ISE 게스트 임시 및 영구 액세스 구성

다운로드 옵션

  • PDF     (1.4 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.1 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.3 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 11월 18일
문서 ID:200273

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.


소개

이 문서에서는 ISE(Identity Services Engine) 게스트 액세스 컨피그레이션의 여러 방법에 대해 설명합니다. 권한 부여 규칙의 다른 조건에 따라 다음을 수행합니다.

  • 네트워크에 대한 영구 액세스를 제공할 수 있습니다(후속 인증에 대한 요구 사항 없음).
  • 네트워크에 대한 임시 액세스를 제공할 수 있습니다(세션 만료 후 게스트 인증 필요)

또한 임시 액세스 시나리오에 미치는 영향과 함께 세션 제거를 위한 특정 WLC(Wireless LAN Controller) 동작이 표시됩니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

  • ISE 구축 및 게스트 플로우
  • WLC(Wireless LAN Controller) 구성

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Microsoft Windows 7
  • Cisco WLC 버전 7.6 이상
  • ISE 소프트웨어, 버전 1.3 이상

구성

기본 게스트 액세스 컨피그레이션은 컨피그레이션 예와 함께 참조를 확인하십시오. 이 문서에서는 권한 부여 규칙 컨피그레이션 및 권한 부여 조건의 차이점에 대해 중점적으로 다룹니다.

네트워크 다이어그램

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

영구 액세스

디바이스 등록을 활성화하여 게스트 포털에서 성공적으로 인증한 후 ISE 버전 1.3 이상의 경우.

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

엔드포인트 디바이스(mac 주소)는 특정 엔드포인트 그룹(이 예에서는 GuestEndpoints)에 정적으로 등록됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

이 그룹은 이 이미지에 표시된 대로 사용자의 Guest Type(게스트 유형)에서 파생됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

해당 설정이 포털 설정에서 파생된 회사 사용자(게스트 이외의 ID 저장소)인 경우

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

따라서 게스트와 연결된 mac 주소는 항상 특정 ID 그룹에 속합니다. 자동으로 변경할 수 없습니다(예: 프로파일러 서비스).

참고: 프로파일러 결과를 적용하려면 EndPointPolicy 권한 부여 조건을 사용할 수 있습니다.

이 이미지에 표시된 대로 디바이스가 항상 특정 엔드포인트 ID 그룹에 속한다는 것을 알고 있으므로 이를 기반으로 권한 부여 규칙을 작성할 수 있습니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

사용자가 인증되지 않은 경우 권한 부여는 일반 규칙 RedirectToPortal과 일치합니다. 게스트 포털 및 인증에 리 디렉션 한 후, 엔드 포인트는 특정 엔드 포인트 ID 그룹에 배치 됩니다. 첫 번째, 더 구체적인 조건에서 사용됩니다. 해당 엔드포인트의 모든 후속 인증은 첫 번째 권한 부여 규칙에 도달하며 사용자는 게스트 포털에서 다시 인증할 필요 없이 전체 네트워크 액세스 권한을 제공받습니다.

게스트 어카운트의 엔드포인트 제거

이 상황은 영원히 계속될 수도 있다. 그러나 ISE 1.3에서는 엔드포인트 제거 기능이 도입되었습니다. 기본 컨피그레이션을 사용합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

게스트 인증에 사용 된 모든 엔드 포인트는 30 일 후 (엔드 포인트 생성) 제거 됩니다. 그 결과 일반적으로 30 일 후 게스트 사용자가 네트워크에 액세스를 시도 하면 RedirectToPortal 권한 부여 규칙을 적중 하고 인증을 위해 리 디렉션 됩니다.

참고: 엔드포인트 비우기 기능은 게스트 어카운트 비우기 정책 및 게스트 어카운트 만료와 무관합니다.

참고: ISE 1.2에서는 내부 프로파일러 큐 제한에 도달할 때만 엔드포인트를 자동으로 제거할 수 있습니다. 가장 최근에 사용한 엔드포인트가 제거됩니다.

임시 액세스

게스트 액세스를 위한 또 다른 방법은 게스트 플로우 조건을 사용하는 것입니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

이 조건은 ISE의 활성 세션 및 해당 특성을 확인하는 것입니다. 해당 세션에 이전에 게스트 사용자가 성공적으로 인증되었음을 나타내는 특성이 있는 경우 조건이 일치합니다. ISE가 NAD(Network Access Device)에서 Radius 계정 관리 중지 메시지를 받으면 세션이 종료되고 나중에 제거됩니다. 이 단계에서는 Network Access:UseCase = Guest Flow 조건이 더 이상 충족되지 않습니다. 그 결과 해당 엔드포인트의 모든 후속 인증이 게스트 인증을 위해 리디렉션되는 일반 규칙에 도달합니다.

참고: HotSpot 포털을 통해 사용자를 인증할 경우 게스트 플로우가 지원되지 않습니다. 이러한 시나리오에서는 UseCase 특성이 Guest Flow 대신 Host Lookup으로 설정됩니다.

WLC 연결 끊기 동작

클라이언트가 무선 네트워크에서 연결을 끊으면(예: Windows의 연결 끊기 단추 사용) 인증 해제 프레임을 보냅니다. 그러나 이는 WLC에 의해 생략되고 "debug client xxxx"를 사용하여 확인할 수 있습니다. - 클라이언트가 WLAN에서 연결을 끊을 때 WLC는 디버그를 표시하지 않습니다. 따라서 Windows 클라이언트에서 다음을 수행합니다.

  • ip 주소가 인터페이스에서 제거되었습니다.
  • 인터페이스가 상태입니다. 미디어 연결 끊김

그러나 WLC에서는 상태가 변경되지 않습니다(클라이언트는 여전히 RUN 상태).

WLC를 위한 계획된 설계이므로

  • 사용자 유휴 시간 초과 적중
  • session-timeout hits(세션 시간 초과 히트) 
  • l2 암호화를 사용하는 경우 그룹 키 회전 간격이 적중할 때
  • 다른 어떤 이유로 인해 AP/WLC가 클라이언트를 해제합니다(예: AP 라디오 재설정, 누군가가 WLAN을 종료하는 등).

사용자가 WLAN 세션에서 연결을 끊은 후 이러한 동작 및 임시 액세스 컨피그레이션을 사용하는 경우 WLC에서 이를 지운 적이 없으므로(그리고 RADIUS 계정 관리 중지를 보낸 적이 없으므로) ISE에서 제거되지 않습니다. 세션이 제거되지 않은 경우 ISE는 여전히 이전 세션을 기억하며 게스트 플로우 조건이 충족됩니다. 연결 해제 및 재연결 후 사용자는 재인증 요구 사항 없이 전체 네트워크 액세스 권한을 갖게 됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

그러나 연결이 끊긴 후 사용자가 다른 WLAN에 연결하면 WLC는 이전 세션을 지우기로 결정합니다. RADIUS 계정 관리 중지가 전송되며 ISE가 세션을 제거합니다. 클라이언트가 원래 WLAN 게스트 플로우 조건에 대한 연결을 시도하려고 시도하지만 해당 조건이 충족되지 않고 사용자가 인증을 위해 리디렉션되는 경우

참고: MFP(Management Frame Protection)로 구성된 WLC는 CCXv5 MFP 클라이언트에서 암호화된 인증 해제 프레임을 수락합니다.

다음을 확인합니다.

영구 액세스

게스트 포털로 리디렉션하고 인증에 성공한 후 ISE는 CoA(Change of Authorization)를 전송하여 재인증을 트리거합니다. 따라서 새 MAB(MAC Authentication Bypass) 세션이 구축됩니다. 이 시간 엔드 포인트는 GuestEndpoints ID 그룹에 속하고 전체 액세스를 제공 하는 규칙과 일치 합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

이 단계에서 무선 사용자는 연결을 끊고 다른 WLAN에 연결한 다음 다시 연결할 수 있습니다. 모든 후속 인증은 mac 주소를 기반으로 ID를 사용하지만 특정 ID 그룹에 속한 엔드포인트로 인해 첫 번째 규칙에 도달합니다. 게스트 인증 없이 전체 네트워크 액세스가 제공됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

임시 액세스

두 번째 시나리오(게스트 플로우 기반 조건)의 시작은 동일합니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

그러나 모든 후속 인증에 대해 세션이 제거되면 게스트는 일반 규칙에 도달하고 게스트 인증을 위해 다시 리디렉션됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

게스트 플로우 조건은 세션에 대한 올바른 특성이 존재할 때 충족됩니다. 엔드포인트 특성을 확인하여 확인할 수 있습니다. 성공적인 게스트 인증 결과가 표시됩니다.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

버그

CSCuu41157 ISE ENH CoA 종료 게스트 계정 제거 또는 만료 시 전송.

(게스트 계정 제거 또는 만료 후 게스트 세션을 종료 하는 개선 요청)

참조

개정 이력

개정 게시 날짜 의견
1.0
24-Nov-2015
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • 미할 가르카르즈
    Cisco TAC 엔지니어
  • 세르히이 쿠체렌코
    Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품