Solucionar problemas comuns de acesso de convidado do Cisco ISE

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (764.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de Novembro de 2020
ID do documento:216191

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como solucionar problemas comuns de convidados na implantação. Ele discute brevemente como isolar o problema, verificações comuns para executar e soluções simples para tentar.

    Pré-requisito 

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • configuração de convidado ISE
    • Configuração de CoA em Network Access Devices (NAD)
    • São necessárias ferramentas de captura nas estações de trabalho.

    Componentes Utilizados

    As informações neste documento são baseadas em Cisco ISE, versão 2.6 e:

    • WLC 5500
    • Catalyst Switch 3850 versão 15.x
    • estação de trabalho Windows 10

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Fluxo do convidado

    A visão geral do fluxo de convidados é semelhante às configurações com ou sem fio. Essa imagem do diagrama de fluxo pode ser usada como referência em todo o documento. Ele ajuda a visualizar a etapa de solução de problemas e a entidade.

    O fluxo também pode ser seguido em registros ao vivo do ISE [Operations > RADIUS Live Logs] filtrando o ID do ponto final:

    • Autenticação MAB bem-sucedida- o campo nome de usuário tem o endereço MAC- URL é enviado para o NAD - O usuário recebe o portal
    • Autenticação de convidado bem-sucedida - o campo nome de usuário tem o nome de usuário convidado, ele foi identificado como GuestType_Daily (ou o tipo configurado para o usuário convidado)
    • CoA iniciado - o campo nome de usuário está em branco, o relatório detalhado mostra a autorização dinâmica bem-sucedida
    • Acesso de convidado fornecido

    A sequência de eventos na imagem (de baixo para cima)

    Guias comuns de implantação

    Aqui estão alguns links para assistência à configuração. Para qualquer solução de problemas de caso de uso específico, ele ajuda a conhecer a configuração ideal ou esperada.

    Problemas encontrados com frequência

    Este documento aborda principalmente estes problemas:

    O redirecionamento para o portal do convidado não funciona

    Depois que o URL de redirecionamento e a ACL forem enviados do ISE, verifique os seguintes itens:

    1. Status do cliente no switch (se o acesso de convidado com fio) com o comando show authentication session int <interface> details:

    2. Status do cliente no Controlador de LAN sem fio (se o acesso de convidado sem fio): Monitor > Cliente > Endereço MAC

    3. Acessibilidade do ponto final ao ISE na porta TCP 8443 com a ajuda do prompt de comando: C:\Users\sotumu>telnet <ISE-IP> 8443

    4. Se o URL de redirecionamento do portal tiver um FQDN, verifique se o cliente pode resolver a partir do prompt de comando: C:\Users\sotumu>nslookup guest.ise.com

    5. Na configuração de conexão flexível, certifique-se de que o mesmo nome de ACL esteja configurado em ACL e ACLs flex. Além disso, verifique se a ACL está mapeada para os APs. Consulte o guia de configuração da seção anterior - Etapas 7 b e c para obter mais informações.

    6. Pegue uma captura de pacote do cliente e verifique o redirecionamento. O pacote HTTP/1.1 302 Página Movida é para indicar que o WLC/Switch redirecionou o site acessado (por exemplo, google.com) para o portal convidado do ISE (URL redirecionado):

    7. O mecanismo HTTP(s) está ativado nos dispositivos de acesso à rede:

    No switch:

    Na WLC:

     8. Se a WLC estiver em uma configuração de âncora externa, verifique os seguintes itens:   

        Etapa 1. O status do cliente deve ser o mesmo em ambas as WLCs.

        Etapa 2. O URL de redirecionamento deve ser visto em ambas as WLCs.

        Etapa 3. A Contabilidade RADIUS deve ser desabilitada na WLC âncora.

    Falha na autorização dinâmica

    Se o usuário final puder acessar o portal do convidado e fazer login com êxito, a próxima etapa será uma alteração de autorização para fornecer acesso completo ao usuário. Se isso não funcionar, uma falha de autorização dinâmica aparecerá nos registros ao vivo do ISE Radius. Para corrigir o problema, verifique os seguintes itens:

    1. A alteração de autorização (CoA) deve ser habilitada/configurada no NAD:

     2. A porta UDP 1700 deve ser permitida no firewall.

    3. O estado NAC na WLC está incorreto. Em Advanced settings on WLC GUI > WLAN - altere o estado do NAC para ISE NAC.

    Notificações SMS/EMAIL não enviadas

    1. Verifique a configuração SMTP em Administration > System > Settings > SMTP.

    2. Verifique a API para gateways SMS/Email fora do ISE: 

    Teste a(s) URL(s) fornecida(s) pelo fornecedor em um cliente API ou em um navegador, substitua as variáveis como nomes de usuário, senhas, números de celular e teste a acessibilidade. [Administração > Sistema > Configurações > Gateways SMS]

    Como alternativa, se você estiver testando os grupos patrocinadores do ISE [Workcenters > Acesso para Convidado > Portais e Componentes > Tipos de Convidado], faça uma captura de pacote no ISE e no gateway SMS/SMTP para verificar se

    1. O pacote de solicitação alcança o servidor sem adulteração.
    2. O servidor ISE tem as permissões/privilégios recomendados pelo fornecedor para que o gateway processe essa solicitação.

    A página Gerenciar contas não está acessível

    1. Em Centros de trabalho > Acesso de convidado > Gerenciar contas, o botão redireciona para o FQDN do ISE na porta 9002, para que o administrador do ISE acesse o portal do patrocinador:

    2. Verifique se o FQDN é resolvido pela estação de trabalho a partir da qual o Portal do Patrocinador está sendo acessado com o comando nslookup <FQDN do ISE PAN>.

    3. Verifique se a porta TCP ISE 9002 está aberta na CLI do ISE com o comando show ports | inclui o 9002.

    Práticas recomendadas de certificado do portal

    • Para uma experiência de usuário perfeita, o certificado usado para portais e funções de administrador deve ser assinado por autoridades públicas de certificado conhecidas (por exemplo: GoDaddy, DigiCert, VeriSign, etc.), geralmente confiável por navegadores (exemplo: Google Chrome, Firefox, etc.).

    • Não é recomendável usar IP estático para redirecionamento de convidado, pois isso torna o IP privado do ISE visível para todos os usuários. A maioria dos fornecedores não fornece certificados assinados por terceiros para IP privado.

    • Quando você muda do ISE 2.4 p6 para p8 ou p9, há um bug conhecido: CSCvp75207, em que as Caixas Trust for authentication in ISE and Trust for client authentication e Syslog devem ser marcadas manualmente após a atualização do patch. Isso garante que o ISE envie toda a cadeia de certificados para o fluxo TLS ao acessar o portal do convidado.

    Se essas ações não resolverem problemas de acesso de convidado, entre em contato com o TAC com um pacote de suporte coletado com instruções do documento: Depurações a ativar no ISE.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Sowmya Bhargavi
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos