Exemplo de configuração do Portal de convidado autorregistrado do ISE versão 1.3

Opções de download

  • PDF     (1.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de fevereiro de 2015
ID do documento:118742

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Cisco Identity Services Engine (ISE) versão 1.3 tem um novo tipo de Portal de Convidado chamado Portal de Convidado Registrado Automaticamente, que permite que os usuários convidados se registrem quando obtêm acesso aos recursos de rede. Esse portal permite configurar e personalizar vários recursos. Este documento descreve como configurar e solucionar problemas dessa funcionalidade.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha experiência com a configuração do ISE e conhecimento básico destes tópicos:

  • Implantações do ISE e fluxos de convidados
  • Configuração de controladoras Wireless LAN (WLC)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Microsoft Windows 7
  • Cisco WLC versão 7.6 e posterior
  • Software ISE, versão 3.1 e posterior

Topologia e fluxo

Esse cenário apresenta várias opções disponíveis para usuários convidados quando eles executam o autorregistro.

Aqui está o fluxo geral:

Etapa 1. O usuário convidado está associado ao Service Set Identifier (SSID): Convidado. Esta é uma rede aberta com filtragem MAC com ISE para autenticação. Essa autenticação corresponde à segunda regra de autorização no ISE, e o perfil de autorização é redirecionado para o Portal de convidado autorregistrado. O ISE retorna um RADIUS Access-Accept com dois cisco-av-pair:

  • url-redirect-acl (qual tráfego deve ser redirecionado e o nome da Access Control List (ACL) definida localmente na WLC)
  • url-redirect (para onde redirecionar esse tráfego - para ISE)

Etapa 2. O usuário convidado é redirecionado para o ISE. Em vez de fornecer credenciais para fazer login, o usuário clica em "Não tem uma conta". O usuário é redirecionado para uma página onde essa conta pode ser criada. Um código de registro secreto opcional pode ser habilitado para limitar o privilégio de autorregistro a pessoas que conhecem esse valor secreto. Depois que a conta é criada, o usuário recebe as credenciais (nome de usuário e senha) e faz login com essas credenciais.

Etapa 3. O ISE envia uma reautenticação de alteração de autorização (CoA - Change of Authorization) RADIUS para a WLC. A WLC autentica novamente o usuário quando envia a solicitação de acesso RADIUS com o atributo Authorize-Only. O ISE responde com Access-Accept e Airespace ACL definidos localmente na WLC, que fornece acesso apenas à Internet (o acesso final para o usuário convidado depende da política de autorização).

Observe que, para sessões EAP (Extensible Authentication Protocol), o ISE deve enviar um CoA Terminate para disparar uma nova autenticação, pois a sessão EAP está entre o solicitante e o ISE. Mas para MAB (filtragem MAC), CoA Reauthenticate é suficiente; não há necessidade de desassociar/desautenticar o cliente sem fio.

Etapa 4. O usuário convidado tem o acesso desejado à rede.

Vários recursos adicionais, como postura e consumerização de TI (BYOD), podem ser ativados (discutidos posteriormente).

Configurar

WLC

  1. Adicione o novo servidor RADIUS para Authentication and Accounting. Navegue para Security > AAA > Radius > Authentication para habilitar RADIUS CoA (RFC 3576).

    Há uma configuração semelhante para Contabilização. Também é aconselhável configurar o WLC para enviar o SSID no atributo ID da estação chamada, que permite que o ISE configure regras flexíveis com base no SSID:



  2. Na guia WLANs, crie o convidado da LAN sem fio (WLAN) e configure a interface correta. Defina a segurança da Camada 2 como Nenhuma com a filtragem MAC. Em Servidores de Segurança/Autenticação, Autorização e Tarifação (AAA - Security/Authentication, Authorization, and Accounting), selecione o endereço IP do ISE para Autenticação e Tarifação. Na guia Advanced, habilite AAA Override e defina o Network Admission Control (NAC) State como RADIUS NAC (suporte a CoA).

  3. Navegue até Segurança > Listas de Controle de Acesso > Listas de Controle de Acesso e crie duas listas de acesso:

    • GuestRedirect, que permite o tráfego que não deve ser redirecionado e redireciona todo o tráfego restante
    • Internet, que é negada para redes corporativas e permitida para todas as outras


    Aqui está um exemplo para a ACL GuestRedirect (é necessário excluir o tráfego de/para o ISE do redirecionamento):

ISE

  1. Navegue até Guest Access > Configure > Guest Portals e crie um novo tipo de portal, Self Registered Guest Portal:



  2. Escolha o nome do portal que será referenciado no perfil de autorização. Defina todas as outras configurações como padrão. Em Personalização da página do portal, todas as páginas apresentadas podem ser personalizadas.

  3. Configurar perfis de autorização:

    • Convidado (com redirecionamento para o nome do portal Convidado e Redirecionamento de Convidado ACL)



    • PermitInternet (com Airespace ACL igual à Internet)





  4. Para verificar as regras de autorização, navegue para Política > Autorização. No ISE versão 1.3, por padrão, a autenticação de acesso com falha de desvio de autenticação MAC (MAB) (endereço MAC não encontrado) é continuada (não rejeitada). Isso é muito útil para portais de convidados, pois não há necessidade de alterar nada nas regras de autenticação padrão.



    Novos usuários que se associam ao SSID convidado ainda não fazem parte de nenhum grupo de identidade. É por isso que eles correspondem à segunda regra, que usa o perfil de autorização de convidado para redirecioná-los para o Portal de convidado correto.

    Depois que um usuário cria uma conta e faz login com êxito, o ISE envia um RADIUS CoA e o WLC executa a reautenticação. Desta vez, a primeira regra é correspondida com o perfil de autorização PermitInternet e retorna o nome da ACL que é aplicado na WLC.

  5. Adicione a WLC como um dispositivo de acesso à rede em Administration > Network Resources > Network Devices.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Depois de associar-se ao SSID de convidado e digitar um URL, você será redirecionado para a página de login:



  2. Como você ainda não tem credenciais, escolha a opção Não tem uma conta?. Uma nova página que permite a criação de contas é exibida. Se a opção Código de registro foi habilitada na configuração do Portal de convidado, esse valor de segredo será necessário (isso garante que somente as pessoas com permissões corretas tenham permissão para se registrarem automaticamente).



  3. Se houver qualquer problema com a senha ou com a política de usuário, navegue para Acesso de Convidado > Configurações > Política de Senha de Convidado ou Acesso de Convidado > Configurações > Política de Nome de Usuário de Convidado para alterar as configurações. Aqui está um exemplo:



  4. Após a criação bem-sucedida da conta, você recebe as credenciais (senha gerada de acordo com as políticas de senha de convidado):



  5. Clique em Sign On e forneça as credenciais (talvez seja necessária uma senha de acesso adicional se ela estiver configurada no Portal do Convidado; esse é outro mecanismo de segurança que permite que somente aqueles que conhecem a senha façam login).



  6. Quando bem-sucedido, uma Política de uso aceitável (AUP) opcional pode ser apresentada (se configurado no Portal do convidado). A página Pós-acesso (também configurável no Portal do convidado) também pode ser exibida.



    A última página confirma que o acesso foi concedido:

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

Neste estágio, o ISE apresenta estes registros:

Aqui está o fluxo:

  • O usuário convidado encontra a segunda regra de autorização (Guest_Authenticate) e é redirecionado para Convidado ("Autenticação bem-sucedida").

  • O convidado é redirecionado para autorregistro. Após o login bem-sucedido (com a conta recém-criada), o ISE envia a CoA Reauthenticate, que é confirmada pela WLC ("Dynamic Authorization successful").

  • A WLC executa uma nova autenticação com o atributo Authorize-Only e o nome da ACL é retornado ("Authorize-Only successful"). O convidado recebe o acesso correto à rede.

Os Relatórios (Operações > Relatórios > Relatórios do ISE > Relatórios de acesso de convidados > Relatório mestre de convidados) também confirmam que:

Um usuário patrocinador (com privilégios corretos) pode verificar o status atual de um usuário convidado.

Este exemplo confirma que a conta foi criada, mas o usuário nunca fez login ("Aguardando login inicial"):

Configuração opcional

Para cada estágio desse fluxo, diferentes opções podem ser configuradas. Tudo isso é configurado pelo Portal de convidado em Acesso de convidado > Configurar > Portais de convidado > Nome do portal > Editar > Comportamento do portal e configurações de fluxo. As configurações mais importantes incluem:

Configurações de autorregistro

  • Tipo de convidado - Descreve por quanto tempo a conta permanece ativa, as opções de expiração de senha, as horas de logon e as opções (isso é uma mistura de Perfil de tempo e Função de convidado do ISE versão 1.2)
  • Código de registro - Se habilitado, somente os usuários que sabem o código secreto têm permissão para fazer o autorregistro (deve fornecer a senha quando a conta for criada)
  • AUP - Aceitar política de uso durante autorregistro
  • Requisito para o patrocinador aprovar/ativar a conta de convidado

Configurações de login de convidado

  • Código de acesso - Se habilitado, somente os usuários convidados que souberem o código secreto poderão fazer logon
  • AUP - Aceitar política de uso durante autorregistro
  • Opção de alteração de senha

Configurações de registro do dispositivo

  • Por padrão, o dispositivo é registrado automaticamente

Configurações de Conformidade do Dispositivo Convidado

  • Permite uma postura dentro do fluxo

Configurações de BYOD

  • Permite que os usuários corporativos que usam o portal como convidados registrem seus dispositivos pessoais

Contas aprovadas pelo patrocinador

Se a opção Exigir que convidados registrados automaticamente sejam aprovados estiver selecionada, a conta criada pelo convidado deverá ser aprovada por um patrocinador. Este recurso pode usar o e-mail para enviar notificações ao patrocinador (para aprovação da conta de convidado):

Se o servidor SMTP (Simple Mail Transfer Protocol) ou o padrão de notificação por e-mail não estiver configurado, a conta não será criada:

O log de guest.log confirma que o endereço global de usado para notificação está ausente:

2014-08-01 22:35:24,271 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null.  A global default From address can be 
configured in global settings for SMTP server.

Quando você tiver a configuração de e-mail apropriada, a conta será criada:

Depois de ativar a opção Exigir que convidados registrados automaticamente sejam aprovados, os campos de nome de usuário e senha são automaticamente removidos da seção Incluir essas informações na página Êxito do Registro Automático. É por isso que, quando a aprovação do patrocinador é necessária, as credenciais para usuários convidados não são exibidas por padrão na página da Web que apresenta informações para mostrar que a conta foi criada. Em vez disso, eles devem ser fornecidos por SMS (Short Message Services, serviços de mensagens curtas) ou e-mail. Esta opção deve ser habilitada na seção Enviar notificação de credencial mediante aprovação usando (marcar email/SMS).

Um e-mail de notificação é entregue ao patrocinador:

O patrocinador faz login no portal do patrocinador e aprova a conta:

A partir desse ponto, o usuário convidado pode fazer login (com as credenciais recebidas por e-mail ou SMS).

Em resumo, há três endereços de e-mail usados nesse fluxo:

  • Endereço "De" da notificação. Isso é definido estaticamente ou obtido da conta do patrocinador e usado como o endereço De para: notificação ao patrocinador (para aprovação) e detalhes da credencial para o convidado. Isso é configurado em Guest Access > Configure > Settings > Guest Email Settings.

  • Endereço "Para" da notificação. Isso é usado para notificar o patrocinador de que ele recebeu uma conta para aprovação. Isso é configurado no Portal de convidado em Acesso para convidado > Configurar > Portais de convidado > Nome do portal > Exigir que os convidados registrados automaticamente sejam aprovados > Enviar solicitação de aprovação por e-mail para.

  • Endereço "Para" do convidado. Isso é fornecido pelo usuário convidado durante o registro. Se Enviar notificação de credencial mediante aprovação usando Email estiver selecionado, o e-mail com detalhes de credencial (nome de usuário e senha) será entregue ao convidado.

Entregar credenciais via SMS

As credenciais de convidado também podem ser fornecidas por SMS. Estas opções devem ser configuradas:

  1. Escolha o provedor de serviços SMS:



  2. Marque a caixa de seleção Enviar notificação de credencial mediante aprovação usando: SMS.

  3. Em seguida, o usuário convidado é solicitado a escolher o provedor disponível ao criar uma conta:



  4. Um SMS é entregue com o provedor escolhido e o número de telefone:



  5. Você pode configurar Provedores de SMS em Administração > Sistema > Configurações > Gateway SMS.

Registro de dispositivo

Se a opção Permitir que convidados registrem dispositivos for selecionada depois que um usuário convidado fizer login e aceitar a AUP, você poderá registrar dispositivos:

Observe que o dispositivo já foi adicionado automaticamente (ele está na lista Gerenciar dispositivos). Isso porque Registrar automaticamente os dispositivos convidados foi selecionado.

Postura

Se a opção Exigir conformidade do dispositivo convidado estiver selecionada, os usuários convidados serão provisionados com um Agente que executa a postura (NAC/Web Agent) depois que fizerem login e aceitarem a AUP (e, opcionalmente, realizarem o registro do dispositivo). O ISE processa as regras de provisionamento do cliente para decidir qual agente deve ser provisionado. Em seguida, o agente que é executado na estação executa a postura (de acordo com as regras de postura) e envia os resultados ao ISE, que envia a reautenticação do CoA para alterar o status de autorização, se necessário.

As possíveis regras de autorização podem ser semelhantes a:

Os primeiros usuários novos que encontrarem a regra Guest_Authenticate serão redirecionados para o portal Autoregistrar Convidado. Depois que o usuário se registra e faz login, o CoA altera o status de autorização e o usuário recebe acesso limitado para executar a postura e a correção. Somente depois que o NAC Agent é provisionado e a estação está em conformidade, o CoA altera novamente o status de autorização para fornecer acesso à Internet.

Os problemas típicos com a postura incluem a falta de regras corretas de provisionamento do cliente:

Isso também pode ser confirmado se você examinar o arquivo guest.log (novo na versão 1.3 do ISE):

2014-08-01 21:35:08,435 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::- 
CP Response is not successful, status=NO_POLICY

BYOD

Se a opção Permitir que os funcionários usem dispositivos pessoais na rede estiver selecionada, os usuários corporativos que usarem este portal poderão passar pelo fluxo de BYOD e registrar dispositivos pessoais. Para usuários convidados, essa configuração não altera nada.

O que significa "funcionários que usam o portal como convidados"?

Por padrão, os portais de convidado são configurados com o armazenamento de identidade Guest_Portal_Sequence:

 Esta é a sequência de armazenamento interno que tenta os Usuários Internos primeiro (antes de Usuários Convidados):

Quando estiver nesse estágio no portal do convidado, o usuário fornecerá as credenciais definidas no armazenamento de Usuários Internos e ocorrerá o redirecionamento de BYOD:

Dessa forma, os usuários corporativos podem executar o BYOD para dispositivos pessoais.

Quando, em vez das credenciais de Usuários Internos, as credenciais de Usuários Convidados são fornecidas, o fluxo normal continua (sem BYOD).

Alteração de VLAN

Essa é uma opção semelhante à alteração de VLAN configurada para o Portal do convidado na versão 1.2 do ISE. Ele permite executar o ativeX ou um miniaplicativo Java, que dispara o DHCP para liberar e renovar. Isso é necessário quando o CoA aciona a alteração de VLAN para o endpoint. Quando MAB é usado, o endpoint não está ciente de uma alteração de VLAN. Uma solução possível é alterar a VLAN (versão/renovação do DHCP) com o NAC Agent. Outra opção é solicitar um novo endereço IP por meio do miniaplicativo retornado na página da Web. Um atraso entre a liberação/CoA/renovação pode ser configurado. Esta opção não é suportada para dispositivos móveis.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Feb-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Michal Garcarz and Nicolas Darchis
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco