ISE 게스트 임시 및 영구 액세스 구성

다운로드 옵션

  • PDF     (1.2 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.0 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.3 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 11월 18일 (수)
문서 ID:200273

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.


소개

이 문서에서는 ISE(Identity Services Engine) 게스트 액세스 컨피그레이션에 대한 다양한 방법에 대해 설명합니다.권한 부여 규칙의 다른 조건에 따라 다음을 수행합니다.

  • 네트워크에 대한 영구 액세스를 제공할 수 있음(후속 인증을 위한 필요 없음)
  • 네트워크에 대한 임시 액세스를 제공할 수 있습니다(세션 만료 후 게스트 인증 필요).

또한 세션 제거를 위한 특정 WLC(Wireless LAN Controller) 동작은 임시 액세스 시나리오에 미치는 영향을 나타냅니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

  • ISE 구축 및 게스트 플로우
  • WLC(Wireless LAN Controller) 구성

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Microsoft Windows 7
  • Cisco WLC 버전 7.6 이상
  • ISE 소프트웨어, 버전 1.3 이상

구성

기본 게스트 액세스 컨피그레이션의 경우 컨피그레이션 예와 함께 참조를 확인하십시오.이 문서에서는 권한 부여 규칙 컨피그레이션 및 권한 부여 조건의 차이점을 중점적으로 다룹니다.

네트워크 다이어그램

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

영구 액세스

디바이스 등록이 활성화된 게스트 포털에서 인증 성공 후 ISE 버전 1.3 이상

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

엔드포인트 디바이스(mac 주소)는 특정 엔드포인트 그룹(이 예에서는 GuestEndpoints)에 정적으로 등록됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

해당 그룹은 이 이미지에 표시된 대로 사용자의 게스트 유형에서 파생됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

회사 사용자(게스트 이외의 ID 저장소)인 경우 포털 설정에서 해당 설정이 파생됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

결과적으로 게스트와 연결된 mac 주소는 항상 특정 ID 그룹에 속합니다.이는 자동으로 변경할 수 없습니다(예: 프로 파 일러 서비스).

참고:프로파일러 결과를 적용하려면 EndPointPolicy 권한 부여 조건을 사용할 수 있습니다.

디바이스가 항상 특정 엔드포인트 ID 그룹에 속한다는 사실을 알고 있으면 이 이미지에 표시된 대로 이를 기반으로 권한 부여 규칙을 작성할 수 있습니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

사용자가 인증되지 않으면 권한 부여가 일반 규칙 RedirectToPortal과 일치합니다.게스트 포털 및 인증으로 리디렉션한 후 엔드포인트는 특정 엔드포인트 ID 그룹에 배치됩니다.이는 보다 구체적인 첫 번째 조건에 사용됩니다.해당 엔드포인트의 모든 후속 인증은 첫 번째 권한 부여 규칙에 도달하고 사용자는 게스트 포털에서 재인증할 필요 없이 전체 네트워크 액세스를 제공합니다.

게스트 어카운트의 엔드포인트 비우기

이 상황은 영원히 지속될 수 있다.그러나 ISE 1.3 엔드포인트 제거 기능이 도입되었습니다.기본 컨피그레이션을 사용합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

게스트 인증에 사용되는 모든 엔드포인트는 엔드포인트 생성에서 30일 후에 제거됩니다. 따라서 보통 30일 후 네트워크 액세스를 시도하는 게스트 사용자가 RedirectToPortal 권한 부여 규칙을 적중하고 인증을 위해 리디렉션됩니다.

참고:엔드포인트 비우기 기능은 게스트 어카운트 비우기 정책 및 게스트 어카운트 만료와 독립적입니다.

참고:ISE 1.2 엔드포인트는 내부 프로파일러 큐 제한을 누를 때만 자동으로 제거할 수 있습니다.그리고 최근에 사용한 엔드포인트가 제거됩니다.

임시 액세스

게스트 액세스를 위한 또 다른 방법은 게스트 플로우 조건을 사용하는 것입니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

해당 조건은 ISE에서 활성 세션을 확인하고 있으며 해당 특성을 확인합니다.해당 세션에 이전 게스트 사용자가 성공적으로 인증한 조건이 일치함을 나타내는 특성이 있는 경우.ISE가 NAD(Network Access Device)에서 RADIUS 계정 관리 중지 메시지를 받으면 세션이 종료되고 나중에 제거됩니다.이 단계에서 Network Access:UseCase = Guest Flow is not satisfaction anymore threat(네트워크 액세스:UseCase = 게스트 흐름)가 더 이상 충족되지 않습니다.결과적으로 해당 엔드포인트의 모든 후속 인증은 게스트 인증을 위한 일반 규칙 리디렉션에 도달합니다.

참고:사용자가 HotSpot 포털을 통해 인증되는 경우 게스트 플로우가 지원되지 않습니다.이러한 시나리오에서 UseCase 특성은 Guest Flow 대신 Host Lookup으로 설정됩니다.

WLC 연결 끊기 동작

클라이언트가 무선 네트워크에서 연결을 끊은 후(예: Windows에서 연결 끊기 단추 사용) 인증 해제 프레임을 보냅니다.그러나 이는 WLC에서 생략되며 "debug client xxxx"를 사용하여 확인할 수 있습니다. WLC는 클라이언트가 WLAN에서 연결을 끊을 때 디버그를 표시하지 않습니다.Windows 클라이언트의 결과:

  • ip 주소가 인터페이스에서 제거됩니다.
  • 인터페이스 상태:미디어 연결 끊김

그러나 WLC에서는 상태가 변경되지 않습니다(클라이언트는 여전히 RUN 상태에 있음).

이는 WLC를 위한 계획된 설계이며,

  • 사용자 유휴 시간 제한 횟수
  • 세션 시간 초과 적중 
  • L2 암호화를 사용하는 경우 그룹 키 회전 간격이 적중할 때
  • 다른 이유로 AP/WLC가 클라이언트를 꺼냅니다(예: AP 무선 재설정, WLAN 종료 등).

WLC가 WLAN 세션을 지운 적이 없으며 Radius 계정 관리 중지를 보낸 적이 없기 때문에 사용자가 WLAN 세션에서 연결을 끊은 후 이러한 동작 및 임시 액세스 컨피그레이션이 ISE에서 제거되지 않습니다. 세션이 제거되지 않은 경우 ISE는 여전히 이전 세션을 기억하며 게스트 플로우 조건이 충족됩니다.연결을 해제하고 다시 연결한 후에는 다시 인증할 필요 없이 전체 네트워크 액세스가 가능합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

그러나 연결 해제 후 사용자가 다른 WLAN에 연결되면 WLC는 이전 세션을 지워야 합니다.Radius 계정 관리 중지 가 전송 되고 ISE가 세션을 제거 합니다.클라이언트가 원래 WLAN Guest Flow(WLAN 게스트 플로우) 조건에 연결하려고 시도하는 경우, 충족되지 않고 사용자가 인증을 위해 리디렉션됩니다.

참고:MFP(Management Frame Protection)로 구성된 WLC는 CCXv5 MFP 클라이언트의 암호화된 디인증 프레임을 수락합니다.

다음을 확인합니다.

영구 액세스

게스트 포털에 리디렉션되고 성공적인 인증 ISE는 재인증을 트리거하기 위해 CoA(Change of Authorization)를 전송합니다.따라서 새로운 MAB(MAC Authentication Bypass) 세션이 구축됩니다.이 시간 엔드포인트는 GuestEndpoints ID 그룹에 속하며 전체 액세스를 제공하는 규칙을 확인합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

이 단계에서 무선 사용자는 연결을 끊고 다른 WLAN에 연결한 다음 다시 연결할 수 있습니다.모든 후속 인증에서는 mac 주소를 기반으로 ID를 사용하지만 특정 ID 그룹에 속한 엔드포인트 때문에 첫 번째 규칙에 도달합니다.게스트 인증 없이 전체 네트워크 액세스가 제공됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

임시 액세스

두 번째 시나리오의 경우(Guest Flow 기반 조건 포함) 시작이 동일합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

그러나 모든 후속 인증에 대해 세션이 제거된 후 게스트가 일반 규칙을 적중하고 다시 게스트 인증을 위해 리디렉션됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

세션에 대한 올바른 특성이 있을 경우 게스트 플로우 조건이 충족됩니다.이는 엔드포인트 특성을 통해 확인할 수 있습니다.성공적인 게스트 인증 결과가 표시됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

버그

CSCuu41157 ISE ENH CoA는 게스트 계정 제거 또는 만료 시 전송 종료를 종료합니다.

(게스트 계정 제거 또는 만료 후 게스트 세션 종료 개선 요청)

참조

TAC Authored

Cisco 엔지니어가 작성

  • Michal Garcarz
    Cisco TAC 엔지니어
  • Serhii Kucherenko
    Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품