Risoluzione dei problemi comuni di accesso guest ad ISE

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (892.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:20 agosto 2024
ID documento:216191

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi comuni dei guest nella distribuzione, come isolare e verificare il problema e semplici soluzioni alternative da provare.

    Prerequisito 

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione guest ISE
    • Configurazione CoA su dispositivi di accesso alla rete (NAD)
    • Sono necessari strumenti di acquisizione sulle workstation.

    Componenti usati

    Il riferimento delle informazioni contenute in questo documento è Cisco ISE versione 2.6 e:

    • WLC 5500
    • Catalyst switch 3850 versione 15.x
    • Workstation Windows 10

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Flusso guest

    La panoramica del flusso guest è simile alle impostazioni cablate o wireless. Questa immagine del diagramma di flusso può essere utilizzata come riferimento in tutto il documento. Consente di visualizzare il passo e l'entità.

    GuestFlowSimple

    Il flusso può essere seguito anche sui log ISE live [Operations > RADIUS Live Log] filtrando l'ID dell'endpoint:

    • Autenticazione MAB riuscita - il campo username contiene l'indirizzo MAC - URL è stato inviato al NAD - L'utente ottiene il portale
    • Autenticazione guest riuscita: il campo username contiene il nome utente guest, è stato identificato come GuestType_Daily (o il tipo configurato per l'utente guest)
    • Avvio CoA - Il campo username è vuoto. Nel report dettagliato è indicato che l'autorizzazione dinamica è stata completata
    • Accesso guest fornito

    Sequenza di eventi nell'immagine (dal basso in alto):

    livelogview

    Guide comuni alla distribuzione

    Di seguito sono riportati alcuni collegamenti per l'assistenza alla configurazione. Per la risoluzione dei problemi relativi a casi di utilizzo specifici, è utile conoscere la configurazione ideale o prevista.

    Problemi riscontrati frequentemente

    Questo documento tratta principalmente i seguenti argomenti:

    Il reindirizzamento al portale guest non funziona

    Dopo aver rimosso l'URL di reindirizzamento e l'ACL da ISE, verificare quanto segue:

    1. Lo stato del client sullo switch (in caso di accesso guest via cavo) con il comando show authentication session int <interface> restituisce i dettagli:

    swoutput

    2. Stato del client sul controller LAN wireless (se l'accesso guest wireless): Monitor > Client > Indirizzo MAC

    wlcooutput

    3. La raggiungibilità dall'endpoint all'ISE sulla porta TCP 8443 con l'aiuto del prompt dei comandi: C:\Users\user>telnet <ISE-IP> 8443.

    4. Se l'URL di reindirizzamento del portale ha un FQDN, verificare se il client è in grado di risolvere il problema dal prompt dei comandi: C:\Users\user>nslookup guest.ise.com.

    5. Nella configurazione della connessione flessibile, verificare che lo stesso nome ACL sia configurato in ACL e ACL flessibili. Verificare inoltre che l'ACL sia mappato agli access point. Per ulteriori informazioni, consultare la guida alla configurazione della sezione precedente - Fasi 7 b e c.

    flessibile

    6. Acquisire un pacchetto dal client e verificare se è presente il reindirizzamento. La pagina HTTP/1.1 302 del pacchetto spostato indica che il WLC/switch ha reindirizzato il sito visitato al portale guest ISE (URL reindirizzato):

    tappo

    HTTP

    7. Il motore HTTP(s) è abilitato sui dispositivi di accesso alla rete:

    • Sullo switch:

    swhttp

    • Sul WLC:

    wlchttp

     8. Se il WLC si trova in una configurazione con un ancoraggio esterno, verificare quanto segue:   

        Passaggio 1. Lo stato del client deve essere lo stesso su entrambi i WLC.

        Passaggio 2. L'URL di reindirizzamento deve essere visualizzato su entrambi i WLC.

        Passaggio 3. L'accounting RADIUS deve essere disabilitato sul WLC di ancoraggio.

    GuestFlex

    Autorizzazione dinamica non riuscita

    Se l'utente finale è in grado di accedere al portale guest e di eseguire correttamente l'accesso, il passaggio successivo consiste in una modifica dell'autorizzazione per concedere all'utente l'accesso guest completo. Se l'operazione non riesce, sui log live ISE Radius viene visualizzato un errore di autorizzazione dinamica. Per risolvere il problema, verificare quanto segue:

    coafail

    1. Il cambiamento di autorizzazione (CoA) deve essere abilitato/configurato sul NAD:

    swcoa

    wlccoa

     2. La porta UDP 1700 deve essere consentita sul firewall.

    3. Lo stato NAC sul WLC non è corretto. In Advanced settings on WLC GUI > WLAN, modificare lo stato del NAC su ISE NAC.

    wlcnac

    Notifiche via SMS/e-mail non inviate

    1. Controllare la configurazione SMTP in Amministrazione > Sistema > Impostazioni > SMTP.

    2. Controlla l'API per verificare la presenza di gateway SMS/e-mail all'esterno di ISE: 

    Verificare gli URL forniti dal fornitore su un client API o un browser, sostituire le variabili come nomi utente, password, numero di cellulare e verificare la raggiungibilità [Amministrazione > Sistema > Impostazioni > Gateway SMS].

    SMS

    In alternativa, se si esegue il test dai gruppi degli sponsor ISE [Workcenter > Guest Access > Portals and Components > Guest Types], acquisire un pacchetto su ISE e sul gateway SMS/SMTP per verificare se:

    1. Il pacchetto di richiesta raggiunge il server senza errori.
    2. Il server ISE dispone delle autorizzazioni/dei privilegi consigliati dal fornitore affinché il gateway possa elaborare la richiesta.

    Test e-mail SMS

    La pagina Gestisci account non è raggiungibile

    1. Il pulsante Workcentres > Guest Access > Manage accounts reindirizza all'FQDN ISE sulla porta 9002, in modo che l'amministratore ISE possa accedere al portale degli sponsor:

    Gestisci account

    2. Verificare se il nome di dominio completo (FQDN) viene risolto dalla workstation da cui si accede al portale sponsor con il comando nslookup <FQDN of ISE PAN>.

    3. Verificare se la porta TCP 9002 di ISE è aperta dalla CLI di ISE con il comando show ports | includi 9002.

    Procedure consigliate per i certificati del portale

    • Per garantire un'esperienza utente ottimale, il certificato utilizzato per i portali e i ruoli di amministratore deve essere firmato da un'autorità di certificazione pubblica nota (ad esempio: GoDaddy, DigiCert, VeriSign, ecc.), comunemente considerata attendibile dai browser (ad esempio: Google Chrome, Firefox e così via).

    • Si sconsiglia di utilizzare un IP statico per il reindirizzamento dei guest, in quanto questo rende l'IP privato di ISE visibile a tutti gli utenti. La maggior parte dei fornitori non fornisce certificati firmati da terze parti per gli IP privati.

    • Quando si passa da ISE 2.4 p6 a p8 o p9, è presente un bug noto: ID bug Cisco CSCvp75207, in cui le caselle Trust for authentication in ISE and Trust for client authentication and Syslog devono essere selezionate manualmente dopo l'aggiornamento della patch. In questo modo, ISE invia l'intera catena di certificati per il flusso TLS quando si accede al portale guest.

    Se queste azioni non risolvono i problemi di accesso dei guest, contattare TAC con un pacchetto di supporto composto dalle istruzioni indicate nel documento Debug da abilitare per ISE.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    20-Aug-2024
    Formattazione, correzioni grammaticali.
    2.0
    10-Mar-2023
    Aggiornato e corretto. Certificazione.
    1.0
    04-Nov-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Sowmya Bhargavi
      Tecnico del software

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti