Lab3:ISE Guest Services 访客服务配置指南 一、 目的....................................................................................................................................................... 1 二、 实验环境............................................................................................................................................... 1 实验 3.1:ISE 访客服务工作方式介绍 ............................................................................................................ 4 实验 3.2:自定制 Sponsor 的访问主页和策略................................................................................................ 5 实验 3.3:自定制访客的访问主页和策略......................................................................................................... 9 实验 3.4:设置 Sponsor 访问策略................................................................................................................... 14 实验 3.5:测试 Sponsor 访问主页和创建访客用户....................................................................................... 23 实验 3.6:设置访客用户访问策略................................................................................................................... 29 实验 3.7:验证有线访客用户访问................................................................................................................... 32 实验 3.8:验证无线访客用户访问................................................................................................................... 37 一、 目的 本文介绍了如何通过思科 ISE 部署访客服务,思科 ISE 为访客提供了完全的生命周期管理和强制的 策略部署, 包括: 为 Sponsor 和访客自定制访问主页 Sponsor 用户管理和访客用户创建 基于时间的策略管理和行为审计 本实验包含了 8 个 Pod,以下的实验步骤是以 Pod1 为例,其他 Pod 需要根据 Pod 的编号,使用相 对应的 IP 地址。 二、 实验环境 以下是本次实验的网络拓扑图: 1 3750X 交换机的设备连接说明: 设备 版本 IP 地址 交换机 端口 登陆帐号 3750 交换机 12.2(58)SE2 Vlan100:10.10.10.0/24 Vlan200:192.168.0.0/24 VMWare ESXi 服务器 5.0 10.10.10.60 Gi1/0/13 root/Cisco123 ISE(虚拟机) 1.1.1.268 10.10.10.71~78 Gi1/0/13 GUI:admin/default1A CLI:admin/default1A Windows2008 服 务 器( 虚拟 机) Windows Server 2008 R2 Enterprise 10.10.10.80 10.10.10.81 Gi1/0/13 administrator/default1A ASA5505 ASA 8.4(2) ASDM 6.4(5) 10.10.10.85 Gi1/0/15 Enable: cisco 3560 交换机 IOS12.2(55) 192.168.0.1 Gi1/0/1 admin/cisco123 Enable: cisco 说明:在 VMWare 上安装了 8 套 ISE 虚拟机,每套 ISE 的 IP 地址分别为 10.10.10.71 到 10.10.10.78, 分别对应 Pod1 到 Pod8。 3560 交换机的设备连接说明(以 Pod1 为例) : 设备 3560 交换机 版本 15.0(1)SE IP 地址 交换机 端口 10.1.10.1 登陆帐号 admin/cisco123 Enable: cisco 2 WLC2504 7.2.110.0 AP 10.1.10.90 Fa0/1 admin/Cisco123 DHCP Fa0/2 cisco/Cisco Enable: cisco Window PC XP/7 DHCP Fa0/3 管理 PC Win XP/7 DHCP Gi0/1 说明:每个 Pod 的 IP 地址是独立分配的,注意不要混用。 Windows Server 2008 基本配置(所有 Pod 共用一套 Windows 2008): 版本:Windows Server 2008 Enterprise R2 AD 域:demo23.com,包含了以下组和用户: 组 包含用户 ADEmployee employee<1-8> (密码:Cisco123) ADManager manager<1-8> (密码:Cisco123) 启用 DNS 服务器,添加如下 A 记录: A 记录 IP 地址 ise-1 10.10.10.71 ise-2 10.10.10.72 ise-3 10.10.10.73 ise-4 10.10.10.74 ise-5 10.10.10.75 ise-6 10.10.10.76 ise-7 10.10.10.77 ise-8 10.10.10.78 mscep 10.10.10.80 win2008 10.10.10.80 employee 10.10.10.80 guest 10.10.10.81 asa 10.10.10.85 启用 NTP 服务 启用 Web 服务器 ISE 基本配置: 配置 内容 版本 1.1.1.268 IP 地址 10.10.10.71(用于 Pod1) 缺省网关 10.10.10.1 DNS 服务器 10.10.10.80 NTP 服务器 10.10.10.80 3 实验 3.1:ISE 访客服务工作方式介绍 目的 这部分内容将帮助我们从整体结构了解 ISE 访客服务的工作流程,包括下面内容 (1) 接待人 Sponsor 和访客 Guest 设置 (2) 为访客访问配置授权策略 配置步骤 1. ISE 访客服务配置流程图: 2. 访客服务包括两个主要的配置部分: a) Sponsor 配置 b) Guest 配置 大家可以通过上面的流程图去帮助大家配置和理解,设置的步骤和方法。 3. 理解访客服务和配置流程 如果访问服务配置完成,网络用户(通常是指公司员工)可以通过登陆特定的网页(Sponsor 管理页面) ,为访客用户建立一个授权用户(可以通过微软 AD 或 LDAP 服务器)。基于 Sponsor 建立 的策略,访客可以获得基于时间的公司资源访问权限。创建完成后,Sponsor 可以通过打印凭证, 邮件或者短信方式,把登陆凭证发放给客户。 接受到凭证后,新访客可以在规定的时间内登陆访客专用平台。通常情况如果访客通过有线或 者无线登陆后,浏览器会自动重定向到访客访问控制页面。用户必须输入正确的凭证,否则不能访 问网络。 4. 把所有的 ISE 访客用户分配到认证用户数据组。 a) 创建访客用户组 4 登陆到 ISE 管理页面,进入 Administration > Identity Management > Groups 然后选择 User Identity Groups. 点击 Add,新建 Contractor 用户组。缺省已经存在 Guest 用户组,这里新建的 Contractor 用户用于进行权限划分测试。 实验 3.2:自定制 Sponsor 的访问主页和策略 目的 通过 Sponsor 管理页面进行访客的管理,创建和管理访客账户。 (1) 自定制 Sponsor 页面和更改常用配置,例如网络端口和邮件服务 (2) 设置 Sponsor 管理页面和文字布局,创建和管理访客账户 配置步骤 1. 配置 ISE 管理接口常用设置 a) 查看邮件服务器和通告功能设置,进入 Administration > System > Settings 选择 SMTP Server 设置邮件通告服务器,注意在实验环境中 Email 和 SMS 服务不能工作。 如下面截图: 5 b) 常用的 ISE 访客服务设置都是在 Administration > Web Portal Management 下面完成。 c) 配置管理页面 HTTP 和 HTTPs 端口,缺省使用了 TCP 8443 (不推荐更改) d) 过期访客清除设置,缺省时间 15 天。你可以缩短设置或者立即清除: 2. 自定制 Sponsor 设置 点击 General 设置,展开可配置选项: 6 3. 设置 Sponsor 认证数据库 4. 设置页面语言类型,这里设置成中文 5. 更改单次用户创建模版 添加两个新的访客登记选项,点击 Save 保存: 7 Optional Data 1 Field: 访问事宜: Optional Data 2 Field: 附加信息: 6. 设置访客用户登记内容,可以对重要记录信息要求强制填写: 8 实验 3.3:自定制访客的访问主页和策略 目的 通过基于 Web 的认证方式,访客可以输入登陆凭证,自行更新登陆密码,实现设备的重注册和注 销功能,同时利用时间策略对访客进行访问限制: 1) 定制访客登陆主页,用户密码自行修改和注销功能 2) 指定访客登陆的用户数据库 3) 定义用户名/密码格式和过期规则 4) 创建访问日期,时间和周期规则 配置步骤 1. 配置访客页面设置 通过 ISE GUI 界面,在 Administration > Guest Management > Settings > Guest 编辑信息如下: 2. 自定义缺省的访客主页 选择 Administration > Web Portal Management > Settings > Guest > Multi-Portal Configuration 下面的 DefaultGuestPortal,点击 Operations,更改选项如下 : Attribute Allow guest users to change password Require guest and internal users to change Value [✓] [ ] Guest users should download the posture client [ ] *** Not checked *** Guest users should be allowed to do self service [✓] password at expiration Guest users should be allowed to do device [ 9 ] Attribute Value registration Vlan Dhcp Release [ * Delay to Release (default) * Delay to Renew (default) * Delay to COA (default) Guest users should agree to an acceptable use policy ] ( ) Not Used (o) First Login and when AUP is changed ( ) EveryLogin 配置完成后点击 Save 保存配置: 3. 配置访客认证身份数据库 进入 DefaultGuestPortal>Authentication 设置认证类型,多种类型可以选择如下: a). Guest 选项 选择此选项使用内部访客数据库,也就是 Sponsor 存储的或创建的用户 b). Central web auth 选项 选择此选项使用公司内部已知用户,常用于内部员工 web 认证方式 c). Both 选项 选 择 此 选 项 将 包 含 以 上 2 个 用 户 数 据 库 。 在 Identity Store Sequence 的 下 拉 框 中 选 择 Guest_Portal_Sequence(配置如下图): 10 4. 定义自动注册和登陆参数 点击左面选项栏中的 Portal Policy,设置如下: Attribute Value Self-Registration Guest Role Guest Self-Registration Time Profile DefaultFirstLogin Maximum Login Failures 5 Device Registration Portal Limit 5 Guest Password Expiration (Days) 1 配置如下图所示: 5. 设置访客用户命名策略 点击左面选项栏中的 Username Policy 设置如下: Attribute Value Create username from email address ( ) Create username from first name and last name (o) Minimum Username Length 8 Username may include the alphabetic characters abcdefghijklmnopq…(default 11 Attribute Value setting) Minimum number to include 4 Username may include the numeric characters 0123456789 (default setting) Minimum number to include 4 Username may include the special characters ~_ (default setting) Minimum number to include 0 6. 设置访客用户密码策略 点击左面选项栏中的 Password Policy 设置如下: Attribute Username may include Value the alphabetic abcdefghijklmnopq…(default characters setting) Minimum number to include 3 Username may include characters Minimum number to include the numeric 0123456789 (default setting) 3 Username may include the special characters ~_ (default setting) Minimum number to include 0 配置如下图所示: 12 7. 查看和配置已有的访客登陆时间管理 点击左面选项栏中的 Time Profiles,查看 3 种缺省的时间策略 DefaultFirstLogin – 账户有效时间 1 小时以首次登陆为开始 (没有天和周的限制) DefaultOneHour – 账户有效时间 1 小时以 Sponsor 创建为开始 (没有天和周的限制) DefaultStartEnd – 账户有效时间需要 Sponsor 创建 (没有天和周的限制) 8. 创建一个新的 8 小时时间组,配置如下: Attribute Value Name 8HoursFromCreation Description (optional) 13 Attribute Value Time Zone for Restrictions Asia/Chongqing Account Type FromCreation Duration 8 Hours Restrictions (default setting – no restrictions) 配置如下图所示: 实验 3.4:设置 Sponsor 访问策略 目的 目前 Sponsor 的配置和管理页面已经完成,大家可以登陆 Sponsor 管理页面进行访客创建和管 理。 测试内容包括: (1) 定义 Sponsor 认证用户源 (2) 创建 Sponsor 用户组和相关授权 (3) 基于 Sponsor 的用户身份和访问条件,分配相应的 Sponsor 组策略 配置步骤 1. 定义 Sponsor 用户认证身份数据库 修改 Identity Source Sequences:Sponsor_Portal_Sequence,增加 demoAD 做为认证数据源,进 入 Administration > Identity Management > Identity Source Sequences,点击 Sponsor_Portal_Sequence, 配置如下图所示: 14 进入 Administration > Web Portal Management > Settings > Sponsor,点击 Authentication Source, 选择 AD_InternalUsers 作为身份认证源。 2. 查看缺省的 Sponsor 组和组权限 进入 Administration > Web Portal Management > Sponsor Groups,查看 Sponsor 组信息分类。 SponsorAllAccounts 在此组中的 Sponsor 用户可以管理所有的访客账 户 SponsorGroupAccounts 在此组中的 Sponsor 用户仅可以管理同组中创建 的所有访客账户 SponsorGroupOwnAccounts 在此组中的 Sponsor 用户仅可以管理自己创建的 所有访客账户 15 3. 创 建 3 个 不 同 权 限 的 Sponsor 分 组 , 分 别 为 ManagersSponsorGroup, LobbyAmbassadors 和 EmployeeSponsorGroup. 点击 Add 按钮,添加新的组 ManagersSponsorGroup,请使用下面的属性值进行配置: Attribute Value General Name ManagerSponsorGroup Description Manage All Accounts Authorization Levels Allow Login Yes Create Accounts Yes Create Bulk Accounts Yes Create Random Accounts Yes Import CSV Yes Send Email Yes Send SMS Yes View Guest Password Yes Allow Printing Guest Details Yes View/Edit Accounts All Accounts Suspend/Reinstate Accounts All Accounts Account Start Time 14 Days Maximum Duration of Account 30 Days Guest Roles Contractor Guest 16 Time Profiles DefaultFirstLogin Pick: DefaultOneHour DefaultStartEnd 8HoursFromCreation 授权级别配置如下: 时间属性配置如下: 17 访客角色配置如下: 点击 Add 按钮,添加新的组 LobbyAmbassadors,请使用下面的属性值进行配置: Attribute Value General Name Description LobbyAmbassador Manage Same Group Accounts Only Authorization Levels Allow Login Yes Create Accounts Yes Create Bulk Accounts No Create Random Accounts No Import CSV No Send Email No 18 Send SMS No View Guest Password Yes Allow Printing Guest Details Yes View/Edit Accounts Group Accounts Suspend/Reinstate Accounts Group Accounts Account Start Time 1 Days Maximum Duration of Account 1 Days Guest Roles Guest Time Profiles DefaultOneHour Pick: DefaultStartEnd 8HoursFromCreation 授权级别配置如下: 访客角色配置如下: 19 时间属性配置如下: 点击 Add 按钮,添加新的组 Employees,请使用下面的属性值进行配置: Attribute Value General Name EmployeeSponsorGroup Description Manage Own Accounts Only Authorization Levels Allow Login Yes Create Accounts Yes Create Bulk Accounts No Create Random Accounts Yes Import CSV No Send Email Yes Send SMS Yes View Guest Password Yes 20 Allow Printing Guest Details Yes View/Edit Accounts Own Accounts Suspend/Reinstate Accounts Own Accounts Account Start Time 7 Days Maximum Duration of Account 5 Days Guest Roles Guest Time Profiles DefaultOneHour Pick: DefaultStartEnd 8HoursFromCreation 授权级别配置如下: 访客角色配置如下: 21 时间属性配置如下: 4. 通过 Sponsor Group Policy 建立策略和组的对应关联,配置参考如下: 点击 Administration > Web Portal Management > Sponsor Group Policy,配置下面的对应关系: Status Rule Identity Name Groups Manage Any All demoAD:ExternalGroups EQUALS demo23.com/Users/ADManager Accounts Manage Other Conditions Any EQUALS demo23.com/Users/Domain Accounts Users Own Accounts Any ManagerSponsorGroup demoAD:ExternalGroups Group Manage Sponsor Groups demoAD:ExternalGroups EQUALS demo23.com/Users/ADEmployee 22 LobbyAmbassador EmployeeSponsorGroup 界面配置如下,点击 Save 配置如下: 实验 3.5:测试 Sponsor 访问主页和创建访客用户 目的 目前 Sponsor 的设置和管理页面已经配置完成,我们下一步将登陆管理页面创建和配置访客信息。 1. 基于 Sponsor 用户的组策略权限,进行不同权限用户访问测试 2. 创建单个访客用户账户 3. 创建多个随机访客用户账户 4. 通过文件导入批量用户 配置步骤 1. 访问 Sponsor 管理页面 通过 IE 或者 Firefox 浏览器,输入访客管理页面 https://ise-1.demo23.com:8443/sponsorportal: 2. 使用 Lobby Ambassador 权限管理和创建访客账户 a. 使用 AD 账户 staff1/Cisco123 这个用户 是 demo23.com/Users/Domain Users 中的成员。你已 经通过前面的测试步骤 映射到 LobbyAmbassador 的用户组中。 b. 自定义 Sponsor 参数 通过左面的控制面板,选择 Sponsor > Settings Customization. 查看缺省配置参数,选择本地时区 Asia/Chongqing,语言模版”简体中文”。 23 3. 创建单个访客用户信息 点击 Sponsor > Account Management > Create Single Account 创建单个访客用户信息。配置如下: Attribute Value First Name Guest Last Name User1 Email Address guestuser1@company.com Phone Number (optional) Company Company ABC Reason for Access (enter reason) Additional Comments (enter optional comments) Group Role Guest Time Profile DefaultOneHour Timezone Asia/Chongqing (second page from top of list) 图形界面配置如下: 24 保存配置后,系统会自动生成一个用户名和密码: 通过 View Guest Accounts 查看账户使用情况: 25 4. 使用 Manager 权限管理和创建访客账户 a. 使用 AD 账户 manager1/Cisco123 这 个 用 户 是 demo23.com/Users/ADManager 中 的 成 员 。 你 已 经 通 过 前 面 的 测 试 步 骤 映 射 到 ManagerSponsorGroup 的用户组中。 b. 点击 Account Management > Create Random Accounts 快速创建多个访客账户,通过下面的配置, 我们创建了 5 个随机用户。如下: 26 系统自动生成 5 对用户名和密码 所有用户信息可以通过 View Guest Account 查看 27 b. 批量导入客户,点击 Account Management > Import Accounts 下载导入账户模版,如下: 填写批量用户模版 导入模版文件: 成功创建 3 个用户 28 5. 返回 ISE 网页管理平台查看访客账户信息 点击 Administration > Identity Management > Groups > User Identity Groups > Guest 中访客记录中并没有 在 Sponsor 中创建的用户信息。因为这些信息仅能被 Sponsor 管理界面配置。 实验 3.6:设置访客用户访问策略 目的 29 通过 Sponsor 管理页面创建访客用户,配置相应的授权组,使用授权组的下发 ACL 控制访客用户的 访问权限和内容。: 1. 定义 dACL 限制访客用户访问公司内网资源 2. 为访客用户配置授权属性组 3. 为认证后的访客配置授权策略,授予权限和访问控制 配置步骤 1. 配置认证规则 点击 Policy > Authentication 查看访问认证规则,ISE 使用 MAB 认证规则实现 CWA 方式认证,这个 规则可以发现访客用户通过 MAB 方式首次认证,允许随后的认证通过 CWA 认证。 截图如下: 2. 配置授权规则 点击 Policy > Authorization 查看当前的授权规则,缺省的规则可以支持未知用户进行 CWA 方式认证。 我们将创建一个新的规则对访客用户放行 internet 访问: 3. 定义一个 dACL 允许用户访问 internet,同时禁止访问内网资源 点击 Policy > Policy Elements > Results > Authorization > Downloadable ACLs 增加一个 ACL 4. 配置授权规则 点击 Add 增加 ACL 配置如下: Attribute Value Name INTERNET_ONLY Description Access to Internet Only permit udp any any eq domain DACL Content permit icmp any any permit tcp any host 10.10.10.71 eq 8443 30 deny ip any 10.1.0.0 0.0.255.255 permit ip any any 配置如下: 5. 为访客用户创建一个带有 dACL INTERNET_ONLY 授权组 点击 Policy > Policy Elements > Results > Authorization > Authorization Profiles 增加授权组如下: Attribute Value Name Guest Description Guest Access to Internet Only Access Type ACCESS_ACCEPT Common Tasks DACL Name INTERNET_ONLY Advanced Attribute Settings Radius:Termination-Action Default / 0 (Terminate) 配置如下: 4. 添加访客用户授权规则 点击 Policy > Authorization , 在 default 规则之上添加规则 Contractor 和 Guest Identity Status Rule Name Profiled Phones Groups Cisco Cisco-IPPhone Other Conditions - Permissions Cisco_IP_Phones 31 Identity Status Rule Name Groups Other Conditions Permissions demo23.com:ExternalGroups Domain_Computer Any EQUALS demo23.com/Users/Domain AD_Login Computers demo23.com:ExternalGroups Employee Any EQUALS demo23.com/Users/ADEmpl Employee oyee Contractor Contractor - Guest Guest Guest Guest - Default Central_Web_Auth 实验 3.7:验证有线访客用户访问 目的 验证有线访客用户访问行为和策略。 1. 通过 Sponsor 管理页面创建一个访客用户,使用访客用户登陆确认配置正确 2. 确认和排错访问认证过程,并且查看 ISE 授权认证会话 3. 创建访客服务事件报表 注意:以下验证过程以 Pod5 为例。 配置步骤 1. 交换机端口配置 在交换机上,配置端口 Fa0/4,的配置(如下图所示) : lab-pod5#sh run int fa0/4 Building configuration... Current configuration : 297 bytes ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access authentication host-mode multi-auth authentication open authentication order mab dot1x authentication priority dot1x mab authentication port-control auto 32 mab dot1x pae authenticator spanning-tree portfast end 2. ISE 配置认证策略 修改 ISE 上认证策略配置,进入 Policy > Authentication,在 MAB 策略中,确认在 Identity Sources 的 Options 中, “If user not found”的动作设置为 Continue(配置如下图所示): 3. ISE 配置授权策略 将 ISE 的授权策略的 Default 规则,设置为 Central_Web_Auth: 4. Sponsor 接待人创建 Guest 访客账号 在 Windows 7 上,打开浏览器,输入 https://10.10.10.75:8443,输入用户名和密码 employee5/Cisco123,登陆后点击 Create Single Account,创建一个访客账号(如下图所示): 33 注意:新建账号的 Group Role 选择 Guest,与 ISE 上面创建的授权策略 Guest 对应起来。 输入用户信息后,点击 Submit,生成了访客账号(如下图所示): 注意:建议将新建账号记录下来,用于后续的测试使用。 5. 验证访客账号的验证和授权 将测试设备 Windows 7 连接到交换机 Fa0/4 端口上,MAB 认证成功后,打开浏览器,输入网址 http://guest.demo23.com,在重定向的访客页面上,输入访客的账号信息,点击 Login(如下图 所示) : 34 在访问许可策略的页面,选中 Accept terms and conditions,并点击 Accept(如下图所示) : 35 查看访客认证时的交换机记录: 说明:上图显示终端设备的 MAB 认证成功通过。 查看访客登陆后交换机端口的授权状态: 说明:端口 Fa0/4 的 MAB 认证通过,并获取了 IP 地址和 ISE 下发的 ACL。 查看 ISE 上的完整认证过程和记录: 说明: 上图显示终端设备先分配了授权策略 Central_Web_Auth, 使用访客账号登陆后, 经过 CoA, 授权策略变更为 guest。 36 在终端设备 Windows 7 上重新访问 http://guest.demo23.com,结果可以访问该页面(如下图所 示) : 实验 3.8:验证无线访客用户访问 目的 验证无线访客用户访问行为和策略。 1. 通过 Sponsor 管理页面创建一个访客用户,使用访客用户登陆确认配置正确 2. 确认和排错访问认证过程,并且查看 ISE 授权认证会话 3. 创建访客服务事件报表 注意:以下验证过程以 Pod5 为例。 配置步骤 1. 在 WLC 上配置访客访问的 SSID 在 WLC 上,设置 SSID:WLAN-Pod5,并配置 MAB 认证方式状态,配置如下: Layer 2 设置: 37 Layer 3 设置: AAA Servers 设置: Advanced 设置: 38 2. ISE 配置认证策略 修改 ISE 的认证策略配置,进入 Policy > Authentication,在 MAB 策略中,包含了 Wireless_MAB 的条件,并且确认在 Identity Sources 的 Options 中, “If user not found”的动作设置为 Continue (配置如下图所示) : 注意:在 MAB 策略的条件中,需要包含 Wired_MAB 和 Wireless_MAB,并且两者的逻辑关系 为 OR。 3. ISE 配置授权策略 将 ISE 的授权策略的 Default 规则设置为 Central_Web_Auth_Wifi: 4. 验证访客账号的验证和授权 将测试设备 Windows 7 连接到 SSID:WLAN-Pod5,连接成功后,在 WLC 上查看终端设备连接 信息,Windows 7 终端设备被推送了的 ACL 和 Redirect URL(如下图所示) : 39 打开 Windows 7 浏览器,输入网址 http://guest.demo23.com,这是浏览器页面被重定向到访客登陆 页面 Guest Portal 中,输入访客账号,并点击 Login(如下图所示): 在访问许可策略的页面,选中 Accept terms and conditions,并点击 Accept(如下图所示) : 40 在 ISE 上查看访客访问的完整的记录(如下图所示) : 说明:上图显示终端设备先分配了授权策略 Central_Web_Auth_Wifi,使用访客账号登陆后,授权 策略变更为 guest。 在终端设备 Windows 7 上重新访问 http://guest.demo23.com,结果可以访问该页面(如下图所示) : 41 5. 查看访客访问的报表信息 以下是访客访问的报表信息: 42 以下是 employee5 创建的访客账号的信息: 查看访客的详细的访问信息: 43