De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Cisco Identity Services Engine (ISE) versie 1.3 heeft een nieuw type gastenportal, het zogenaamde Self Registered Guest Portal, waarmee gastgebruikers zich zelf kunnen registreren wanneer ze toegang krijgen tot netwerkbronnen. Met deze portal kunt u meerdere functies configureren en aanpassen. Dit document beschrijft hoe u deze functionaliteit kunt configureren en oplossen.
Cisco raadt u aan ervaring te hebben met ISE-configuratie en basiskennis van deze onderwerpen:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Dit scenario presenteert meerdere opties die beschikbaar zijn voor gastgebruikers wanneer ze zelfregistratie uitvoeren.
Hier is de algemene stroom:
Stap 1. Gastgebruiker associates to Service Set Identifier (SSID): Gastgebruiker. Dit is een open netwerk met MAC-filtering met ISE voor verificatie. Deze verificatie komt overeen met de tweede autorisatieregel op de ISE en het autorisatieprofiel wordt omgeleid naar het Guest Self Registered Portal. ISE retourneert een RADIUS access-Accept met twee cisco-av-paren:
Stap 2. De gastgebruiker wordt doorgestuurd naar ISE. In plaats van aanmeldingsgegevens te verstrekken om in te loggen, klikt de gebruiker op "Geen account hebben". De gebruiker wordt omgeleid naar een pagina waar die account kan worden gemaakt. Een optionele geheime registratiecode kan worden ingeschakeld om het zelfregistratierecht te beperken tot mensen die die geheime waarde kennen. Nadat de account is aangemaakt, wordt de gebruiker geloofsbrieven (gebruikersnaam en wachtwoord) gegeven en logt hij in met deze referenties.
Stap 3. ISE stuurt een RADIUS-wijziging van autorisatie (CoA) opnieuw naar de WLC. De WLC verifieert de gebruiker opnieuw wanneer deze het RADIUS-toegangsverzoek verstuurt met het kenmerk Alleen autoriseren. ISE reageert met Access-Accept en Airrespace ACL die lokaal is gedefinieerd op de WLC, die alleen toegang tot het internet biedt (definitieve toegang voor gastgebruikers is afhankelijk van het autorisatiebeleid).
Voor EAP-sessies (Extensible Verification Protocol) moet ISE een CoA-terminate verzenden om opnieuw verificatie te starten, omdat de EAP-sessie tussen de aanvrager en de ISE loopt. Maar voor MAB (MAC filtering), CoA Reauthenticate is genoeg; er is geen behoefte om de-associate/de-authenticate de draadloze client.
Stap 4. De gastgebruiker heeft toegang tot het netwerk gewenst.
Meerdere extra functies zoals postuur en Bring Your Own Device (BYOD) kunnen worden ingeschakeld (later besproken).
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
In dit stadium, stelt ISE deze logboeken voor:
Hier is de flow:
Rapporten (Transacties > Rapporten > ISE-rapporten > Guest Access Reports > Master Guest Report) bevestigen ook dat:
Een sponsor-gebruiker (met de juiste rechten) kan de huidige status van een gastgebruiker verifiëren.
Dit voorbeeld bevestigt dat de account is aangemaakt, maar de gebruiker heeft nooit ingelogd ("Wachten op eerste aanmelding"):
Voor elke fase van deze stroom kunnen verschillende opties worden geconfigureerd. Dit alles is ingesteld volgens de Guest Portal bij Guest Access > Configure > Guest Portals > PortalName > Edit > Portal Behavior and flow settings. Belangrijkste instellingen zijn:
Als de optie Vereist dat zelfgeregistreerde gasten worden goedgekeurd is geselecteerd, moet de account die door de gast is aangemaakt, worden goedgekeurd door een sponsor. Deze functie kan e-mail gebruiken om een melding aan de sponsor te sturen (voor een gastaccount goedkeuring):
Als de Simple Mail Transfer Protocol (SMTP)-server of de standaard vanaf het bericht van e-mail niet is geconfigureerd, wordt de account niet aangemaakt:
Het logbestand van guest.log bevestigt dat de globale vanaf het adres dat voor de melding wordt gebruikt, ontbreekt:
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
Wanneer u de juiste e-mailconfiguratie hebt, wordt de account aangemaakt:
Nadat u de optie Vereist dat zelfgeregistreerde gasten worden goedgekeurd, worden de velden gebruikersnaam en wachtwoord automatisch verwijderd uit de sectie Deze informatie opnemen op de pagina Zelfregistratie-succes. Dit is waarom, wanneer de goedkeuring van de sponsor wordt vereist, de geloofsbrieven voor gastgebruikers niet door gebrek op de Web-pagina worden getoond die informatie voorstelt om aan te tonen dat de rekening is gemaakt. In plaats daarvan moeten ze worden geleverd via Short Message Services (SMS) of per e-mail. Deze optie moet worden ingeschakeld in het aanmeldingsformulier Verzenden na goedkeuring via sectie (e-mail/sms markeren).
Aan de sponsor wordt een e-mail met de melding gestuurd:
De sponsor logt in op het Sponsor-portal en keurt de account goed:
Vanaf dit punt mag de gastgebruiker inloggen (met de referenties die per e-mail of sms worden ontvangen).
Samengevat, zijn er drie e-mailadressen die in deze stroom worden gebruikt:
Gastreferenties kunnen ook worden geleverd via SMS. Deze opties moeten worden geconfigureerd:
Als de optie Toestaan gasten om apparaten te registreren is geselecteerd nadat een gastgebruiker inlogt en de AUP accepteert, kunt u apparaten registreren:
Bericht dat het apparaat al automatisch is toegevoegd (het staat in de lijst Apparaten beheren). Dit komt doordat gastapparaten automatisch registreren is geselecteerd.
Als de optie Naleving van gastapparaat vereisen is geselecteerd, dan zijn gastgebruikers voorzien van een Agent die de houding (NAC/Web Agent) uitvoert nadat zij inloggen en de AUP accepteren (en naar keuze apparaatregistratie uitvoeren). ISE verwerkt regels voor clientprovisioning om te beslissen welke agent moet worden provisioneerd. Dan voert de Agent die op het station loopt de postuur uit (volgens Posture regels) en stuurt resultaten naar de ISE, die de CoA reauthenticate om de autorisatiestatus te veranderen indien nodig.
Mogelijke vergunningsregels kunnen er ongeveer zo uitzien:
De eerste nieuwe gebruikers die te maken krijgen met de regel Guest_Authenticate gaan terug naar de Self Register Guest portal. Nadat de gebruiker zich heeft aangemeld en inlogt, verandert CoA de autorisatiestatus en krijgt de gebruiker beperkte toegang om de houding en de remediëring uit te voeren. Pas nadat de NAC Agent is voorzien en het station voldoet aan de eisen verandert CoA autorisatiestatus nogmaals om toegang tot het internet te bieden.
De typische problemen met houding omvatten gebrek aan correcte regels van de Clientprovisioning:
Dit kan ook worden bevestigd als u guest.log-bestand (nieuw in ISE versie 1.3) onderzoekt:
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
Als de optie Werknemers toestaan om persoonlijke apparaten te gebruiken op het netwerk is geselecteerd, dan kunnen zakelijke gebruikers die dit portaal gebruiken door BYOD flow gaan en persoonlijke apparaten registreren. Voor gastgebruikers verandert die instelling niets.
Wat betekent "werknemers die portal gebruiken als gast"?
Gastportals zijn standaard geconfigureerd met het Guest_Portal_Sequence identiteitsarchief:
Dit is de interne opslagvolgorde die eerst de interne gebruikers probeert (voor de gebruikers van de gast):
In deze fase op het gastportaal biedt de gebruiker aanmeldingsgegevens die zijn gedefinieerd in de interne gebruikerswinkel en vindt de BYOD-omleiding plaats:
Op deze manier kunnen zakelijke gebruikers BYOD uitvoeren voor persoonlijke apparaten.
Wanneer in plaats van de interne gebruikersreferenties, de geloofsbrieven van de Gastgebruikers worden verstrekt, wordt de normale stroom voortgezet (geen BYOD).
Dit is een soortgelijke optie als de VLAN-wijziging die is geconfigureerd voor het Guest Portal in ISE versie 1.2. Hiermee kunt u activeX of een Java-applet uitvoeren, waardoor DHCP wordt geactiveerd om uit te geven en te vernieuwen. Dit is nodig wanneer CoA de verandering van VLAN voor het eindpunt teweegbrengt. Wanneer MAB wordt gebruikt, is het eindpunt zich niet bewust van een verandering van VLAN. Een mogelijke oplossing is VLAN (DHCP-release/verlenging) te wijzigen met de NAC Agent. Een andere optie is om een nieuw IP-adres aan te vragen via het applet dat op de webpagina wordt teruggestuurd. Er kan een vertraging tussen release/CoA/renew worden geconfigureerd. Deze optie wordt niet ondersteund voor mobiele apparaten.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Feb-2015 |
Eerste vrijgave |