Introduzione
In questo documento viene descritto come risolvere i problemi comuni dei guest nella distribuzione, come isolare e verificare il problema e semplici soluzioni alternative da provare.
Prerequisito
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Configurazione guest ISE
- Configurazione CoA su dispositivi di accesso alla rete (NAD)
- Sono necessari strumenti di acquisizione sulle workstation.
Componenti usati
Il riferimento delle informazioni contenute in questo documento è Cisco ISE versione 2.6 e:
- WLC 5500
- Catalyst switch 3850 versione 15.x
- Workstation Windows 10
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Flusso guest
La panoramica del flusso guest è simile alle impostazioni cablate o wireless. Questa immagine del diagramma di flusso può essere utilizzata come riferimento in tutto il documento. Consente di visualizzare il passo e l'entità.
Il flusso può essere seguito anche sui log ISE live [Operations > RADIUS Live Log] filtrando l'ID dell'endpoint:
- Autenticazione MAB riuscita - il campo username contiene l'indirizzo MAC - URL è stato inviato al NAD - L'utente ottiene il portale
- Autenticazione guest riuscita: il campo username contiene il nome utente guest, è stato identificato come GuestType_Daily (o il tipo configurato per l'utente guest)
- Avvio CoA - Il campo username è vuoto. Nel report dettagliato è indicato che l'autorizzazione dinamica è stata completata
- Accesso guest fornito
Sequenza di eventi nell'immagine (dal basso in alto):
Guide comuni alla distribuzione
Di seguito sono riportati alcuni collegamenti per l'assistenza alla configurazione. Per la risoluzione dei problemi relativi a casi di utilizzo specifici, è utile conoscere la configurazione ideale o prevista.
Problemi riscontrati frequentemente
Questo documento tratta principalmente i seguenti argomenti:
Il reindirizzamento al portale guest non funziona
Dopo aver rimosso l'URL di reindirizzamento e l'ACL da ISE, verificare quanto segue:
1. Lo stato del client sullo switch (in caso di accesso guest via cavo) con il comando show authentication session int <interface> restituisce i dettagli:
2. Stato del client sul controller LAN wireless (se l'accesso guest wireless): Monitor > Client > Indirizzo MAC
3. La raggiungibilità dall'endpoint all'ISE sulla porta TCP 8443 con l'aiuto del prompt dei comandi: C:\Users\user>telnet <ISE-IP> 8443.
4. Se l'URL di reindirizzamento del portale ha un FQDN, verificare se il client è in grado di risolvere il problema dal prompt dei comandi: C:\Users\user>nslookup guest.ise.com.
5. Nella configurazione della connessione flessibile, verificare che lo stesso nome ACL sia configurato in ACL e ACL flessibili. Verificare inoltre che l'ACL sia mappato agli access point. Per ulteriori informazioni, consultare la guida alla configurazione della sezione precedente - Fasi 7 b e c.
6. Acquisire un pacchetto dal client e verificare se è presente il reindirizzamento. La pagina HTTP/1.1 302 del pacchetto spostato indica che il WLC/switch ha reindirizzato il sito visitato al portale guest ISE (URL reindirizzato):
7. Il motore HTTP(s) è abilitato sui dispositivi di accesso alla rete:
8. Se il WLC si trova in una configurazione con un ancoraggio esterno, verificare quanto segue:
Passaggio 1. Lo stato del client deve essere lo stesso su entrambi i WLC.
Passaggio 2. L'URL di reindirizzamento deve essere visualizzato su entrambi i WLC.
Passaggio 3. L'accounting RADIUS deve essere disabilitato sul WLC di ancoraggio.
Autorizzazione dinamica non riuscita
Se l'utente finale è in grado di accedere al portale guest e di eseguire correttamente l'accesso, il passaggio successivo consiste in una modifica dell'autorizzazione per concedere all'utente l'accesso guest completo. Se l'operazione non riesce, sui log live ISE Radius viene visualizzato un errore di autorizzazione dinamica. Per risolvere il problema, verificare quanto segue:
1. Il cambiamento di autorizzazione (CoA) deve essere abilitato/configurato sul NAD:
2. La porta UDP 1700 deve essere consentita sul firewall.
3. Lo stato NAC sul WLC non è corretto. In Advanced settings on WLC GUI > WLAN, modificare lo stato del NAC su ISE NAC.
Notifiche via SMS/e-mail non inviate
1. Controllare la configurazione SMTP in Amministrazione > Sistema > Impostazioni > SMTP.
2. Controlla l'API per verificare la presenza di gateway SMS/e-mail all'esterno di ISE:
Verificare gli URL forniti dal fornitore su un client API o un browser, sostituire le variabili come nomi utente, password, numero di cellulare e verificare la raggiungibilità [Amministrazione > Sistema > Impostazioni > Gateway SMS].
In alternativa, se si esegue il test dai gruppi degli sponsor ISE [Workcenter > Guest Access > Portals and Components > Guest Types], acquisire un pacchetto su ISE e sul gateway SMS/SMTP per verificare se:
- Il pacchetto di richiesta raggiunge il server senza errori.
- Il server ISE dispone delle autorizzazioni/dei privilegi consigliati dal fornitore affinché il gateway possa elaborare la richiesta.
La pagina Gestisci account non è raggiungibile
1. Il pulsante Workcentres > Guest Access > Manage accounts reindirizza all'FQDN ISE sulla porta 9002, in modo che l'amministratore ISE possa accedere al portale degli sponsor:
2. Verificare se il nome di dominio completo (FQDN) viene risolto dalla workstation da cui si accede al portale sponsor con il comando nslookup <FQDN of ISE PAN>.
3. Verificare se la porta TCP 9002 di ISE è aperta dalla CLI di ISE con il comando show ports | includi 9002.
Procedure consigliate per i certificati del portale
- Per garantire un'esperienza utente ottimale, il certificato utilizzato per i portali e i ruoli di amministratore deve essere firmato da un'autorità di certificazione pubblica nota (ad esempio: GoDaddy, DigiCert, VeriSign, ecc.), comunemente considerata attendibile dai browser (ad esempio: Google Chrome, Firefox e così via).
- Si sconsiglia di utilizzare un IP statico per il reindirizzamento dei guest, in quanto questo rende l'IP privato di ISE visibile a tutti gli utenti. La maggior parte dei fornitori non fornisce certificati firmati da terze parti per gli IP privati.
- Quando si passa da ISE 2.4 p6 a p8 o p9, è presente un bug noto: ID bug Cisco CSCvp75207, in cui le caselle Trust for authentication in ISE and Trust for client authentication and Syslog devono essere selezionate manualmente dopo l'aggiornamento della patch. In questo modo, ISE invia l'intera catena di certificati per il flusso TLS quando si accede al portale guest.
Se queste azioni non risolvono i problemi di accesso dei guest, contattare TAC con un pacchetto di supporto composto dalle istruzioni indicate nel documento Debug da abilitare per ISE.
Informazioni correlate