使用するには、ISE スーパー管理者ユーザである必要があります。
Wireless Setup を使用するには、少なくとも 2 つの CPU コアと 8GB のメモリが必要です。
Active Directory グループとユーザだけがサポートされています。Wireless Configuration で 1 つ以上のフローを作成すると、Wireless Setup でその他のタイプのユーザ、グループ、認証を使用できますが、これらを ISE で設定する必要があります。
ISE で Active Directory をすでに定義しており、この AD を Wireless Setup に使用する予定の場合は、次の要件を満たしている必要があります。
参加名とドメイン名が同一である必要があります。これらの名前が同一でない場合は、Wireless Setup でその AD を使用する前に、ISE で名前を同一にしてください。
ISE で WLC がすでに設定されている場合、その WLC には共有秘密が設定されている必要があります。WLC 定義に共有秘密がない場合は、Wireless Setup でその WLC を設定する前に、共有秘密を追加するか、または ISE から WLC を削除してください。
Wireless Setup では ISE コンポーネントを設定できますが、フローの開始後に ISE コンポーネントを削除または変更することはできません。Wireless Setup が ISE で設定するすべての内容のリストについては、次を参照してください。 Wireless Setup による ISE と WLC の変更
開始したフローは完了する必要があります。フローでトピック パスをクリックすると、フローが停止します。フローをステップに従って進むと、ISE 設定が動的に変更されます。Wireless Setup では設定変更のリストが表示されるので、手動で変更を元に戻すことができます。1 つの例外を除いて、フローで前に戻って追加の変更を行うことはできません。例外として、ゲスト ポータルまたは BYOD ポータルのカスタマイズ内容を変更する場合には戻ることができます。
複数の WLC と Active Directory ドメインがサポートされていますが、各フローでは 1 つの WLC と 1 つの Active Directory だけがサポートされています。
Wireless Setup が動作するためには、ISE Basic ライセンスが必要です。BYOD には Plus ライセンスが必要です。
Wireless Setup の設定前に ISE 2.2 リソースを設定している場合、Wireless Setup が既存のポリシーと矛盾することがあります。この状況では、Wireless Setup から、ツールの実行後に認証ポリシーをレビューするよう指示されます。Wireless Setup の実行時には、正常にセットアップされた ISE を使用して開始することが推奨されます。Wireless Setup と ISE の混合設定のサポートは限定されています。
Wireless Setup は英語でのみ提供されており、他の言語では提供されていません。ポータルで他の言語を使用する場合には、Wireless Setup の実行後に ISE でその言語を設定してください。
BYOD ではデュアル SSID がサポートされています。この設定で使用されるオープン SSID では、競合のためゲスト アクセスはサポートされません。ゲストと BYOD の両方に対応したポータルが必要な場合、Wireless Setup は使用できません。これについてはこのマニュアルでは説明しません。
SSID 名にはスペースを使用してください。
電子メール通知と SMS 通知
アカウント登録ゲストの場合、SMS 通知と電子メール通知がサポートされています。これらの通知は、ポータル カスタマイズ通知セクションで設定します。SMS 通知と電子メール通知をサポートするように SMTP サーバを設定する必要があります。ISE に組み込まれているセルラー プロバイダー(AT&T、T Mobile、Sprint、Orange、Verizon など)は、事前に設定されている無料の電子メール/SMS ゲートウェイです。
ゲストはポータルで各自のセルラー プロバイダーを選択します。プロバイダーがリストにない場合は、メッセージを受信できません。グローバル プロバイダーも設定できますが、これについてはこのマニュアルでは説明しません。ゲスト ポータルで SMS 通知と電子メール通知が設定されている場合、ゲストは両方のサービスの値を入力する必要があります。
Sponsored Guest フローでは、Wireless Setup での SMS 通知または電子メール通知の設定は行いません。このフローについては、ISE で通知サービスを設定する必要があります。
通知の設定の詳細については、『Configure SMTP Server to Support Notifications』(http://www.cisco.com/c/en/us/td/docs/security/ise/2-1/admin_guide/b_ise_admin_guide_21/b_ise_admin_guide_20_chapter_0100.html#ID166)および『SMS Gateway Settings』(http://www.cisco.com/c/en/us/td/docs/security/ise/2-1/admin_guide/b_ise_admin_guide_21/b_ise_admin_guide_20_chapter_011010.html#reference_637B4FC473F247249AD42888125FA5D0)を参照してください。
ポータルで通知を設定するときには、SMS プロバイダー Global Default を選択しないでください。(デフォルトでは)このプロバイダーは設定されていません。
Wireless Setup では、HA を使用しないスタンドアロン セットアップだけがサポートされています。認証のために追加の PSN を使用する場合は、それらの PSN の ISE IP アドレスを WLC の RADIUS 設定に追加してください。
ゲスト フロー:Apple 擬似ブラウザの自動ポップアップは、すべてのゲスト フローで機能します。ゲストは Apple の Captive Network Assistant ブラウザを使用してフローを通過することができます。Apple ユーザが OPEN ネットワークに接続すると、ミニブラウザが自動的に表示されます。これにより、ユーザは AUP(ホットスポット)を受け入れるか、または各自のクレデンシャルを使用してアカウント登録またはログインを実行できます。
BYOD
シングル SSID:ISE 2.2 では Apple ミニブラウザのサポートが追加されました。ただし Apple デバイスで SSID フローの問題が発生する可能性を抑えるため、リダイレクション ACL に captive.apple.com を追加してミニブラウザが表示されないようにしました。これにより、Apple デバイスはインターネットにアクセスできると想定します。ユーザは、Web 認証またはデバイス オンボーディングのためにポータルにリダイレクトされるように、Safari を手動で起動する必要があります。
デュアル SSID:ゲスト アクセスを開始するか、または従業員がデバイス オンボーディング(BYOD)を実行できるようにするために、最初の OPEN ネットワーク WLAN で開始し、セキュア SSID にリダイレクトされるデュアル SSID フローの場合にも、ミニブラウザが表示されなくなります。
Apple CAN ミニブラウザの詳細については、https://communities.cisco.com/docs/DOC-71122を参照してください。
Wireless Setup に初めてログインしてフローを選択すると、ワイヤレス コントローラを設定するように促されます。Wireless Setup は設定するフローのタイプに対応するため、必要な設定を WLC にプッシュします。
WLC は、AireOS 8.x 以降が稼働する Cisco WLC でなければなりません。
Wireless Setup 展開で使用する予定のインターフェイス VLANS(ネットワーク)用に WLC を設定します。デフォルトでは、WLC には管理インターフェイスがありますが、ゲストおよびセキュア アクセス(従業員)ネットワーク用に別のインターフェイスを設定することが推奨されます。
ゲスト フローの場合、AUP の受け入れ(ホットスポット)、ログイン、またはクレデンシャルの作成のために、ACL_WEBAUTH_REDIRECT ACL を使用して、ゲスト デバイスがホットスポットまたはクレデンシャルを持つゲスト ポータルのいずれかにリダイレクトされます。承認されたゲストには、アクセスが許可されます(ACCESS-ACCEPT)。WLC で ACL を使用してゲストの権限を制限することができます。WLC で ACL を作成し、その ACL をゲスト権限 authz プロファイルで使用します。ISE 成功ページへのアクセスを許可するには、この ACL を WLC に追加します。限定的な ACL の作成の詳細については、https://communities.cisco.com/docs/DOC-68169を参照してください。
Wireless Setup ではフローごとに WLAN が設定されます。フローに WLAN を設定したら、その WLAN は他のフローには使用できません。唯一の例外は、アカウント登録フロー用に WLAN を設定しており、後でこの WLAN を Sponsored Guest フロー(ゲストのアカウント登録とスポンサー処理の両方を扱うフロー)に使用することに決定した場合です。
実稼働環境で Wireless Setup を実行する場合、設定によって一部の既存ユーザの接続が切断されることがあります。
Wireless Setup で WLC を使用してフローを設定したら、ISE ではその WLC を削除しないでください。
ISE ですでに WLC を設定しているが、RADIUS オプションで共有秘密を設定していない場合、Wireless Setup で WLC を使用する前に共有秘密を追加する必要があります。
ISE で WLC をすでに設定しており、共有秘密を設定している場合は、Wireless Setup で異なる共有秘密を設定しないでください。Wireless Setup と ISE のシークレット パスワードが一致している必要があります。選択する WLAN はフローで無効にされますが、フローの終わりで [本番稼働(Go Live)] ボタンをクリックすると再度有効にできます。
リモート LAN:ネットワークにリモート LAN が含まれている場合、Wireless Setup はリモート LAN にすでに割り当てられている VLAN ID を使用しようとすると失敗します。この回避策として、リモート LAN を削除するか、または Wireless Setup を使用する前に WLC で使用する予定の VLAN を作成しておきます。Wireless Setup では、フローに対してこれらの既存の VLAN を有効にできます。
Cisco ワイヤレス LAN の設定の詳細については、http://www.cisco.com/c/en/us/td/docs/wireless/technology/wlc/82463-wlc-config-best-practice.htmlを参照してください。
次に示す WLC ログの一部分には、フローの設定時に Wireless Setup により行われる設定の例が示されています。
"config radius auth add 1 192.168.201.228 1812 ascii cisco" "config radius auth disable 1" "config radius auth rfc3576 enable 1" "config radius auth management 1 disable" "config radius auth enable 1" "config radius acct add 1 192.168.201.228 1813 ascii cisco" "config radius acct enable 1" "config acl create ACL_WEBAUTH_REDIRECT" "config acl rule add ACL_WEBAUTH_REDIRECT 1" "config acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53" "config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17" "config acl rule add ACL_WEBAUTH_REDIRECT 1" "config acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53" "config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17" "config acl rule add ACL_WEBAUTH_REDIRECT 1" "config acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255" "config acl rule add ACL_WEBAUTH_REDIRECT 1" "config acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255" "config acl apply ACL_WEBAUTH_REDIRECT" "show flexconnect acl summary" "config flexconnect acl create ACL_WEBAUTH_REDIRECT" "config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1" "config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config flexconnect acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53" "config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17" "config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1" "config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config flexconnect acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53" "config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17" "config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1" "config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config flexconnect acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255" "config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1" "config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit" "config flexconnect acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255" "config flexconnect acl apply ACL_WEBAUTH_REDIRECT"
Sponsored Guest、802.1x、および BYOD のフローを作成するには、Active Directory ドメインが必要です。Active Directory は、スポンサー ポータル、802.1x セキュア アクセスおよび関連 VLAN、BYOD およびデバイス オンボーディングにアクセスできるスポンサー グループのユーザを指定します。Wireless Setup でいずれかのフローを設定したら、必要に応じて [ISE ID(ISE Identities)] に移動して次の項目を追加できます。
スポンサー グループにマッピングされている内部スポンサー アカウント(ALL_ACCOUNTS など)。Active Directory を使用している場合は、これは不要です。
ISE 内部従業員グループに含まれている従業員。内部従業員グループが許可ポリシーと ISE 内部従業員グループに追加されていることを確認してください。
企業の訪問者が企業のネットワークを使用してインターネットまたはネットワーク上のリソースおよびサービスにアクセスしようとしている場合、ゲスト ポータルを使用してネットワーク アクセスを提供することができます。設定すると、従業員はゲスト ポータルを使用して会社のネットワークにアクセスできます。
3 つのデフォルトのゲスト ポータルがあります。
ホットスポット ゲスト ポータル:ネットワーク アクセスはクレデンシャルを必要とせずに許可されます。通常、ネットワーク アクセスを許可する前にユーザ ポリシーの認可(AUP)が承認される必要があります。
Sponsored-Guest ポータル:ゲストのアカウントを作成したスポンサーによりネットワーク アクセスが許可され、ゲストにログイン クレデンシャルが提供されます。
アカウント登録ゲスト ポータル:ゲストは各自のアカウント クレデンシャルを作成できます。ネットワーク アクセスが付与される前に、スポンサー承認が必要となることがあります。
Cisco ISE は、事前に定義されたデフォルト ポータルなど、複数のゲスト ポータルをホストすることができます。
デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。
Wireless Setup には独自のデフォルト テーマ(CSS)があります。ロゴ、バナー、背景画像、色、フォントなどの基本的な設定の一部を変更できます。ISE では、他の設定を変更することでポータルをさらにカスタマイズでき、高度なカスタマイズを行うこともできます。
ポータルのタイプを選択すると、使用するコントローラを選択するよう求められます。フローごとに新しいワイヤレス ネットワークを設定します。Wireless Setup でまだ使用していない既存の WLAN を選択するか、または新しい WLAN を作成することができます。
リダイレクトが必要なフローには、元の URL、正常完了ページ、または特定の URL(例:www.cisco.com)にユーザをリダイレクトするオプションがあります。元の URL を使用する場合は、WLC からのサポートが必要です。
(注) | WLC バージョン 8.4 のリリースまでは、元の URL はサポートされていません。 |
ポータルの外観をカスタマイズし、基本設定を変更します。
カスタマイズが完了したら、テスト ポータルへの URL リンクをたどります。テスト ポータルに、ポータルのテスト バージョンのプレビューが表示されます。フローを通過し、必要に応じてさらに変更を行うことができます。プレビュー ポータルで機能する正常完了時のリダイレクトは、[成功(Success)] ページへのリダイレクトだけです。元の URL とスタティック URL は、リダイレクトをサポートするためにワイヤレス セッションが必要であるため、機能しません。
設定が完了しました。ワークフローにおいて Wireless Setup により ISE と WLC で実行されたステップをダウンロードして確認できます。
(注) | Wireless Setup では基本ゲスト アクセスにはロケーションは使用されません。ローカル時刻に基づいてアクセスを制御する場合に、ロケーションが必要となります。ISE でのタイム ゾーンの設定については、SMS プロバイダーおよびサービスを参照してください。 |
アカウント登録ゲスト ポータルでは、ゲストが自分自身を登録し、自分のアカウントを作成して、ネットワークにアクセスできるようにすることができます。
ログオン成功ページではユーザに対して画面にログオン クレデンシャルが表示されるため、ログオン成功ページを選択しないことが推奨されます。ベスト プラクティスは、ユーザにクレデンシャルを電子メールまたは SMS で受信することを要求することです。これにより、クレデンシャルが監査目的に特有の内容に関連付けられます。
スポンサーはスポンサー ポータルを使用して、承認ユーザ用の一時アカウントを作成および管理し、企業ネットワークまたはインターネットにセキュアにアクセスできるようにします。ゲスト アカウントを作成した後、スポンサーは、スポンサー ポータルを使用して、印刷、電子メール送信、または携帯電話による送信を行ってゲストにアカウントの詳細を提供することもできます。アカウント登録ゲストに企業ネットワークへのアクセス権を提供する前に、スポンサーはゲスト アカウントを承認するように電子メールで要求されることがあります。
スポンサー フローで、Wireless Setup がスポンサー ポータルと Sponsored Guest ポータルを設定します。
承認フローは Wireless Setup ではサポートされていません。
ワークフローで Active Directory をスポンサー グループにマッピングします。ワークフローにより、選択された AD グループが ALL_ACCOUNTS スポンサー グループにマッピングされます。GROUP または OWN アカウント スポンサー グループは設定されません。必要に応じて、他の ID ソース(内部設定や LDAP 設定など)を追加するには、ISE 管理 UI を使用して追加します。ISE でのスポンサー グループの詳細については、http://www.cisco.com/c/en/us/td/docs/security/ise/2-1/admin_guide/b_ise_admin_guide_21/b_ise_admin_guide_20_chapter_01110.html#concept_0C4E9B15B81B4FE0ACD61178815E4272を参照してください。
個人所有デバイスの持ち込み(BYOD)ポータルでは、従業員が各自のパーソナル デバイスを登録できます。ネイティブ サプリカント、証明書プロビジョニングはネットワークへのアクセスを許可する前にすることができます。従業員は BYOD ポータルに直接アクセスできません。パーソナル デバイスを登録するときにこのポータルにリダイレクトされます。従業員がパーソナル デバイスを使用してネットワークへ初めてアクセスしようとすると、(iOS 以外のデバイスの場合)手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように促されることがあります。NSA では、ネイティブ サプリカントの登録とインストールを順を追って実行できます。デバイスを登録すると、デバイス ポータルを使用して、それを管理できます。
Wireless Setup は ISE とコントローラでネイティブ サプリカントと証明書のプロビジョニングを設定します。ユーザはコントローラに PEAP 接続し、証明書を提供します。接続が EAP-TLS(証明書)に切り替わります。
Wireless Setup でサポートされるデバイスは、Apple デバイス(MAC および iOS)、Windows デスクトップ OS(モバイル以外)、および Android です。Chrome OS オンボーディングは、Wireless Setup ではサポートされていません。
(注) | デュアル SSID フローは、オンボーディング用のオープン ネットワークと、認証済みアクセス用の TLS 証明書ベースのセキュア ネットワークで構成されます。デバイスはオンボーディングなしでセキュア ネットワークに接続できます。これは、basic_authenticated_access デフォルト ルールにより、有効な認証はすべて通過できるためです。デバイスがセキュア ネットワークに接続する際に、BYOD セキュア許可ルールに一致しないと、basic_authenticated_access のリストの下部に一致が移動します。 この対策として、許可ポリシーで Basic_Authenticated_Access ルールを無効にするか、特定の SSID(WLAN)に一致するようにこのルールを編集します。いずれの変更でも、許可しないデバイスへの PEAP 接続がブロックされます。 |
(注) | Wireless Setup には、ロストとマークされたデバイスをリダイレクトする許可ルールはありません。これはブラックリストと呼ばれ、ブラックリスト ポータルによって管理されます。ロストしたデバイスや盗まれたデバイスの管理については、http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/BYOD_Design_Guide/Managing_Lost_or_Stolen_Device.pdf を参照してください。 |
Wireless Setup での BYOD 設定は次のステップで構成されます。
ワイヤレス LAN コントローラの選択または登録
ワイヤレス ネットワークの追加:デュアル SSID の場合、この手順が 2 回実行されます。
(注) | 新しい ISE インストールには、デフォルトのワイヤレス ネットワークが含まれます。デュアル SSID BYOD では、ユーザが 2 番目の SSID にリダイレクトされると、ユーザのネットワーク プロファイルにデフォルトのネットワーク SSID が示されます。デフォルト SSID を削除するか、またはユーザにこの SSID を無視するように通知できます。 |
Active Directory(AD)の選択または AD への参加:オンボーディング VLAN と最終アクセス VLAN の両方のデフォルト VLAN 設定を上書きできます。最終アクセス VLAN は Active Directory グループにマッピングされます。
BYOD ポータルのカスタマイズ:BOYD ポータルとデバイス ポータルをここでカスタマイズできます。このステップでは、ISE がサポートするすべてのページをカスタマイズできます。このステップでは、すべてのポータル カスタマイズ内容が送信され、ポリシーが作成され、プロファイルが関連するポリシーにリンクされます。
(注) | デバイス ポータルでは、BYOD ポータルのカスタマイズの基本カスタマイズが使用されます。Wireless Setup ではデバイス ポータルをカスタマイズできません。 |
行った設定変更をプレビューして [完了(Done)] を選択します。
デュアル SSID BYOD をサポートするには、Fast SSID が有効になっている必要があります。ワイヤレス コントローラで Fast SSID Change が有効になっている場合、クライアントは SSID 間を高速で移動できます。高速 SSID が有効になっている場合、クライアント エントリがクリアされず、遅延は適用されません。Fast SSID の詳細と、Cisco WLC での Fast SSID の設定の詳細については、http://www.cisco.com/c/en/us/td/docs/wireless/controller/8-3/config-guide/b_cg83/b_cg83_chapter_0100001.htmlを参照してください。
config radius auth retransmit-timeout {SERVER_INDEX} 5 config radius aggressive-failover disable config radius fallback-test mode passive config wlan exclusionlist {WLAN ID} 180 config wlan exclusionlist {WLAN ID} enabled
Wireless Setup フローにより、802.1x ワイヤレス LAN コントローラが PEAP(ユーザ名とパスワードのクレデンシャル)に対して設定されます。
このフローの一部で、Active Directory(AD)を指定するように求められます。従業員 AD グループを VLAN にマッピングできます。VLAN によってグループを分ける場合は、異なる従業員グループを異なる VLAN に設定することができます。[アクセス(access)] の横のドロップダウンをクリックすると、設定した AD で使用可能な AD グループが表示されます。
Active Directory でセキュアなアクセスを使用すると、AD グループを VLAN にマッピングしていない場合には、有効な AD ユーザに対してログインを許可する基本アクセス ポリシーにユーザが一致します。Wireless Setup で AD グループを選択すると、各グループが VLAN にマッピングされます。
従業員のクレデンシャルが認証される:Cisco ISE は、社内 Active Directory と照合して従業員を認証し、許可ポリシーを提供します。
デバイスが BYOD ポータルにリダイレクトされる:デバイスが BYOD ポータルにリダイレクトされます。デバイスの MAC アドレスは自動的に事前設定されます。ユーザはデバイス名と説明を追加できます。
ネイティブ サプリカントが設定される(MacOS、Windows、iOS、Android):ネイティブ サプリカントが設定されます。ただしこのプロセスはデバイスに応じて異なります。
MacOS および Windows デバイス:従業員が BYOD ポータルで [登録(Register)] をクリックし、サプリカント プロビジョニング ウィザードをダウンロードしてインストールします。このウィザードではサプリカントが設定され、EAP-TLS 証明書ベース認証に使用する証明書がインストールされます。デバイスの MAC アドレスと従業員のユーザ名が発行済み証明書に組み込まれます。
iOS デバイス:Cisco ISE ポリシー サーバは Apple の iOS ワイヤレス機能を使用して新しいプロファイルを IOS デバイスに送信します。このプロファイルには次の情報が含まれます。
Android デバイス:Cisco ISE は、従業員に Google Play ストアから Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。アプリのインストール後に、従業員は NSA を開いてセットアップ ウィザードを開始できます。このウィザードでは、サプリカントの設定と、デバイスの設定に使用される発行済み証明書が生成されます。
認可変更が発行される:ユーザがオンボーディング フローを通過すると、Cisco ISE は認可変更(CoA)を開始します。これにより、MacOS X、Windows、および Android デバイスは EAP-TLS を使用してセキュアな 802.1X ネットワークに再接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。
Wireless Setup では、フローをステップに従って進むことで ISE とコントローラが設定されます。Wireless Setup は、行った変更のリストを各フローの終わりで表示します。各フローの変更内容がここで参考のために表示されます。これにより、Wireless Setup が ISE に対して行ったすべての変更を確認し、変更内容をレビューまたは変更できます。