Para parceiros
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar e solucionar problemas dessa funcionalidade. O Portal de Convidado Autorregistrado permite que os usuários convidados se registrem automaticamente junto com os funcionários para usar suas credenciais do AD para obter acesso aos recursos da rede. Este Portal permite configurar e personalizar vários recursos.
A Cisco recomenda que você tenha experiência com a configuração do ISE e conhecimento básico destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Esse cenário apresenta várias opções disponíveis para usuários convidados quando executam o autorregistro.
Aqui está o fluxo geral:
Etapa 1. Usuário convidado associado ao SSID (Service Set Identifier, Identificador do conjunto de serviços): Convidado-WiFi. Esta é uma rede aberta com filtragem de MAC com ISE para autenticação. Essa autenticação corresponde à segunda regra de autorização no ISE e o perfil de autorização é redirecionado para o Portal Autorregistrado do Convidado. O ISE retorna um RADIUS Access-Accept com dois pares cisco-av:
Etapa 2. O usuário convidado é redirecionado ao ISE. Em vez de fornecer credenciais para iniciar sessão, o utilizador clica em Registrar para Acesso de Convidado. O usuário é redirecionado para uma página onde essa conta pode ser criada. Um código de registro secreto opcional pode ser ativado a fim de limitar o privilégio de registro automático a pessoas que conhecem esse valor secreto. Depois que a conta é criada, o usuário recebe as credenciais (nome de usuário e senha) e faz login com essas credenciais.
Etapa 3. O ISE envia uma RADIUS Change of Authorization (CoA) Reauthenticate para a WLC. A WLC autentica novamente o usuário quando ele envia a solicitação de acesso RADIUS com o atributo Authorize-Only. O ISE responde com ACL Access-Accept e Airespace definidos localmente na WLC, que fornece acesso somente à Internet (o acesso final para o usuário convidado depende da política de autorização).
Note: Sessões do Extensible Authentication Protocol (EAP), o ISE deve enviar um Terminate de CoA para disparar a reautenticação porque a sessão EAP está entre o requerente e o ISE. Mas para MAB (filtragem MAC), a reautenticação de CoA é suficiente; não há necessidade de desassociar/desautenticar o cliente sem fio.
Etapa 4. O usuário convidado deseja acessar a rede.
Vários recursos adicionais, como postura e consumerização de TI (BYOD), podem ser habilitados (discutidos posteriormente).
3. Crie um tipo de convidado navegando para Centros de trabalho > Acesso para convidados > Portal e componentes > Tipos de convidados. Consulte o Grupo de Identidades do Ponto Final criado anteriormente sob este novo Tipo de Convidado e Salvar.
4. Criar um novo tipo de portal de convidado: Portal de Convidado Autorregistrado. Navegue até Centros de trabalho > Acesso para convidados > Portais para convidados.
5. Escolha o nome do portal, consulte o Tipo de Convidado criado antes e envie as configurações de notificação de credenciais em Configurações do Formulário de Registro para enviar as credenciais por e-mail.
Consulte este documento sobre como configurar o servidor SMTP no ISE:
Deixe todas as outras configurações como padrão. Em Personalização da página do portal, todas as páginas apresentadas podem ser personalizadas. Por padrão, a conta Convidado é válida por 1 dia e pode ser estendida para o número de dias configurados no Tipo de Convidado específico.
6. Configure abaixo de 2 perfis de autorização navegando até Centros de trabalho > Acesso de convidado > Elementos de política > Resultados > Perfis de autorização.
8. Navegue até Política de autorização na mesma página. Crie estas regras de autorização, como mostrado nesta imagem.
Novos usuários quando associados ao SSID do convidado ainda não fazem parte de nenhum grupo de identidade e, portanto, correspondem à segunda regra e são redirecionados para o Portal do convidado.
Depois que o usuário faz login com êxito, o ISE envia uma CoA RADIUS e a WLC executa a reautenticação. Desta vez, a primeira regra de autorização é combinada (à medida que o ponto final se torna parte do grupo de identidade de ponto final definido) e o usuário obtém Permit_internet authorization Profile.
9. Também podemos fornecer acesso temporário aos convidados usando a condição fluxo de convidado. Essa condição está verificando sessões ativas no ISE e é atribuída. Se essa sessão tiver o atributo indicando que o usuário convidado anteriormente autenticou com êxito, a condição será correspondida. Depois que o ISE recebe a mensagem de parada de contabilização de raios do Network Access Device (NAD), a sessão é encerrada e removida posteriormente. Nesse estágio, a condição Network Access:UseCase = Guest Flow não está mais satisfeita. Como resultado, todas as autenticações subsequentes desse ponto final atingem o redirecionamento de regra genérica para autenticação de convidado.
Note: De cada vez, você pode usar o acesso temporário de convidado ou o acesso permanente de convidado, mas não os dois.
Consulte este documento para obter detalhes sobre a configuração de acesso temporário e permanente do convidado ISE.
Use esta seção para confirmar se a sua configuração funciona corretamente.
3. Se houver algum problema com a senha ou com a política do usuário, navegue para Centros de Trabalho > Acesso para Convidado > Configurações > Diretiva de Nome de Usuário Convidado para alterar as configurações. Aqui está um exemplo:
4. Após a criação bem-sucedida da conta, você recebe as credenciais (senha gerada de acordo com as políticas de senha de convidado) e o usuário convidado também recebe a notificação de e-mail se ela estiver configurada:
5. Clique em Iniciar Sessão e forneça credenciais (talvez seja necessário um código de acesso adicional se configurado no Portal do Convidado; este é outro mecanismo de segurança que permite que apenas aqueles que conhecem a senha façam login).
6. Quando bem-sucedido, uma política de uso aceitável (AUP) opcional pode ser apresentada (se configurada no Portal do convidado). O usuário recebe uma opção de alteração de senha e o banner pós-login (também configurável no Portal do convidado) também pode ser exibido.
7. A última página (banner de pós-login) confirma que o acesso foi concedido:
Esta seção disponibiliza informações para a solução de problemas de configuração.
Neste estágio, o ISE apresenta esses registros em Operations > RADIUS > Live Logs, como mostrado na imagem.
Aqui está o fluxo:
Relatórios (Operações > Relatórios > Convidado > Relatório mestre de convidados) também confirmam que:
Um usuário patrocinador (com privilégios corretos) pode verificar o status atual de um usuário convidado.
Este exemplo confirma que a conta foi criada e que o usuário foi conectado ao portal:
Para cada estágio desse fluxo, diferentes opções podem ser configuradas. Tudo isso é configurado de acordo com o Portal do Convidado em Centros de Trabalho > Acesso de Convidado > Portais e Componentes > Portais de Convidado > Nome do Portal > Editar > Comportamento do Portal e Configurações de Fluxo. As configurações mais importantes incluem:
Se a opção Exigir que os convidados sejam aprovados estiver selecionada em Configurações do formulário de registro, a conta criada pelo convidado deverá ser aprovada por um patrocinador. Este recurso pode usar o e-mail para enviar uma notificação ao patrocinador (para aprovação da conta de convidado):
Se o servidor SMTP estiver configurado incorretamente, a conta não será criada:
O log do guest.log confirma que há um problema no envio da Notificação de Aprovação ao e-mail do Patrocinador, pois o servidor SMTP está configurado incorretamente:
2020-11-07 07:16:38,547 ERROR [GUEST_ACCESS_SMTP_RETRY_THREAD][] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::- An exception occurred while sending email :
javax.mail.MessagingException: Could not connect to SMTP host: outbound.cicso.com, port: 25, response: 421
2020-11-07 07:16:38,547 ERROR [https-jsse-nio-10.106.32.25-8443-exec-1][] cpm.guestaccess.apiservices.notification.NotificationService -::- sendApprovalNotification
com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: Unable to send mail. Failure occured
Quando você tiver a configuração de e-mail e servidor SMTP adequada, a conta será criada:
Depois de habilitar a opção Exigir que os convidados sejam aprovados, os campos de nome de usuário e senha serão removidos automaticamente da seção Incluir essas informações na página Êxito de registro automático. É por isso que, quando a aprovação do patrocinador é necessária, as credenciais para usuários convidados não são exibidas por padrão na página da Web que apresenta informações para mostrar que a conta foi criada. Em vez disso, eles devem ser fornecidos por SMS (Short Message Services) ou e-mail. Esta opção deve ser ativada na seção Enviar notificação de credencial mediante aprovação (marcar e-mail/SMS).
Um e-mail de notificação é entregue ao patrocinador:
O patrocinador clica no link Aprovação e faz login no portal Patrocinador e a conta é aprovada:
A partir desse ponto, o usuário convidado tem permissão para fazer login (com as credenciais recebidas por e-mail ou SMS).
Em resumo, há três endereços de e-mail usados neste fluxo:
As credenciais de convidado também podem ser fornecidas por SMS. Essas opções devem ser configuradas:
Se a opção Permitir que convidados registrem dispositivos estiver selecionada depois que um usuário convidado fizer login e aceitar o AUP, você poderá registrar dispositivos:
Observe que o dispositivo já foi adicionado automaticamente (está na lista Gerenciar dispositivos). Isso ocorre porque registrar automaticamente os dispositivos convidados foram selecionados.
Se a opção Exigir conformidade do dispositivo convidado estiver selecionada, os usuários convidados serão provisionados com um Agente que executa a postura (NAC/Web Agent) depois que eles fizerem logon e aceitarem o AUP (e, opcionalmente, executarem o registro do dispositivo). O ISE processa as regras de provisionamento do cliente para decidir qual agente deve ser provisionado. Em seguida, o agente que é executado na estação executa a postura (de acordo com as regras de postura) e envia os resultados ao ISE, que envia o CoA reautenticado para alterar o status de autorização, se necessário.
Possíveis regras de autorização podem ser semelhantes a estas:
Os primeiros novos usuários que encontram a regra Guest_Authenticate redirecionam para o portal Self Register Guest. Depois que o usuário se registra automaticamente e faz login, o CoA altera o status da autorização e o usuário recebe acesso limitado para executar postura e correção. Somente depois que o NAC Agent é provisionado e a estação está em conformidade o CoA altera o status de autorização novamente para fornecer acesso à Internet.
Problemas típicos com a postura incluem falta de regras corretas de provisionamento do cliente:
Isso também pode ser confirmado se você examinar o arquivo guest.log:
2020-11-09 09:23:32,157 ERROR [https-jsse-nio-10.106.32.25-8443-exec-7][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:guest18:- CP Response is not successful, status=NO_POLICY
Se Permitir que os funcionários usem dispositivos pessoais na opção de rede estiver selecionada, os usuários corporativos que usam este portal poderão passar pelo fluxo de BYOD e registrar dispositivos pessoais. Para usuários convidados, essa configuração não altera nada.
O que significa "funcionários que usam o portal como convidados"?
Por padrão, os portais de convidado são configurados com o repositório de identidade Guest_Portal_Sequence:
Esta é a sequência de armazenamento interno que tenta os Usuários internos primeiro (antes dos Usuários convidados) e depois as credenciais do AD. Como as configurações avançadas devem prosseguir para o próximo armazenamento na sequência quando um repositório de identidade selecionado não pode ser acessado para autenticação, um Funcionário com credenciais internas ou credenciais do AD poderá fazer login no portal.
Nesta etapa do portal do convidado, o usuário fornece credenciais definidas no repositório de Usuários internos ou no Ative Diretory e o redirecionamento de BYOD ocorre:
Dessa forma, os usuários corporativos podem executar o BYOD para dispositivos pessoais.
Quando, em vez de credenciais de Usuários internos/AD, as credenciais de Usuários convidados são fornecidas, o fluxo normal continua (sem BYOD).
Ele permite que você execute ativeX ou um miniaplicativo Java, que ativa o DHCP para liberar e renovar. Isso é necessário quando o CoA aciona a alteração da VLAN para o endpoint. Quando o MAB é usado, o endpoint não está ciente de uma alteração de VLAN. Uma solução possível é alterar a VLAN (versão/renovação do DHCP) com o NAC Agent. Outra opção é solicitar um novo endereço IP através do miniaplicativo retornado na página da Web. Um atraso entre release/CoA/renew pode ser configurado. Esta opção não é suportada para dispositivos móveis.