ISE 게스트 계정 관리

다운로드 옵션

PDF (354.0 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (259.2 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (267.6 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2020년 8월 17일

문서 ID:215931

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 스폰서 또는 ISE 관리자가 ISE에 있는 게스트 데이터에 대해 수행할 수 있는 자주 사용되는 작업에 대해 설명합니다.Cisco ISE(Identity Services Engine) 게스트 서비스는 방문자, 계약자, 컨설턴트 및 고객과 같은 게스트에게 안전한 네트워크 액세스를 제공합니다.

기고자: Cisco TAC 엔지니어 Shivam Kumar

사전 요구 사항

요구 사항

Cisco에서는 다음 주제에 대해 숙지할 것을 권장합니다.

ISE
ISE 게스트 서비스

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco ISE, 릴리스 2.6

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

참고:이 절차는 다른 ISE 버전과 유사하거나 동일합니다.별도의 언급이 없는 한, 모든 2.x ISE 소프트웨어 릴리스에서 이 단계를 사용할 수 있습니다.

구성

스폰서를 사용하여 게스트 계정 관리

스폰서는 ISE의 사용자 계정으로서 권한 있는 방문자를 위한 임시 게스트 계정을 생성하고 관리할 수 있는 스폰서 포털에 로그인할 수 있는 권한을 가집니다.스폰서는 내부 사용자 또는 Active Directory와 같은 외부 ID 저장소에 있는 계정일 수 있습니다.

이 예에서는 스폰서 계정이 ISE에서 내부적으로 정의되고 사전 정의된 그룹에 추가됩니다.ALL_ACCOUNTS.

기본적으로 ISE에는 스폰서를 매핑할 수 있는 세 개의 스폰서 그룹이 있습니다.

ALL_ACCOUNTS(기본값): 이 그룹에 할당된 스폰서는 모든 게스트 사용자 계정을 관리할 수 있습니다.기본적으로 ALL_ACCOUNTS 사용자 ID 그룹의 사용자는 이 스폰서 그룹의 멤버입니다.

GROUP_ACCOUNTS(기본값): 이 그룹에 할당된 스폰서는 동일한 스폰서 그룹에서 스폰서가 생성한 게스트 계정만 관리할 수 있습니다.기본적으로 GROUP_ACCOUNTS 사용자 ID 그룹의 사용자는 이 스폰서 그룹의 멤버입니다.

OWN_ACCOUNTS(기본값): 이 그룹에 할당된 스폰서는 자신이 생성한 게스트 계정만 관리할 수 있습니다.기본적으로 OWN_ACCOUNTS 사용자 ID 그룹의 사용자는 이 스폰서 그룹의 멤버입니다.

이 예에서 사용된 스폰서 계정은 ALL_ACCOUNTS에 매핑됩니다.

이 스폰서 그룹의 권한 및 권한은 Work Centers(작업 센터) > Guest Access(게스트 액세스) > Portal & Components(포털 및 구성 요소) > Sponsor Groups(스폰서 그룹)에서 사용할 수 있습니다.

스폰서가 ERS REST API를 통해 게스트 관리에 액세스할 수 있도록 하기 위해 이미지에 표시된 대로 스폰서 그룹에 권한이 추가됩니다.

Active Directory 계정을 스폰서로 사용

스폰서로 정의된 내부 사용자 계정과 함께, AD(Active Directory) 또는 LDAP와 같은 외부 ID 소스에 있는 계정을 스폰서로 사용하여 게스트 계정을 관리할 수도 있습니다.

Administration(관리) > Identities(ID) > External Identity Sources(외부 ID 소스) > Active Directory로 이동하여 ISE가 AD에 조인되었는지 확인합니다.아직 가입하지 않은 경우 사용 가능한 AD 도메인 중 하나에 가입하십시오.

계정이 포함된 AD에서 그룹을 검색합니다.

이 예에서는 ALL_ACCOUNTS 스폰서 그룹에 AD 사용자를 추가하는 방법을 보여 줍니다.

Work Centers(작업 센터) > Guest Access(게스트 액세스) > Portal & Components(포털 및 구성 요소) > Sponsor Groups(스폰서 그룹) > ALL_ACCOUNTS(모든_ACCOUNTS)로 이동한 다음 이 이미지에 표시된 대로 Members( 멤버)를 클릭합니다.

멤버에는 선택할 수 있는 모든 그룹이 표시됩니다.AD 그룹을 선택하고 오른쪽으로 이동하여 스폰서 그룹에 추가합니다.

변경 사항을 저장합니다.스폰서 포털 로그인은 이제 선택한 AD 그룹의 일부인 AD 사용자 계정에서 작동합니다.

LDAP를 통해 사용자를 추가하려면 위와 같은 단계를 따를 수 있습니다.내부적으로 정의된 사용자 ID 그룹은 스폰서 그룹에 추가할 수 있는 옵션으로도 사용할 수 있습니다.

스폰서 포털에 로그인하려면 해당 스폰서 계정을 사용합니다.스폰서 포털은 다음과 같은 용도로 사용할 수 있습니다.

게스트 계정 편집 및 삭제
게스트 어카운트 기간 연장
게스트 계정 일시 중단
만료된 게스트 계정 복원
게스트의 비밀번호 재전송 및 재설정
보류 중인 게스트 계정 승인

스폰서 포털에서 Manage Accounts 탭을 선택하여 이 이미지에 표시된 대로 이 스폰서가 관리할 수 있는 모든 게스트 계정을 확인합니다.

게스트 계정은 해당 상태에 관계없이 편집할 수 있습니다.

계정 보유자가 비밀번호를 잊어버리거나 잃어버릴 경우 게스트 계정 비밀번호를 재전송하는 옵션이 있습니다.게스트 계정의 비밀번호는 Active 또는 Created 상태에 있는 경우에만 재전송할 수 있습니다.

비밀번호를 변경한 게스트는 비밀번호를 재전송할 수 없습니다.이 경우 비밀번호 재설정 옵션을 먼저 사용해야 합니다.승인 보류, 일시 중지, 만료 또는 거부된 계정에 대해서는 암호를 보낼 수 없습니다.

스폰서는 변경된 비밀번호의 사본을 받는 옵션을 선택할 수 있습니다.

원래 허용된 시간보다 오랜 기간 동안 네트워크에 대한 게스트 액세스를 허용해야 하는 경우 확장 옵션을 사용하여 기간을 늘립니다.Created(생성됨), Active(활성) 또는 Expired(만료됨) 상태의 어카운트는 확장할 수 있습니다.

일시 중단되거나 거부된 계정은 연장할 수 없습니다.대신 복원 옵션을 사용합니다.

허용되는 최대 연장 기간은 어카운트의 게스트 유형에 의해 제어됩니다.

게스트 어카운트는 상태에 관계없이 어카운트 기간이 끝날 때 자체 만료됩니다.일시 중단되거나 만료된 게스트 계정은 시스템에 정의된 비우기 정책에 따라 자동으로 삭제됩니다.기본적으로 15일마다 삭제됩니다.

게스트 계정 상태 및 의미:

활성:이 계정을 가진 게스트는 자격 증명이 있는 게스트 포털을 통해 성공적으로 로그인했거나 자격 증명이 있는 게스트 전용 포털을 우회했습니다.후자의 경우 계정은 자격 증명이 있는 게스트 종속 포털을 우회하도록 구성된 게스트 유형에 속합니다.이러한 게스트는 디바이스의 기본 신청자에 로그인 자격 증명을 제공하여 네트워크에 액세스할 수 있습니다.

생성됨:어카운트가 생성되었지만 게스트가 아직 자격 증명이 있는 게스트 포털에 로그인하지 않았습니다.이 경우 계정은 자격 증명이 있는 게스트 종속 포털을 우회하도록 구성되지 않은 게스트 유형에 할당됩니다.게스트는 네트워크의 다른 부분에 액세스하기 전에 먼저 인증된 게스트 종속 포털을 통해 로그인해야 합니다.

거부됨:어카운트는 네트워크에 대한 액세스가 거부됩니다.거부된 상태에서 만료된 어카운트는 거부된 상태로 유지됩니다.

승인 보류 중:어카운트가 네트워크 액세스 승인을 기다리고 있습니다.

일시 중단:어카운트는 권한이 있는 후원자에 의해 일시 중단됩니다.

게스트 비우기 정책

기본적으로 ISE는 15일마다 만료된 게스트 어카운트를 자동으로 삭제합니다.이 정보는 Work Centers(작업 센터) > Guest Access(게스트 액세스) > Settings(설정) > Guest Account Purge Policy(게스트 어카운트 비우기 정책)에서 확인할 수 있습니다.

다음 비우기 날짜는 다음 비우기 발생 시기를 나타냅니다.ISE 관리자는 다음을 수행할 수 있습니다.

X일마다 비우기가 발생하도록 예약합니다.Time of Purge(비우기 시간)는 첫 번째 비우기(X일)가 발생하는 시기를 지정합니다.그런 다음 X일마다 비우기가 발생합니다.
X주마다 특정 요일에 비우기를 예약합니다.
Purge Now(지금 비우기) 옵션을 사용하여 온디맨드 비우기를 강제로 실행합니다.

만료된 게스트 어카운트가 삭제되면 관련 엔드포인트, 보고 및 로깅 정보가 보존됩니다.

엔드포인트 제거:비활성 일수 대 엔드포인트 경과 일수

게스트가 네트워크에 액세스하는 데 사용하는 엔드포인트는 기본적으로 GuestEndpoints의 일부가 됩니다.ISE는 30일 이상 된 게스트 엔드포인트 및 등록된 디바이스를 삭제하기 위한 정책을 가지고 있습니다.이 기본 비우기 작업은 PAN(Primary Admin Node)에 구성된 시간대를 기준으로 매일 오전 1시에 실행됩니다. 이 기본 정책은 ElapsedDays의 조건을 사용합니다.사용 가능한 다른 옵션은 InactiveDays 및 PurgeDate입니다.

참고:엔드포인트 비우기 기능은 게스트 어카운트 비우기 정책 및 게스트 어카운트 만료와 독립적입니다.

정책은 관리 > ID 관리 > 설정 > 엔드포인트 비우기에서 정의됩니다.

경과된 일:개체가 생성된 이후의 일 수를 나타냅니다.이 조건은 게스트 또는 계약자 엔드포인트와 같은 일정 기간 동안 인증되지 않았거나 조건부 액세스 권한을 부여받은 엔드포인트 또는 네트워크 액세스를 위해 webauth를 이용하는 직원에 사용할 수 있습니다.허용된 연결 유예 기간이 지난 후에는 완전히 다시 인증되고 등록해야 합니다.

비활성 일:엔드포인트에서 마지막으로 프로파일링 활동 또는 업데이트 한 이후 일 수를 나타냅니다.이 조건은 시간이 지남에 따라 누적된 오래된 디바이스, 일반적으로 일시적인 게스트 또는 개인 디바이스 또는 폐기된 디바이스를 삭제합니다.이러한 엔드포인트는 네트워크에서 더 이상 활성 상태가 아니거나 가까운 미래에 나타날 가능성이 있으므로 대부분의 구축에서 노이즈를 나타내는 경향이 있습니다.다시 연결할 경우 필요에 따라 다시 검색, 프로파일링, 등록 등이 이루어집니다.

엔드포인트에서 업데이트가 있는 경우 프로파일링이 활성화된 경우에만 InactivityDays가 0으로 재설정됩니다.

삭제 날짜:엔드포인트를 제거할 날짜입니다.이 옵션은 생성 또는 시작 시간에 관계없이 특정 시간에 대한 액세스 권한이 부여된 특별 이벤트 또는 그룹에 사용할 수 있습니다.이렇게 하면 모든 엔드포인트를 동시에 제거할 수 있습니다.예를 들어, 무역 박람회, 컨퍼런스 또는 매주 신규 구성원이 포함된 교육 과정에서는 절대 일/주/개월이 아닌 특정 주 또는 월에 대한 액세스 권한을 부여합니다.

이 샘플 profiler.log 파일은 GuestEndpoints의 일부이며 30일이 경과된 엔드포인트가 제거되는 시기를 보여줍니다.

2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3bfaffe0-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging description: ENDPOINTPURGE:ElapsedDays EQUALS 30
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging expression: GuestInactivityCheck & GuestEndPointsPurgeRuleCheck5651c592-cbdb-4e60-aba1-cf415e2d4808
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : GuestInactivityCheck
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ENDPOINTPURGE ElapsedDays EQUALS 30
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c119520-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :EXCLUSION
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c2ac270-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3c2ac270-8c01-11e6-996c-525400b48521
2

2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : RegisteredInactivityCheck
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ElapsedDays Greater than 30
2020-07-09 09:35:26,407 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Started to Update the ChildParentMappingMap
2020-07-09 09:35:26,408 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Completed to Update the ChildParentMappingMap
2020-07-09 09:35:26,512 INFO [admin-http-pool13][] cisco.profiler.infrastructure.notifications.ProfilerEDFNotificationAdapter -::- EPPurge policy notification.
2020-07-09 09:35:26,514 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Requesting purging.
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- New TASK is running : 07-09-202009:35
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Read profiler.endPointNumDaysOwnershipToPan from platform properties: null
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Value of number days after which ownership of inactive end points change to PAN: 14
2020-07-09 09:35:26,525 INFO [PurgeImmediateOrphanEPOwnerThread][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Updating Orphan Endpoint Ownership to PAN.
2020-07-09 09:35:26,530 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Purge Endpoints for PurgeID 07-09-202009:35
2020-07-09 09:35:26,532 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- hostname of the node ise26-1.shivamk.local
2020-07-09 09:35:26,537 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Search Query page1 lastEpGUID. EndpointCount4
2020-07-09 09:35:26,538 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:FF IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,539 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:01 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:03 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:04 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:27,033 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4
2020-07-09 09:35:27,034 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4 in 504 millisec numberofEndpointsRead4

비우기가 완료되면

게스트 및 비우기 문제 해결

게스트 및 비우기 문제와 관련된 로그를 캡처하기 위해 이러한 구성 요소를 디버그로 설정할 수 있습니다.디버그를 활성화하려면 Administration(관리) > System(시스템) > Debug Log Configuration(디버그 로그 컨피그레이션) > Select node(노드 선택)로 이동합니다.

게스트/스폰서 어카운트 및 엔드포인트 삭제 관련 문제 해결을 위해 다음 구성 요소를 디버그로 설정합니다.

게스트 액세스
게스트 관리자
게스트 액세스 관리자
프로 파 일러
런타임-AAA

포털 관련 문제의 경우 다음 구성 요소를 디버깅하도록 설정합니다.

스폰서포털
포털
portal-session-manager
게스트 액세스