伊势 2.0 - 自带设备 政策 Configuration

在本文中,我将逐步介绍BYOD策略的配置。我将向您展示如何将CA服务器或ISE CA用于BYOD。

我将向您展示如何做的第一件事是一项策略,该策略将通过我们先前在ISE中最精准双色球预测专家的SCEP配置文件将证书推送给我的用户。我将逐步介绍您可以在此策略中配置的一些不同选项,但总的来说,我将使策略本身保持非常简单。

首先,我将为此特定策略修改身份源序列。在ISE中,导航至 行政>Identity Management>身份来源序列 然后编辑 MyDevices_Portal_Sequence。在此策略中,将AD服务器添加到 已选 列,并确保它在列表顶部:

保存此身份源序列后,我们接下来将编辑 Guest_Portal_Sequence 并将AD服务器添加到 已选 柱:

保存身份源序列后,我将修改 我的装置 门户。导航 行政>设备门户管理>My Devices 然后编辑 我的装置 Portal (default)。需要注意的一件事:如果您不想编辑默认门户,则可以随时复制它或最精准双色球预测专家一个全新的门户。

在“门户设置”页面下, 确保您选择 MyDevices_Portal_Sequence 来自 身份验证方法 落下:

这是我在此页面中唯一要更改的内容,但我想指出一些可以根据您的环境进行更改的不同内容。

门户设置 -

  • HTTPS端口:默认为8443,但您可以将其更改为该门户网站所需的任何端口。只需确保更新任何ACL或防火墙即可打开这些端口。
  • 允许的接口-自我解释。我通常只是将其保留为默认设置,但是如果您有ISE设备和大型ISE部署,则可能需要将此流量定向到其他接口
  • 证书组标签-这是唯一的标识符,可帮助ISE识别与此门户网站进行通信时必须使用的证书。
  • 完全限定域名(FQDN)-此门户的FQDN。如果您填写以下选项,则需要确保它与DNS匹配
  • 端点标识组-这是端点注册后将放入的逻辑组
  • 清除此身份组中的端点-在超时之前,该端点将保留在此身份组中多少天
  • 身份验证方法-这是将使用的身份源序列
  • 空闲超时-这是门户网站的超时
  • 显示语言-自我解释

登录页面设置-

  • 速率限制前最大登录尝试失败次数-默认为5
  • 速率限制时两次登录尝试之间的时间-默认为2分钟
  • 包含AUP-如果您希望将其作为链接或在页面上添加,则可以选中此框,并且还可以要求接受AUP。

Acceptance Use 政策 (AUP) Page Settings -

  • 在这里,您可以选择包括一个AUP页面,需要滚动到AUP的末尾,并指定在首次登录,每次登录或从首次登录开始的一定天数内显示AUP

登录后横幅页面设置-

  • 您可以在此处指定包括登录后横幅页面

员工更改密码设置-

  • 您可以在此处指定内部用户可以更改自己的密码

支持信息页面设置-

  • 您可以包括某些字段以获取支持信息,例如MAC地址,IP地址,策略服务器等,甚至显示空白字段

您也可以导航到 门户页面自定义 标签,并进一步为您的用户自定义“我的设备”门户的外观和内容。完成所有自定义之后,还可以预览它:

既然我们已经完成了MyDevices门户的修改,那么我将最精准双色球预测专家一个本地请求者配置文件。导航 政策>Policy Elements>Results>Client Provisioning>Resources 然后点击 >本地请求方配置文件。我在这里为移动设备最精准双色球预测专家本机请求方配置文件,因此我将其命名为 移动TLS。 我可以在此处指定IOS或Android,但我要保留 所有 根据选择 Operating 系统.

无线配置文件,点击 。我配置 它与以下内容:

  • SSID名称- 安全LabCorp
  • 安全 - WPA2企业
  • 允许的协议- TLS
  • 证书模板- 自带设备


保存此配置文件后,我将配置客户端设置策略。导航 政策>Client Provisioning。我将在此处最精准双色球预测专家以下规则,以使用我刚刚为IOS和Apple设备最精准双色球预测专家的请求者配置文件:

 

我将在无线控制器中专门为我们的BYOD策略最精准双色球预测专家一些ACL。我将为Google,NSP和Blackhole最精准双色球预测专家一个ACL。 安卓有点特殊情况,在这种情况下,它们需要与IOS区别对待,因为没有两个Android是相同的,并且因为需要提供方提供的应用程序来配置Android的证书。 安卓设备要求从Android App Store下载它。有一些方法可以将ACL锁定得更多一些,但是我将在ACL中更加开放一些。部分原因是因为登录BYOD访问已经需要AD凭据。

如果您想了解我要最精准双色球预测专家的ACL背后的逻辑,请单击 这里 查看官方的“如何指导”。我正在直接从本文档中使用ACL。

在无线控制器中,我将导航到 安全>Access Control Lists>Access Control Lists 并最精准双色球预测专家以下ACL:

 

使用我在无线控制器中最精准双色球预测专家的ACL,我将最精准双色球预测专家授权配置文件。我将导航到 政策>Policy Elements>Results>Authorization>授权资料 并最精准双色球预测专家以下配置文件:

名称: 黑洞

  • 检查一下 访问控制列表 然后选择 黑名单 从下拉列表中(如果要在此授权配置文件中使用它来实现有线和无线之间的一致访问,则这是ISE的默认内置ACL之一)
  • 检查一下 Airespace 访问控制列表名称 并输入 黑洞

注意:为了提高安全性,您还可以最精准双色球预测专家黑洞VLAN并将其添加到此授权配​​置文件中

名称: 自带设备-SUPP

  • 选中复选框 Web重定向 然后从下拉菜单中选择 本机请求方设置。 在“ 访问控制列表”部分中,输入 来宾重定向。 在里面 字段,选择 自带设备 Portal (default)

名称: 自带设备-SUPP-ANDROID

  • 选中复选框 Web重定向 然后从下拉菜单中选择 本机请求方设置。 在“ 访问控制列表”部分中,键入 NSP-ACL-GOOGLE。在里面 字段,选择 自带设备 Portal (default)

 

完成身份验证配置文件后,我将为我的策略最精准双色球预测专家可重复使用的复合条件。我将导航到 政策>Policy Elements>Conditions>Authorization>Compound 条件 并最精准双色球预测专家以下条件:

名称: 自带设备-SUPP
条件:
网络访问:EapAuthentication等于 EAP-MSCHAPv2
AD1:ExternalGroups等于 自带设备-User <-在我的政策中,甚至可能在生产环境中,我只希望选定的个人能够使用BYOD,这就是为什么我要指定与域用户不同的组的原因。

名称: 平板电脑
条件:
网络访问:EapAuthentication等于 EAP-MSCHAPv2
AD1:ExternalGroups等于 自带设备-User
会话:设备操作系统等于 安卓

名称: 自带设备-REG
条件:
NetworkAccess:EapAuthentication等于 EAP-TLS
端点:BYODRegistration等于

 

现在,我已经完成了策略元素的配置,现在我将配置策略。我将导航到 政策>Policy Sets 然后编辑 WirelessDot1x 我之前最精准双色球预测专家的政策。

在授权策略下,我将在所有其他规则之上添加以下规则:

规则名称: 无线黑名单
如果: 黑名单 <-ISE中应已存在的默认逻辑组
然后: 黑洞

添加该规则后,我将在我的下面最精准双色球预测专家以下规则 供应商访问 规则按以下顺序:

规则名称: 安卓 自带设备-Supplicant
如果:任由
条件): 无线_802.1X 平板电脑
然后: 自带设备-SUPP-ANDROID

规则名称: 自带设备-Supplicant
如果:任由
条件): 无线_802.1X自带设备-SUPP
然后: 自带设备-SUPP

规则名称: 自带设备-REG
如果:任由
条件): 无线_802.1X自带设备-REG
然后: 员工访问

继续并确保默认规则为 拒绝访问

 

保存策略后,您可以通过导航到 运作方式>RADIUS Livelog 并尝试使用Android和iOS设备登录公司的SSID。

您应该看到它符合BYOD-SUPP-ANDROID策略:

完成BYOD流程并从Google Marketplace下载Network Assistant设置后,它应该在RADIUS Livelog中显示:

 

就用户体验而言,从最终用户的角度来看,这是我的Android测试设备上的流程:

第1步-重定向和AUP

第2步-添加设备信息

步骤3-提示并链接以从Google Marketplace安装Cisco Network Assistant

步骤4-安装Cisco Network Assistant

第5步-Network Setup Assistant从ISE下载并安装证书

第6步-连接到网络

 

对于iOS设备,流程有所不同。从RADIUS Livelog的角度来看,很多都相同:

从用户角度来看,流程几乎与Apple相同,因为请求方是Apple IOS的​​本机,因此无需下载Network Setup向导。您将进入步骤3,这就是iOS中的样子:

注意:我在ISE中为BYOD使用默认门户。如果您想对其进行自定义,则可以导航至 行政>设备门户管理>BYOD 定制此门户。或者,您可以通过以下方式使用在线ISE门户构建器: 这里 并最精准双色球预测专家一个可以在几分钟内上传的门户

如果您想将ISE CA用于BYOD,则几乎不需要更改。如果您导航到 行政>System>Certificates>证书颁发机构>证书颁发机构 证明书,您将看到ISE已经预先最精准双色球预测专家了CA证书

如果您导航到 证书模板 从该页面,您还将注意到ISE已经具有为EAP最精准双色球预测专家的预先最精准双色球预测专家的ISE证书模板。

导航 行政>Identity Management>外部身份来源 并且您会发现已经从ISE的CA预先最精准双色球预测专家了证书认证配置文件

在ISE完成大部分工作且一切都无法进行的情况下,您从上述BYOD策略最精准双色球预测专家中所做的唯一更改就是在本机请求方配置文件下,将证书模板指定为ISE最精准双色球预测专家的EAP证书模板。关于策略最精准双色球预测专家的所有其他内容将保持不变。