Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Exemplo de configuração do portal de convidado autoregistrado do ISE

Opções de download

  • PDF     (3.5 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:24 de Novembro de 2020
ID do documento:216330

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar e solucionar problemas dessa funcionalidade. O Portal de Convidado Autorregistrado permite que os usuários convidados se registrem automaticamente junto com os funcionários para usar suas credenciais do AD para obter acesso aos recursos da rede. Este Portal permite configurar e personalizar vários recursos. 

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha experiência com a configuração do ISE e conhecimento básico destes tópicos:

    • Implantações de ISE e fluxos de convidados
    • Configuração de controladores de LAN sem fio (WLC)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Microsoft Windows 10 Pro
    • Cisco WLC 5508 com versão 8.5.135.0
    • Software ISE, versão 3.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Topologia e fluxo

    Esse cenário apresenta várias opções disponíveis para usuários convidados quando executam o autorregistro.

    Aqui está o fluxo geral:

    Etapa 1. Usuário convidado associado ao SSID (Service Set Identifier, Identificador do conjunto de serviços): Convidado-WiFi. Esta é uma rede aberta com filtragem de MAC com ISE para autenticação. Essa autenticação corresponde à segunda regra de autorização no ISE e o perfil de autorização é redirecionado para o Portal Autorregistrado do Convidado. O ISE retorna um RADIUS Access-Accept com dois pares cisco-av:

    • url-redirect-acl (qual tráfego deve ser redirecionado e o nome da Access Control List (ACL) definido localmente na WLC)
    • url-redirect (onde redirecionar esse tráfego para o ISE)

    Etapa 2. O usuário convidado é redirecionado ao ISE. Em vez de fornecer credenciais para iniciar sessão, o utilizador clica em Registrar para Acesso de Convidado. O usuário é redirecionado para uma página onde essa conta pode ser criada. Um código de registro secreto opcional pode ser ativado a fim de limitar o privilégio de registro automático a pessoas que conhecem esse valor secreto. Depois que a conta é criada, o usuário recebe as credenciais (nome de usuário e senha) e faz login com essas credenciais.

    Etapa 3. O ISE envia uma RADIUS Change of Authorization (CoA) Reauthenticate para a WLC. A WLC autentica novamente o usuário quando ele envia a solicitação de acesso RADIUS com o atributo Authorize-Only. O ISE responde com ACL Access-Accept e Airespace definidos localmente na WLC, que fornece acesso somente à Internet (o acesso final para o usuário convidado depende da política de autorização).

    Note: Sessões do Extensible Authentication Protocol (EAP), o ISE deve enviar um Terminate de CoA para disparar a reautenticação porque a sessão EAP está entre o requerente e o ISE. Mas para MAB (filtragem MAC), a reautenticação de CoA é suficiente; não há necessidade de desassociar/desautenticar o cliente sem fio.

    Etapa 4. O usuário convidado deseja acessar a rede.

    Vários recursos adicionais, como postura e consumerização de TI (BYOD), podem ser habilitados (discutidos posteriormente).

    Configurar

    WLC

    1. Adicione o novo servidor RADIUS para Autenticação e Contabilidade. Navegue até Security > AAA > Radius > Authentication para habilitar RADIUS CoA (RFC 3576).

      Há uma configuração semelhante para a Contabilidade. Também é aconselhável configurar a WLC para enviar SSID no atributo Called Station ID, que permite que o ISE configure regras flexíveis com base no SSID:


    2. Na guia WLANs, crie o Wi-Fi Convidado da LAN Sem Fio (WLAN) e configure a Interface correta. Defina a segurança da Camada 2 como Nenhum com filtragem MAC. Em Servidores AAA (Security/Authentication, Authorization, and Accounting, Autenticação, Autorização e Auditoria), selecione o endereço IP do ISE para Autenticação e Contabilidade. Na guia Avançado, ative a Substituição de AAA e defina o estado de Controle de Admissão de Rede (NAC) como suporte de CoA (ISE NAC).

    3. Navegue até Security > Access Control Lists > Access Control Lists e crie duas listas de acesso:

      • GuestRedirect, que permite o tráfego que não deve ser redirecionado e redireciona todo o tráfego restante
      • Internet, que é negada para redes corporativas e permitida para todas as outras


      Este é um exemplo para a ACL GuestRedirect (precisa excluir o tráfego de/para o ISE do redirecionamento):

    ISE

    1. Adicione a WLC como um dispositivo de acesso à rede de Centros de Trabalho > Acesso para Convidado > Dispositivos de Rede.
    2. Criar Grupo de Identidades do Ponto Final. Navegue até Centros de trabalho > Acesso de convidado > Grupos de identidade > Grupos de identidade de endpoint.

    3. Crie um tipo de convidado navegando para Centros de trabalho > Acesso para convidados > Portal e componentes > Tipos de convidados. Consulte o Grupo de Identidades do Ponto Final criado anteriormente sob este novo Tipo de Convidado e Salvar.

    4. Criar um novo tipo de portal de convidado: Portal de Convidado Autorregistrado. Navegue até Centros de trabalho > Acesso para convidados > Portais para convidados.

    5. Escolha o nome do portal, consulte o Tipo de Convidado criado antes e envie as configurações de notificação de credenciais em Configurações do Formulário de Registro para enviar as credenciais por e-mail.

    Consulte este documento sobre como configurar o servidor SMTP no ISE:

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise.html

    Deixe todas as outras configurações como padrão. Em Personalização da página do portal, todas as páginas apresentadas podem ser personalizadas. Por padrão, a conta Convidado é válida por 1 dia e pode ser estendida para o número de dias configurados no Tipo de Convidado específico.

    6. Configure abaixo de 2 perfis de autorização navegando até Centros de trabalho > Acesso de convidado > Elementos de política > Resultados > Perfis de autorização.

    • Portal do convidado (com redirecionamento para o portal do convidado Cisco_Guest e uma ACL de redirecionamento chamada GuestRedirect). Esta ACL de GuestRedirect foi criada anteriormente na WLC.



    • Permit_Internet (com ACL do Airespace igual à Internet)


      7. Modificar Conjunto de Políticas chamado Padrão. O conjunto de políticas padrão é pré-configurado para acesso ao portal de convidado. Uma política de autenticação chamada MAB está presente, o que permite que a autenticação MAC Authentication Bypass (MAB) continue (não rejeite) para endereço Mac desconhecido.

    8. Navegue até Política de autorização na mesma página. Crie estas regras de autorização, como mostrado nesta imagem.

    Novos usuários quando associados ao SSID do convidado ainda não fazem parte de nenhum grupo de identidade e, portanto, correspondem à segunda regra e são redirecionados para o Portal do convidado.

    Depois que o usuário faz login com êxito, o ISE envia uma CoA RADIUS e a WLC executa a reautenticação. Desta vez, a primeira regra de autorização é combinada (à medida que o ponto final se torna parte do grupo de identidade de ponto final definido) e o usuário obtém Permit_internet authorization Profile.

    9. Também podemos fornecer acesso temporário aos convidados usando a condição fluxo de convidado. Essa condição está verificando sessões ativas no ISE e é atribuída. Se essa sessão tiver o atributo indicando que o usuário convidado anteriormente autenticou com êxito, a condição será correspondida. Depois que o ISE recebe a mensagem de parada de contabilização de raios do Network Access Device (NAD), a sessão é encerrada e removida posteriormente. Nesse estágio, a condição Network Access:UseCase = Guest Flow não está mais satisfeita. Como resultado, todas as autenticações subsequentes desse ponto final atingem o redirecionamento de regra genérica para autenticação de convidado.

    Note: De cada vez, você pode usar o acesso temporário de convidado ou o acesso permanente de convidado, mas não os dois.

    Consulte este documento para obter detalhes sobre a configuração de acesso temporário e permanente do convidado ISE.

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200273-Configure-ISE-Guest-Temporary-and-Perman.html

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    1. Depois de se associar ao SSID do convidado e digitar um URL, você será redirecionado para a página Portal do convidado, como mostrado na imagem.

    2. Como você ainda não tem credenciais, escolha a opção Registrar para acesso de convidado. Você receberá o formulário de registro para criar a conta. Se a opção Registration Code (Código de registro) foi ativada na configuração do Portal do Convidado, esse valor secreto é necessário (isso garante que somente as pessoas com permissões corretas tenham permissão para se registrar automaticamente).

      

    3. Se houver algum problema com a senha ou com a política do usuário, navegue para Centros de Trabalho > Acesso para Convidado > Configurações > Diretiva de Nome de Usuário Convidado para alterar as configurações. Aqui está um exemplo:



    4. Após a criação bem-sucedida da conta, você recebe as credenciais (senha gerada de acordo com as políticas de senha de convidado) e o usuário convidado também recebe a notificação de e-mail se ela estiver configurada:



    5. Clique em Iniciar Sessão e forneça credenciais (talvez seja necessário um código de acesso adicional se configurado no Portal do Convidado; este é outro mecanismo de segurança que permite que apenas aqueles que conhecem a senha façam login).


    6. Quando bem-sucedido, uma política de uso aceitável (AUP) opcional pode ser apresentada (se configurada no Portal do convidado). O usuário recebe uma opção de alteração de senha e o banner pós-login (também configurável no Portal do convidado) também pode ser exibido.


    7. A última página (banner de pós-login) confirma que o acesso foi concedido:

    Troubleshoot

    Esta seção disponibiliza informações para a solução de problemas de configuração.

    Neste estágio, o ISE apresenta esses registros em Operations > RADIUS > Live Logs, como mostrado na imagem.

    Aqui está o fluxo:

    • O usuário convidado encontra a segunda regra de autorização (Wifi_Redirect_to_Guest_Portal) e é redirecionado para o Portal do Convidado (Autenticação bem-sucedida).

    • O convidado é redirecionado para registro automático. Após o login com êxito (com a conta recém-criada), o ISE envia a CoA Reauthenticate, confirmada pela WLC (Dynamic Authorization bem-sucedida).

    • A WLC executa a reautenticação com o atributo Authorize-Only e o nome da ACL é retornado (Authorize-Only bem-sucedido). O convidado recebe o acesso correto à rede.

    Relatórios (Operações > Relatórios > Convidado > Relatório mestre de convidados) também confirmam que:

    Um usuário patrocinador (com privilégios corretos) pode verificar o status atual de um usuário convidado.

    Este exemplo confirma que a conta foi criada e que o usuário foi conectado ao portal:

    Configuração opcional

    Para cada estágio desse fluxo, diferentes opções podem ser configuradas. Tudo isso é configurado de acordo com o Portal do Convidado em Centros de Trabalho > Acesso de Convidado > Portais e Componentes > Portais de Convidado > Nome do Portal > Editar > Comportamento do Portal e Configurações de Fluxo. As configurações mais importantes incluem:

    Configurações de autorregistro

    • Tipo de convidado - Descreve por quanto tempo a conta está ativa, as opções de expiração de senha, as horas de logon e as opções (isso é uma mistura de Perfil de hora e Função de convidado)
    • Código de registro - Se habilitado, somente os usuários que sabem o código secreto têm permissão para se registrar (devem fornecer a senha quando a conta é criada)
    • AUP - Aceitar a política de uso durante o autorregistro
    • O requisito para que o patrocinador aprove/ative a conta de convidado.

    Configurações do convidado de login

    • Código de acesso - Se habilitado, somente usuários convidados que conhecem o código secreto têm permissão para fazer logon.
    • AUP - Aceite a política de uso durante o autorregistro.
    • Opção de alteração de senha.

    Configurações de registro do dispositivo

    • Por padrão, o dispositivo é registrado automaticamente.

    Configurações de conformidade do dispositivo convidado

    • Permite uma postura dentro do fluxo.

    Configurações de BYOD

    • Permite que usuários corporativos que usam o portal como convidados registrem seus dispositivos pessoais.

    Contas aprovadas pelo patrocinador

    Se a opção Exigir que os convidados sejam aprovados estiver selecionada em Configurações do formulário de registro, a conta criada pelo convidado deverá ser aprovada por um patrocinador. Este recurso pode usar o e-mail para enviar uma notificação ao patrocinador (para aprovação da conta de convidado):

    Se o servidor SMTP estiver configurado incorretamente, a conta não será criada:

    O log do guest.log confirma que há um problema no envio da Notificação de Aprovação ao e-mail do Patrocinador, pois o servidor SMTP está configurado incorretamente:

    2020-11-07 07:16:38,547 ERROR [GUEST_ACCESS_SMTP_RETRY_THREAD][] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::- An exception occurred while sending email : 
    javax.mail.MessagingException: Could not connect to SMTP host: outbound.cicso.com, port: 25, response: 421

    2020-11-07 07:16:38,547 ERROR [https-jsse-nio-10.106.32.25-8443-exec-1][] cpm.guestaccess.apiservices.notification.NotificationService -::- sendApprovalNotification
    com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: Unable to send mail. Failure occured

    Quando você tiver a configuração de e-mail e servidor SMTP adequada, a conta será criada:

    Depois de habilitar a opção Exigir que os convidados sejam aprovados, os campos de nome de usuário e senha serão removidos automaticamente da seção Incluir essas informações na página Êxito de registro automático. É por isso que, quando a aprovação do patrocinador é necessária, as credenciais para usuários convidados não são exibidas por padrão na página da Web que apresenta informações para mostrar que a conta foi criada. Em vez disso, eles devem ser fornecidos por SMS (Short Message Services) ou e-mail. Esta opção deve ser ativada na seção Enviar notificação de credencial mediante aprovação (marcar e-mail/SMS).

    Um e-mail de notificação é entregue ao patrocinador:

    O patrocinador clica no link Aprovação e faz login no portal Patrocinador e a conta é aprovada:

    A partir desse ponto, o usuário convidado tem permissão para fazer login (com as credenciais recebidas por e-mail ou SMS).

    Em resumo, há três endereços de e-mail usados neste fluxo:

    • Endereço "De" da notificação. Isso é definido estaticamente ou retirado da conta do patrocinador e usado como o endereço De para ambos: notificação ao patrocinador (para aprovação) e detalhes da credencial ao convidado. Isso é configurado em Centros de trabalho > Acesso de convidado > Configurações > Configurações de e-mail de convidado.

    • Endereço "Para" da notificação. Isso é usado para notificar ao patrocinador que ele recebeu uma conta para aprovação. Isso é configurado no Portal do Convidado em Centros de Trabalho > Acesso de Convidado > Portais e Componentes > Nome do Portal > Configurações do Formulário de Registro > Solicitar aprovação de convidados > Solicitação de aprovação por e-mail para.

    • Endereço "Para" do convidado. Isso é fornecido pelo usuário convidado durante o registro. Se Enviar notificação de credencial após aprovação usando Email estiver selecionado, o e-mail com detalhes da credencial (nome de usuário e senha) será entregue ao convidado.

    Fornecer credenciais via SMS

    As credenciais de convidado também podem ser fornecidas por SMS. Essas opções devem ser configuradas:

    1. Escolha o provedor de serviços SMS em Registration Form Settings:

    2. Verifique a opção Enviar notificação de credencial mediante aprovação usando: Caixa de seleção SMS.
    3. Em seguida, o usuário convidado é solicitado a escolher o provedor disponível ao criar uma conta:



    4. Um SMS é entregue com o provedor escolhido e o número de telefone:

    5. Você pode configurar SMS Providers em Administration > System > Settings > SMS Gateway.

    Registro do dispositivo

    Se a opção Permitir que convidados registrem dispositivos estiver selecionada depois que um usuário convidado fizer login e aceitar o AUP, você poderá registrar dispositivos:

    Observe que o dispositivo já foi adicionado automaticamente (está na lista Gerenciar dispositivos). Isso ocorre porque registrar automaticamente os dispositivos convidados foram selecionados.

    Postura

    Se a opção Exigir conformidade do dispositivo convidado estiver selecionada, os usuários convidados serão provisionados com um Agente que executa a postura (NAC/Web Agent) depois que eles fizerem logon e aceitarem o AUP (e, opcionalmente, executarem o registro do dispositivo). O ISE processa as regras de provisionamento do cliente para decidir qual agente deve ser provisionado. Em seguida, o agente que é executado na estação executa a postura (de acordo com as regras de postura) e envia os resultados ao ISE, que envia o CoA reautenticado para alterar o status de autorização, se necessário.

    Possíveis regras de autorização podem ser semelhantes a estas:

    Os primeiros novos usuários que encontram a regra Guest_Authenticate redirecionam para o portal Self Register Guest. Depois que o usuário se registra automaticamente e faz login, o CoA altera o status da autorização e o usuário recebe acesso limitado para executar postura e correção. Somente depois que o NAC Agent é provisionado e a estação está em conformidade o CoA altera o status de autorização novamente para fornecer acesso à Internet.

    Problemas típicos com a postura incluem falta de regras corretas de provisionamento do cliente:

    Isso também pode ser confirmado se você examinar o arquivo guest.log:

    2020-11-09 09:23:32,157 ERROR [https-jsse-nio-10.106.32.25-8443-exec-7][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:guest18:- CP Response is not successful, status=NO_POLICY

    BYOD

    Se Permitir que os funcionários usem dispositivos pessoais na opção de rede estiver selecionada, os usuários corporativos que usam este portal poderão passar pelo fluxo de BYOD e registrar dispositivos pessoais. Para usuários convidados, essa configuração não altera nada.

    O que significa "funcionários que usam o portal como convidados"?

    Por padrão, os portais de convidado são configurados com o repositório de identidade Guest_Portal_Sequence:

     Esta é a sequência de armazenamento interno que tenta os Usuários internos primeiro (antes dos Usuários convidados) e depois as credenciais do AD. Como as configurações avançadas devem prosseguir para o próximo armazenamento na sequência quando um repositório de identidade selecionado não pode ser acessado para autenticação, um Funcionário com credenciais internas ou credenciais do AD poderá fazer login no portal.

    Nesta etapa do portal do convidado, o usuário fornece credenciais definidas no repositório de Usuários internos ou no Ative Diretory e o redirecionamento de BYOD ocorre:

    Dessa forma, os usuários corporativos podem executar o BYOD para dispositivos pessoais.

    Quando, em vez de credenciais de Usuários internos/AD, as credenciais de Usuários convidados são fornecidas, o fluxo normal continua (sem BYOD).

    Alteração de VLAN

    Ele permite que você execute ativeX ou um miniaplicativo Java, que ativa o DHCP para liberar e renovar. Isso é necessário quando o CoA aciona a alteração da VLAN para o endpoint. Quando o MAB é usado, o endpoint não está ciente de uma alteração de VLAN. Uma solução possível é alterar a VLAN (versão/renovação do DHCP) com o NAC Agent. Outra opção é solicitar um novo endereço IP através do miniaplicativo retornado na página da Web. Um atraso entre release/CoA/renew pode ser configurado. Esta opção não é suportada para dispositivos móveis.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Michal Garcarz
      Cisco TAC Engineer
    • Nicholas Darchis
      Cisco TAC Engineer
    • Poonam Garg
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos