Configurar o acesso temporário e permanente de convidados do ISE

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de novembro de 2015
ID do documento:200273

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.


Introdução

Este documento descreve diferentes métodos para a configuração de acesso de convidado do Identity Services Engine (ISE). Com base em diferentes condições nas regras de autorização:

  • o acesso permanente à rede pode ser fornecido (sem necessidade de autenticações subsequentes)
  • o acesso temporário à rede pode ser fornecido (exigindo autenticação de convidado após a expiração da sessão)

O comportamento específico da controladora Wireless LAN (WLC) para a remoção da sessão também é apresentado junto com o impacto no cenário de acesso temporário.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Implantações do ISE e fluxos de convidados
  • Configuração de controladoras Wireless LAN (WLCs)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Microsoft Windows 7
  • Cisco WLC versão 7.6 e posterior
  • Software ISE, versão 1.3 e posterior

Configurar

Para a configuração básica de acesso de convidado, verifique as referências com exemplos de configuração. Este artigo concentra-se na configuração das regras de autorização e nas diferenças nas condições de autorização.

Diagrama de Rede

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

Acesso permanente

Para ISE versão 1.3 e mais recente após a autenticação bem-sucedida no portal do convidado com o registro do dispositivo habilitado.

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

O dispositivo de endpoint (endereço mac) é registrado estaticamente em um grupo de endpoint específico (GuestEndpoints neste exemplo).

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

Esse grupo é derivado do Tipo de convidado do usuário, como mostrado nesta imagem.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

Se for um usuário corporativo (armazenamento de identidade diferente de convidado), essa configuração será derivada das configurações do portal.

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

Como resultado, o endereço MAC associado ao convidado sempre pertence a esse grupo de identidade específico. Isso não pode ser alterado automaticamente (por exemplo, pelo serviço Profiler).

Observação: para aplicar os resultados do Profiler, a condição de autorização EndPointPolicy pode ser usada.

Sabendo que o dispositivo sempre pertence a um grupo de identidade de endpoint específico, é possível criar regras de autorização com base nisso, como mostrado nesta imagem.

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

Quando um usuário não é autenticado, a autorização corresponde à regra genérica RedirectToPortal. Após o redirecionamento para o portal do convidado e a autenticação, o ponto final é colocado no grupo de identidade do ponto final específico. Isso é usado pela primeira condição, mais específica. Todas as autenticações subsequentes desse endpoint atingem a primeira regra de autorização e o usuário recebe acesso total à rede sem a necessidade de reautenticar no portal do convidado.

Limpeza de Ponto de Extremidade para Contas de Convidado

Esta situação pode durar para sempre. Mas no ISE 1.3 a funcionalidade Purge Endpoint foi introduzida. Com a configuração padrão.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

Todos os endpoints usados para autenticação de convidado são removidos após 30 dias (da criação do endpoint). Como resultado, geralmente após 30 dias, o usuário convidado que está tentando acessar a rede atinge a regra de autorização RedirectToPortal e é redirecionado para autenticação.

Observação: a funcionalidade de Expurgação de Ponto Final é independente da Política de Expurgação de Conta de Convidado e da Expiração de Conta de Convidado.

Observação: no ISE 1.2, os pontos finais só podem ser removidos automaticamente quando atingem os limites internos da fila do profiler. Os endpoints menos usados recentemente estão sendo removidos.

Acesso temporário

Outro método para acesso de convidado é usar a condição de fluxo de convidado.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

Essa condição está verificando sessões ativas no ISE e seus atributos. Se essa sessão tiver o atributo indicando que o usuário convidado anterior foi autenticado com êxito, a condição será correspondida. Depois que o ISE recebe a mensagem Radius Accounting Stop do Network Access Device (NAD), a sessão é encerrada e removida posteriormente. Nesse estágio, a condição Acesso à rede:Caso de uso = Fluxo de convidado não é mais atendida. Como resultado, todas as autenticações subsequentes desse ponto final atingem o redirecionamento de regra genérica para autenticação de convidado.

Observação: o fluxo de convidados não é suportado quando o usuário é autenticado através do portal HotSpot. Para esses cenários, o atributo UseCase é definido como Host Lookup em vez de Guest Flow.

Comportamento de desconexão de WLC

Depois que os clientes se desconectam da rede sem fio (por exemplo, usando o botão de desconexão no Windows), ele envia o quadro de desautenticação. Mas isso é omitido pela WLC e pode ser confirmado usando-se "debug client xxxx" - A WLC não apresenta depurações quando o cliente está se desconectando da WLAN. Como resultado no cliente Windows:

  • o endereço ip é removido da interface
  • a interface está no estado: mídia desconectada

Mas no WLC o status é inalterado (o cliente ainda está no estado RUN).

Esse é o projeto planejado para a WLC, a sessão é removida quando

  • acertos de timeout de ociosidade do usuário
  • acertos de timeout de sessão 
  • se estiver usando criptografia L2, quando o intervalo de rotação de chave de grupo atingir
  • algo mais faz com que o AP/WLC inicie o cliente (por exemplo, reinicializações de rádio do AP, alguém desliga a WLAN, etc.)

Com esse comportamento e a configuração de acesso temporário depois que o usuário se desconecta da sessão de WLAN não é removido do ISE porque a WLC nunca a limpou (e nunca enviou Radius Accounting Stop). Se a sessão não for removida, o ISE ainda se lembrará da sessão antiga e a condição de fluxo de convidado será satisfeita. Após a desconexão e a reconexão, o usuário tem acesso total à rede sem precisar autenticar novamente.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

Mas se, após a desconexão, o usuário se conectar a uma WLAN diferente, a WLC decidirá limpar a sessão antiga. Radius Accounting Stop é enviado e o ISE remove a sessão. Se o cliente tentar se conectar ao fluxo de convidado da WLAN original, a condição não será satisfeita e o usuário será redirecionado para autenticação.

Observação: a WLC configurada com Management Frame Protection (MFP) aceita o quadro de desautenticação criptografado do cliente MFP CCXv5.

Verificar

Acesso permanente

Após o redirecionamento para o portal do convidado e a autenticação bem-sucedida, o ISE envia a alteração de autorização (CoA) para disparar a reautenticação. Como resultado, uma nova sessão MAC Authentication Bypass (MAB) está sendo criada. Este ponto de extremidade de tempo pertence ao grupo de identidade GuestEndpoints e corresponde à regra que fornece acesso total.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

Nesse estágio, o usuário sem fio pode desconectar-se, conectar-se a diferentes WLANs e, em seguida, reconectar-se. Todas essas autenticações subsequentes usam identidade com base no endereço mac, mas atingem a primeira regra por causa do ponto final que pertence a um grupo de identidade específico. O acesso completo à rede é fornecido sem autenticação de convidado.

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

Acesso temporário

Para o segundo cenário (com condição baseada no fluxo de convidado), o início é o mesmo.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

Mas depois que a sessão é removida para todas as autenticações subsequentes, o convidado atinge a regra genérica e é redirecionado novamente para a autenticação do convidado.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

A condição Fluxo de Convidado será atendida quando os atributos corretos existirem para a sessão. Isso pode ser verificado observando os atributos do endpoint. O resultado da autenticação bem-sucedida do convidado é indicado.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

Erros

CSCuu41157 Encerramento de CoA ISE ENH envia na remoção da conta do convidado ou expiração.

(solicitação de aprimoramento para encerrar sessões de convidados após a remoção ou expiração da conta de convidado)

Referências

Histórico de revisões

Revisão Data de publicação Comentários
1.0
24-Nov-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Michal Garcarz
    Engenheiro do Cisco TAC
  • Serhii Kucherenko
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos