ISE版本1.3自助注册访客门户配置示例
目录
简介
思科身份服务引擎(ISE) 1.3版具有称为自助注册访客门户的新型访客门户,它允许访客用户在获得网络资源访问权限时自助注册。此门户允许您配置和自定义多个功能。本文档介绍如何配置此功能并对其进行故障排除。
先决条件
要求
思科建议您具备ISE配置经验并具备以下主题的基本知识:
- ISE部署和访客流量
- 无线局域网控制器(WLC)的配置
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Microsoft Windows 7
- Cisco WLC 7.6版及更高版本
- ISE软件3.1版及更高版本
拓扑和流程
此方案为访客用户执行自助注册时提供了多个可用选项。
下面是总体流程:
步骤1:访客用户关联到服务集标识符(SSID):访客。这是一个开放式网络,具有MAC过滤,使用ISE进行身份验证。此身份验证与ISE上的第二个授权规则相匹配,并且授权配置文件重定向到访客自助注册门户。ISE返回两个cisco-av-pair的RADIUS Access-Accept:
- url-redirect-acl(应重定向哪些流量以及在WLC上本地定义的访问控制列表(ACL)的名称)
- url-redirect(在何处将流量重定向至ISE)
第二步:访客用户被重定向到ISE。用户点击“没有帐户”(Don’t have a account),而不是提供凭证以便登录。用户被重定向到可创建该帐户的页面。为了将自助注册权限限制为知道该密钥值的人员,可以启用可选的加密注册代码。创建帐户后,用户将获得凭证(用户名和密码)并使用这些凭证登录。
第三步:ISE向WLC发送RADIUS授权更改(CoA)重新身份验证。当WLC发送具有Authorize-Only属性的RADIUS Access-Request时,它将重新对用户进行身份验证。ISE使用在WLC上本地定义的Access-Accept和Airespace ACL做出响应,仅提供互联网接入(访客用户的最终接入取决于授权策略)。
请注意,对于可扩展身份验证协议(EAP)会话,ISE必须发送CoA Terminate以触发重新身份验证,因为EAP会话在请求方和ISE之间。但是对于MAB(MAC过滤),CoA重新验证就足够了;无需取消关联/取消验证无线客户端。
第四步:访客用户具有所需的网络访问权限。
可以启用多种其他功能,如状态和自带设备(BYOD)(将在稍后讨论)。
配置
WLC
- 添加用于身份验证和记帐的新RADIUS服务器。导航到安全> AAA > Radius >身份验证以启用RADIUS CoA (RFC 3576)。
Accounting也有一个类似的配置。建议将WLC配置为在“被叫站ID”属性中发送SSID,这样ISE就可以根据SSID配置灵活的规则:
- 在WLANs选项卡下,创建Wireless LAN (WLAN) Guest并配置正确的接口。使用MAC过滤将第2层安全设置为None。在Security/Authentication, Authorization, and Accounting (AAA) Servers中,为Authentication and Accounting选择ISE IP地址。在Advanced选项卡上,启用AAA Override并将网络准入控制(NAC)状态设置为RADIUS NAC (CoA支持)。
- 导航到安全>访问控制列表>访问控制列表并创建两个访问列表:
- GuestRedirect,允许不应重定向的流量并重定向所有其他流量
- Internet,公司网络拒绝,所有其他网络允许
以下是GuestRedirect ACL的示例(需要排除来自/来自ISE的流量重定向):
ISE
- 导航到Guest Access > Configure > Guest Portals,然后创建新门户类型Self Registered Guest Portal:
- 选择将在授权配置文件中引用的门户名称。将所有其他设置都设置为默认值。在Portal Page Customization下,可以自定义显示的所有页面。
- 配置授权配置文件:
- 访客(重定向到访客门户名称和ACL GuestRedirect)
- PermitInternet(Airespace ACL等于Internet)
- 访客(重定向到访客门户名称和ACL GuestRedirect)
- 要验证授权规则,请导航到Policy > Authorization。在ISE版本1.3中,默认情况下,失败的MAC身份验证绕行(MAB)访问(找不到MAC地址)身份验证继续(未拒绝)。这对于访客门户非常有用,因为无需更改默认身份验证规则中的任何内容。
关联到访客SSID的新用户尚未属于任何身份组。这就是它们与第二个规则匹配的原因,该规则使用访客授权配置文件将其重定向到正确的访客门户。
用户创建帐户并成功登录后,ISE会发送RADIUS CoA,WLC会执行重新身份验证。此时,第一条规则与授权配置文件PermitInternet匹配,并返回在WLC上应用的ACL名称。 - 通过Administration > Network Resources > Network Devices将WLC添加为网络接入设备。
验证
使用本部分可确认配置能否正常运行。
- 与访客SSID关联并键入URL后,系统会将您重定向到登录页面:
- 由于您没有任何凭据,因此必须选择没有帐户?选项。系统将显示允许创建帐户的新页面。如果在访客门户配置下启用了Registration Code选项,则需要该密钥值(这可以确保仅允许具有正确权限的人员自行注册)。
- 如果密码或用户策略有任何问题,请导航到Guest Access > Settings > Guest Password Policy or Guest Access > Settings > Guest Username Policy以更改设置。例如:
- 成功创建帐户后,系统将显示凭证(根据访客密码策略生成的密码):
- 点击登录并提供凭据(如果在访客门户下配置,则可能需要其他访问密码;这是另一个仅允许知道密码的人登录的安全机制)。
- 成功后,可能会显示可选的使用策略(AUP)(如果在访客门户下配置)。可能还会显示Post Access页面(也可在Guest Portal下配置)。
最后一页确认已授予访问权限:
故障排除
本部分提供了可用于对配置进行故障排除的信息。
在此阶段,ISE提供以下日志:
流程如下:
- 访客用户遇到第二个授权规则(Guest_Authenticate)并被重定向到访客(“身份验证成功”)。
- 访客会被重定向以进行自助注册。成功登录后(使用新创建的帐户),ISE会发送CoA重新身份验证,由WLC确认(“动态授权成功”)。
- WLC使用“仅授权”属性执行重新身份验证,并返回ACL名称(“仅授权成功”)。为访客提供正确的网络访问。
报告(Operations > Reports > ISE Reports > Guest Access Reports > Master Guest Report)也能确认:
保证人用户(具有正确的权限)可以验证访客用户的当前状态。
此示例确认已创建帐户,但用户从未登录(“等待初始登录”):
可选配置
对于此流程的每个阶段,可以配置不同的选项。所有这些都是根据访客门户在访客接入>配置>访客门户>门户名称>编辑>门户行为和流设置中进行配置的。更重要的设置包括:
自助注册设置
- 访客类型-描述帐户处于活动状态的时间长度、密码到期选项、登录时间和选项(ISE版本1.2的时间配置文件和访客角色混合)
- 注册代码-如果启用,则仅允许知道密码的用户进行自行注册(必须在创建帐户时提供密码)
- AUP -在自行注册期间接受使用策略
- 发起人批准/激活访客帐户的要求
登录访客设置
- 访问代码-如果启用,则仅允许知道密码的访客用户登录
- AUP -在自行注册期间接受使用策略
- 密码更改选项
设备注册设置
- 默认情况下,设备会自动注册
访客设备合规性设置
- 允许流量中的状态
BYOD设置
- 允许将门户用作访客的企业用户注册其个人设备
发起人认可的帐户
如果选中Require self-registered guests to be approved选项,则访客创建的帐户必须由发起人批准。此功能可能使用邮件向发起人发送通知(用于访客帐户审批):
如果未配置简单邮件传输协议(SMTP)服务器或默认从邮件发送通知,则不会创建帐户:
来自guest.log的日志确认用于通知的全局from地址缺失:
2014-08-01 22:35:24,271 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null. A global default From address can be
configured in global settings for SMTP server.
当您具有正确的电邮配置时,帐户创建如下:
启用需要批准自注册访客选项后,用户名和密码字段会自动从Include this information on the Self-Registration Success page部分删除。这就是在需要发起人批准时,访客用户的凭证默认不会显示在显示信息以显示已创建帐户的网页上的原因。相反,它们必须通过短信服务(SMS)或电邮发送。必须在批准时发送凭证通知使用部分(标记电子邮件/SMS)中启用此选项。
通知电邮会发送给发起人:
发起人登录发起人门户并批准帐户:
从此时起,允许访客用户登录(使用通过电邮或SMS接收的凭证)。
总之,此流程中使用三个电子邮件地址:
- 通知“发件人”地址。这是静态定义的,或来自发起人帐户,并用作发起人通知(用于审批)和访客凭证详细信息的“发件人”地址。此操作在访客接入>配置>设置>访客邮件设置下进行配置。
- 通知“收件人”地址。用于通知发起人已收到待批帐户。这在访客接入>配置>访客门户>门户名称>要求自助注册访客获得批准>通过邮件将批准请求发送至下的访客门户中配置。
- 访客“收件人”地址。此功能由访客用户在注册期间提供。如果选择Send credential notification upon approval using Email,则会将包含凭证详细信息(用户名和密码)的邮件发送给访客。
通过SMS传送凭证
访客凭证也可以通过SMS传送。应配置以下选项:
- 选择SMS服务提供商:
- 选中Send credential notification upon approval using: SMS复选框。
- 然后,访客用户在创建帐户时需要选择可用的提供商:
- SMS与选定的提供商和电话号码一起传送:
- 您可以在管理>System >设置> SMS网关下配置SMS提供程序。
设备注册
如果在访客用户登录并接受AUP后选择Allow guests to register devices选项,则可以注册设备:
请注意,设备已自动添加(它位于Manage Devices列表中)。这是因为已选择Automatically register guest devices。
状态
如果选中Require guest device compliance选项,则在访客用户登录并接受AUP(以及可选地执行设备注册)之后,会为其调配一个执行安全评估(NAC/Web代理)的代理。ISE处理客户端调配规则,以决定应调配哪个代理。然后,在站点上运行的代理执行安全评估(根据安全评估规则)并将结果发送到ISE,ISE会根据需要发送CoA重新身份验证以更改授权状态。
可能的授权规则可能如下所示:
遇到Guest_Authenticate规则的第一个新用户重定向到自助注册访客门户。用户自行注册并登录后,CoA会更改授权状态,并为用户提供执行状态和补救的有限访问权限。只有在NAC代理调配且站点合规后,CoA才会再次更改授权状态,以提供对Internet的访问。
状态方面的典型问题包括缺乏正确的客户端调配规则:
如果检查guest.log文件(ISE版本1.3中的新文件),也可以确认这一点:
2014-08-01 21:35:08,435 ERROR [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
CP Response is not successful, status=NO_POLICY
自带设备
如果允许员工在网络上使用个人设备选项已选中,则使用此门户的企业用户可以通过BYOD流程并注册个人设备。对于访客用户,该设置不会更改任何内容。
“员工使用门户作为访客”是什么意思?
默认情况下,访客门户使用Guest_Portal_Sequence身份库进行配置:
这是首先尝试内部用户(在访客用户之前)的内部存储序列:
在此阶段,在访客门户上,用户提供在内部用户存储中定义的凭证,并进行BYOD重定向:
这样,企业用户就可以对个人设备执行BYOD。
当提供访客用户凭证而不是内部用户凭证时,正常流程会继续(无BYOD)。
VLAN更改
此选项类似于ISE版本1.2中为访客门户配置的VLAN更改。它允许您运行activeX或Java小程序,从而触发DHCP释放和更新。当CoA触发终端的VLAN更改时,需要执行此操作。使用MAB时,终端不知道VLAN的变化。一种可能的解决方案是使用NAC代理更改VLAN(DHCP释放/更新)。另一种方法是通过网页上返回的小程序请求新的IP地址。可以配置发布/CoA/续订之间的延迟。移动设备不支持此选项。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
13-Feb-2015 |
初始版本 |
反馈