Gestión de cuentas de invitado de ISE

Opciones de descarga

  • PDF     (293.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (262.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (270.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de agosto de 2020
ID del documento:215931

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describen las acciones más utilizadas que un patrocinador o un administrador de ISE pueden realizar en los datos de invitados presentes en ISE. Los servicios para invitados de Cisco Identity Services Engine (ISE) proporcionan acceso seguro a la red a invitados como visitantes, contratistas, consultores y clientes. 

    Colaborado por Shivam Kumar, ingeniero del TAC de Cisco.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento de estos temas:

    • ISE
    • Servicios de invitados ISE

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco ISE, versión 2.6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Nota: El procedimiento es similar o idéntico para otras versiones de ISE. Se pueden utilizar estos pasos en todas las versiones 2.x del software ISE a menos que se indique lo contrario.

    Configurar

    Utilizar un patrocinador para administrar cuentas de invitados

    Los patrocinadores son cuentas de usuario de ISE que tienen el privilegio de iniciar sesión en el portal de patrocinadores, donde pueden crear cuentas temporales de invitados para visitantes autorizados y administrarlas. Un patrocinador puede ser un usuario interno o una cuenta presente en un almacén de identidades externo, como un directorio activo.

    En este ejemplo, la cuenta del patrocinador se define internamente en ISE y se agrega al grupo predefinido: ALL_ACCOUNTS.

    De forma predeterminada, ISE cuenta con tres grupos de patrocinadores a los que se pueden asignar los patrocinadores:

    ALL_ACCOUNTS (valor predeterminado): los patrocinadores asignados a este grupo pueden administrar todas las cuentas de usuario invitado. De forma predeterminada, los usuarios del grupo de identidad de usuario ALL_ACCOUNTS son miembros de este grupo de patrocinadores.

    GROUP_ACCOUNTS (valor predeterminado): los patrocinadores asignados a este grupo pueden administrar sólo las cuentas de invitado creadas por patrocinadores del mismo grupo de patrocinadores. De forma predeterminada, los usuarios del grupo de identidad de usuario GROUP_ACCOUNTS son miembros de este grupo de patrocinadores.

    OWN_ACCOUNTS (valor predeterminado): los patrocinadores asignados a este grupo sólo pueden administrar las cuentas de invitado que han creado. De forma predeterminada, los usuarios del grupo de identidad de usuario OWN_ACCOUNTS son miembros de este grupo de patrocinadores.

    La cuenta del patrocinador utilizada en este ejemplo se asigna a ALL_ACCOUNTS:

    Los permisos y privilegios de este grupo de patrocinadores están disponibles en Centros de trabajo> Acceso de invitado > Portal y componentes > Grupos de patrocinadores:

    Para permitir que un patrocinador acceda a la administración de invitados a través de la API REST de ERS, se agrega el permiso al grupo del patrocinador como se ve en la imagen.

    Usar cuenta de Active Directory como patrocinador

    Junto con las cuentas de usuario internas definidas como patrocinadores, las cuentas presentes en orígenes de identidad externos como Active Directory (AD) o LDAP también se pueden utilizar como patrocinadores para administrar cuentas de invitados.

    Asegúrese de que ISE se une a AD navegando a Administration> Identities > External Identity Sources > Active Directory. Si aún no se ha unido, únase a uno de los dominios AD disponibles.

    Recuperar los grupos de AD que contienen las cuentas:

    En este ejemplo se muestra cómo agregar un usuario AD al grupo patrocinador ALL_ACCOUNTS.
    Navegue hasta Centros de trabajo> Acceso de invitado > Portal y componentes > Grupos de patrocinadores> ALL_ACCOUNTS y luego haga clic en Miembros, como se muestra en esta imagen.

     Los Miembros muestran todos los grupos disponibles entre los que elegir; seleccione el grupo AD y muévalo a la derecha para agregarlo al grupo patrocinador.

    Guarde los cambios. El inicio de sesión en el portal de patrocinadores funciona ahora con cuentas de usuario de AD que forman parte del grupo de AD seleccionado.

    Se pueden seguir los mismos pasos anteriores para agregar usuarios a través de LDAP. Los grupos de identidad de usuarios definidos internamente también están disponibles como opción para agregar a los grupos de patrocinadores.

    Utilice una de estas cuentas de patrocinador para iniciar sesión en el portal de patrocinadores. El portal del patrocinador se puede utilizar para:

    • Editar y eliminar cuentas de invitados
    • Ampliar la duración de la cuenta de invitado
    • Suspender cuenta de invitado
    • Restablecimiento de cuentas de invitados caducadas
    • Volver a enviar y restablecer contraseñas para invitados
    • Aprobar cuentas de invitados pendientes

    En el portal del patrocinador, seleccione la pestaña Gestionar cuentas para ver todas las cuentas de invitados que este patrocinador está autorizado a administrar, como se muestra en esta imagen.

    Una cuenta de invitado se puede editar independientemente del estado en el que se encuentre.

    Existe la opción de reenviar la contraseña de la cuenta de invitado en caso de que el titular de la cuenta los olvide o pierda. La contraseña de una cuenta de invitado sólo se puede enviar si está en estado Activo o Creado.

    No se pueden enviar contraseñas a los invitados que las hayan cambiado. En ese caso, primero debe utilizarse la opción reset password. No se puede enviar la contraseña para las cuentas pendientes de aprobación, suspendidas, vencidas o denegadas.

    Un patrocinador puede elegir la opción de recibir una copia de la contraseña modificada:

    En caso de que sea necesario permitir el acceso de invitado a la red durante un período superior al permitido originalmente, utilice la opción extendida para aumentar la duración. Las cuentas en estado Creado, Activo o Vencido se pueden ampliar.

    Una cuenta que ha sido suspendida o denegada no puede ser extendida; utilice la opción de restablecimiento en su lugar.

    El período de extensión máximo permitido se rige por el tipo de invitado de la cuenta.

    Las cuentas de invitado caducan por sí mismas cuando llegan al final de la duración de la cuenta, independientemente de su estado. Las cuentas de invitados suspendidas o vencidas se depuran automáticamente en función de la política de depuración definida en el sistema. De forma predeterminada, se depuran cada 15 días.

    Estados de cuenta de invitado y su significado:

    Activo: Los invitados con estas cuentas han iniciado sesión correctamente a través de un portal de invitados con credenciales o han omitido el portal cautivo de invitado con credenciales. En este último caso, las cuentas pertenecen a tipos de invitados configurados para eludir el portal cautivo de invitado con credenciales. Estos invitados pueden acceder a la red proporcionando sus credenciales de inicio de sesión al suplicante nativo en su dispositivo.

    Creado: Las cuentas se han creado, pero los invitados aún no han iniciado sesión en un portal de invitados con credenciales. En este caso, las cuentas se asignan a tipos de invitado que no están configurados para saltar el portal cautivo de invitado con credenciales. Los invitados primero deben iniciar sesión a través del portal cautivo de invitado identificado antes de poder acceder a otras partes de la red.

    Denegado: A las cuentas se les niega el acceso a la red. Las cuentas que han caducado mientras se encontraban en un estado denegado permanecen como denegadas.

    Pendiente de aprobación: Las cuentas están a la espera de aprobación para acceder a la red.

    Suspendido: Las cuentas son suspendidas por un patrocinador que tiene el privilegio de hacerlo.

    Políticas de depuración de invitados

    De forma predeterminada, ISE elimina automáticamente las cuentas de invitados caducadas cada 15 días. Esta información se puede ver en Centros de trabajo > Acceso de invitado > Configuración > Política de depuración de cuenta de invitado.

    La fecha de la depuración siguiente indica cuándo se producirá la siguiente depuración. El administrador de ISE puede:

    • Programe una purga cada X días. El Tiempo de Depuración especifica cuándo se produce la primera depuración en X días. Después, la depuración se produce cada X días.
    • Programe una depuración en un día determinado de la semana, cada X semanas.
    • Forzar una depuración a petición usando la opción Purgar ahora.

    Cuando se depuran las cuentas de invitados caducadas, se conservan los puntos finales, los informes y la información de registro asociados.

    Depuración de terminales: Días inactivos frente a días transcurridos para terminales

    Los terminales que utilizan los invitados para acceder a la red pasan a formar parte de GuestEndpoints de forma predeterminada. ISE tiene la política de eliminar los terminales de invitado y los dispositivos registrados con más de 30 días de antigüedad. Este trabajo de depuración predeterminado se ejecuta a las 1 AM todos los días en función de la zona horaria configurada en el nodo de administración principal (PAN). Esta política predeterminada utiliza la condición de ElapsedDays. Otras opciones disponibles son InactiveDays y PurgeDate.

    Nota: La funcionalidad de depuración de terminales es independiente de la política de depuración de cuenta de invitado y de la de caducidad de cuenta de invitado.

    La política se define en Administración > Administración de identidades > Configuración > Depuración de terminales.

    Días transcurridos: Esto hace referencia al número de días transcurridos desde que se creó el objeto. Esta condición se puede utilizar para los terminales a los que se ha concedido acceso no autenticado o condicional durante un período de tiempo determinado, como un terminal de invitado o contratista, o empleados que aprovechan webauth para el acceso a la red. Después del período de gracia de conexión permitido, se deben volver a autenticar y registrar completamente.

    Días inactivos: Hace referencia al número de días transcurridos desde la última actividad de generación de perfiles o la actualización en el terminal. Esta condición elimina los dispositivos obsoletos que se han acumulado con el tiempo, normalmente los invitados transitorios o los dispositivos personales, o los dispositivos retirados. Estos terminales tienden a representar ruido en la mayoría de las implementaciones, ya que ya no están activos en la red o es probable que se vean en un futuro próximo. Si se conectan de nuevo, se volverán a detectar, definir perfiles, registrar, etc según sea necesario. 

    Cuando haya actualizaciones desde el terminal, InactivityDays se restablecerá a 0 sólo si está habilitada la creación de perfiles. 

    Fecha de depuración: Fecha para purgar el terminal. Esta opción se puede utilizar para eventos especiales o grupos en los que se concede acceso para una hora específica, independientemente de la hora de creación o de inicio. Esto permite depurar todos los terminales al mismo tiempo. Por ejemplo, una muestra comercial, una conferencia o una clase de formación semanal con nuevos miembros cada semana, en la que se concede acceso para una semana o un mes específicos en lugar de días/semanas/meses absolutos. 

    Este archivo profiler.log de ejemplo muestra cuándo se depuraron los terminales que formaban parte de GuestEndpoints y que habían transcurrido 30 días:

    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3bfaffe0-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging description: ENDPOINTPURGE:ElapsedDays EQUALS 30
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging expression: GuestInactivityCheck & GuestEndPointsPurgeRuleCheck5651c592-cbdb-4e60-aba1-cf415e2d4808
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : GuestInactivityCheck
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ENDPOINTPURGE ElapsedDays EQUALS 30
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c119520-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :EXCLUSION
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c2ac270-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3c2ac270-8c01-11e6-996c-525400b48521
    2

    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : RegisteredInactivityCheck
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ElapsedDays Greater than 30
    2020-07-09 09:35:26,407 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Started to Update the ChildParentMappingMap
    2020-07-09 09:35:26,408 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Completed to Update the ChildParentMappingMap
    2020-07-09 09:35:26,512 INFO [admin-http-pool13][] cisco.profiler.infrastructure.notifications.ProfilerEDFNotificationAdapter -::- EPPurge policy notification.
    2020-07-09 09:35:26,514 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Requesting purging.
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- New TASK is running : 07-09-202009:35
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Read profiler.endPointNumDaysOwnershipToPan from platform properties: null
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Value of number days after which ownership of inactive end points change to PAN: 14
    2020-07-09 09:35:26,525 INFO [PurgeImmediateOrphanEPOwnerThread][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Updating Orphan Endpoint Ownership to PAN.
    2020-07-09 09:35:26,530 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Purge Endpoints for PurgeID 07-09-202009:35
    2020-07-09 09:35:26,532 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- hostname of the node ise26-1.shivamk.local
    2020-07-09 09:35:26,537 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Search Query page1 lastEpGUID. EndpointCount4
    2020-07-09 09:35:26,538 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:FF IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,539 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:01 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:03 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:04 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:27,033 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4
    2020-07-09 09:35:27,034 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4 in 504 millisec numberofEndpointsRead4

    Una vez finalizada la depuración:

    Solución de problemas de invitado y depuración

    Para capturar registros relacionados con problemas de invitado y depuración, estos componentes se pueden configurar en debug. Para habilitar las depuraciones, navegue hasta Administration> System > Debug Log Configuration> Select node.

    Para las cuentas de invitados/patrocinadores y la solución de problemas relacionados con la depuración de terminales, configure estos componentes en debug:

    • acceso de invitado
    • guest-admin
    • guest-access-admin
    • generador de perfiles
    • Runtime-AAA

    Para los problemas relacionados con el portal, configure estos componentes en debug:

    • portal de patrocinio
    • portal
    • Portal-session-manager
    • acceso de invitado

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Shivam Kumar
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos