ISE Guest-accountbeheer

Downloadopties

  • PDF     (293.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (260.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (268.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 augustus 2020
Document-id:215931

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de veelgebruikte acties beschreven die een sponsor of een ISE-beheerder kan ondernemen met de op ISE aanwezige gastgegevens. De gastservices van Cisco Identity Services Engine (ISE) bieden beveiligde netwerktoegang tot gasten zoals bezoekers, aannemers, consultants en klanten. 

    Bijgedragen door Shivam Kumar, Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt u aan om de kennis van deze onderwerpen te hebben:

    • ISE
    • ISE-gastservices

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE, release 2.6

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Opmerking: De procedure is vergelijkbaar of identiek voor andere ISE-versies. Men kan deze stappen op alle 2.x ISE-softwarereleases gebruiken tenzij anders vermeld.

    Configureren

    Gebruik een sponsor om spelrekeningen te beheren

    Sponsors zijn gebruikersaccounts op ISE die het voorrecht hebben om in te loggen om portal te sponsoren, waar ze tijdelijke gastaccounts kunnen maken voor geautoriseerde bezoekers en deze kunnen beheren. Een sponsor kan een interne gebruiker zijn of een rekening die in een externe identiteitswinkel aanwezig is, zoals een actieve folder.

    In dit voorbeeld wordt de rekening van sponsors intern op ISE gedefinieerd en aan de vooraf gedefinieerde groep toegevoegd: ALL_ACCOUNTS.

    ISE heeft standaard drie groepen die sponsors kunnen maken:

    ALL_ACCOUNTS (standaard): Sponsors toegewezen aan deze groep kunnen alle gastgebruikersaccounts beheren. Standaard zijn gebruikers in de gebruikersgroep ALL_ACCOUNTS lid van deze sponsorgroep.

    GROUP_ACCOUNTS (standaard):  Als sponsors die bij deze groep zijn ingedeeld, kunnen alleen de gastrekeningen beheren die door sponsors van dezelfde sponsorgroep zijn gemaakt. De standaardinstelling is dat gebruikers in de GROUP_ACCOUNTS gebruikersgroep leden zijn van deze sponsorgroep.

    OWN_ACCOUNTS (standaard): Sponsors toegewezen aan deze groep kunnen alleen de gastenrekeningen beheren die ze hebben gemaakt. Standaard zijn gebruikers in de gebruikersgroep OWN_ACCOUNTS lid van deze sponsorgroep.

    De sponsor account in dit voorbeeld is toegewezen aan ALL_ACCOUNTS:

    De machtigingen en privileges van deze groepsgroep zijn beschikbaar op Workcenters> Guest Access > Portal & Componenten > Sponsordroepen:

    Om een sponsor toegang tot het gastbeheer te geven via ERS REST API, wordt toestemming toegevoegd aan de groep van de sponsor zoals in de afbeelding te zien is.

    Actieve directory-account als sponsor gebruiken

    Naast interne gebruikersrekeningen die als sponsors worden gedefinieerd, kunnen ook rekeningen op externe identiteitsbronnen zoals Active Directory (AD) of LDAP worden gebruikt als sponsor voor het beheer van gastrekeningen.

    Zorg ervoor dat ISE aan AD is toegevoegd door naar Administratie > Identificaties > Externe Bronnen > Actieve Map te bladeren. Als er nog geen aansluiting is, sluit u zich aan bij een van de beschikbare AD-domeinen.

    De groepen op AD die de rekeningen bevatten, ophalen:

    Dit voorbeeld demonstreert het toevoegen van AD-gebruiker aan ALL_ACCOUNTS sponsorgroep.
    Navigeer naar werkcentra > Gasttoegang > Portal en onderdelen > Ondersteuningsgroepen> ALL_ACCOUNTS en klik vervolgens op leden, zoals in deze afbeelding wordt getoond.

     De leden tonen alle beschikbare groepen waaruit zij kunnen kiezen; Selecteer de AD-groep en verplaats deze naar rechts om deze aan de sponsorgroep toe te voegen.

    Veranderingen opslaan. De inlognaam voor het sponsor portal werkt nu met AD-gebruikersaccounts die deel uitmaken van de geselecteerde AD-groep.

    Dezelfde stappen hierboven kunnen worden gevolgd om gebruikers via LDAP toe te voegen. Ook intern gedefinieerde gebruikersidentiteitsgroepen zijn beschikbaar als een optie om toe te voegen aan sponsorgroepen.

    Gebruik een dergelijke sponsor account om in te loggen op een portal voor sponsor. Het sponsorportal kan worden gebruikt om:

    • gastrekeningen bewerken en verwijderen
    • Duur van gastaccount verlengen
    • Account opschorten
    • verlopen gastrekeningen opnieuw installeren
    • Wachtwoorden opnieuw instellen en opnieuw instellen voor gasten
    • Goedkeuring van hangende gastrekeningen

    Selecteer in het tabblad sponsor het tabblad Account beheren om alle gastrekeningen te zien die deze sponsor mag beheren, zoals in deze afbeelding.

    Een gastaccount kan worden bewerkt ongeacht de staat waarin het is geplaatst.

    Er is een optie om het wachtwoord van de gastaccount op te geven indien de rekeninghouder deze vergeet of verliest. Het wachtwoord van een gastaccount kan alleen verschijnen als het wachtwoord actief is of is gemaakt.

    Er kunnen geen wachtwoorden verschijnen voor gasten die ze hebben veranderd. In dat geval moet eerst de optie Wachtwoord opnieuw instellen worden gebruikt. Wachtwoord kan niet worden verzonden voor rekeningen die hangende goedkeuring, geschorst, verlopen of geweigerd zijn.

    Een sponsor kan de optie kiezen om een kopie van het gewijzigde wachtwoord te ontvangen:

    Mocht het nodig zijn de toegang van de gast tot het netwerk gedurende een langere periode dan oorspronkelijk toegestaan te laten zijn, gebruik dan de verlengde optie om de duur ervan te verlengen. Rekeningen in samengestelde, actieve of verlopen staat kunnen worden uitgebreid.

    Een rekening die is opgeschort of geweigerd, kan niet worden uitgebreid; gebruik in plaats daarvan de optie Terugzetten.

    De maximaal toegestane verlenging wordt bepaald door het type gast van de account.

    Guest-rekeningen verlopen op zichzelf als ze de einde van hun account bereiken, ongeacht hun staat. Geschorste of verlopen gastrekeningen worden automatisch gezuiverd op basis van zuiveringsbeleid dat op het systeem is vastgesteld. Standaard worden ze elke 15 dagen gewist.

    Op de Guest-account staat de betekenis:

    Actief: Guest met deze accounts is inlogd via een Gastportaal met toelating of heeft de gratis Guest-portal omzeild. In het laatste geval behoren de rekeningen tot gasttypen die zo zijn geconfigureerd dat ze de toegang tot het portaal in gevangenschap omzeilen. Deze gasten kunnen tot het netwerk toegang hebben door hun inloggeloofsbrieven aan de inheemse bediende op hun apparaat te verstrekken.

    Gemaakt: Er zijn accounts aangemaakt, maar de gasten hebben zich nog niet aangemeld bij een geldig Guest portal. In dit geval worden de accounts toegewezen aan gasttypen die niet zijn ingesteld om het aanmeldingsformulier voor een gastportaal te omzeilen. Gegenen moeten eerst inloggen via het daarvoor bestemde Guest-portaal voordat ze toegang kunnen krijgen tot andere delen van het netwerk.

    Ontkend: De rekeningen krijgen geen toegang tot het netwerk. Rekeningen die in een ontkende staat zijn verlopen, blijven zoals ontkend.

    In afwachting van goedkeuring: De rekeningen wachten op goedkeuring van de toegang tot het netwerk.

    Gesuspendeerd: De rekeningen worden opgeschort door een sponsor die daartoe het voorrecht heeft.

    Doorgaans zuiveringsbeleid

    Standaard zuivert ISE automatisch elke 15 dagen verlopen gastaccounts. Deze informatie is te zien onder Workcenters > Gasttoegang > Instellingen > Oplossingsbeleid voor Guest-account.

    Datum van volgende schoonmaak geeft aan wanneer de volgende reiniging plaatsvindt. De ISE-beheerder kan:

    • Stel een zuiveringsprogramma in voor elke X dagen. Het tijdstip van schoonmaken is aangegeven wanneer de eerste keer schoonmaken binnen X dagen plaatsvindt. Daarna wordt de zuivering elke dag uitgevoerd.
    • Stel op een bepaalde dag van de week een schoonmaakmiddel in, elke X weken.
    • Dwing een schoonmaakmiddel op verzoek in met de optie Nu zuiveren.

    Als verlopen gastrekeningen worden gezuiverd, blijven de verbonden eindpunten, het rapporteren en het registreren informatie behouden.

    Endpoint Purge: Inactieve dagen vs. verstreken dagen voor endpoints

    De endpoints die gasten gebruiken om tot het netwerk te toegang worden worden standaard het deel van GuestEndpoints. ISE heeft het beleid om eindpunten voor gasten en geregistreerde apparaten te verwijderen die ouder zijn dan 30 dagen. Deze standaard zuiveringstaak werkt elke dag op 1.00 uur, gebaseerd op de tijdzone die is ingesteld in het Primair Admin Node (PAN). Dit beleid gebruikt de conditie van verlopen dagen. Andere opties zijn InactiveDays en PurgeDate.

    Opmerking: Endpoint Purge-functionaliteit is onafhankelijk van het beleid voor het zuiveren van uw account en het aflopen van uw account.

    Beleid is gedefinieerd onder Beheer > Identity Management > Instellingen > Endpoint Purge.

    Verlopen dagen: Dit verwijst naar het aantal dagen sinds het object is gemaakt. Deze voorwaarde kan worden gebruikt voor endpoints die onecht of voorwaardelijk toegang voor een bepaalde tijdsperiode zijn verleend, zoals een gast- of aannemer-eindpunt, of werknemers die gebruik maken van een website voor netwerktoegang. Na de toegestane respijtperiode voor verbinding moeten deze volledig worden gewaarmerkt en geregistreerd.

    Inactieve dagen: Raadpleeg het aantal dagen sinds de laatste profileringsactiviteit of update op het eindpunt. Deze conditie zuivert schalie apparaten die in de loop der tijd zijn opgehoopt, gewoonlijk voorbijgaande gasten of persoonlijke apparaten, of opgestapelde apparaten. Deze eindpunten hebben de neiging ruis in de meeste implementaties te vertegenwoordigen aangezien ze niet langer actief zijn op het netwerk of in de nabije toekomst waarschijnlijk zullen worden gezien. Als ze toch weer verbinding maken, dan worden ze opnieuw ontdekt, geproefd, geregistreerd, enzovoort. 

    Wanneer er updates zijn van het eindpunt, zal InactiviteitDays worden teruggesteld op 0 slechts als het profileren is geactiveerd. 

    zuiveringsdatum: Datum om het eindpunt te verwijderen. Deze optie kan worden gebruikt voor speciale evenementen of groepen waar toegang voor een specifieke tijd wordt verleend, ongeacht de aanmaak of de begintijd. Hiermee kunnen alle eindpunten tegelijkertijd worden weggezuiverd. Bijvoorbeeld een beurs, een conferentie of een wekelijkse opleidingsklasse met nieuwe leden elke week, waar toegang wordt verleend voor een specifieke week of maand in plaats van absolute dagen/weken/maanden. 

    Dit voorbeeldbestand profiler.log laat zien wanneer endpoints die deel uitmaakten van GuestEndpoints en die 30 dagen waren verlopen, werden gewist:

    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3bfaffe0-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging description: ENDPOINTPURGE:ElapsedDays EQUALS 30
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging expression: GuestInactivityCheck & GuestEndPointsPurgeRuleCheck5651c592-cbdb-4e60-aba1-cf415e2d4808
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : GuestInactivityCheck
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ENDPOINTPURGE ElapsedDays EQUALS 30
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c119520-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :EXCLUSION
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c2ac270-8c01-11e6-996c-525400b48521
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3c2ac270-8c01-11e6-996c-525400b48521
    2

    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : RegisteredInactivityCheck
    2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ElapsedDays Greater than 30
    2020-07-09 09:35:26,407 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Started to Update the ChildParentMappingMap
    2020-07-09 09:35:26,408 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Completed to Update the ChildParentMappingMap
    2020-07-09 09:35:26,512 INFO [admin-http-pool13][] cisco.profiler.infrastructure.notifications.ProfilerEDFNotificationAdapter -::- EPPurge policy notification.
    2020-07-09 09:35:26,514 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Requesting purging.
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- New TASK is running : 07-09-202009:35
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Read profiler.endPointNumDaysOwnershipToPan from platform properties: null
    2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Value of number days after which ownership of inactive end points change to PAN: 14
    2020-07-09 09:35:26,525 INFO [PurgeImmediateOrphanEPOwnerThread][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Updating Orphan Endpoint Ownership to PAN.
    2020-07-09 09:35:26,530 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Purge Endpoints for PurgeID 07-09-202009:35
    2020-07-09 09:35:26,532 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- hostname of the node ise26-1.shivamk.local
    2020-07-09 09:35:26,537 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Search Query page1 lastEpGUID. EndpointCount4
    2020-07-09 09:35:26,538 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:FF IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,539 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:01 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:03 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:04 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
    2020-07-09 09:35:27,033 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4
    2020-07-09 09:35:27,034 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4 in 504 millisec numberofEndpointsRead4

    Nadat de reiniging is voltooid:

    Probleemoplossing voor problemen oplossen

    Om logbestanden op te nemen die zijn gerelateerd aan gastkwesties en purge-kwesties, kunnen deze componenten worden ingesteld op debug. Raadpleeg het selectieknop voor het inschakelen van de unit > Systeem > Configuration Debug Log.

    Stel deze onderdelen in voor problemen oplossen bij gastenrekeningen/sponsors en eindpunten voor purgeergerelateerde problemen:

    • toegang
    • gastenbeheerder
    • gastentoegangsbeheer
    • voortrekker
    • Trunk-AAA

    Stel deze onderdelen voor problemen met betrekking tot het portal in om het te reinigen:

    • sponsor
    • portaal
    • hoofd van de portal
    • toegang

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Shivam Kumar
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten