Konfigurieren von temporärem und permanentem ISE-Gastzugriff

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.3 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. November 2015
Dokument-ID:200273

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.


Einleitung

In diesem Dokument werden verschiedene Methoden für die Konfiguration des Identity Services Engine (ISE)-Gastzugriffs beschrieben. Auf der Grundlage unterschiedlicher Bedingungen in den Genehmigungsvorschriften:

  • permanenter Zugriff auf das Netzwerk möglich (keine nachträgliche Authentisierung erforderlich)
  • Temporärer Zugriff auf das Netzwerk möglich (Gastauthentifizierung nach Ablauf der Sitzung erforderlich)

Darüber hinaus wird das spezifische Verhalten des Wireless LAN Controllers (WLC) zum Entfernen von Sitzungen in Verbindung mit dem Szenario "Auswirkungen auf temporären Zugriff" erläutert.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • ISE-Bereitstellungen und Gast-Flows
  • Konfiguration von Wireless LAN Controllern (WLCs)

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Microsoft Windows 7
  • Cisco WLC Version 7.6 und höher
  • ISE-Software, Version 1.3 und höher

Konfigurieren

Eine grundlegende Konfiguration des Gastzugriffs finden Sie in den Referenzen mit Konfigurationsbeispielen. Dieser Artikel behandelt die Konfiguration von Autorisierungsregeln und die Unterschiede in den Autorisierungsbedingungen.

Netzwerkdiagramm

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

Permanenter Zugriff

Nach erfolgreicher Authentifizierung im Gastportal mit aktivierter Geräteregistrierung für ISE Version 1.3 und höher

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

Endgerät (MAC-Adresse) wird statisch in einer bestimmten Endgerätegruppe registriert (in diesem Beispiel GuestEndpoints).

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

Diese Gruppe wird vom Gasttyp des Benutzers abgeleitet, wie in diesem Bild dargestellt.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

Wenn es sich um einen Benutzer des Unternehmens (anderer Identitätsspeicher als Gast) handelt, wird diese Einstellung von den Portaleinstellungen abgeleitet.

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

Daher gehört die MAC-Adresse, die dem Gast zugeordnet ist, immer zu dieser spezifischen Identitätsgruppe. Das kann nicht automatisch geändert werden (z.B. durch den Profiler Service).

Hinweis: Zum Anwenden der Profilerergebnisse kann die EndPointPolicy-Autorisierungsbedingung verwendet werden.

Da das Gerät immer zu einer bestimmten Endpunkt-Identitätsgruppe gehört, können Autorisierungsregeln erstellt werden, die auf dieser Gruppe basieren (siehe Abbildung).

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

Wenn ein Benutzer nicht authentifiziert wird, stimmt die Autorisierung mit der generischen Regel RedirectToPortal überein. Nach der Umleitung zum Gastportal und der Authentifizierung wird der Endpunkt in die spezifische Endpunkt-Identitätsgruppe eingefügt. Das wird von der ersten, spezifischeren Bedingung verwendet. Alle nachfolgenden Authentifizierungen dieses Endpunkts erfolgen über die erste Autorisierungsregel, und der Benutzer erhält vollständigen Netzwerkzugriff, ohne sich im Gastportal erneut authentifizieren zu müssen.

Löschen von Endpunkten für Gastkonten

Diese Situation könnte ewig dauern. In ISE 1.3 wurde jedoch die Funktion zum Entfernen von Endpunkten eingeführt. Mit der Standardkonfiguration.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

Alle für die Gastauthentifizierung verwendeten Endpunkte werden nach 30 Tagen entfernt (nach der Endpunkterstellung). Als Ergebnis in der Regel nach 30 Tagen Gastbenutzer versucht, auf das Netzwerk zuzugreifen, trifft RedirectToPortal Autorisierungsregel und wird zur Authentifizierung umgeleitet.

Hinweis: Die Funktion zum Löschen von Endpunkten ist unabhängig von den Richtlinien zum Löschen von Gastkonten und zum Ablauf von Gastkonten.

Hinweis: In ISE 1.2 konnten Endpunkte nur dann automatisch entfernt werden, wenn die internen Warteschlangenbeschränkungen für Profiler erreicht wurden. Dann werden die zuletzt verwendeten Endpunkte entfernt.

Temporärer Zugriff

Eine weitere Methode für den Gastzugriff ist die Verwendung der Guest Flow-Bedingung.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

Dabei werden aktive Sitzungen auf der ISE und deren Attribute geprüft. Wenn diese Sitzung über das Attribut verfügt, das angibt, dass der zuvor authentifizierte Gastbenutzer erfolgreich authentifiziert wurde, wird die Bedingung abgeglichen. Nachdem die ISE die RADIUS Accounting Stopp-Nachricht vom Netzwerkzugriffsgerät (Network Access Device, NAD) erhalten hat, wird die Sitzung beendet und später entfernt. Zu diesem Zeitpunkt ist die Bedingung "Network Access:UseCase = Guest Flow" nicht mehr erfüllt. Als Ergebnis treffen alle nachfolgenden Authentifizierungen dieses Endpunkts auf die generische Regelumleitung für die Gastauthentifizierung.

Hinweis: Gastdatenfluss wird nicht unterstützt, wenn der Benutzer über das HotSpot-Portal authentifiziert wird. In diesen Szenarien wird das UseCase-Attribut auf "Host Lookup" anstelle von "Guest Flow" festgelegt.

WLC-Trennungsverhalten

Nachdem die Clients die Verbindung zum Wireless-Netzwerk getrennt haben (z. B. mit der Verbindungstrenntaste in Windows), wird ein Deauthentifizierungs-Frame gesendet. Dies wird jedoch vom WLC ausgelassen und kann mit "debug client xxxx" bestätigt werden - WLC zeigt keine Debugs an, wenn der Client die Verbindung zum WLAN trennt. Als Ergebnis auf dem Windows-Client:

  • ip address wird von der Schnittstelle entfernt
  • Schnittstelle befindet sich im Status: Medium nicht verbunden

Auf dem WLC ist der Status jedoch unverändert (Client befindet sich noch im RUN-Status).

Geplantes Design für WLC; Sitzung wird entfernt, wenn

  • Timeout-Treffer bei Leerlauf
  • Sitzungs-Timeout-Treffer 
  • Wenn Sie L2-Verschlüsselung verwenden, wird beim Erreichen des Gruppenschlüsseldrehungsintervalls
  • Anderes bewirkt, dass der AP/WLC den Client abschaltet (z. B. AP-Funkrücksetzung, Abschaltung des WLAN usw.).

Mit diesem Verhalten und temporäre Zugriffskonfiguration nach dem Benutzer trennt sich von WLAN-Sitzung nicht von der ISE entfernt, weil WLC hat nie gelöscht (und nie gesendet Radius Accounting Stopp). Wenn die Sitzung nicht entfernt wird, speichert die ISE die alte Sitzung weiterhin, und die Bedingung für den Gastdatenfluss ist erfüllt. Nach dem Trennen und erneuten Herstellen der Verbindung hat der Benutzer vollen Netzwerkzugriff, ohne sich erneut authentifizieren zu müssen.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

Wenn der Benutzer jedoch nach dem Trennen eine Verbindung mit einem anderen WLAN herstellt, beschließt der WLC, die alte Sitzung zu löschen. Radius Accounting Stopp wird gesendet, und die ISE entfernt die Sitzung. Wenn der Client versucht, eine Verbindung zum ursprünglichen WLAN herzustellen, ist der Gastdatenfluss nicht erfüllt, und der Benutzer wird zur Authentifizierung umgeleitet.

Hinweis: Der mit Management Frame Protection (MFP) konfigurierte WLC akzeptiert einen verschlüsselten Deauthentifizierungs-Frame vom CCXv5-MFP-Client.

Überprüfung

Permanenter Zugriff

Nach der Umleitung zum Gastportal und der erfolgreichen Authentifizierung sendet die ISE eine Autorisierungsänderung (Change of Authorization, CoA), um eine erneute Authentifizierung auszulösen. Daher wird eine neue MAB-Sitzung (MAC Authentication Bypass) erstellt. Dieser Endpunkt gehört zur Identitätsgruppe "GuestEndpoints" und gleicht die Regel ab, die vollständigen Zugriff ermöglicht.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

In diesem Stadium kann der Wireless-Benutzer die Verbindung trennen, eine Verbindung mit verschiedenen WLANs herstellen und dann die Verbindung wiederherstellen. Bei all diesen nachfolgenden Authentifizierungen wird die Identität auf Grundlage der MAC-Adresse verwendet. Die erste Regel wird jedoch getroffen, da der Endpunkt zu einer bestimmten Identitätsgruppe gehört. Vollständiger Netzwerkzugriff ohne Gastauthentifizierung

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

Temporärer Zugriff

Im zweiten Szenario (mit einer Bedingung, die auf einem Gastdatenfluss basiert) beginnt alles genauso.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

Nachdem die Sitzung jedoch für alle nachfolgenden Authentifizierungen entfernt wurde, trifft der Gast die generische Regel und wird erneut zur Gastauthentifizierung umgeleitet.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

Die Bedingung für den Gastdatenfluss ist erfüllt, wenn die richtigen Attribute für die Sitzung vorhanden sind. Dies lässt sich anhand der Endgeräteattribute überprüfen. Das Ergebnis einer erfolgreichen Gastauthentifizierung wird angezeigt.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

Fehler

CSCuu4157 ISE ENH CoA beendet das Senden bei Entfernen des Gastkontos oder Ablauf.

(Verbesserungsanfrage zum Beenden von Gastsitzungen nach Entfernen oder Ablauf des Gastkontos)

Referenzen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
24-Nov-2015
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Michal Garcarz
    Cisco TAC-Techniker
  • Serhii Kucherenko
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.