Tijdelijke en permanente toegang tot ISE-gast configureren

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 november 2015
Document-id:200273

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.


Inleiding

Dit document beschrijft verschillende methoden voor de configuratie van de gasttoegang voor Identity Services Engine (ISE). Gebaseerd op verschillende voorwaarden in de vergunningsregels:

  • permanente toegang tot het netwerk kan worden verleend (geen vereiste voor latere authenticaties)
  • tijdelijke toegang tot het netwerk kan worden verleend (hiervoor is verificatie van gasten vereist nadat de sessie is verlopen).

Ook wordt het specifieke gedrag van de Draadloze LAN-controller (WLC) voor het verwijderen van sessies gepresenteerd langs het effect op tijdelijk toegangsscenario.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • ISE-implementaties en gaststromen
  • Configuratie van draadloze LAN-controllers (WLC’s)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Microsoft Windows 7
  • Cisco WLC versie 7.6 en hoger
  • ISE-software, versie 1.3 en hoger

Configureren

Voor basis gasttoegangsconfiguratie, controleer referenties met configuratievoorbeelden. Dit artikel richt zich op de configuratie van de vergunningsregels en verschillen in de vergunningsvoorwaarden.

Netwerkdiagram

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

Permanente toegang

Voor ISE versie 1.3 en nieuwer na succesvolle verificatie op het guest portal met de registratie van het apparaat ingeschakeld.

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

Endpoint device (mac-adres) wordt statisch geregistreerd in specifieke endpointgroep (GuestEndpoints in dit voorbeeld).

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

Die groep is afgeleid van het Gasttype van de gebruiker, zoals in deze afbeelding wordt getoond.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

Als het een zakelijke gebruiker is (identiteits-opslag anders dan gast) dat het instellen is afgeleid van de portal-instellingen.

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

Als gevolg hiervan behoort het hoofdadres dat aan de gast is gekoppeld altijd tot die specifieke identiteitsgroep. Dat kan niet automatisch worden gewijzigd (bijvoorbeeld door Profiler-service).

Opmerking: om Profiler-resultaten toe te passen, kan de autorisatievoorwaarde EndPointPolicy worden gebruikt.

In de wetenschap dat een apparaat altijd tot een specifieke endpointgroep behoort, is het mogelijk om op basis daarvan autorisatieregels op te stellen, zoals te zien is in deze afbeelding.

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

Wanneer een gebruiker niet is geverifieerd, komt de autorisatie overeen met de generieke regel RedirectToPortal. Na omleiding naar het gastportaal en verificatie wordt het eindpunt in de specifieke endpointgroep geplaatst. Dat wordt gebruikt door de eerste, specifiekere voorwaarde. Alle verdere authenticaties van dat eindpunt raken de eerste autorisatieregel en de gebruiker krijgt volledige netwerktoegang zonder de noodzaak om opnieuw te authenticeren op het guest portal.

Endpoint purge voor gastenaccounts

Deze situatie kan eeuwig duren. Maar in ISE 1.3 Purge Endpoint functionaliteit is geïntroduceerd. Met de standaardconfiguratie.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

Alle endpoints die worden gebruikt voor gastverificatie worden na 30 dagen verwijderd (vanaf het maken van endpoints). Dit heeft tot gevolg dat een gastgebruiker die probeert toegang te krijgen tot het netwerk doorgaans na 30 dagen de RedirectToPortal-autorisatieregel raakt en wordt omgeleid voor verificatie.

Opmerking: de functionaliteit voor het opschonen van endpoints is onafhankelijk van het beleid voor het opschonen van uw gastaccount en het verloop van uw gastaccount.

Opmerking: In ISE 1.2-endpoints kunnen automatisch worden verwijderd wanneer ze interne wachtrijlimieten raken. Dan worden minst recent gebruikte endpoints verwijderd.

Tijdelijke toegang

Een andere methode voor gasttoegang is om de gaststroomvoorwaarde te gebruiken.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

Die voorwaarde is het controleren van actieve sessies op ISE en zijn eigenschappen. Als die sessie het kenmerk heeft dat aangeeft dat de vorige gastgebruiker met succes geauthenticeerd heeft, wordt de voorwaarde aangepast. Nadat ISE de Radius Accounting Stop-melding ontvangt van Network Access Device (NAD), wordt de sessie beëindigd en later verwijderd. Op dat moment is de voorwaarde Network Access:UseCase = Guest Flow niet meer vervuld. Dientengevolge raken alle verdere authenticaties van dat eindpunt generieke regel omleiding voor gastenverificatie.

Opmerking: Guest Flow wordt niet ondersteund wanneer de gebruiker is geverifieerd via HotSpot portal. Voor die scenario's wordt de eigenschap UseCase ingesteld op Host Lookup in plaats van Guest Flow.

WLC-gedrag bij verbroken verbinding

Nadat de clients de verbinding met het draadloze netwerk hebben verbroken (bijvoorbeeld met behulp van de knop Verbinding verbreken in Windows) wordt een deverificatieframe verzonden. Maar dat wordt weggelaten door WLC en kan worden bevestigd met behulp van "debug client xxxx" - WLC presenteert geen debugs wanneer client verbreekt met WLAN. Als gevolg daarvan op Windows-client:

  • IP-adres wordt uit de interface verwijderd
  • interface is in staat: media losgekoppeld

Maar op WLC is de status ongewijzigd (client nog steeds in RUN staat).

Dat is gepland ontwerp voor WLC, de sessie wordt verwijderd wanneer

  • gebruiker idle timeout hits
  • sessie-time-out hits 
  • als L2-encryptie wordt gebruikt, wanneer de groep een sleutelrotatie-interval heeft bereikt
  • iets anders zorgt ervoor dat de AP/WLC de client uitzet (bijv. AP-radio reset, iemand sluit de WLAN, etc.)

Met dat gedrag en tijdelijke toegangsconfiguratie nadat de gebruiker de verbinding met WLAN-sessie heeft verbroken, wordt niet verwijderd van ISE omdat WLC het nooit heeft gewist (en nooit Radius Accounting Stop heeft verzonden). Als de sessie niet wordt verwijderd, onthoudt ISE nog steeds oude sessie en is de gaststroomvoorwaarde vervuld. Nadat de verbinding is verbroken en de verbinding is hersteld, heeft de gebruiker volledige netwerktoegang zonder dat hij opnieuw hoeft te worden geverifieerd.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

Maar als na het verbreken van de verbinding de gebruiker met verschillende WLAN verbindt, dan beslist WLC om oude sessie te wissen. Radius Accounting Stop wordt verzonden en ISE verwijdert de sessie. Als de client probeert verbinding te maken met de oorspronkelijke WLAN Guest Flow-voorwaarde is niet voldaan en wordt de gebruiker omgeleid voor verificatie.

Opmerking: WLC geconfigureerd met Management Frame Protection (MFP) accepteert versleuteld deauthenticatie frame van CCXv5 MFP-client.

Verifiëren

Permanente toegang

Na omleiding naar het gastportaal en succesvolle verificatie stuurt ISE een wijziging van autorisatie (CoA) om herverificatie te starten. Hierdoor wordt een nieuwe MAB-sessie (MAC Verification Bypass) gebouwd. Dit tijdseindpunt behoort tot de GuestEndpoints-identiteitsgroep en komt overeen met de regel die volledige toegang biedt.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

In dat stadium kan de draadloze gebruiker de verbinding verbreken, verbinding maken met verschillende WLAN’s en vervolgens opnieuw verbinding maken. Al die volgende authenticaties gebruiken identiteit op basis van mac-adres, maar raakt de eerste regel vanwege eindpunt dat tot een specifieke identiteitsgroep behoort. De volledige netwerktoegang wordt verleend zonder gastauthentificatie.

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

Tijdelijke toegang

Voor het tweede scenario (met voorwaarde gebaseerd op Guest Flow) is het begin hetzelfde.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

Maar nadat de sessie is verwijderd voor alle daaropvolgende authenticaties, heeft de gast algemene regel en wordt opnieuw doorgestuurd voor gastverificatie.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

Gast Flow voorwaarde wordt voldaan wanneer de juiste attributen bestaan voor de sessie. Dat kan worden geverifieerd door te kijken naar endpointkenmerken. Het resultaat van succesvolle gastverificatie wordt aangegeven.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

Bugs

CSCuu41157 ISE ENH CoA beëindigen op gast-account verwijderen of verlopen.

(enhancement verzoek om gastsessies te beëindigen na verwijdering van gastaccount of afloop)

Referenties

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
24-Nov-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Michal Garcarz
    Cisco TAC Engineer
  • Serhii Kucherenko
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten