Ejemplo de Configuración de ISE Version 1.3 Self Registered Guest Portal

Opciones de descarga

  • PDF     (1.9 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.7 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de febrero de 2015
ID del documento:118742

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Cisco Identity Services Engine (ISE) versión 1.3 tiene un nuevo tipo de portal de invitados denominado portal de invitados registrado automáticamente, que permite a los usuarios invitados registrarse ellos mismos cuando acceden a los recursos de la red. Este portal le permite configurar y personalizar varias funciones. Este documento describe cómo configurar y resolver problemas de esta funcionalidad.

Prerequisites

Requirements

Cisco recomienda que tenga experiencia con la configuración de ISE y conocimientos básicos sobre estos temas:

  • Implementaciones de ISE y flujos de invitados
  • Configuración de controladores de LAN inalámbrica (WLC)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Microsoft Windows 7
  • Cisco WLC versión 7.6 y posterior
  • Software ISE, versión 3.1 y posteriores

Topología y flujo

Este escenario presenta varias opciones disponibles para los usuarios invitados cuando realizan el autorregistro.

Este es el flujo general:

Paso 1. El usuario invitado se asocia al identificador del conjunto de servicios (SSID): invitado. Se trata de una red abierta con filtrado de MAC e ISE para la autenticación. Esta autenticación coincide con la segunda regla de autorización en ISE y el perfil de autorización se redirige al portal de autoregistro de invitados. ISE devuelve una aceptación de acceso de RADIUS con dos pares cisco-av:

  • url-redirect-acl (qué tráfico debe redirigirse y el nombre de la lista de control de acceso (ACL) definida localmente en el WLC)
  • url-redirect (dónde redirigir ese tráfico a ISE)

Paso 2. El usuario invitado se redirige a ISE. En lugar de proporcionar credenciales para iniciar sesión, el usuario hace clic en "No tiene una cuenta". Se redirige al usuario a una página en la que se puede crear la cuenta. Se puede habilitar un código de registro secreto opcional para limitar el privilegio de autorregistro a las personas que conocen ese valor secreto. Una vez creada la cuenta, se proporcionan al usuario credenciales (nombre de usuario y contraseña) y se inicia sesión con esas credenciales.

Paso 3. ISE envía una reautenticación de cambio de autorización (CoA) RADIUS al WLC. El WLC reautentica al usuario cuando envía la petición de acceso RADIUS con el atributo Authorize-Only. ISE responde con Access-Accept y Airespace ACL definidos localmente en el WLC, que proporciona acceso solo a Internet (el acceso final para el usuario invitado depende de la política de autorización).

Tenga en cuenta que para las sesiones de protocolo de autenticación ampliable (EAP), ISE debe enviar una terminación de CoA para activar la reautenticación, ya que la sesión de EAP se encuentra entre el solicitante y el ISE. Pero para el MAB (filtrado de MAC), CoA Reauthenticate es suficiente; no hay necesidad de desasociar/desautenticar el cliente inalámbrico.

Paso 4. El usuario invitado ha deseado acceder a la red.

Es posible habilitar varias funciones adicionales, como la postura y la iniciativa "Trae tu propio dispositivo" (BYOD) (que se explicará más adelante).

Configurar

WLC

  1. Agregue el nuevo servidor RADIUS para Autenticación y Contabilización. Navegue hasta Seguridad > AAA > Radio > Autenticación para habilitar RADIUS CoA (RFC 3576).

    Existe una configuración similar para la contabilidad. También se recomienda configurar el WLC para enviar SSID en el atributo Called Station ID, lo que permite que ISE configure reglas flexibles basadas en SSID:



  2. En la ficha WLANs (WLAN), cree el invitado de LAN inalámbrica (WLAN) y configure la interfaz correcta. Establezca la seguridad de capa 2 en Ninguno con el filtrado de MAC. En Servidores de seguridad/autenticación, autorización y contabilidad (AAA), seleccione la dirección IP de ISE tanto para Autenticación como para Contabilización. En la ficha Opciones avanzadas, habilite AAA Override y establezca el estado de Network Admission Control (NAC) en RADIUS NAC (compatibilidad con CoA).

  3. Navegue hasta Seguridad > Listas de control de acceso > Listas de control de acceso y cree dos listas de acceso:

    • GuestRedirect, que permite el tráfico que no se debe redirigir y redirige el resto del tráfico
    • Internet, que se deniega para las redes corporativas y se permite para todas las demás


    A continuación se muestra un ejemplo de la lista de control de acceso GuestRedirect (debe excluir el tráfico hacia/desde ISE de la redirección):

ISE

  1. Vaya a Guest Access > Configure > Guest Portals, y cree un nuevo tipo de portal, Self Registered Guest Portal:



  2. Elija el nombre del portal al que se hará referencia en el perfil de autorización. Establezca el resto de parámetros en los predeterminados. En Personalización de la página del portal, se pueden personalizar todas las páginas presentadas.

  3. Configurar perfiles de autorización:

    • Invitado (con redirección al nombre del portal de invitados y ACL GuestRedirect)



    • PermitInternet (con Airespace ACL igual a Internet)





  4. Para verificar las reglas de autorización, navegue hasta Policy > Authorization. En ISE versión 1.3 de forma predeterminada para el acceso de omisión de autenticación MAC (MAB) fallido (no se encuentra la dirección MAC), la autenticación continúa (no se rechaza). Esto es muy útil para los portales de invitado porque no hay necesidad de cambiar nada en las reglas de autenticación predeterminadas.



    Los nuevos usuarios que se asocian al SSID de invitado todavía no forman parte de ningún grupo de identidad. Por este motivo, coinciden con la segunda regla, que utiliza el perfil de autorización de invitado para redirigirlos al portal de invitados correcto.

    Después de que un usuario crea una cuenta e inicia sesión con éxito, ISE envía una CoA RADIUS y el WLC realiza una reautenticación. Esta vez, la primera regla coincide junto con el perfil de autorización PermitInternet y devuelve el nombre de ACL que se aplica en el WLC.

  5. Agregue el WLC como un dispositivo de acceso a la red desde Administration > Network Resources > Network Devices.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

  1. Después de asociarse con el SSID de invitado y escribir una URL, se le redirigirá a la página de inicio de sesión:



  2. Dado que aún no tiene credenciales, debe elegir la opción ¿No tiene una cuenta?. Se muestra una nueva página que permite la creación de cuentas. Si la opción Código de registro estaba habilitada en la configuración del Portal de invitados, ese valor secreto es obligatorio (esto garantiza que sólo las personas con los permisos correctos puedan registrarse automáticamente).



  3. Si hay algún problema con la contraseña o la política de usuario, navegue hasta Guest Access > Settings > Guest Password Policy o Guest Access > Settings > Guest Username Policy para cambiar la configuración. Aquí tiene un ejemplo:



  4. Después de crear correctamente la cuenta, se le presentarán las credenciales (contraseña generada según las políticas de contraseñas de invitado):



  5. Haga clic en Iniciar sesión y proporcione credenciales (es posible que se requiera una contraseña de acceso adicional si se configura en el portal de invitados; este es otro mecanismo de seguridad que permite iniciar sesión sólo a aquellos que conocen la contraseña).



  6. Si se realiza correctamente, se puede presentar una política de uso aceptable (AUP) opcional (si está configurada en el portal de invitados). Es posible que también se muestre la página Publicar acceso (también configurable en Portal de invitados).



    La última página confirma que se ha concedido acceso:

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

En esta etapa, ISE presenta estos registros:

Este es el flujo:

  • El usuario invitado encuentra la segunda regla de autorización (Guest_Authenticate) y se le redirige a Invitado ("Autenticación correcta").

  • Se redirige al invitado para que se registre automáticamente. Después de iniciar sesión correctamente (con la cuenta recién creada), ISE envía la CoA Reauthenticate, que confirma el WLC ("autorización dinámica correcta").

  • El WLC realiza una reautenticación con el atributo Authorize-Only y se devuelve el nombre de ACL ("Authorize-Only success"). Se proporcionará al invitado el acceso a la red correcto.

Informes (Operaciones > Informes > Informes de ISE > Informes de acceso de invitado > Informe maestro de invitado) también confirma que:

Un usuario patrocinador (con los privilegios correctos) puede verificar el estado actual de un usuario invitado.

Este ejemplo confirma que se ha creado la cuenta, pero el usuario nunca ha iniciado sesión ("Esperando inicio de sesión inicial"):

Configuración opcional

Para cada etapa de este flujo, se pueden configurar diferentes opciones. Todo esto se configura según el portal de invitados en Guest Access > Configure > Guest Portals > PortalName > Edit > Portal Behavior and flow settings. Entre las opciones más importantes se incluyen:

Configuración de autorregistro

  • Tipo de invitado: describe el tiempo que la cuenta está activa, las opciones de caducidad de la contraseña, las horas de inicio de sesión y las opciones (se trata de una mezcla de perfil de tiempo y función de invitado de ISE versión 1.2)
  • Código de registro: si está habilitado, solo los usuarios que conocen el código secreto pueden registrarse ellos mismos (deben proporcionar la contraseña cuando se cree la cuenta)
  • AUP: aceptación de la política de uso durante el autorregistro
  • Requisito de que el patrocinador apruebe/active la cuenta de invitado

Configuración de invitado de inicio

  • Código de acceso: si está habilitado, solo los usuarios invitados que conocen el código secreto pueden iniciar sesión
  • AUP: aceptación de la política de uso durante el autorregistro
  • Opción de cambio de contraseña

Configuración de registro de dispositivos

  • De forma predeterminada, el dispositivo se registra automáticamente

Configuración de cumplimiento del dispositivo invitado

  • Permite una postura dentro del flujo

Configuración de BYOD

  • Permite a los usuarios corporativos que utilizan el portal como invitados registrar sus dispositivos personales

Cuentas aprobadas por el patrocinador

Si se selecciona la opción Requerir que los invitados se autorregistren para ser aprobados, la cuenta creada por el invitado debe ser aprobada por un patrocinador. Esta función puede utilizar el correo electrónico para enviar notificaciones al patrocinador (para la aprobación de la cuenta de invitado):

Si no se ha configurado el servidor SMTP (protocolo simple de transferencia de correo) o la notificación de origen predeterminada del correo electrónico, no se creará la cuenta:

El registro de guest.log confirma que falta la dirección global de utilizada para la notificación:

2014-08-01 22:35:24,271 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null.  A global default From address can be 
configured in global settings for SMTP server.

Cuando tenga la configuración de correo electrónico adecuada, se creará la cuenta:

Después de habilitar la opción Requerir aprobación de invitados registrados automáticamente, los campos de nombre de usuario y contraseña se eliminan automáticamente de la sección Incluir esta información en la página de autorregistro correcto. Por este motivo, cuando se necesita la aprobación del patrocinador, las credenciales de los usuarios invitados no se muestran de forma predeterminada en la página web que presenta información para mostrar que se ha creado la cuenta. En su lugar, deben ser entregados por SMS o correo electrónico. Esta opción debe estar habilitada en la sección Enviar notificación de credencial tras aprobación mediante (marcar correo electrónico/SMS).

Se envía un correo electrónico de notificación al patrocinador:

El patrocinador inicia sesión en el portal del patrocinador y aprueba la cuenta:

A partir de este momento, el usuario invitado puede iniciar sesión (con las credenciales recibidas por correo electrónico o SMS).

En resumen, en este flujo se utilizan tres direcciones de correo electrónico:

  • Dirección "De" de notificación. Se define de forma estática o se toma de la cuenta del patrocinador y se utiliza como dirección de origen tanto para la notificación al patrocinador (para su aprobación) como para los detalles de credenciales al invitado. Esto se configura en Guest Access > Configure > Settings > Guest Email Settings.

  • Dirección "Para" de notificación. Se utiliza para notificar al patrocinador que ha recibido una cuenta para su aprobación. Esto se configura en el Portal de invitados en Guest Access > Configure > Guest Portals > Portal Name > Require self-registered guest to be approved > Email Approval request to.

  • Dirección "Para" del invitado. El usuario invitado se lo proporcionará durante el registro. Si se selecciona Enviar notificación de credenciales tras aprobación mediante Correo electrónico, se entrega al invitado el correo electrónico con los detalles de credenciales (nombre de usuario y contraseña).

Entregar credenciales por SMS

Las credenciales de invitado también se pueden entregar por SMS. Se deben configurar estas opciones:

  1. Seleccione el proveedor de servicios SMS:



  2. Marque la casilla de verificación Enviar notificación de credenciales tras la aprobación mediante: SMS.

  3. A continuación, se le solicita al usuario invitado que elija el proveedor disponible cuando cree una cuenta:



  4. Se envía un SMS con el proveedor y el número de teléfono elegidos:



  5. Puede configurar los proveedores de SMS en Administration > System > Settings > SMS Gateway.

Registro de dispositivos

Si se selecciona la opción Permitir a los invitados registrar dispositivos después de que un usuario invitado inicie sesión y acepte la PUA, puede registrar los dispositivos:

Observe que el dispositivo ya se ha agregado automáticamente (está en la lista Administrar dispositivos). Esto se debe a que se seleccionó Registrar automáticamente los dispositivos invitados.

Condición

Si se selecciona la opción Require guest device compliance, los usuarios invitados reciben un agente que realiza el estado (NAC/Web Agent) después de conectarse y aceptar la PUA (y, opcionalmente, realizar el registro del dispositivo). ISE procesa las reglas de aprovisionamiento de clientes para decidir qué agente se debe aprovisionar. A continuación, el agente que se ejecuta en la estación realiza la postura (según las reglas de postura) y envía los resultados al ISE, que envía la CoA reautenticada para cambiar el estado de autorización si es necesario.

Las posibles reglas de autorización pueden ser similares a las siguientes:

Los primeros usuarios nuevos que encuentran la regla Guest_Authenticate se redirigen al portal Self Register Guest. Después de que el usuario se autorregistra e inicia sesión, el CoA cambia el estado de autorización y se proporciona al usuario un acceso limitado para realizar tareas de estado y remediación. Solo después de aprovisionar el agente NAC y de que la estación cumpla con los requisitos, el CoA cambia el estado de autorización una vez más para proporcionar acceso a Internet.

Entre los problemas típicos con el estado se incluyen la falta de reglas correctas de aprovisionamiento de clientes:

Esto también se puede confirmar si examina el archivo guest.log (nuevo en ISE versión 1.3):

2014-08-01 21:35:08,435 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::- 
CP Response is not successful, status=NO_POLICY

BYOD

Si se selecciona la opción Permitir a los empleados utilizar dispositivos personales en la red, los usuarios corporativos que utilicen este portal podrán pasar por el flujo de BYOD y registrar los dispositivos personales. Para los usuarios invitados, esta configuración no cambia nada.

¿Qué significa "empleados que utilizan el portal como invitados"?

De forma predeterminada, los portales de invitados se configuran con el almacén de identidad Guest_Portal_Sequence:

 Ésta es la secuencia de almacenamiento interno que intenta primero los usuarios internos (antes que los usuarios invitados):

En esta etapa del portal de invitados, el usuario proporciona credenciales definidas en el almacén de usuarios internos y se produce la redirección de BYOD:

De esta forma, los usuarios corporativos pueden usar sus dispositivos personales para la adopción de BYOD.

Cuando, en lugar de credenciales de usuarios internos, se proporcionan credenciales de usuarios invitados, continúa el flujo normal (sin BYOD).

Cambio de VLAN

Esta opción es similar al cambio de VLAN configurado para el portal de invitados en ISE versión 1.2. Le permite ejecutar activeX o un applet Java, lo que activa DHCP para liberar y renovar. Esto es necesario cuando CoA activa el cambio de VLAN para el terminal. Cuando se utiliza MAB, el terminal no detecta un cambio de VLAN. Una posible solución es cambiar la VLAN (liberación/renovación de DHCP) con el agente NAC. Otra opción es solicitar una nueva dirección IP a través del applet devuelto en la página web. Se puede configurar un retraso entre la liberación/CoA/renovación. Esta opción no es compatible con dispositivos móviles.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-Feb-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Michal Garcarz and Nicolas Darchis
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco