ISE自己登録ゲストポータルの設定例

ISE自己登録ゲストポータルの設定例

目次

はじめに 前提条件 要件

使用するコンポーネント トポロジとフロー

設定 WLC ISE 確認

トラブルシューティング オプションの設定

自己登録設定

ログインゲスト設定 デバイス登録設定

ゲストデバイスのコンプライアンス設定 BYODの設定

スポンサー承認アカウント SMSによる資格情報の配信 デバイス登録

ポスチャ BYOD VLANの変更 関連情報

はじめに

このドキュメントでは、この機能の設定とトラブルシューティングの方法を説明します。自己登 録ゲストポータル：ゲストユーザは、従業員と自己登録し、ADクレデンシャルを使用してネット ワークリソースにアクセスできます。このポータルでは、複数の機能を設定およびカスタマイズ できます。 

前提条件

要件

ISE 構成の経験と、次のトピックに関する基本的な知識があることが推奨されます。

ISE の導入およびゲスト フロー

●

ワイヤレスLANコントローラ(WLC)の設定

●

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Microsoft Windows 10 Pro

●

バージョン8.5.135.0のCisco WLC 5508

●

ISEソフトウェアバージョン3.0

●

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメン トで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働 中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

トポロジとフロー

このシナリオでは、ゲストユーザが自己登録を実行するときに使用できる複数のオプションを示 します。

一般的なフローを次に示します。

ステップ 1：ゲスト ユーザがサービス セット識別子（SSID）：ゲストWiFiこれは、認証に ISE を使用する MAC フィルタリングが設定されたオープン ネットワークです。この認証はISEの2番 目の認可ルールに一致し、認可プロファイルはゲスト自己登録ポータルにリダイレクトされます

。ISE から、2 つの cisco-av-pairs を使用した RADIUS Access-Accept が返されます。

url-redirect-acl（リダイレクトする必要があるトラフィック、および WLC でローカルに定義 されたアクセス コントロール リスト（ACL）の名前）

●

url-redirect（そのトラフィックのリダイレクト先 - ISE）

●

ステップ2：ゲストユーザがISEにリダイレクトされます。ログインするために資格情報を入力す る代わりに、ユーザーは[ゲストアクセスの登録]をクリックします。ユーザーは、そのアカウント を作成できるページにリダイレクトされます。オプションのシークレット登録コードを有効にす ると、自己登録権限をそのシークレット値を知っている人に制限できます。アカウントが作成さ れると、ユーザにクレデンシャル（ユーザ名とパスワード）が提供され、それらのクレデンシャ ルでログインします。

ステップ3:ISEがRADIUS認可変更(CoA)再認証をWLCに送信します。WLCは、Authorize-Only属 性を使用してRADIUS Access-Requestを送信するときに、ユーザを再認証します。ISEは、

WLC上でローカルに定義されたAccess-AcceptおよびAirespace ACLで応答します。これにより、

インターネットへのアクセスのみが提供されます（ゲストユーザの最終アクセスは認可ポリシー によって異なります）。

注：Extensible Authentication Protocol(EAP)セッションでは、EAPセッションがサプリカン トとISEの間にあるため、再認証をトリガーするためにISEがCoA Terminateを送信する必要 があります。ただし、MAB（MACフィルタリング）の場合は、CoA再認証で十分です。ワ イヤレスクライアントの関連付け解除/認証解除は不要です。

ステップ4：ゲストユーザがネットワークへのアクセスを希望している。

ポスチャや個人所有デバイスの持ち込み(BYOD)など、複数の追加機能を有効にできます（後述

）。

設定

WLC

認証とアカウンティングのために新しい RADIUS サーバを追加します。RADIUS

CoA（RFC 3576）を有効にするため、[Security] > [AAA] > [Radius] > [Authentication] に移 動します。

1.

アカウンティングでも同様の設定があります。また、[Called Station ID] 属性で SSID を送信 するように WLC を設定することが推奨されます。これにより、ISE は SSID に基づいて柔 軟なルールを設定できます。

[WLANs]タブで、ワイヤレスLAN(WLAN)Guest-WiFiを作成し、正しいインターフェイスを 設定します。MAC フィルタリングで Layer2 セキュリティを [None] に設定します。

[Security/Authentication, Authorization, and Accounting(AAA) Servers]で、[Authentication]と [Accounting]の両方のISE IPアドレスを選択します。[Advanced]タブで、[AAA Override]を有 効にして、[Network Admission Control(NAC)State]を[ISE NAC (CoA support)]に設定します

。 2.

[Security] > [Access Control Lists] > [Access Control Lists] の順に移動し、2 つのアクセス リ ストを作成します。

3.

GuestRedirect：リダイレクトすべきでないトラフィックを許可し、他のすべてのトラフィ ックをリダイレクトします。Internet：社内ネットワークについては拒否され、その他のす べてのネットワークについては許可されます。

GuestRedirect ACL（ISEとの間のトラフィックをリダイレクションから除外する必要がある

）の例を次に示します。

ISE

[Work Centers] > [Guest Access] > [Network Devices]から、WLCをネットワークアクセスデ バイスとして追加します。

1.

エンドポイントIDグループを作成します。[Work Centers] > [Guest Access] > [Identity Groups] > [Endpoint Identity Groups]に移動します。

2.

3. [Work Centers] > [Guest Access] > [Portal & Components] > [Guest Types]に移動して、ゲスト タイプを作成します。この新しい[Guest Type]および[Save]で、前に作成したエンドポイントIDグ ループを参照します。

4.新しいゲストポータルタイプの作成：自己登録ゲストポータル。[ワークセンター] > [ゲストア クセス] > [ゲストポータル]に移動します。

5.ポータル名を選択し、以前に作成したゲストタイプを参照し、[登録フォーム(Registration Form)]設定の下にクレデンシャル通知設定を送信して、電子メールでクレデンシャルを送信しま す。

ISEでSMTPサーバを設定する方法については、次のドキュメントを参照してください。

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/216187-configure- secure-smtp-server-on-ise.html

他のすべての設定はデフォルトのままにします。[Portal Page Customization]で、表示されるすべ てのページをカスタマイズできます。デフォルトでは、ゲストアカウントは1日間有効で、特定の ゲストタイプで設定した日数まで延長できます。

6. [Work Centers] > [Guest Access] > [Policy Elements] > [Results] > [Authorization Profiles]に移 動して、次の2つの許可プロファイルを設定します。

ゲストポータル(ゲストポータルCisco_Guestへのリダイレクション、およびGuestRedirectと いう名前のリダイレクトACLを使用)。 このGuestRedirect ACLは、以前にWLCで作成された ものです。

●

Permit_Internet（Airespace ACLと同じインターネットを使用）

●

7. [Default]という名前のポリシーセットを変更します。デフォルトのポリシーセットは、ゲ ストポータルアクセス用に事前設定されています。MABという名前の認証ポリシーが存在し ます。これにより、MAC認証バイパス(MAB)認証が不明なMacアドレスに対して続行され

（拒否されない）ます。

8.同じページで[Authorization policy]に移動します。次の図に示すように、この認可ルールを作成 します。

ゲストSSIDに関連付けられた新しいユーザは、まだIDグループに属していないため、2番目のル ールに一致し、ゲストポータルにリダイレクトされます。

ユーザが正常にログインすると、ISEはRADIUS CoAを送信し、WLCは再認証を実行します。今 回は、（エンドポイントが定義されたエンドポイントIDグループの一部になるため）最初の認可 ルールが一致し、ユーザがPermit_internet認可プロファイルを取得します。

9.また、条件Guest flowを使用して、ゲストへの一時アクセスを提供することもできます。この状 態はISE上のアクティブセッションをチェックしており、これは属性です。そのセッションに、

以前のゲストユーザが正常に認証されたことを示す属性がある場合、条件が一致します。ISEが Network Access Device(NAD)からRadius Accounting Stop(RADIUS)メッセージを受信すると、セ ッションが終了し、後で削除されます。その段階で、Network Access:UseCase = Guest Flowと いう条件が満たされなくなっています。その結果、そのエンドポイントの後続の認証はすべて、

ゲスト認証用の汎用ルールのリダイレクトにヒットします。

注：一時ゲストアクセスまたは永久ゲストアクセスのいずれかを使用できますが、両方は使 用できません。

ISEゲストの一時アクセスおよび永続的アクセスの設定の詳細については、このドキュメントを 参照してください。

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200273-Configure- ISE-Guest-Temporary-and-Perman.html

確認

このセクションでは、設定が正常に機能していることを確認します。

ゲストSSIDを関連付けてURLを入力すると、図に示すように[Guest Portal]ページにリダイ レクトされます。

1.

まだ資格情報がないため、[ゲストアクセスの登録]オプションを選択する必要があります。

アカウントを作成するための登録フォームが表示されます。ゲストポータル設定で

[Registration Code]オプションが有効になっている場合は、そのシークレット値が必要です

（これにより、正しい権限を持つユーザだけが自己登録が許可されます）。

2.

3.パスワードまたはユーザポリシーに問題がある場合は、[Work Centers] > [Guest Access] >

[Settings] > [Guest Username Policy] に移動して、設定を変更します。次に例を示します。

4.アカウントが正常に作成されると、クレデンシャル（ゲストパスワードポリシーに従って生成 されたパスワード）が表示されます。また、ゲストユーザが電子メール通知を受信するように設 定されている場合は、次のように設定されます。

5. [Sign On]をクリックし、クレデンシャルを入力します(ゲストポータルでアクセスパスコード を設定する場合は、追加のアクセスパスコードが必要になる場合があります。これは、パスワー ドを知っているユーザだけがログインできる別のセキュリティメカニズムです)。

6.成功すると、オプションのアクセプタブルユースポリシー(AUP)がゲストポータルで設定されて いる場合に表示されます。 ユーザには変更パスワードオプションが表示され、ログイン後のバナ ー（ゲストポータルでも設定可能）も表示されます。

7.最後のページ（ログイン後のバナー）は、アクセスが許可されたことを確認します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

この段階で、ISEは図に示すように、これらのログを[Operations] > [RADIUS] > [Live Logs]に表示 します。

ここで、フローを示します。

ゲストユーザは2番目の認証ルール(Wifi_Redirect_to_Guest_Portal)に遭遇し、ゲストポータ ルにリダイレクトされます(認証に成功しました)。

●

ゲストは自己登録のためにリダイレクトされます。新しく作成されたアカウントで正常にロ グインすると、ISEはCoA再認証を送信します。これはWLCによって確認されます(動的認可 が成功)。

●

WLCはAuthorize-Only属性を使用して再認証を実行し、ACL名が返されます(Authorize-Only succeeded)。 ゲストには正しいネットワークアクセスが提供されます。

●

レポート([Operations] > [Reports] > [Guest] > [Master Guest Report])では、次のことを確認でき ます。

スポンサーユーザ（正しい権限を持つ）は、ゲストユーザの現在のステータスを確認できます。

この例では、アカウントが作成され、ユーザがポータルにログインしていることを確認します。

オプションの設定

このフローのすべての段階で、異なるオプションを設定できます。これらはすべて、ゲストポー タルごとに[Work Centers] > [Guest Access] > [Portals & Components] > [Guest Portals] > [Portal Name] > [Edit] > [Portal Behavior] と[Flow Settings]で設定します。より重要な設定は次のとおり です。

自己登録設定

[ゲストタイプ(Guest Type)]：アカウントがアクティブである時間、パスワード有効期限オプ ション、ログオン時間、およびオプション（これは時間プロファイルとゲストロールの組み 合わせです）を説明します

●

登録コード：有効にすると、秘密コードを知っているユーザーのみが自己登録を許可されま す（アカウントの作成時にパスワードを指定する必要があります）

●

AUP – 自己登録時の使用ポリシーの承認

●

スポンサーがゲストアカウントを承認/アクティブ化する要件。

●

ログインゲスト設定

[アクセスコード(Access code)]：有効にすると、シークレットコードを知っているゲストユ ーザだけがログインできます。

●

AUP：自己登録時に使用ポリシーを受け入れます。

●

パスワード変更オプション。

●

デバイス登録設定

デフォルトでは、デバイスは自動的に登録されます。

●

ゲストデバイスのコンプライアンス設定

フロー内のポスチャを許可します。

●

BYODの設定

ポータルをゲストとして使用する企業ユーザが個人デバイスを登録できます。

●

スポンサー承認アカウント

[登録フォームの設定]で[ゲストの承認を要求する]オプションが選択されている場合は、ゲストが 作成したアカウントがスポンサーによって承認されている必要があります。この機能は、スポン サーに通知を送信するために電子メールを使用する場合があります（ゲストアカウントの承認用

）。

シンプルメール転送プロトコル(SMTP)サーバの設定に誤りがある場合、アカウントは作成されま せん。

guest.logのログは、SMTPサーバの設定に誤りがあるため、スポンサー電子メールへの承認通知 の送信に問題があることを確認します。

2020-11-07 07:16:38,547 ERROR [GUEST_ACCESS_SMTP_RETRY_THREAD][]

cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::- An exception occurred while sending email :

javax.mail.MessagingException: Could not connect to SMTP host: outbound.cicso.com, port: 25, response: 421

2020-11-07 07:16:38,547 ERROR [https-jsse-nio-10.106.32.25-8443-exec-1][]

cpm.guestaccess.apiservices.notification.NotificationService -::- sendApprovalNotification

com.cisco.cpm.guestaccess.exception.GuestAccessSystemException:

com.cisco.cpm.guestaccess.exception.GuestAccessSystemException: Unable to send mail. Failure occured

電子メールおよびSMTPサーバが適切に設定されていれば、アカウントが作成されます。

[Require guests to be approved]オプションを有効にした後は、[Include this information on the Self-Registration Success page]セクションからユーザ名とパスワードのフィールドが自動的に削 除されます。このため、スポンサー承認が必要な場合、アカウントが作成されたことを示す情報 を提供するWebページに、ゲストユーザのクレデンシャルがデフォルトで表示されません。その 代わりに、ショートメッセージサービス(SMS)または電子メールで配信する必要があります。こ のオプションは、[承認の際に資格情報を送信するに、電子メールまたはSMSにマークを付ける ]セクションで有効にする必要があります。

通知メールがスポンサーに配信されます。

スポンサーが[Approval（承認）]リンクをクリックし、スポンサーポータルにログインすると、ア カウントが承認されます。

この時点から、ゲストユーザは（電子メールまたはSMSで受信したクレデンシャルを使用して

）ログインできます。

要約すると、このフローで使用される電子メールアドレスは3つあります。

通知「送信元」アドレス。これは静的に定義されるか、スポンサーアカウントから取得され

、両方の送信元アドレスとして使用されます。スポンサーへの通知（承認用）、およびゲス トへのクレデンシャルの詳細これは、[ワークセンター] > [ゲストアクセス] > [設定] > [ゲスト メール設定]で設定します。

●

通知の「宛先」アドレス。これは、スポンサーに承認のアカウントを受信したことを通知す るために使用されます。これは、ゲストポータルの[Work Centers] > [Guest Access] > [Guest Portals] > [Portals and Components] > [Portal Name] > [Registration Form Settings] >

[Require guests to be approved] > [Email approval request to]で設定します。

●

ゲスト「宛先」アドレス。これは、登録時にゲストユーザによって提供されます。[Send credential notification when approval using Email]が選択されている場合、クレデンシャルの 詳細（ユーザ名とパスワード）が記載された電子メールがゲストに配信されます。

●

SMSによる資格情報の配信

ゲストクレデンシャルは、SMSでも配信できます。次のオプションを設定する必要があります。

[Registration Form Settings]でSMSサービスプロバイダーを選択します。

1.

[Send credential notification when approval using]をオンにします。[SMS]チェックボックス 2.

次に、ゲストユーザはアカウントを作成するときに利用可能なプロバイダーを選択するよう に求められます。

3.

選択したプロバイダーと電話番号でSMSが配信されます。

4.

SMSプロバイダは、[管理] > [システム] > [設定] > [SMSゲートウェイ]で設定できます。

5.

デバイス登録

ゲストユーザがログインしてAUPを受け入れた後で[Allow guests to register devices]オプション が選択されている場合は、デバイスを登録できます。

デバイスはすでに自動的に追加されています（[Manage Devices]リストにあります）。 これは、

[ゲストデバイスの自動登録]が選択されたためです。

ポスチャ

[Require guest device compliance] オプションを選択すると、ゲストユーザはログイン後にポスチ ャ（NAC/Webエージェント）を実行し、AUPを受け入れる（オプションでデバイス登録を実行

）エージェントでプロビジョニングされます。ISEは、クライアントプロビジョニングルールを

処理して、プロビジョニングするエージェントを決定します。次に、ステーションで実行される エージェントが（ポスチャルールに従って）ポスチャを実行し、結果をISEに送信します。これ により、CoAの再認証が送信され、必要に応じて認証ステータスが変更されます。

可能な認可ルールは次のようになります。

Guest_Authenticateルールに遭遇した最初の新しいユーザは、自己登録ゲストポータルにリダイ レクトされます。ユーザが自己登録してログインすると、CoAの認証ステータスが変更され、ユ ーザにはポスチャと修復を実行するための制限付きアクセスが提供されます。NACエージェント がプロビジョニングされ、ステーションが準拠した後に初めて、CoAの認可変更ステータスが再 び実行され、インターネットへのアクセスが提供されます。

ポスチャに関する一般的な問題には、正しいクライアントプロビジョニングルールの欠如があり ます。

これは、guest.logファイルを調べても確認できます。

2020-11-09 09:23:32,157 ERROR [https-jsse-nio-10.106.32.25-8443-exec-7][]

guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:guest18:- CP Response is not successful, status=NO_POLICY

BYOD

[Allow employees to use personal devices on the network]オプションが選択されている場合は、

このポータルを使用する企業ユーザはBYODフローを実行し、個人デバイスを登録できます。ゲ ストユーザの場合、この設定は何も変更されません。

「ポータルをゲストとして使用する従業員」とは何を意味しますか。

デフォルトでは、ゲストポータルはIDストアGuest_Portal_Sequenceで構成されます。

 これは、最初に内部ユーザ（ゲストユーザの前）を試行し、次にADクレデンシャルを試行する 内部ストアシーケンスです。選択したIDストアに認証でアクセスできない場合、詳細設定はシー ケンスの次のストアに進みます。

ゲストポータルのこの段階で、ユーザが内部ユーザストアまたはActive Directoryで定義されたク レデンシャルを提供し、BYODリダイレクションが発生します。

このように、企業ユーザは個人所有デバイスのBYODを実行できます。

内部ユーザ/ADクレデンシャルの代わりにゲストユーザのクレデンシャルが提供されると、通常 のフローが継続されます（BYODなし）。

VLANの変更

ActiveXまたはJavaアプレットを実行して、DHCPのリリースと更新をトリガーできます。これは

、CoAがエンドポイントのVLANの変更をトリガーするときに必要です。MABを使用すると、エ ンドポイントはVLANの変更を認識しません。可能なソリューションは、NACエージェントで VLAN（DHCPリリース/更新）を変更することです。もう1つのオプションは、Webページで返さ れるアプレットを介して新しいIPアドレスを要求することです。リリース/CoA/更新間の遅延を設 定できます。このオプションは、モバイルデバイスではサポートされていません。

関連情報

Cisco ISE コンフィギュレーション ガイドのポスチャ サービス

●

https://www.cisco.com/c/en/us/td/docs/security/ise/3-

0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_overview.htmlCisco ISE 1.3管理者ガイド

●

アイデンティティ サービス エンジンのワイヤレス BYOD

●

BYODに対するISE SCEPサポートの設定例

●

WLC と ISE での中央 Web 認証の設定例

●

ISE を搭載した WLC 上で FlexConnect AP を使用した 中央 Web 認証の設定例

●

テクニカル サポートとドキュメント – Cisco Systems

●