Solucionar problemas comuns de acesso de convidado do Cisco ISE

Introduction

Este documento descreve como solucionar problemas comuns de convidados na implantação. Ele discute brevemente como isolar o problema, verificações comuns para executar e soluções simples para tentar.

Pré-requisito 

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• configuração de convidado ISE
• Configuração de CoA em Network Access Devices (NAD)
• São necessárias ferramentas de captura nas estações de trabalho.

Componentes usados

As informações neste documento são baseadas em Cisco ISE, versão 2.6 e:

• WLC 5500
• Catalyst Switch 3850 versão 15.x
• estação de trabalho Windows 10

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Fluxo do convidado

A visão geral do fluxo de convidados é semelhante às configurações com ou sem fio. Essa imagem do diagrama de fluxo pode ser usada como referência em todo o documento. Ele ajuda a visualizar a etapa de solução de problemas e a entidade.

O fluxo também pode ser seguido em registros ao vivo do ISE [Operations > RADIUS Live Logs] filtrando o ID do ponto final:

• Autenticação MAB bem-sucedida- o campo nome de usuário tem o endereço MAC- URL é enviado para o NAD - O usuário recebe o portal
• Autenticação de convidado bem-sucedida - o campo nome de usuário tem o nome de usuário convidado, ele foi identificado como GuestType_Daily (ou o tipo configurado para o usuário convidado)
• CoA iniciado - o campo nome de usuário está em branco, o relatório detalhado mostra a autorização dinâmica bem-sucedida
• Acesso de convidado fornecido

A sequência de eventos na imagem (de baixo para cima)

Guias comuns de implantação

Aqui estão alguns links para assistência à configuração. Para qualquer solução de problemas de caso de uso específico, ele ajuda a conhecer a configuração ideal ou esperada.

• Configuração de convidado com fio
• Configuração de convidado sem fio
• CWA sem fio para convidados com APs FlexAuth

Problemas encontrados com frequência

Este documento aborda principalmente estes problemas:

O redirecionamento para o portal do convidado não funciona

Depois que o URL de redirecionamento e a ACL forem enviados do ISE, verifique os seguintes itens:

1. Status do cliente no switch (se o acesso de convidado com fio) com o comando show authentication session int <interface> details:

2. Status do cliente no Controlador de LAN sem fio (se o acesso de convidado sem fio): Monitor > Cliente > Endereço MAC

3. Acessibilidade do ponto final ao ISE na porta TCP 8443 com a ajuda do prompt de comando: C:\Users\sotumu>telnet <ISE-IP> 8443

4. Se o URL de redirecionamento do portal tiver um FQDN, verifique se o cliente pode resolver a partir do prompt de comando: C:\Users\sotumu>nslookup guest.ise.com

5. Na configuração de conexão flexível, certifique-se de que o mesmo nome de ACL esteja configurado em ACL e ACLs flex. Além disso, verifique se a ACL está mapeada para os APs. Consulte o guia de configuração da seção anterior - Etapas 7 b e c para obter mais informações.

6. Pegue uma captura de pacote do cliente e verifique o redirecionamento. O pacote HTTP/1.1 302 Página Movida é para indicar que o WLC/Switch redirecionou o site acessado (por exemplo, google.com) para o portal convidado do ISE (URL redirecionado):

7. O mecanismo HTTP(s) está ativado nos dispositivos de acesso à rede:

No switch:

Na WLC:

 8. Se a WLC estiver em uma configuração de âncora externa, verifique os seguintes itens:   

    Etapa 1. O status do cliente deve ser o mesmo em ambas as WLCs.

    Etapa 2. O URL de redirecionamento deve ser visto em ambas as WLCs.

    Etapa 3. A Contabilidade RADIUS deve ser desabilitada na WLC âncora.

Falha na autorização dinâmica

Se o usuário final puder acessar o portal do convidado e fazer login com êxito, a próxima etapa será uma alteração de autorização para fornecer acesso completo ao usuário. Se isso não funcionar, uma falha de autorização dinâmica aparecerá nos registros ao vivo do ISE Radius. Para corrigir o problema, verifique os seguintes itens:

1. A alteração de autorização (CoA) deve ser habilitada/configurada no NAD:

 2. A porta UDP 1700 deve ser permitida no firewall.

3. O estado NAC na WLC está incorreto. Em Advanced settings on WLC GUI > WLAN - altere o estado do NAC para ISE NAC.

Notificações SMS/EMAIL não enviadas

1. Verifique a configuração SMTP em Administration > System > Settings > SMTP.

2. Verifique a API para gateways SMS/Email fora do ISE: 

Teste a(s) URL(s) fornecida(s) pelo fornecedor em um cliente API ou em um navegador, substitua as variáveis como nomes de usuário, senhas, números de celular e teste a acessibilidade. [Administração > Sistema > Configurações > Gateways SMS]

Como alternativa, se você estiver testando os grupos patrocinadores do ISE [Workcenters > Acesso para Convidado > Portais e Componentes > Tipos de Convidado], faça uma captura de pacote no ISE e no gateway SMS/SMTP para verificar se

1. O pacote de solicitação alcança o servidor sem adulteração.
2. O servidor ISE tem as permissões/privilégios recomendados pelo fornecedor para que o gateway processe essa solicitação.

A página Gerenciar contas não está acessível

1. Em Centros de trabalho > Acesso de convidado > Gerenciar contas, o botão redireciona para o FQDN do ISE na porta 9002, para que o administrador do ISE acesse o portal do patrocinador:

2. Verifique se o FQDN é resolvido pela estação de trabalho a partir da qual o Portal do Patrocinador está sendo acessado com o comando nslookup <FQDN do ISE PAN>.

3. Verifique se a porta TCP ISE 9002 está aberta na CLI do ISE com o comando show ports | inclui o 9002.

Práticas recomendadas de certificado do portal

• Para uma experiência de usuário perfeita, o certificado usado para portais e funções de administrador deve ser assinado por autoridades públicas de certificado conhecidas (por exemplo: GoDaddy, DigiCert, VeriSign, etc.), geralmente confiável por navegadores (exemplo: Google Chrome, Firefox, etc.).
  
  
• Não é recomendável usar IP estático para redirecionamento de convidado, pois isso torna o IP privado do ISE visível para todos os usuários. A maioria dos fornecedores não fornece certificados assinados por terceiros para IP privado.
  
  
• Quando você muda do ISE 2.4 p6 para p8 ou p9, há um bug conhecido: CSCvp75207, em que as Caixas Trust for authentication in ISE and Trust for client authentication e Syslog devem ser marcadas manualmente após a atualização do patch. Isso garante que o ISE envie toda a cadeia de certificados para o fluxo TLS ao acessar o portal do convidado.

Se essas ações não resolverem problemas de acesso de convidado, entre em contato com o TAC com um pacote de suporte coletado com instruções do documento: Depurações a ativar no ISE.