Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Cisco Identity Services Engine (ISE) version 1.3 dispose d'un nouveau type de portail invité appelé portail invité auto-enregistré, qui permet aux utilisateurs invités de s'enregistrer eux-mêmes lorsqu'ils accèdent aux ressources réseau. Ce portail vous permet de configurer et de personnaliser plusieurs fonctionnalités. Ce document décrit comment configurer et dépanner cette fonctionnalité.
Cisco vous recommande d'avoir de l'expérience en matière de configuration ISE et des connaissances de base sur les sujets suivants :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Ce scénario présente plusieurs options disponibles pour les utilisateurs invités lors de l'auto-inscription.
Voici le flux général :
Étape 1. L'utilisateur invité s'associe au SSID (Service Set Identifier) : Guest. Il s'agit d'un réseau ouvert avec filtrage MAC avec ISE pour l'authentification. Cette authentification correspond à la deuxième règle d'autorisation sur l'ISE et le profil d'autorisation redirige vers le portail invité auto-enregistré. ISE renvoie un message d'acceptation d'accès RADIUS avec deux paires cisco-av :
Étape 2. L'utilisateur invité est redirigé vers ISE. Plutôt que de fournir des informations d'identification pour se connecter, l'utilisateur clique sur « Ne pas avoir de compte ». L'utilisateur est redirigé vers une page où ce compte peut être créé. Un code d'enregistrement secret facultatif peut être activé afin de limiter le privilège d'auto-enregistrement aux personnes qui connaissent cette valeur secrète. Une fois le compte créé, l'utilisateur reçoit des informations d'identification (nom d'utilisateur et mot de passe) et se connecte avec ces informations d'identification.
Étape 3. ISE envoie une nouvelle authentification de changement d'autorisation (CoA) RADIUS au WLC. Le WLC authentifie à nouveau l'utilisateur lorsqu'il envoie la requête d'accès RADIUS avec l'attribut Authorize-Only. ISE répond avec les listes de contrôle d'accès Access-Accept et Airespace définies localement sur le WLC, qui fournit un accès à Internet uniquement (l'accès final pour l'utilisateur invité dépend de la stratégie d'autorisation).
Notez que pour les sessions EAP (Extensible Authentication Protocol), ISE doit envoyer un message CoA Terminate afin de déclencher une nouvelle authentification, car la session EAP se trouve entre le demandeur et l'ISE. Mais pour le MAB (filtrage MAC), la réauthentification CoA suffit ; il n'est pas nécessaire de dissocier/désauthentifier le client sans fil.
Étape 4. L'utilisateur invité a souhaité accéder au réseau.
Plusieurs fonctionnalités supplémentaires, telles que la posture et le BYOD (Bring Your Own Device), peuvent être activées (voir plus loin).
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
À ce stade, ISE présente les journaux suivants :
Voici le flux :
Les rapports (Opérations > Rapports > Rapports ISE > Rapports d'accès invité > Rapport invité principal) confirment également que :
Un utilisateur parrain (disposant des privilèges appropriés) peut vérifier l'état actuel d'un utilisateur invité.
Cet exemple confirme que le compte est créé, mais que l'utilisateur ne s'est jamais connecté (« En attente de connexion initiale ») :
Pour chaque étape de ce flux, différentes options peuvent être configurées. Toutes ces options sont configurées par le portail Invité dans Accès invité > Configurer > Portails Invité > Nom du portail > Modifier > Comportement et paramètres de flux du portail. Les paramètres les plus importants sont les suivants :
Si l'option Exiger que les invités inscrits par eux-mêmes soient approuvés est sélectionnée, le compte créé par l'invité doit être approuvé par un sponsor. Cette fonctionnalité peut utiliser un e-mail afin de transmettre une notification au sponsor (pour l'approbation du compte invité) :
Si le serveur SMTP (Simple Mail Transfer Protocol) ou la valeur par défaut à partir de la notification par e-mail n'est pas configuré, le compte ne sera pas créé :
Le journal du fichier guest.log confirme que l'adresse globale de l'expéditeur utilisée pour la notification est manquante :
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
Lorsque vous disposez de la configuration de messagerie appropriée, le compte est créé :
Une fois que vous avez activé l'option Exiger que les invités inscrits par eux-mêmes soient approuvés, les champs du nom d'utilisateur et du mot de passe sont automatiquement supprimés de la section Inclure ces informations dans la page Réussite de l'inscription par vous-même. C'est pourquoi, lorsque l'approbation d'un sponsor est nécessaire, les informations d'identification des utilisateurs invités ne sont pas affichées par défaut sur la page Web qui présente les informations indiquant que le compte a été créé. Elles doivent être fournies par SMS (Short Message Services) ou par e-mail. Cette option doit être activée dans la section Envoyer la notification d'informations d'identification lors de l'approbation à l'aide de (marquer e-mail/SMS).
Un e-mail de notification est envoyé au sponsor :
Le sponsor se connecte au portail du sponsor et approuve le compte :
À partir de ce moment, l'utilisateur invité est autorisé à se connecter (avec les informations d'identification reçues par e-mail ou SMS).
En résumé, trois adresses e-mail sont utilisées dans ce flux :
Les informations d'identification des invités peuvent également être envoyées par SMS. Ces options doivent être configurées :
Si l'option Autoriser les invités à enregistrer des périphériques est sélectionnée après qu'un utilisateur invité se connecte et accepte le protocole AUP, vous pouvez enregistrer des périphériques :
Notez que le périphérique a déjà été ajouté automatiquement (il figure dans la liste Gérer les périphériques). Cela est dû au fait que l'option Automatically register guest devices a été sélectionnée.
Si l'option Require guest device compliance est sélectionnée, alors les utilisateurs invités sont approvisionnés avec un agent qui effectue la posture (NAC/Web Agent) après qu'ils se soient connectés et ont accepté l'AUP (et éventuellement effectuer l'enregistrement du périphérique). ISE traite les règles de provisionnement du client pour décider quel agent doit être provisionné. Ensuite, l'agent qui s'exécute sur la station effectue la posture (conformément aux règles de posture) et envoie les résultats à l'ISE, qui envoie la réauthentification CoA pour modifier l'état d'autorisation si nécessaire.
Les règles d’autorisation possibles peuvent ressembler à ceci :
Les premiers nouveaux utilisateurs qui rencontrent la règle Guest_Authenticate redirigent vers le portail d'inscription automatique des invités. Une fois que l'utilisateur s'enregistre et se connecte lui-même, CoA change d'état d'autorisation et l'utilisateur bénéficie d'un accès limité pour effectuer la posture et la correction. Ce n'est qu'une fois que l'agent NAC est configuré et que la station est conforme que la CoA modifie à nouveau l'état d'autorisation afin de fournir un accès à Internet.
Les problèmes typiques de posture incluent l'absence de règles de provisionnement client correctes :
Cela peut également être confirmé si vous examinez le fichier guest.log (nouveau dans la version 1.3 d'ISE) :
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
Si l'option Autoriser les employés à utiliser des appareils personnels sur le réseau est sélectionnée, alors les utilisateurs d'entreprise qui utilisent ce portail peuvent passer par le flux BYOD et enregistrer des appareils personnels. Pour les utilisateurs invités, ce paramètre ne change rien.
Que signifie « employés utilisant le portail en tant qu'invité » ?
Par défaut, les portails invités sont configurés avec le magasin d'identités Guest_Portal_Sequence :
Il s'agit de la séquence de stockage interne qui essaie d'abord les utilisateurs internes (avant les utilisateurs invités) :
À ce stade du portail invité, l'utilisateur fournit des informations d'identification définies dans le magasin Utilisateurs internes et la redirection BYOD se produit :
Les utilisateurs d'entreprise peuvent ainsi effectuer des opérations BYOD sur leurs appareils personnels.
Lorsque les informations d'identification des utilisateurs internes sont remplacées par celles des utilisateurs invités, le flux normal se poursuit (pas de BYOD).
Il s'agit d'une option similaire à la modification du VLAN configurée pour le portail invité dans la version 1.2 d'ISE. Il vous permet d'exécuter activeX ou une applet Java, ce qui déclenche la libération et le renouvellement de DHCP. Cela est nécessaire lorsque CoA déclenche la modification du VLAN pour le terminal. Lorsque MAB est utilisé, le point d'extrémité n'est pas conscient d'un changement de VLAN. Une solution possible consiste à modifier le VLAN (version/renouvellement DHCP) avec l'agent NAC. Une autre option consiste à demander une nouvelle adresse IP via l'applet renvoyée sur la page Web. Un délai peut être configuré entre la libération, la CoA et le renouvellement. Cette option n'est pas prise en charge pour les appareils mobiles.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
13-Feb-2015 |
Première publication |