Wireless Setup について
Wireless Setup では、802.1X、ゲスト、および BYOD サービスのワイヤレス フローを容易にセットアップできます。また、適切な場合にはゲスト向けのポータルと BYOD サービス向けのポータルを設定およびカスタマイズするためのワークフローも提供されます。これらのワークフローでは、最も一般的な推奨設定が提供されるため、Cisco ISE で関連ポータル フローを設定するよりもシンプルです。Wireless Setup では、Cisco ISE とワイヤレスコントローラでユーザーが実行する必要のあるステップの多くが自動的に処理されるため、迅速に作業環境を構築できます。
フローのテストと開発に、Wireless Setup により作成された環境を使用できます。Wireless Setup 環境が稼働したら、Cisco ISE に切り替えることができます。これにより、拡張設定に対応できるようになります。Cisco ISE でのゲストサービスの設定についての詳細は、お使いの Cisco ISE バージョンの『ISE Administrators Guide』と Cisco コミュニティ サイト(https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-p/3657224)を参照してください。Cisco ISE の Wireless Setup の設定と使用の詳細については、https://community.cisco.com/t5/security-documents/cisco-ise-secure-access-wizard-saw-guest-byod-and-secure-access/ta-p/3636602を参照してください。
(注) |
Cisco ISE Wireless Setup はベータソフトウェアです。実稼働ネットワークでは Wireless Setup を使用しないでください。 |
-
Wireless Setup は、Cisco ISE の新規インストール後はデフォルトで無効になっています。Wireless Setup は、Cisco ISE CLI から application configure ise コマンド(オプション 17 を選択)を使用するか、または Cisco ISE GUI ホームページの右上隅にある [Wireless Setup] オプション()を使用して有効にすることができます。
-
Cisco ISE を以前のバージョンからアップグレードした場合、Wireless Setup は機能しません。Wireless Setup は新規 Cisco ISE のインストールでのみサポートされています。
-
Wireless Setup はスタンドアロンノードでのみ機能します。
-
Wireless Setup のインスタンスは一度に 1 つのみ実行します。一度に Wireless Setup を実行できるのは 1 人のみです。
-
Wireless Setup を使用するには、ポート 9103 と 9104 が開いている必要があります。これらのポートを閉じるには、CLI を使用して Wireless Setup を無効にします。
-
一部のフローの実行後に Wireless Setup の新規インストールを開始する場合には、CLI コマンド application reset-config ise を使用できます。このコマンドは Cisco ISE 設定をリセットして Cisco ISE データベースをクリアしますが、ネットワーク定義を維持します。したがって、Cisco ISE と Wireless Setup をリセットするときに Cisco ISE を再インストールしてセットアップを実行する必要はありません。
Wireless Setup を再び使用開始するには、次の手順を実行して Cisco ISE と Wireless Setup の両方の設定をリセットできます。
-
CLI で application reset-config を実行し、Cisco ISE のすべての設定をリセットします。新規インストールで Wireless Setup をテストしていた場合、このコマンドを実行すると、Cisco ISE で Wireless Setup によって行われた設定が削除されます。
-
CLI で application configure ise を実行し、[18]Reset Config Wi-Fi Setup を選択します。これにより、Wireless Setup 設定データベースの内容が消去されます。
-
ワイヤレスコントローラで、Wireless Setup によってワイヤレスコントローラに追加された設定が削除されます。ワイヤレスコントローラでの Wireless Setup の設定内容については、Wireless Setup フローによる Cisco ISE とワイヤレスコントローラの変更を参照してください。
Cisco ISE の新規インストール完了後に VM のスナップショットを作成しておくと、このステップは実行せずに済みます。
CLI の詳細については、お使いの ISE バージョンの『Cisco Identity Services Engine CLI リファレンス ガイド』を参照してください。
-
-
Wireless Setup を使用するには、Cisco ISE のネットワーク管理者ユーザーである必要があります。
-
Wireless Setup を使用するには、少なくとも 2 つの CPU コアと 8 GB のメモリが必要です。
-
Active Directory(AD)グループとユーザーのみがサポートされています。Wireless Setup で 1 つ以上のフローを作成すると、その他のタイプのユーザー、グループ、認証を Wireless Setup で使用できますが、それらを ISE で設定する必要があります。
-
Cisco ISE で Active Directory をすでに定義しており、この AD を Wireless Setup に使用する予定の場合は、次の要件を満たしている必要があります。
-
参加名とドメイン名が同一である必要があります。これらの名前が同一でない場合は、Wireless Setup でその AD を使用する前に、Cisco ISE で名前を同一にしてください。
-
ワイヤレスコントローラが Cisco ISE 上にすでに設定されている場合は、ワイヤレスコントローラに共有秘密が設定されている必要があります。ワイヤレスコントローラの定義に共有秘密がない場合は、Wireless Setup でそのワイヤレスコントローラを設定する前に共有秘密を追加するか、または Cisco ISE からワイヤレスコントローラを削除します。
-
-
Wireless Setup では Cisco ISE コンポーネントを設定できますが、フローの開始後に Cisco ISE コンポーネントを削除または変更することはできません。Cisco ISE の Wireless Setup で設定するすべての項目のリストについては、お使いの Cisco ISE バージョンの『Cisco Identity Services Engine CLI リファレンスガイド』を参照してください。
-
開始したフローは完了する必要があります。フローでトピック パスをクリックすると、フローが停止します。フローをステップに従って進むと、Cisco ISE 設定が動的に変更されます。Wireless Setup では設定変更のリストが表示されるので、手動で変更を元に戻すことができます。1 つの例外を除いて、フローで前に戻って追加の変更を行うことはできません。例外として、ゲスト ポータルまたは BYOD ポータルのカスタマイズ内容を変更する場合には戻ることができます。
-
複数のワイヤレスコントローラと Active Directory ドメインがサポートされていますが、各フローでは 1 つのワイヤレスコントローラと 1 つの Active Directory のみがサポートされています。
-
Wireless Setup には、Cisco ISE Basic ライセンスが必要です。BYOD には Cisco ISE Plus ライセンスが必要です。
-
Wireless Setup の設定前に Cisco ISE リソースを設定している場合、Wireless Setup が既存のポリシーと矛盾することがあります。この状況では、Wireless Setup から、ツールの実行後に認証ポリシーをレビューするよう指示されます。Wireless Setup の実行時には、正常にセットアップされた Cisco ISE を使用して開始することが推奨されます。Wireless Setup と Cisco ISE の混在設定のサポートは限定されています。
-
Wireless Setup は英語でのみ提供されており、他の言語では提供されていません。ポータルで他の言語を使用する場合には、Wireless Setup の実行後に Cisco ISE でその言語を設定してください。
-
BYOD ではデュアル SSID がサポートされています。この設定で使用されるオープン SSID では、競合のためゲスト アクセスはサポートされません。ゲストと BYOD の両方に対応したポータルが必要な場合、Wireless Setup は使用できません。これについてはこのマニュアルでは説明しません。
-
電子メール通知と SMS 通知
-
アカウント登録ゲストの場合、SMS 通知と電子メール通知がサポートされています。これらの通知は、ポータル カスタマイズ通知セクションで設定します。SMS 通知と電子メール通知をサポートするように SMTP サーバーを設定する必要があります。Cisco ISE に組み込まれているセルラープロバイダ(AT&T、T Mobile、Sprint、Orange、Verizon など)は、事前に設定されている無料の電子メール/SMS ゲートウェイです。
-
ゲストはポータルで各自のセルラー プロバイダを選択します。プロバイダがリストにない場合は、メッセージを受信できません。グローバル プロバイダも設定できますが、これについてはこのマニュアルでは説明しません。ゲスト ポータルで SMS 通知と電子メール通知が設定されている場合、ゲストは両方のサービスの値を入力する必要があります。
-
Sponsored Guest フローでは、Wireless Setup での SMS 通知または電子メール通知の設定は行いません。このフローについては、Cisco ISE で通知サービスを設定する必要があります。
-
ポータルで通知を設定するときには、SMS プロバイダ Global Default を選択しないでください。(デフォルトでは)このプロバイダは設定されていません。
-
-
Wireless Setup では、HA を使用しないスタンドアロン セットアップだけがサポートされています。認証のために追加の PSN を使用する場合は、それらの PSN の Cisco ISE IP アドレスをワイヤレスコントローラの RADIUS 設定に追加してください。
Wireless Setup での Apple ミニブラウザ(Captive Network Assistant)のサポート
-
ゲストフロー:Apple 擬似ブラウザの自動ポップアップは、すべてのゲストフローで機能します。ゲストは Apple の Captive Network Assistant ブラウザを使用してフローを通過することができます。Apple ユーザーが OPEN ネットワークに接続すると、ミニブラウザが自動的に表示されます。これにより、ユーザーは AUP(ホットスポット)を受け入れるか、または各自のクレデンシャルを使用してアカウント登録またはログインを実行できます。
-
BYOD
-
シングル SSID:Cisco ISE リリース 2.2 では Apple ミニブラウザのサポートが追加されました。ただし Apple デバイスで SSID フローの問題が発生する可能性を抑えるため、リダイレクション ACL に captive.apple.com を追加してミニブラウザが表示されないようにしました。これにより、Apple デバイスはインターネットにアクセスできると想定します。ユーザーは、Web 認証またはデバイスオンボーディングのためにポータルにリダイレクトされるように、Safari ブラウザを手動で起動する必要があります。
-
デュアル SSID:ゲストアクセスを開始するか、または従業員がデバイスオンボーディング(BYOD)を実行できるようにするために、最初の OPEN ネットワーク WLAN で開始し、セキュア SSID にリダイレクトされるデュアル SSID フローの場合にも、ミニブラウザが表示されなくなります。
-
Apple CAN ミニブラウザの詳細については、https://communities.cisco.com/docs/DOC-71122 を参照してください。