El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Cisco Identity Services Engine (ISE) versión 1.3 tiene un nuevo tipo de portal de invitados denominado portal de invitados registrado automáticamente, que permite a los usuarios invitados registrarse ellos mismos cuando acceden a los recursos de la red. Este portal le permite configurar y personalizar varias funciones. Este documento describe cómo configurar y resolver problemas de esta funcionalidad.
Cisco recomienda que tenga experiencia con la configuración de ISE y conocimientos básicos sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Este escenario presenta varias opciones disponibles para los usuarios invitados cuando realizan el autorregistro.
Este es el flujo general:
Paso 1. El usuario invitado se asocia al identificador del conjunto de servicios (SSID): invitado. Se trata de una red abierta con filtrado de MAC e ISE para la autenticación. Esta autenticación coincide con la segunda regla de autorización en ISE y el perfil de autorización se redirige al portal de autoregistro de invitados. ISE devuelve una aceptación de acceso de RADIUS con dos pares cisco-av:
Paso 2. El usuario invitado se redirige a ISE. En lugar de proporcionar credenciales para iniciar sesión, el usuario hace clic en "No tiene una cuenta". Se redirige al usuario a una página en la que se puede crear la cuenta. Se puede habilitar un código de registro secreto opcional para limitar el privilegio de autorregistro a las personas que conocen ese valor secreto. Una vez creada la cuenta, se proporcionan al usuario credenciales (nombre de usuario y contraseña) y se inicia sesión con esas credenciales.
Paso 3. ISE envía una reautenticación de cambio de autorización (CoA) RADIUS al WLC. El WLC reautentica al usuario cuando envía la petición de acceso RADIUS con el atributo Authorize-Only. ISE responde con Access-Accept y Airespace ACL definidos localmente en el WLC, que proporciona acceso solo a Internet (el acceso final para el usuario invitado depende de la política de autorización).
Tenga en cuenta que para las sesiones de protocolo de autenticación ampliable (EAP), ISE debe enviar una terminación de CoA para activar la reautenticación, ya que la sesión de EAP se encuentra entre el solicitante y el ISE. Pero para el MAB (filtrado de MAC), CoA Reauthenticate es suficiente; no hay necesidad de desasociar/desautenticar el cliente inalámbrico.
Paso 4. El usuario invitado ha deseado acceder a la red.
Es posible habilitar varias funciones adicionales, como la postura y la iniciativa "Trae tu propio dispositivo" (BYOD) (que se explicará más adelante).
Utilize esta sección para confirmar que su configuración funcione correctamente.
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
En esta etapa, ISE presenta estos registros:
Este es el flujo:
Informes (Operaciones > Informes > Informes de ISE > Informes de acceso de invitado > Informe maestro de invitado) también confirma que:
Un usuario patrocinador (con los privilegios correctos) puede verificar el estado actual de un usuario invitado.
Este ejemplo confirma que se ha creado la cuenta, pero el usuario nunca ha iniciado sesión ("Esperando inicio de sesión inicial"):
Para cada etapa de este flujo, se pueden configurar diferentes opciones. Todo esto se configura según el portal de invitados en Guest Access > Configure > Guest Portals > PortalName > Edit > Portal Behavior and flow settings. Entre las opciones más importantes se incluyen:
Si se selecciona la opción Requerir que los invitados se autorregistren para ser aprobados, la cuenta creada por el invitado debe ser aprobada por un patrocinador. Esta función puede utilizar el correo electrónico para enviar notificaciones al patrocinador (para la aprobación de la cuenta de invitado):
Si no se ha configurado el servidor SMTP (protocolo simple de transferencia de correo) o la notificación de origen predeterminada del correo electrónico, no se creará la cuenta:
El registro de guest.log confirma que falta la dirección global de utilizada para la notificación:
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
Cuando tenga la configuración de correo electrónico adecuada, se creará la cuenta:
Después de habilitar la opción Requerir aprobación de invitados registrados automáticamente, los campos de nombre de usuario y contraseña se eliminan automáticamente de la sección Incluir esta información en la página de autorregistro correcto. Por este motivo, cuando se necesita la aprobación del patrocinador, las credenciales de los usuarios invitados no se muestran de forma predeterminada en la página web que presenta información para mostrar que se ha creado la cuenta. En su lugar, deben ser entregados por SMS o correo electrónico. Esta opción debe estar habilitada en la sección Enviar notificación de credencial tras aprobación mediante (marcar correo electrónico/SMS).
Se envía un correo electrónico de notificación al patrocinador:
El patrocinador inicia sesión en el portal del patrocinador y aprueba la cuenta:
A partir de este momento, el usuario invitado puede iniciar sesión (con las credenciales recibidas por correo electrónico o SMS).
En resumen, en este flujo se utilizan tres direcciones de correo electrónico:
Las credenciales de invitado también se pueden entregar por SMS. Se deben configurar estas opciones:
Si se selecciona la opción Permitir a los invitados registrar dispositivos después de que un usuario invitado inicie sesión y acepte la PUA, puede registrar los dispositivos:
Observe que el dispositivo ya se ha agregado automáticamente (está en la lista Administrar dispositivos). Esto se debe a que se seleccionó Registrar automáticamente los dispositivos invitados.
Si se selecciona la opción Require guest device compliance, los usuarios invitados reciben un agente que realiza el estado (NAC/Web Agent) después de conectarse y aceptar la PUA (y, opcionalmente, realizar el registro del dispositivo). ISE procesa las reglas de aprovisionamiento de clientes para decidir qué agente se debe aprovisionar. A continuación, el agente que se ejecuta en la estación realiza la postura (según las reglas de postura) y envía los resultados al ISE, que envía la CoA reautenticada para cambiar el estado de autorización si es necesario.
Las posibles reglas de autorización pueden ser similares a las siguientes:
Los primeros usuarios nuevos que encuentran la regla Guest_Authenticate se redirigen al portal Self Register Guest. Después de que el usuario se autorregistra e inicia sesión, el CoA cambia el estado de autorización y se proporciona al usuario un acceso limitado para realizar tareas de estado y remediación. Solo después de aprovisionar el agente NAC y de que la estación cumpla con los requisitos, el CoA cambia el estado de autorización una vez más para proporcionar acceso a Internet.
Entre los problemas típicos con el estado se incluyen la falta de reglas correctas de aprovisionamiento de clientes:
Esto también se puede confirmar si examina el archivo guest.log (nuevo en ISE versión 1.3):
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
Si se selecciona la opción Permitir a los empleados utilizar dispositivos personales en la red, los usuarios corporativos que utilicen este portal podrán pasar por el flujo de BYOD y registrar los dispositivos personales. Para los usuarios invitados, esta configuración no cambia nada.
¿Qué significa "empleados que utilizan el portal como invitados"?
De forma predeterminada, los portales de invitados se configuran con el almacén de identidad Guest_Portal_Sequence:
Ésta es la secuencia de almacenamiento interno que intenta primero los usuarios internos (antes que los usuarios invitados):
En esta etapa del portal de invitados, el usuario proporciona credenciales definidas en el almacén de usuarios internos y se produce la redirección de BYOD:
De esta forma, los usuarios corporativos pueden usar sus dispositivos personales para la adopción de BYOD.
Cuando, en lugar de credenciales de usuarios internos, se proporcionan credenciales de usuarios invitados, continúa el flujo normal (sin BYOD).
Esta opción es similar al cambio de VLAN configurado para el portal de invitados en ISE versión 1.2. Le permite ejecutar activeX o un applet Java, lo que activa DHCP para liberar y renovar. Esto es necesario cuando CoA activa el cambio de VLAN para el terminal. Cuando se utiliza MAB, el terminal no detecta un cambio de VLAN. Una posible solución es cambiar la VLAN (liberación/renovación de DHCP) con el agente NAC. Otra opción es solicitar una nueva dirección IP a través del applet devuelto en la página web. Se puede configurar un retraso entre la liberación/CoA/renovación. Esta opción no es compatible con dispositivos móviles.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
13-Feb-2015 |
Versión inicial |