配置ISE自註冊訪客門戶

簡介

本文檔介紹如何配置ISE自註冊訪客門戶功能並對其進行故障排除。 

必要條件

需求

思科建議您瞭解ISE配置和以下主題的基本知識：

• ISE部署和訪客流量
• 無線區域網路控制器(WLC)的組態

採用元件

自助註冊訪客門戶，允許訪客使用者與員工一起自助註冊，以使用他們的AD憑證來獲得網路資源的訪問許可權。此門戶允許您配置和自定義多個功能。 

本文中的資訊係根據以下軟體和硬體版本：

• Microsoft Windows 10 Pro
• Cisco WLC 5508（8.5.135.0版）
• ISE軟體版本3.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

拓撲和流

此案例為訪客使用者執行自助註冊時提供了多個可用選項。

以下是一般流程：

步驟 1.訪客使用者關聯到服務集識別符號(SSID)：訪客WiFi。這是一個開放式網路，使用ISE進行MAC過濾以進行身份驗證。此身份驗證匹配ISE上的第二個授權規則，並且授權配置檔案重定向到訪客自行註冊門戶。ISE返回包含兩個cisco-av-pair的RADIUS Access-Accept:

• url-redirect-acl(必須重新導向哪些流量，以及在WLC本機上定義的存取控制清單(ACL)的名稱)
• url-redirect（將流量重定向到ISE的位置）

步驟 2.訪客使用者重定向到ISE。使用者按一下Register for Guest Access，而不是提供憑證以便登入。 系統會將使用者重新導向至可建立該帳戶的頁面。可以啟用可選的秘密註冊碼，以將自註冊許可權限製為知道該秘密值的人員。建立帳戶後，將為使用者提供憑證（使用者名稱和密碼）並使用這些憑證登入。

步驟 3.ISE向WLC傳送RADIUS授權變更(CoA)重新驗證。當使用者傳送具有Authorize-Only屬性的RADIUS存取要求時，WLC會重新驗證使用者。ISE通過WLC本地定義的Access-Accept和Airespace ACL進行響應，僅提供對Internet的訪問（訪客使用者的最終訪問取決於授權策略）。

注意：可擴展身份驗證協定(EAP)會話，ISE必須傳送CoA Terminate以觸發重新身份驗證，因為EAP會話位於請求方和ISE之間。但是對於MAB（MAC過濾），CoA Reauthenticate就足夠了；不需要取消關聯/取消驗證無線客戶端。

步驟 4.訪客使用者具有所需的網路訪問許可權。

可以啟用（稍後討論）多種其他功能，如狀態和自帶裝置(BYOD)。

設定

WLC

1. 新增用於身份驗證和記帳的新RADIUS伺服器。導覽至Security > AAA > Radius > Authentication以啟用RADIUS CoA(RFC 3576)。
   
   

   

   Accounting有類似的配置。建議在Called Station ID屬性中配置WLC以傳送SSID，這允許ISE根據SSID配置靈活的規則：
   
   

   

   
   
2. 在WLANs頁籤下，建立無線LAN(WLAN)訪客WiFi並配置正確的介面。使用MAC過濾將Layer2 security設定為None。在安全/身份驗證、授權和記帳(AAA)伺服器中，選擇身份驗證和記帳的ISE IP地址。在Advanced頁籤上，啟用AAA Override，並將網路准入控制(NAC)狀態設定為ISE NAC（CoA支援）。
   
   
3. 導覽至Security > Access Control Lists > Access Control Lists，然後建立兩個存取清單：
   
   
   • GuestRedirect，允許不得重定向的流量並重定向所有其他流量
   • Internet，公司網路被拒絕，所有其他網路都允許
   
   
   以下是GuestRedirect ACL的範例（需要從重新導向中排除ISE來往流量）：
   
   

   

ISE

1. 從工作中心>訪客接入>網路裝置將WLC新增為網路接入裝置。
2. 建立端點身份組。導航至工作中心(Work Centers)>訪客訪問(Guest Access)>身份組(Identity Groups)>終端身份組(Endpoint Identity Groups)。

3.導航到工作中心>訪客接入>門戶和元件>訪客型別，建立訪客型別。請參閱在此新訪客型別下之前建立的終端身份組並儲存。

4.建立新的訪客門戶型別：自註冊訪客門戶。導航至工作中心(Work Centers)>訪客接入(Guest Access)>訪客門戶(Guest Portals)。

5.選擇門戶名稱，參閱之前建立的訪客型別，然後在「登錄檔單」設定下傳送憑據通知設定，以通過電子郵件傳送憑據。

有關如何在ISE上配置SMTP伺服器的資訊，請參閱以下文檔：

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise.html

將所有其他設定保留為預設值。在Portal Page Customization下，可以自定義顯示的所有頁面。預設情況下，訪客帳戶的有效期為1天，可以延長到在特定訪客型別下配置的天數。

6.通過導航到工作中心> Guest Access > Policy Elements > Results > Authorization Profiles來配置這兩個授權配置檔案。

• Guest-Portal(具有重新導向至訪客入口Cisco_Guest和名為GuestRedirect的重新導向ACL)。此GuestRedirect ACL是先前在WLC上建立的。
  
  

  

  
  
  
• Permit_Internet（Airespace ACL等於Internet）
  
  

  

  
  7.修改名為Default的策略集。已為訪客門戶訪問預配置預設策略集。存在一個名為MAB的身份驗證策略，該策略允許MAC身份驗證繞過(MAB)身份驗證針對未知Mac地址繼續（而不是拒絕）。

8.在同一頁上導航到Authorization策略。建立此授權規則，如下圖所示。

與訪客SSID關聯的新使用者尚未屬於任何身份組，因此與第二個規則匹配並重定向到訪客門戶。

使用者成功登入後，ISE會傳送RADIUS CoA，而WLC會執行重新驗證。這一次，將匹配第一個授權規則（當端點成為定義的端點身份組的一部分時），並且使用者獲得Permit_internet授權配置檔案。

9.我們還可以使用Guest flow條件來臨時訪問訪客。該條件正在檢查ISE上的活動會話，且屬於屬性。如果該會話具有指示先前訪客使用者已成功通過身份驗證的屬性，則匹配條件。ISE收到來自網路接入裝置(NAD)的Radius記帳停止消息後，會話被終止並隨後刪除。在此階段，不再滿足Network Access:UseCase = Guest Flow的條件。因此，該終端的所有後續身份驗證都會遇到針對訪客身份驗證的通用規則重定向。

注意：您每次可以使用臨時訪客訪問或永久訪客訪問，但不能同時使用兩者。

請參閱本文檔詳細瞭解ISE訪客臨時和永久訪問配置。

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200273-Configure-ISE-Guest-Temporary-and-Perman.html

驗證

使用本節內容，確認您的組態是否正常運作。

1. 與訪客SSID關聯並輸入URL後，系統會將您重新導向至訪客門戶頁面，如下圖所示。
   
   

   

2. 由於您沒有任何憑證，您必須選擇Register for Guest access選項。系統將顯示用於建立帳戶的登錄檔格。如果在「訪客門戶」配置下啟用了「註冊代碼」選項，則需要該金鑰值（這可以確保僅允許具有正確許可權的人員自行註冊）。

  

3.如果密碼或使用者策略存在任何問題，請導航至工作中心> Guest Access > Settings > Guest Username Policy以更改設定。以下是範例：

4.成功建立帳戶後，系統將向您提供憑證（根據訪客密碼策略生成的密碼），如果進行了配置，訪客使用者還將收到電子郵件通知：

5.按一下登入並提供憑據（如果在訪客門戶下配置，則可能需要其他訪問密碼；這是只允許知道密碼的使用者登入的另一種安全機制）。

6.成功後，可提供一個可選的使用策略(AUP)（如果在訪客門戶下配置）。系統向使用者顯示更改密碼選項，還可以顯示登入後橫幅（也可在Guest Portal下配置）。

7.最後一頁（登入後橫幅）確認已授予訪問許可權：

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

在此階段，ISE在Operations > RADIUS > Live Logs下顯示這些日誌，如圖所示。

以下是流程：

• 訪客使用者遇到第二個授權規則(Wifi_Redirect_to_Guest_Portal)，並被重定向到Guest-Portal(驗證成功)。
  
  
• 訪客被重新導向以進行自我註冊。成功登入（使用新建立的帳戶）後，ISE會傳送CoA重新驗證，並由WLC確認(動態授權成功)。
  
  
• WLC使用Authorize-Only屬性執行重新身份驗證，並返回ACL名稱(Authorize-Only succeeded)。為訪客提供了正確的網路訪問。

報告(Operations > Reports > Guest > Master Guest Report)還確認：

保證人使用者（具有正確許可權）可以驗證訪客使用者的當前狀態。

此示例確認已建立帳戶，且使用者已登入到門戶：

可選配置

對於此流程中的每個階段，可以配置不同的選項。所有這一切都是根據Guest Portal配置的，其地址為：Work Centers > Guest Access > Portals & Components > Guest Portals > Portal Name > Edit > Portal Behavior and Flow Settings。更重要的設定包括：

自助註冊設定

• 訪客型別 — 描述帳戶處於活動狀態的時間、密碼到期選項、登入時間和選項（這是時間配置檔案和訪客角色的混合）
• 註冊碼 — 如果啟用，則僅允許知道密碼的使用者進行自我註冊（必須在建立帳戶時提供密碼）
• AUP — 在自行註冊期間接受使用策略
• 發起人批准/啟用訪客帳戶的要求。

登入訪客設定

• 訪問代碼 — 如果啟用，則只允許知道密碼的訪客使用者登入。
• AUP — 在自行註冊期間接受使用策略。
• 密碼更改選項。

裝置註冊設定

• 預設情況下，裝置會自動註冊。

訪客裝置合規性設定

• 允許在流內設定狀態。

BYOD設定

• 允許將門戶用作訪客的企業使用者註冊其個人裝置。

發起人批准的帳戶

如果在登錄檔單設定下選擇了要求訪客獲得批准選項，則訪客建立的帳戶必須由發起人批准。此功能可以使用電子郵件向發起人傳遞通知（用於訪客帳戶批准）：

如果簡單郵件傳輸協定(SMTP)伺服器配置錯誤，則不會建立帳戶：

來自guest.log的日誌確認，由於SMTP伺服器配置錯誤，向發起人電子郵件傳送批准通知時出現問題：

2020-11-07 07:16:38,547 ERROR [GUEST_ACCESS_SMTP_RETRY_THREAD][] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::- An exception occurred while sending email : 
javax.mail.MessagingException: Could not connect to SMTP host: outbound.cicso.com, port: 25, response: 421

2020-11-07 07:16:38,547 ERROR [https-jsse-nio-10.106.32.25-8443-exec-1][] cpm.guestaccess.apiservices.notification.NotificationService -::- sendApprovalNotification
com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: Unable to send mail. Failure occured

當您具有正確的電子郵件和SMTP伺服器配置時，帳戶將建立：

啟用要求訪客獲得批准選項後，使用者名稱和密碼欄位將自動從Include this information on the Self-Registration Success page部分刪除。這就是在需要發起人批准時，訪客使用者的憑據預設情況下不會顯示在顯示帳戶已建立資訊的網頁上的原因。相反，它們必須通過簡訊服務(SMS)或電子郵件傳送。此選項必須在Send credential notification upon approval using部分(標籤電子郵件/SMS)中啟用。

向發起人傳送通知電子郵件：

發起人點選Approval連結並登入到Sponsor門戶，該帳戶已獲批准：

從此時起，允許訪客使用者登入（使用通過電子郵件或SMS接收的憑證）。

總而言之，此流程中使用了三個電子郵件地址：

• 通知「發件人」地址。這是靜態定義的，或者從發起人帳戶中定義，並用作發起人通知（用於審批）和訪客憑證詳細資訊的「發件人」地址。在工作中心(Work Centers)>訪客接入(Guest Access)>設定(Settings)>訪客郵件設定(Guest Email Settings)下配置此設定。
  
  
• 通知「收件人」地址。用於通知發起人已收到要審批的帳戶。在Guest Portal中的Work Centers > Guest Access > Guest Portals > Portals and Components > Portal Name > Registeration Form Settings > Require guests to be approved > Email approval request to下配置此項。
  
  
• 訪客「收件人」地址。這是由訪客使用者在註冊期間提供的。如果選中Send credential notification upon approval using Email，則會將包含憑據詳細資訊（使用者名稱和密碼）的電子郵件傳送給訪客。

通過簡訊傳遞憑證

訪客憑證也可以通過SMS傳送。必須配置以下選項：

1. 在Registration Form Settings（登錄檔單設定）下選擇SMS服務提供商：
   
   

   

2. 選中Send credential notification upon approval using: SMS覈取方塊。
   
3. 然後，訪客使用者在建立帳戶時需要選擇可用的提供商：
   
   

   

   
   
   
4. 隨所選提供商和電話號碼傳送SMS:
   
   

   

5. 您可以在Administration > System > Settings > SMS Gateway下配置SMS提供程式。

裝置註冊

如果在訪客使用者登入並接受AUP後選擇了Allow guests to register devices選項，則可以註冊裝置：

請注意，裝置已自動新增(它位於「管理裝置」(Manage Devices)清單中)。這是因為選擇了Automatically register guest devices。

狀態

如果選擇了Require guest device compliance選項，則訪客使用者登入並接受AUP（以及可選地執行裝置註冊）後，會使用執行狀態（NAC/Web代理）的代理進行調配。ISE處理客戶端調配規則以確定必須調配哪個代理。然後，在站點上運行的代理執行安全評估（根據安全評估規則）並將結果傳送到ISE，ISE會根據需要傳送CoA重新身份驗證以更改授權狀態。

可能的授權規則可能如下所示：

第一個遇到Guest_Authenticate規則的新使用者重定向到自助註冊訪客門戶。使用者自行註冊並登入後，CoA會更改授權狀態，使用者將獲得執行狀態和補救的有限訪問許可權。只有在設定了NAC代理且工作站符合要求後，CoA才會再次更改授權狀態，以便提供對Internet的訪問。

安全狀態的典型問題包括缺少正確的客戶端調配規則：

如果您檢查guest.log檔案：

2020-11-09 09:23:32,157 ERROR [https-jsse-nio-10.106.32.25-8443-exec-7][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:guest18:- CP Response is not successful, status=NO_POLICY

自帶裝置

如果選中Allow employees to use personal devices on the network選項，則使用此門戶的公司使用者可以通過BYOD流程並註冊個人裝置。對於訪客使用者，該設定不會更改任何內容。

「員工使用門戶作為訪客」是什麼意思？

預設情況下，使用Guest_Portal_Sequence identity store配置訪客門戶：

 這是先嘗試內部使用者（在訪客使用者之前）然後嘗試新增AD憑據的內部儲存序列。由於高級設定將在無法訪問所選身份庫進行身份驗證時繼續進入序列中的下一個儲存，因此具有內部憑據或AD憑據的員工可以登入門戶。

在訪客門戶的此階段，使用者提供在內部使用者儲存或Active Directory中定義的憑證，並進行BYOD重定向：

這樣，企業使用者可以針對個人裝置執行BYOD。

當提供訪客使用者憑證而不是內部使用者/AD憑證時，繼續正常流程（無BYOD）。

VLAN更改

它允許您運行activeX或Java小程式，從而觸發DHCP的釋放和續訂。當CoA觸發終端的VLAN更改時，需要執行此操作。使用MAB時，終端並不知道VLAN的變化。一種可能的解決方案是使用NAC代理更改VLAN（DHCP發佈/更新）。另一種方法是通過網頁上返回的小程式請求新的IP地址。可以配置發佈/CoA/續訂之間的延遲。流動裝置不支援此選項。

相關資訊

• 思科ISE上的終端安全評估服務配置指南
• 帶身份服務引擎的無線BYOD
• 適用於BYOD的ISE SCEP支援配置示例
• WLC 和 ISE 的中央 Web 驗證的組態範例
• 使用ISE的WLC上使用FlexConnect AP進行中央Web身份驗證的配置示例
• 技術支援與文件 - Cisco Systems