ISE ゲストの一時および永続的なアクセスの設定

はじめに

このドキュメントでは、さまざまな Identity Services Engine（ISE）ゲスト アクセス設定方法について説明します。許可ルールのさまざまな条件に基づく：

• ネットワークへの永続的なアクセスを提供できる（以降の認証は不要）
• ネットワークへの一時的なアクセスを提供できます（セッションの有効期限が切れた後にゲスト認証が必要）。

また、セッションを削除するための特定のワイヤレスLANコントローラ(WLC)の動作を、一時的なアクセスのシナリオに対する影響とともに示します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ISE の導入およびゲスト フロー
• ワイヤレス LAN コントローラ（WLC）の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Microsoft Windows 7
• Cisco WLC バージョン 7.6 以降
• ISE ソフトウェア バージョン 1.3 以降

設定

基本的なゲストアクセス設定については、設定例を参照して確認してください。この記事では、認可ルールの設定と認可条件の違いに焦点を当てています。

ネットワーク図

永続アクセス

ISEバージョン1.3以降では、デバイス登録を有効にした状態でゲストポータルでの認証に成功した後、

エンドポイントデバイス（MACアドレス）は、特定のエンドポイントグループ（この例ではGuestEndpoints）に静的に登録されます。

このグループは、次の図に示すように、ユーザのゲストタイプから取得されます。

それが企業ユーザ（ゲスト以外のIDストア）の場合、その設定はポータル設定から取得されます。

その結果、ゲストに関連付けられたMACアドレスは常にその特定のアイデンティティグループに属します。これは自動的には変更できません（プロファイラサービスなど）。

注：プロファイラの結果を適用するには、EndPointPolicy認可条件を使用できます。

デバイスが常に特定のエンドポイントIDグループに属していることを認識すると、次の図に示すように、それに基づいて認可ルールを作成できます。

ユーザが認証されないと、認可は汎用ルールRedirectToPortalに一致します。ゲストポータルへのリダイレクトと認証の後、エンドポイントは特定のエンドポイントIDグループに配置されます。これは、最初のより具体的な条件によって使用されます。そのエンドポイントに対する以降のすべての認証は最初の認証ルールに一致し、ユーザはゲストポータルで再認証を行わずにフルネットワークアクセスが提供されます。

ゲストアカウントのエンドポイントの消去

この状況は永遠に続くかもしれない。ただし、ISE 1.3では、エンドポイントの削除機能が導入されました。デフォルト設定を使用します。

ゲスト認証に使用されるすべてのエンドポイントは、エンドポイントの作成から30日後に削除されます。その結果、通常、ネットワークにアクセスしようとするゲストユーザは30日後にRedirectToPortal認可ルールに到達し、認証のためにリダイレクトされます。

注：エンドポイント削除機能は、ゲストアカウント削除ポリシーおよびゲストアカウントの有効期限とは無関係です。

注:ISE 1.2では、内部プロファイラキュー制限に達した場合にのみエンドポイントを自動的に削除できました。その後、最も使用率の低いエンドポイントが削除されます。

一時アクセス

ゲストアクセスのもう1つの方法は、ゲストフロー条件を使用する方法です。

この条件は、ISE上のアクティブセッションとその属性を確認しています。そのセッションに、以前にゲストユーザが正常に認証されたことを示す属性がある場合は、条件が一致します。ISEがネットワークアクセスデバイス(NAD)からRADIUSアカウンティング停止メッセージを受信すると、セッションは終了し、後で削除されます。この段階では、Network Access:UseCase = Guest Flowの条件が満たされなくなっています。その結果、そのエンドポイントに対する以降のすべての認証は、ゲスト認証用にリダイレクトされる汎用ルールにヒットします。

注：ゲストフローは、ユーザがホットスポットポータル経由で認証される場合にはサポートされません。これらのシナリオでは、UseCase属性がGuest FlowではなくHost Lookupに設定されます。

WLCの接続解除動作

クライアントがワイヤレスネットワークから切断すると（Windowsの切断ボタンを使用するなど）、認証解除フレームが送信されます。ただし、これはWLCで省略されており、「debug client xxxx」を使用して確認できます。WLCでは、クライアントがWLANから切断されるときにデバッグが表示されません。その結果、Windowsクライアントでは次のようになります。

• ipアドレスがインターフェイスから削除される
• インターフェイスがin state: media disconnected

ただし、WLCではステータスは変わりません（クライアントはまだRUN状態です）。

これはWLC用に計画されている設計であり、セッションが削除されるのは、

• ユーザアイドルタイムアウトヒット
• セッションタイムアウトヒット 
• L2暗号化を使用している場合、Group Key Rotationインターバルが
• その他の原因で、AP/WLCがクライアントをキックオフする（AP無線のリセット、WLANのシャットダウンなど）

この動作と一時的なアクセス設定により、ユーザがWLANセッションから接続解除した後も、ISEは削除されません。これは、WLCがその設定をクリアしたことがないこと（およびRADIUSアカウンティングの停止を送信したことがないこと）があるためです。セッションが削除されない場合でも、ISEは古いセッションを記憶し、ゲストフロー条件が満たされます。切断および再接続された後、ユーザは再認証を必要とせずにフルネットワークアクセスが可能です。

しかし、接続解除後にユーザが別のWLANに接続すると、WLCは古いセッションをクリアすることに決定します。Radius Accounting Stopが送信され、ISEがセッションを削除します。クライアントが元のWLANへの接続を試行すると、ゲストフロー条件が満たされず、ユーザは認証のためにリダイレクトされます。

注:Management Frame Protection(MFP)が設定されたWLCは、CCXv5 MFPクライアントからの暗号化された認証解除フレームを受け入れます。

確認

永続アクセス

ゲストポータルへのリダイレクトと認証の成功後、ISEは認可変更(CoA)を送信して再認証をトリガーします。その結果、新しいMAC認証バイパス(MAB)セッションが構築されます。今回のエンドポイントはGuestEndpoints IDグループに属し、フルアクセスを提供するルールに一致します。

この段階で、ワイヤレスユーザは切断し、別のWLANに接続してから再接続できます。これらの後続の認証はすべてMACアドレスに基づくIDを使用しますが、特定のIDグループに属するエンドポイントがあるため、最初のルールに一致します。フルネットワークアクセスは、ゲスト認証なしで提供されます。

一時アクセス

2番目のシナリオ（ゲストフローに基づく条件を使用）の開始時も同じです。

しかし、以降のすべての認証でセッションが削除されると、ゲストは一般的なルールに該当し、再度ゲスト認証にリダイレクトされます。

正しい属性がセッションに存在する場合、ゲストフロー条件が満たされます。エンドポイント属性を調べることで確認できますゲスト認証が成功した結果が表示されます。

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

バグ

CSCuu41157 ISE ENH CoA terminate send on guest account removal or expiry.

（ゲストアカウントの削除後または有効期限後にゲストセッションを終了する機能拡張要求）

参考資料

• Cisco ISE 1.3 アドミニストレータ ガイド
• Cisco ISE 1.4 アドミニストレータ ガイド
• ISE バージョン 1.3 ホットスポットの設定例
• ISE バージョン 1.3 の自己登録したゲスト ポータルの設定例
• WLC と ISE での中央 Web 認証の設定例
• ISE を搭載した WLC 上で FlexConnect AP を使用した 中央 Web 認証の設定例
• テクニカル サポートとドキュメント - Cisco Systems