在思科身份服務(wù)引擎12中自定義訪客Web門(mén)戶

在思科身份服務(wù)引擎1.2中自定義訪客Web門(mén)戶安全訪問(wèn)操作指南系列日期：2014

年

12

月

18

日作者：ImranBashir、JasonKunst（思科身份服務(wù)引擎技術(shù)營(yíng)銷(xiāo)工程師）

、Hsing-TsuLai安全訪問(wèn)操作指南目錄簡(jiǎn)介 使用案例 問(wèn)題 解決方案 注意 配置步驟 創(chuàng)建終端組 創(chuàng)建默認(rèn)門(mén)戶和承包商門(mén)戶 5創(chuàng)建身份驗(yàn)證策略 7創(chuàng)建授權(quán)配置文件 7創(chuàng)建授權(quán)策略 10總結(jié) ?2015 思科系統(tǒng)公司 第2頁(yè)安全訪問(wèn)操作指南簡(jiǎn)介本解決方案說(shuō)明了如何根據(jù)訪客所在的 AD組為其顯示不同的自定義成功接入頁(yè)面。使用案例在此需求中，我們以某家公司為例。該公司有許多 Apple承包商和Microsoft承包商需要訪問(wèn)其 Web門(mén)戶，他們希望為不同類(lèi)型的承包商提供自定義的身份服務(wù)引擎 (ISE)Web身份驗(yàn)證成功接入頁(yè)面。詳細(xì)信息：? 有兩家不同公司的承包商連接到我的網(wǎng)絡(luò)。例如： Apple_Contractor和Microsoft_Contractor。? 這些承包商使用其 ActiveDirectory憑證登錄集中式 Web身份驗(yàn)證（訪客）門(mén)戶，從而連接到網(wǎng)絡(luò)。在承包商登錄Web身份驗(yàn)證（訪客）門(mén)戶后，根據(jù)他們所登錄的組，會(huì)為他們提供不同的自定義的成功接入頁(yè)面：應(yīng)為Apple承包商提供 Apple自定義的成功接入頁(yè)面。應(yīng)為Microsoft承包商提供 Microsoft自定義的成功接入頁(yè)面。問(wèn)題在ISE中，成功接入頁(yè)面是采用硬編碼方式寫(xiě)到訪客門(mén)戶中的。因此，如果在承包商登錄流程中僅使用一個(gè)已配置的門(mén)戶，則不可能根據(jù)其所在AD組顯示不同的成功接入頁(yè)面。解決方案利用設(shè)備注冊(cè) Web身份驗(yàn)證流程，根據(jù) AD憑證提供自定義的成功接入頁(yè)面。注意? 由于無(wú)法通過(guò) purge命令清除終端組，因此您需要執(zhí)行手動(dòng)清除。 ISE1.3具有自動(dòng)清除每個(gè)終端組的功能。? 由于門(mén)戶的變遷和構(gòu)建方式已發(fā)生顯著變化，本解決方案可能會(huì)在升級(jí)到 1.3版本后出現(xiàn)故障。如果您計(jì)劃升級(jí)，建議您對(duì)系統(tǒng)在升級(jí)后的運(yùn)行方式進(jìn)行驗(yàn)證。ISE1.3完成自定義工作的方式與之前有所不同，本文檔對(duì)此不再贅述。一般情況下，建議在將任何新解決方案投入生產(chǎn)之前，先在實(shí)驗(yàn)室中對(duì)其進(jìn)行試驗(yàn)和驗(yàn)證。?2015 思科系統(tǒng)公司 第3頁(yè)安全訪問(wèn)操作指南配置步驟此配置文檔假定您具有一些配置ISE1.2身份驗(yàn)證和訪客接入授權(quán)策略的經(jīng)驗(yàn)。以下將介紹配置過(guò)程中出現(xiàn)的相關(guān)屏幕以及完成配置所需的基本步驟。創(chuàng)建終端組為每個(gè)承包商（訪客）類(lèi)型創(chuàng)建必要的終端組。步驟1 為承包商終端創(chuàng)建兩個(gè)終端身份組。 MAC地址會(huì)在重定向到 DRW門(mén)戶之后被注冊(cè)。步驟2 導(dǎo)航至Administration >Groups>EndpointIdentityGroups 。步驟3 添加以下終端組。Apple_Contractor：用于Apple承包商的終端身份組。Microsoft_Contractor：用于Microsoft承包商的終端身份組。圖1.終端身份組步驟4 創(chuàng)建3個(gè)自定義的訪客門(mén)戶。具有成功接入頁(yè)面計(jì)時(shí)器的自定義 CWA登錄門(mén)戶，用于觸發(fā)重定向。2個(gè)DRW頁(yè)面（每個(gè)承包商組 1個(gè)），用于將 MAC地址插入到相應(yīng)的終端身份組中。?2015 思科系統(tǒng)公司 第4頁(yè)安全訪問(wèn)操作指南在創(chuàng)建您自己的自定義門(mén)戶頁(yè)面時(shí)，請(qǐng)使用此鏈接作為參考： 如何自定義 ISE12Web門(mén)戶。創(chuàng)建默認(rèn)門(mén)戶和承包商門(mén)戶第一個(gè)門(mén)戶為 Default_Custom步驟1 導(dǎo)航至Administration>Settings>Guest>Multi-PortalConfigurations 。第一個(gè)門(mén)戶為 Default_Custom。這是默認(rèn)門(mén)戶，所有連接到開(kāi)放式 SSID(MAB)的終端都將在該門(mén)戶作為 CWA的結(jié)果被重定向。成功接入頁(yè)面被設(shè)置為在 3秒后由您的重定向 ACL重定向到被阻止的 URL。此代碼的示例：步驟2 將以下HTML重定向代碼放在 HTML代碼的<HEAD>和</HEAD>標(biāo)簽之間。<metaHTTP-EQUIV="REFRESH"content="3 ”url= ”TheaboveHTMLredirectcodewillredirectyourvisitorstoanotherwebpageinstantly.Thecontent="3 ”isthetimeinsecondsbeforeredirectiontakesplace.Don ’tsetitlowertthisvalueasthisisrequiredtobelongerthantheCOAtime.步驟3 映射所要使用的已上傳文件。您至少需要映射登錄頁(yè)面、成功接入頁(yè)面和錯(cuò)誤頁(yè)面。圖2.登錄文件?2015 思科系統(tǒng)公司 第5頁(yè)安全訪問(wèn)操作指南第二個(gè)門(mén)戶為 APPLE_DRW步驟4 為每個(gè)承包商類(lèi)型創(chuàng)建一個(gè)門(mén)戶。對(duì)于每個(gè)承包商類(lèi)型，步驟都是相同的。這是自定義DRW門(mén)戶。此門(mén)戶將Apple承包商的設(shè)備MAC地址放入Apple_Contractor終端身份組中。此頁(yè)面應(yīng)使用面向 Apple承包商的信息進(jìn)行自定義。示例：歡迎您， Apple用戶！以下是有關(guān) Apple的信息。您可以使用以前用過(guò)的相同操作文檔來(lái)創(chuàng)建上述頁(yè)面。這些頁(yè)面的類(lèi)型是相同的。步驟5 禁用AUP（取消選中“Guestusersshouldagreetoanacceptableusepolicy”復(fù)選框）。圖3.Multi-PortalConfigurationList>Apple_DRW步驟6 您必須自定義和映射需要進(jìn)行自定義和映射的成功接入頁(yè)面和錯(cuò)誤頁(yè)面。步驟7 映射已上傳的文件。圖4.Multi-PortalConfigurationList>Apple_DRW- 錯(cuò)誤頁(yè)面使用與上面相同的步驟為另一個(gè)承包商類(lèi)型創(chuàng)建一個(gè)門(mén)戶：第三個(gè)門(mén)戶為 MICROSOFT_DRW 。?2015 思科系統(tǒng)公司 第6頁(yè)安全訪問(wèn)操作指南創(chuàng)建身份驗(yàn)證策略創(chuàng)建身份驗(yàn)證策略，以作為 MAC身份驗(yàn)證繞行 (MAB) 的結(jié)果進(jìn)行重定向步驟1 導(dǎo)航至Policy>Authentication 。步驟2 創(chuàng)建要匹配的 MAB規(guī)則。圖5.MAB規(guī)則步驟3 更改GuestPortalSequence以包括您的 ActiveDirectory 實(shí)例。步驟4 導(dǎo)航至Administration>IdentitySourceSequence>Guest_Portal_Sequence 。步驟5 將您的AD實(shí)例移至右側(cè)。圖6.身份驗(yàn)證搜索列表創(chuàng)建授權(quán)配置文件步驟1 為三個(gè)不同的門(mén)戶分別創(chuàng)建 授權(quán)配置文件。步驟2 導(dǎo)航至Policy>Results>Authorization>AuthorizationProfiles 。?2015 思科系統(tǒng)公司 第7頁(yè)安全訪問(wèn)操作指南創(chuàng)建以下三個(gè)配置文件： WLC-CWA 、DRW_Apple、DRW_Microsoft 。WLC-CWA 即為自定義訪客門(mén)戶重定向基本配置文件這是承包商在接入網(wǎng)絡(luò)時(shí)首先看到的門(mén)戶。對(duì)于“WebRedirection”，選擇“CentralizedWebAuth”。? ACL“WLC-ACL_ISE-RESTRICTED ”將作為您的重定向 ACL被傳遞到控制器。Default_Custom即為您創(chuàng)建的門(mén)戶。圖7.授權(quán)配置文件 -WLC-CWADRW_Apple：用于Apple承包商的DRW策略這是Apple承包商在基于 CWA門(mén)戶進(jìn)行身份驗(yàn)證之后重定向的目標(biāo)門(mén)戶。對(duì)于“WebRedirection”，選擇“DeviceRegistrationWebAuth”。? ACL“WLC-ACL_ISE-RESTRICTED ”將作為您的重定向 ACL被傳遞到控制器。? APPLE_DRW是您為確保Apple承包商的DRW成功創(chuàng)建的門(mén)戶。?2015 思科系統(tǒng)公司 第8頁(yè)安全訪問(wèn)操作指南圖8.授權(quán)配置文件 -DRW_AppleDRW_Microsoft ：用于Microsoft 承包商的DRW策略這是Microsoft承包商在基于 CWA門(mén)戶進(jìn)行身份驗(yàn)證之后重定向的目標(biāo)門(mén)戶。對(duì)于“WebRedirection”，選擇“DeviceRegistrationWebAuth”。? ACL“WLC-ACL_ISE-RESTRICTED ”將作為您的重定向 ACL被傳遞到控制器。MICROSOFT_DRW是您為確保Microsoft承包商的DRW成功創(chuàng)建的門(mén)戶。圖9.授權(quán)配置文件 -DRW_Microsoft?2015 思科系統(tǒng)公司 第9頁(yè)安全訪問(wèn)操作指南創(chuàng)建授權(quán)策略最終根據(jù)以下信息和截圖創(chuàng)建授權(quán)策略。步驟1 導(dǎo)航至Policy>Authorization 。雖然沒(méi)有要求，但建議按照與下圖相同的順序輸入策略。圖10.授權(quán)策略WLCDRWApple 即為設(shè)備注冊(cè)的授權(quán)策略Apple承包商的Web身份驗(yàn)證需檢查以下事項(xiàng)：設(shè)備通過(guò)無(wú)線連接。設(shè)備自之前使用WLCCWA策略進(jìn)行身份驗(yàn)證后仍處于訪客流狀態(tài)。用戶屬于AppleAD組。結(jié)果：獲取此MAC地址并將其放入 Apple_Contractor終端身份組，然后發(fā)出COA_Session_Terminate命令。WLCDRWMicrosoft 即為設(shè)備注冊(cè)的授權(quán)策略Microsoft承包商的Web身份驗(yàn)證需檢查以下事項(xiàng)：設(shè)備通過(guò)無(wú)線連接。設(shè)備自之前使用WLCCWA策略進(jìn)行身份驗(yàn)證后仍處于訪客流狀態(tài)。用戶屬于MicrosoftAD組。結(jié)果：獲取此MAC地址并將其放入 Microsoft_Contractor終端身份組，然后發(fā)出COA_Session_Terminate命令。Guest_Access_DRW 即為授權(quán)策略如果采用授予Apple_Contractor和Microsoft-Contractor差異化的接入權(quán)限的策略，則根據(jù)終端身份組授予員工接入權(quán)限的策略還可以拆分為多個(gè)策略。如果終端身份組是 Apple_Contractor或Microsoft_Contractor，則允許接入。注：MAC地址已按照之前定義的 DRW策略插入到這些終端身份組中。WLCCWA 即為承包商要登錄的默認(rèn)自定義門(mén)戶的重定向?2015 思科系統(tǒng)公司 第10頁(yè)安全訪問(wèn)操作指南總結(jié)具體應(yīng)用過(guò)程總結(jié)如下：步驟1承包商連接到開(kāi)放式無(wú)線網(wǎng)絡(luò)。步驟2設(shè)備重