ISE バージョン 1.3 の自己登録したゲスト ポータルの設定例

はじめに

Cisco Identity Services Engine（ISE）バージョン 1.3 には、自己登録ゲスト ポータルと呼ばれる新しいタイプのゲスト ポータルが導入されました。自己登録ゲスト ポータルでは、ゲスト ユーザがネットワーク リソースへのアクセスを取得するときに自己登録できます。このポータルでは、複数の機能を設定およびカスタマイズできます。このドキュメントでは、この機能の設定とトラブルシューティングの方法を説明します。

前提条件

要件

ISE 構成の経験と、次のトピックに関する基本的な知識があることが推奨されます。

• ISE の導入およびゲスト フロー
• ワイヤレスLANコントローラ(WLC)の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Microsoft Windows 7
• Cisco WLC バージョン 7.6 以降
• ISE ソフトウェア バージョン 3.1 以降

トポロジとフロー

このシナリオでは、ゲストユーザが自己登録を行う際に使用できる複数のオプションを示します。

一般的なフローを次に示します。

ステップ 1：ゲストユーザがService Set Identifier(SSID):Guestに関連付けられます。これは、認証に ISE を使用する MAC フィルタリングが設定されたオープン ネットワークです。この認証は、ISEの2番目の認可ルールに一致し、認可プロファイルはゲストの自己登録ポータルにリダイレクトします。ISE から、2 つの cisco-av-pairs を使用した RADIUS Access-Accept が返されます。

• url-redirect-acl（リダイレクトする必要があるトラフィック、および WLC でローカルに定義されたアクセス コントロール リスト（ACL）の名前）
• url-redirect（そのトラフィックのリダイレクト先 - ISE）

ステップ 2：ゲストユーザはISEにリダイレクトされます。ログイン時に認証情報を入力する代わりに、「アカウントをお持ちでない」をクリックします。ユーザは、そのアカウントを作成できるページにリダイレクトされます。オプションの秘密登録コードを有効にすると、自己登録権限をその秘密値を知っているユーザに制限できます。アカウントが作成されると、ユーザはクレデンシャル（ユーザ名とパスワード）を入力され、そのクレデンシャルでログインします。

ステップ 3：ISEがRADIUS認可変更(CoA)再認証をWLCに送信します。WLCは、Authorize-Only属性を含むRADIUSアクセス要求を送信するときに、ユーザを再認証します。ISEはWLC上でローカルに定義されたAccess-AcceptおよびAirespace ACLで応答し、インターネットへのアクセスのみを提供します（ゲストユーザの最終的なアクセスは認可ポリシーによって異なります）。

Extensible Authentication Protocol(EAP)セッションの場合、EAPセッションはサプリカントとISEの間に存在するため、ISEは再認証をトリガーするためにCoA Terminateを送信する必要があることに注意してください。ただし、MAB（MACフィルタリング）の場合は、CoA再認証で十分です。ワイヤレスクライアントの関連付け/認証解除は必要ありません。

ステップ 4：ゲストユーザがネットワークへのアクセスを希望しています。

ポスチャや個人所有デバイス持ち込み(BYOD)などの複数の追加機能を有効にできます（後述）。

設定

WLC

1. 認証とアカウンティングのために新しい RADIUS サーバを追加します。RADIUS CoA（RFC 3576）を有効にするため、[Security] > [AAA] > [Radius] > [Authentication] に移動します。
   
   

   

   アカウンティングでも同様の設定があります。また、[Called Station ID] 属性で SSID を送信するように WLC を設定することが推奨されます。これにより、ISE は SSID に基づいて柔軟なルールを設定できます。
   
   

   

   
   
   
2. WLANsタブで、ワイヤレスLAN(WLAN)ゲストを作成し、正しいインターフェイスを設定します。MAC フィルタリングで Layer2 セキュリティを [None] に設定します。Security/Authentication, Authorization, and Accounting(AAA)Serversで、認証とアカウンティングの両方にISE IPアドレスを選択します。[Advanced] タブで [AAA Override] を有効にし、[Network Admission Control (NAC) State] を [RADIUS NAC] に設定します（CoA サポート）。
   
   
3. [Security] > [Access Control Lists] > [Access Control Lists] の順に移動し、2 つのアクセス リストを作成します。
   
   
   • GuestRedirect：リダイレクトすべきでないトラフィックを許可し、他のすべてのトラフィックをリダイレクトします。
   • Internet：社内ネットワークについては拒否され、その他のすべてのネットワークについては許可されます。
   
   
   GuestRedirect ACLの例を次に示します（リダイレクションからISEへの/からのトラフィックを除外する必要があります）。
   
   

   

ISE

1. Guest Access > Configure > Guest Portalsの順に移動し、新しいポータルタイプのSelf Registered Guest Portalを作成します。
   
   

   

   
   
   
2. 認証プロファイルで参照されるポータル名を選択します。その他の設定はすべてデフォルトに設定します。ポータルページのカスタマイズでは、表示されるすべてのページをカスタマイズできます。
   
   
3. 許可プロファイルを設定します。
   
   
   • ゲスト（ゲストポータル名とACL GuestRedirectへのリダイレクトを使用）
     
     

     

     
     
     
   • PermitInternet（Airespace ACLとInternetは同じ）
     
     

     

     
     
     
   
   
   
4. 認可ルールを確認するために、[Policy] > [Authorization] に移動します。ISEバージョン1.3では、失敗したMAC認証バイパス(MAB)アクセス（MACアドレスが見つからない）に対するデフォルトで認証が継続されます（拒否されません）。デフォルトの認証ルールを変更する必要がないため、これはゲストポータルに非常に便利です。
   
   

   

   
   
   ゲストSSIDに関連付けられた新しいユーザは、まだどのアイデンティティグループにも属していません。これが、2番目のルールに一致する理由です。2番目のルールは、ゲスト認可プロファイルを使用して正しいゲストポータルにリダイレクトします。
   
   ユーザがアカウントを作成し、正常にログインすると、ISEがRADIUS CoAを送信し、WLCが再認証を実行します。今回は、認可プロファイルPermitInternetとともに最初のルールが照合され、WLCに適用されているACL名が返されます。
   
   
5. [Administration] > [Network Resources] > [Network Devices] で WLC をネットワーク アクセス デバイスとして追加します。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

1. ゲストSSIDに関連付けてURLを入力すると、ログインページにリダイレクトされます。
   
   

   

   
   
   
2. まだクレデンシャルを持っていないため、Don't have an account?オプションを選択する必要があります。アカウントを作成できる新しいページが表示されます。ゲストポータル設定で登録コードオプションが有効になっている場合は、そのシークレット値が必要です（これにより、正しい権限を持つユーザだけが自己登録できるようになります）。
   
   

   

   
   
   
3. パスワードまたはユーザポリシーに問題がある場合は、Guest Access > Settings > Guest Password PolicyまたはGuest Access > Settings > Guest Username Policyの順に移動して、設定を変更します。ランダム データの例は次のとおりです。
   
   

   

   
   
   
4. アカウントが正常に作成されると、クレデンシャル（ゲストパスワードポリシーに従って生成されたパスワード）が表示されます。
   
   

   

   
   
   
5. Sign Onをクリックして、クレデンシャルを入力します（ゲストポータルで設定する場合は、追加のアクセスパスコードが必要になる場合があります。これは、パスワードを知っているユーザだけがログインできるようにする別のセキュリティメカニズムです）。
   
   

   

   
   
   
6. 成功すると、オプションのアクセプタブルユースポリシー(AUP)が表示されることがあります（ゲストポータルで設定されている場合）。ポストアクセスページ（ゲストポータルでも設定可能）も表示されることがあります。
   
   

   

   
   
   最後のページでアクセス権が付与されたことを確認します。
   
   

   

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

この段階で、ISEは次のログを表示します。

ここで、フローを示します。

• ゲストユーザは2番目の認可ルール(Guest_Authenticate)を検出し、ゲストにリダイレクトされます（「認証に成功しました」）。
  
  
• ゲストは自己登録のためにリダイレクトされます。新しく作成されたアカウントでログインが成功すると、ISEはCoA再認証を送信し、WLCによって確認されます(「Dynamic Authorization succeeded」)。
  
  
• WLCはAuthorize-Only属性を使用して再認証を実行し、ACL名が返されます(「Authorize-Only succeeded」)。ゲストには、正しいネットワークアクセスが提供されます。

レポート(Operations > Reports > ISE Reports > Guest Access Reports > Master Guest Report)でも次のことが確認できます。

スポンサーユーザ（正しい権限を持つ）は、ゲストユーザの現在のステータスを確認できます。

この例では、アカウントが作成されたが、ユーザがログインしたことがないことを確認します(「Awaiting Initial Login」)。

オプションの設定

このフローの各段階で、異なるオプションを設定できます。これらはすべて、ゲストポータルごとにGuest Access > Configure > Guest Portals > PortalName > Edit > Portal Behavior and flow settingsで設定します。さらに重要な設定は次のとおりです。

自己登録設定

• Guest Type（ゲストタイプ）：アカウントがアクティブである期間、パスワードの有効期限オプション、ログオン時間、およびオプションを記述します（これは、ISEバージョン1.2からのタイムプロファイルとゲストロールの組み合わせです）。
• Registration code（登録コード）：有効にすると、シークレットコードを知っているユーザだけが自己登録できます（アカウントの作成時にパスワードの入力が必要）。
• AUP：自己登録中の使用ポリシーの受け入れ
• スポンサーによるゲストアカウントの承認/アクティブ化の要件

ログインゲストの設定

• アクセスコード：有効にすると、シークレットコードを知っているゲストユーザだけがログインできます
• AUP：自己登録中の使用ポリシーの受け入れ
• パスワード変更オプション

デバイス登録の設定

• デフォルトでは、デバイスは自動的に登録されます

ゲストデバイスのコンプライアンス設定

• フロー内のポスチャを許可

BYODの設定

• ポータルをゲストとして使用する企業ユーザが個人デバイスを登録できるようにする

スポンサー承認アカウント

Require self-registered guests to be approvedオプションを選択した場合、ゲストによって作成されたアカウントはスポンサーによって承認される必要があります。この機能では、スポンサーに通知を送信するために電子メールを使用する場合があります（ゲストアカウントの承認用）。

Simple Mail Transfer Protocol(SMTP)サーバまたは電子メールからの通知のデフォルトが設定されていない場合、アカウントは作成されません。

guest.logのログは、通知に使用されるグローバルfromアドレスが欠落していることを確認します。

2014-08-01 22:35:24,271 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.SelfRegStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::-
Catch GuestAccessSystemException on sending email for approval: sendApproval
Notification: From address is null.  A global default From address can be 
configured in global settings for SMTP server.

適切な電子メール設定が完了すると、アカウントが作成されます。

Require self-registered guests to be approvedオプションを有効にすると、ユーザ名とパスワードのフィールドがInclude this information on the Self-Registration Success pageセクションから自動的に削除されます。スポンサーの承認が必要な場合、アカウントが作成されたことを示す情報を表示するWebページに、ゲストユーザのクレデンシャルがデフォルトで表示されないのはこのためです。代わりに、ショートメッセージサービス(SMS)または電子メールで配信する必要があります。このオプションは、Send credential notification upon approval usingセクション(mark email/SMS)で有効にする必要があります。

スポンサーに通知メールが送信されます。

スポンサーがスポンサーポータルにログインし、アカウントを承認します。

この時点から、ゲストユーザは（電子メールまたはSMSで受信したクレデンシャルを使用して）ログインできます。

要約すると、このフローでは3つの電子メールアドレスが使用されます。

• 通知「送信元」アドレス。これは静的に定義されるか、スポンサーアカウントから取得され、スポンサーへの通知（承認用）とゲストへのクレデンシャルの詳細の両方の送信元アドレスとして使用されます。これは、ゲストアクセス>設定>設定>設定>ゲスト電子メール設定で設定します。
  
  
• 通知の「宛先」アドレス。これは、承認のためのアカウントを受け取ったことをスポンサーに通知するために使用されます。これは、ゲストポータルでGuest Access > Configure > Guest Portals > Portal Name > Require self-registered guests to be approved > Email approval request toの順に選択して設定します。
  
  
• ゲストの「宛先」アドレス。これは、登録時にゲストユーザによって提供されます。Send credential notification upon approval using Emailを選択した場合、クレデンシャルの詳細（ユーザ名およびパスワード）が記載された電子メールがゲストに配信されます。

SMS経由で資格情報を配信する

ゲストのクレデンシャルは、SMSでも配信できます。次のオプションを設定する必要があります。

1. SMSサービスプロバイダーを選択します。
   
   

   

   
   
   
2. Send credential notification upon approval using: SMSチェックボックスにチェックマークを付けます。
   
   
3. 次に、ゲストユーザがアカウントを作成するときに、使用可能なプロバイダーを選択するように求められます。
   
   

   

   
   
   
4. SMSは、選択されたプロバイダーと電話番号を使用して配信されます。
   
   

   

   
   
   
5. SMSプロバイダーは、Administration > System > Settings > SMS Gatewayの順に選択して設定できます。

デバイスの登録

ゲストユーザがログインしてAUPを受け入れた後で、Allow guests to register devicesオプションが選択されている場合は、デバイスを登録できます。

デバイスがすでに自動的に追加されている（[デバイスの管理]リストに表示されている）ことに注意してください。これは、Automatically register guest devicesが選択されているためです。

ポスチャ

Require guest device complianceオプションが選択されている場合、ゲストユーザは、ログインしてAUPを受け入れた後（およびオプションでデバイス登録を実行した後）にポスチャ(NAC/Web Agent)を実行するエージェントでプロビジョニングされます。ISEはクライアントプロビジョニングルールを処理し、プロビジョニングするエージェントを決定します。次に、ステーションで実行されているエージェントが（ポスチャルールに従って）ポスチャを実行し、結果をISEに送信します。ISEは必要に応じてCoA再認証を送信し、認証ステータスを変更します。

許可ルールの例を次に示します。

Guest_Authenticateルールが発生した最初の新規ユーザは、自己登録ゲストポータルにリダイレクトされます。ユーザが自己登録してログインすると、CoAは認証ステータスを変更し、ユーザにはポスチャと修復を実行するための制限付きアクセスが提供されます。NACエージェントがプロビジョニングされ、ステーションが準拠した後にのみ、CoAはインターネットへのアクセスを提供するために認可ステータスを再度変更します。

ポスチャの一般的な問題には、正しいクライアントプロビジョニングルールの欠如が含まれます。

これは、guest.logファイル（ISEバージョン1.3の新機能）を調べることでも確認できます。

2014-08-01 21:35:08,435 ERROR  [http-bio-10.62.97.21-8443-exec-9][] guestaccess.
flowmanager.step.guest.ClientProvStepExecutor -:7AAF75982E0FCD594FE97DE2970D472F::- 
CP Response is not successful, status=NO_POLICY

個人所有デバイス持ち込み

Allow employees to use personal devices on the networkオプションが選択されている場合、このポータルを使用する企業ユーザは、BYODフローを通過して、個人デバイスを登録できます。ゲストユーザの場合、この設定は何も変更しません。

「ゲストとしてポータルを使用している従業員」とはどういう意味ですか。

デフォルトでは、ゲストポータルはGuest_Portal_Sequence IDストアで設定されます。

 これは、内部ユーザを最初（ゲストユーザの前）に試行する内部ストアシーケンスです。

ゲストポータルのこの段階では、ユーザが内部ユーザストアで定義されたクレデンシャルを入力すると、BYODリダイレクションが発生します。

このように、企業ユーザは個人所有デバイスに対してBYODを実行できます。

内部ユーザのクレデンシャルの代わりにゲストユーザのクレデンシャルが提供されると、通常のフローが継続されます（BYODなし）。

VLANの変更

これは、ISEバージョン1.2のゲストポータル用に設定されたVLAN変更に似たオプションです。これにより、DHCPのリリースと更新をトリガーするactiveXまたはJavaアプレットを実行できます。これは、CoAがエンドポイントのVLANの変更をトリガーする場合に必要です。MABを使用すると、エンドポイントはVLANの変更を認識しません。考えられる解決策は、NACエージェントでVLANを変更することです（DHCPリリース/更新）。別のオプションとして、Webページに返されたアプレットを使用して新しいIPアドレスを要求する方法もあります。リリース/CoA/更新間の遅延を設定できます。このオプションは、モバイルデバイスではサポートされていません。

関連情報

• Cisco ISE コンフィギュレーション ガイドのポスチャ サービス
• アイデンティティ サービス エンジンのワイヤレス BYOD
• BYOD 対応 ISE SCEP サポートの設定例
• Cisco ISE 1.3 アドミニストレータ ガイド
• WLC と ISE での中央 Web 認証の設定例
• ISE を搭載した WLC 上で FlexConnect AP を使用した 中央 Web 認証の設定例
• テクニカル サポートとドキュメント - Cisco Systems