Sem fio BYOD para o guia de distribuição deFlexConnect

Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosTopologiaRegistro do dispositivo e abastecimento do suplicantePortal do registro do ativoPortal do Auto-registroAutenticação e abastecimentoAbastecimento para iOS (iPhone/iPad/iPod)Abastecimento para AndroidAuto-registro sem fio duplo SSID BYODÚnico Auto-registro sem fio SSID BYODConfiguração da característicaConfiguração WLANConfiguração de FlexConnect APConfiguração ISEExperiência do usuário - IOS do abastecimentoSSID duploÚnico SSIDExperiência do usuário - Abastecimento AndroidSSID duploMeus dispositivos portaisReferência - CertificadosInformações Relacionadas

Introdução

Os dispositivos móvéis estão tornando-se mais computacionalmente poderosos e populares entreconsumidores. Milhões destes dispositivos são vendidos aos consumidores com Wi-fi de altavelocidade assim que os usuários podem comunicar-se e colaborar. Os consumidores agora sãoacostumados ao realce que da produtividade estes dispositivos móvéis trazem em suas vidas eestão procurando trazer sua experiência pessoal no espaço de trabalho. Isto cria as necessidadesda funcionalidade de uma solução de Bring Your Own Device (BYOD) no local de trabalho.

Este original fornece o desenvolvimento do ramo para a solução BYOD. Um empregado conecta

a um Service Set Identifier (SSID) corporativo com o o seu/seu iPad novo e obtém reorientado aum portal do auto-registro. O Cisco Identity Services Engine (ISE) autentica o usuário contra odiretório ativo corporativo (AD) e transfere um certificado com um MAC address do iPad e umusername encaixados ao iPad, junto com um perfil do suplicante que reforce o uso da Segurançada camada do Protocolo-transporte da autenticação extensível (EAP-TLS) como um método paraa Conectividade do dot1x. Baseado na política da autorização no ISE, o usuário pode entãoconectar com o uso do dot1x e aceder para apropriar recursos.

As funcionalidades ISE em software release do controlador de LAN do Cisco Wireless mais cedodo que 7.2.110.0 não apoiaram os clientes do switching local que associam através dos Accesspoint de FlexConnect (APs). Libere 7.2.110.0 apoia estas funcionalidades ISE para FlexConnectAPs para o switching local e clientes centralmente autenticados. Além disso, a liberação 7.2.110.0integrado com ISE 1.1.1 fornece (mas não é limitado a) estas características da solução BYODpara o Sem fio:

Perfilamento e postura do dispositivo●

Registro do dispositivo e abastecimento do suplicante●

Onboarding de dispositivos pessoais (iOS da disposição ou dispositivos de Android)●

Nota: Embora apoiados, os outros dispositivos, tais como o PC ou portáteis e estações detrabalho sem fio do Mac, não são incluídos neste guia.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco catalyst Switchs●

Controladores do Cisco Wireless LAN (WLAN)●

Software release 7.2.110.0 do controlador de WLAN de Cisco (WLC) e mais tarde●

802.11n APs no modo de FlexConnect●

Software Release 1.1.1 e Mais Recente de Cisco ISE●

Windows 2008 AD com Certificate Authority (CA)●

Servidor DHCP●

Server do Domain Name System (DNS)●

Network Time Protocol (NTP)●

Portátil, smartphone, e tabuletas do cliente Wireless (iOS de Apple, Android, Windows, eMac)

●

Nota: Refira Release Note para controladores de LAN e Lightweight Access Points do CiscoWireless para a liberação 7.2.110.0 para a informação importante sobre este softwarerelease. Entre ao local do cisco.com para os Release Note os mais atrasados antes que

você carregue e teste o software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Topologia

Uma instalação de rede mínima, segundo as indicações deste diagrama é exigida a fim executare testar corretamente estas características:

Para esta simulação, você precisa uma rede com um FlexConnect AP, um local/local remoto comDHCP local, DNS, o WLC, e o ISE. O FlexConnect AP é conectado a um tronco a fim testar oswitching local com vlan múltiplos.

Registro do dispositivo e abastecimento do suplicante

Um dispositivo deve ser registrado de modo que seu suplicante nativo possa provisioned para aautenticação do dot1x. Baseado na política de autenticação direita, o usuário é reorientado àpágina do convidado e autenticado por credenciais do empregado. O usuário vê a página doregistro do dispositivo, que pede sua informação do dispositivo. O processo de provisionamentodo dispositivo começa então. Se o operating system (OS) não é apoiado para o abastecimento, ousuário está reorientado ao portal do registro do ativo a fim marcar que dispositivo para o acessodo desvio da autenticação de MAC (MAB). Se o ósmio é apoiado, o processo do registro começae configura o suplicante nativo do dispositivo para a autenticação do dot1x.

Portal do registro do ativo

O portal do registro do ativo é o elemento da plataforma ISE que permite que os empregadosiniciem onboarding dos valores-limite com uma autenticação e um processo de registro.

Os administradores podem suprimir de ativos da página das identidades dos valores-limite. Cadaempregado pode editar, suprimir, e põr dos ativos que se registraram. Os valores-limite põr sãoatribuídos a um grupo da identidade da lista negra, e uma política da autorização é criada a fimimpedir o acesso de rede por valores-limite põr.

Portal do Auto-registro

No fluxo central da autenticação da Web (CWA), os empregados são reorientados a um portalque permita que incorporem suas credenciais, autentiquem, e incorporem os específicos do ativoque particular desejam se registrar. Este portal é chamado o portal do abastecimento do auto e ésimilar ao portal do registro do dispositivo. Permite que os empregados entrem no MAC addressassim como em um escription significativo do valor-limite.

Autenticação e abastecimento

Uma vez que os empregados selecionam o portal do Auto-registro, estão desafiados a fornecerum grupo de credenciais válidas do empregado a fim continuar à fase do abastecimento. Após aautenticação bem sucedida, o valor-limite pode ser provisioned no base de dados dos valores-limite, e um certificado é para o valor-limite. Uma relação na página permitido que o empregadotransfira o assistente do piloto do suplicante (SPW).

Nota: Refira o artigo de Cisco da matriz de recurso de FlexConnect a fim ver a matriz derecurso a mais atrasada de FlexConnect para BYOD.

Abastecimento para iOS (iPhone/iPad/iPod)

Para a configuração do EAP-TLS, o ISE segue Apple sobre - o processo do registro do ar (OTA):

Após a autenticação bem sucedida, o motor da avaliação avalia políticas do cliente-abastecimento, que conduz a um perfil do suplicante.

●

Se o perfil do suplicante é para o ajuste do EAP-TLS, o processo OTA determina se o ISE ése usar auto-assinada ou assinada por um CA desconhecido. Se uma das circunstâncias éverdadeira, o usuário está pedido para transferir o certificado do ISE ou do CA antes que oprocesso do registro possa começar.

●

Para outros métodos de EAP, o ISE empurra o perfil final em cima da autenticação bemsucedida.

●

Abastecimento para Android

Devido às considerações de segurança, o agente de Android deve ser transferido do local domercado de Android e não pode ser provisioned do ISE. Cisco transfere arquivos pela rede umaversão de candidato da liberação do assistente no mercado de Android com a conta do editor domercado de Cisco Android.

Este é o processo de provisionamento de Android:

Cisco usa o Software Development Kit (SDK) a fim criar o pacote de Android com umaextensão .apk.

1.

Cisco transfere arquivos pela rede um pacote no mercado de Android.2.O usuário configura a política no abastecimento do cliente com os parâmetros apropriados.3.Após o registro do dispositivo, o utilizador final está reorientado ao serviço do abastecimentodo cliente quando a autenticação do dot1x falha.

4.

A página portal do abastecimento fornece um botão que reoriente o usuário ao portal domercado de Android onde podem transferir o SPW.

5.

Cisco SPW é lançado e executa o abastecimento do suplicante: SPW descobre o ISE etransfere o perfil do ISE.SPW cria um CERT/par de chaves para o EAP-TLS.SPW faz umatendimento da solicitação de proxy do protocolo simple certificate enrollment (SCEP) aoISE e obtém o certificado.SPW aplica os perfis sem fio.SPW provoca a reautenticação se osperfis são aplicados com sucesso.Saídas SPW.

6.

Auto-registro sem fio duplo SSID BYOD

Este é o processo para o auto-registro sem fio duplo SSID BYOD:

Os associados do usuário ao convidado SSID.1.O usuário abre um navegador e é reorientado ao portal do convidado ISE CWA.2.O usuário incorpora um nome de usuário e senha do empregado ao portal do convidado.3.O ISE autentica o usuário, e, com base no fato de que são um empregado e não umconvidado, reorienta o usuário à página do convidado do registro do dispositivo doempregado.

4.

O MAC address PRE-é povoado na página do convidado do registro do dispositivo para oDeviceID. O usuário incorpora uma descrição e aceita a política de uso aceitável (AUP) sefor necessário.

5.

O usuário seleciona aceita e começa a transferir e instalar o SPW.6.O suplicante para o dispositivo desse usuário provisioned junto com todos os Certificados.7.O CoA ocorre, e o dispositivo reassocia ao SSID corporativo (CORP) e autentica com EAP-TLS (ou o outro método de autorização no uso para esse suplicante).

8.

Único Auto-registro sem fio SSID BYOD

Nesta encenação, há um único SSID para o acesso corporativo (CORP) esse protocolo extensibleauthentication protegido dos apoios (PEAP) e EAP-TLS. Não há nenhum convidado SSID.

Este é o processo para o único auto-registro sem fio SSID BYOD:

Os associados do usuário ao CORP.1.O usuário incorpora um nome de usuário e senha do empregado no suplicante para a2.

autenticação de PEAP.O ISE autentica o usuário, e, com base no método PEAP, fornece uma política daautorização de aceita com reorienta à página do convidado do registro do dispositivo doempregado.

3.

O usuário abre um navegador e é reorientado à página do convidado do registro dodispositivo do empregado.

4.

O MAC address PRE-é povoado na página do convidado do registro do dispositivo para oDeviceID. O usuário incorpora uma descrição e aceita o AUP.

5.

O usuário seleciona aceita e começa a transferir e instalar o SPW.6.O suplicante para o dispositivo desse usuário provisioned junto com todos os Certificados.7.O CoA ocorre, e o dispositivo reassocia ao CORP SSID e autentica com EAP-TLS.8.

Configuração da característica

Termine estas etapas a fim começar a configuração:

Para este guia, assegure-se de que a versão WLC seja 7.2.110.0 ou mais tarde.1.

Navegue à Segurança > ao RAIO > à autenticação, e adicionar o servidor Radius ao WLC.2.

Adicionar o ISE 1.1.1 ao WLC:3.

Incorpore um segredo compartilhado.Ajuste o apoio para o RFC 3576 ao permitido.

Adicionar o mesmo server ISE que um servidor de contabilidade do RAIO.4.

Crie um PRE-AUTH ACL WLC para usar-se mais tarde na política ISE. Navegue ao >segurança > às listas de controle de acesso > ao FlexConnect ACL WLC, e crie umFlexConnect novo ACL nomeado ACL-REDIRECT (neste exemplo).

5.

Nas regras ACL, permita todo o tráfego para/desde o ISE, e permita o tráfego do clientedurante o abastecimento do suplicante.

Para a primeira regra (sequência 1):

Ajuste a fonte a alguns.Ajusta-se IP () do endereço ISE/Netmask 255.255.255.255.Ajuste aação para permitir.

Para segundo regra (sequência 2), ajusta-se fonte IP () do endereço ISE/máscara255.255.255.255 a alguns e ação a permitir.

6.

Crie um grupo novo de FlexConnect nomeado Flex1 (neste exemplo):

Navegue à aba do grupo > do WebPolicies de FlexConnect.Sob o campo de WebPolicyACL, o clique adiciona, e ACL-REDIRECT seleto ou o FlexConnect ACL criadopreviamente.Confirme que povoa o campo das listas de controle de acesso de WebPolicy.

7.

O clique aplica e salvar a configuração.8.

Configuração WLAN

Termine estas etapas a fim configurar o WLAN:

Crie um WLAN aberto SSID para o exemplo duplo SSID:

Dê entrada com um nome WLAN: DemoCWA (neste exemplo).Selecione a opção permitidapara o estado.

1.

Navegue à aba da ABA de segurança > da camada 2, e ajuste estes atributos:2.

Segurança da camada 2: NenhumFiltração MAC: Permitido (a caixa é verificada)Transiçãorápida: Deficiente (a caixa não é verificada)

Vá à aba dos servidores AAA, e ajuste estes atributos:

Server da autenticação e da conta: PermitidoServer 1: IP address <ISE >

3.

Enrole para baixo da aba dos servidores AAA. Sob a ordem da prioridade da autenticaçãopara o usuário do Web-AUTH, certifique-se de que o RAIO está usado para a autenticação eo outro não está usado.

4.

Vá ao guia avançada, e ajuste estes atributos:

Permita a ultrapassagem AAA: PermitidoEstado NAC: Raio NAC

Nota: O Network Admission Control (NAC) do RAIO não é apoiado quando o FlexConnectAP reage do modo desligado. Assim, se o FlexConnect AP reage do modo autônomo eperde a conexão ao WLC, todos os clientes são desligados, e o SSID é anunciado já não.

5.

Enrole para baixo no guia avançada, e ajuste o switching local de FlexConnect ao permitido.6.

O clique aplica e salvar a configuração.7.

Crie um 802.1X WLAN SSID nomeado Demo1x (neste exemplo) para únicas e encenaçõesduplas SSID.

8.

Navegue à aba da ABA de segurança > da camada 2, e ajuste estes atributos:

Segurança da camada 2: WPA+WPA2Transição rápida: Deficiente (a caixa não éverificada)Gerenciamento de chave de autenticação: 802.lX: Permita

9.

Vá ao guia avançada, e ajuste estes atributos:

Permita a ultrapassagem AAA: PermitidoEstado NAC: Raio NAC

10.

Enrole para baixo no guia avançada, e ajuste o switching local de FlexConnect aopermitido.

11.

O clique aplica e salvar a configuração.12.

Confirme que ambos os WLAN novos estiveram criados.13.

Configuração de FlexConnect AP

Termine estas etapas a fim configurar o FlexConnect AP:

Navegue a WLC > Sem fio, e clique o alvo FlexConnect AP.1.

Clique a aba de FlexConnect.2.

Permita o suporte de VLAN (a caixa é verificada), ajuste a identificação do VLAN nativo, eclique mapeamentos VLAN.

3.

Ajuste a identificação VLAN a 21 (neste exemplo) para o SSID para o switching local.4.

O clique aplica e salvar a configuração.5.

Configuração ISE

Termine estas etapas a fim configurar o ISE:

Entre ao server ISE: < https://ise >.1.

Navegue à administração > ao Gerenciamento de identidades > fontes externos daidentidade.

2.

Clique o diretório ativo.3.

Na aba da conexão:

Adicionar o Domain Name de corp.rf-demo.com (neste exemplo), e mude o padrão do nomeda loja da identidade a AD1.Clique a configuração da salvaguarda.O clique junta-se, efornece-se ao nome de usuário e senha da conta de administrador AD exigido para juntar-se.O estado deve ser verde. Permita conectado a: (a caixa é verificada).

4.

Execute um teste básico da conexão ao AD com um usuário de domínio atual.5.

Se a conexão ao AD é bem sucedida, um diálogo confirma que a senha está correta.6.

Navegue à administração > ao Gerenciamento de identidades > fontes externos daidentidade:

Clique o perfil do certificado de autenticação.O clique adiciona para um perfil novo docertificado de autenticação (TAMPÃO).

7.

Dê entrada com um nome de CertAuth (neste exemplo) para o TAMPÃO; para o atributoprincipal username X509, selecione o Common Name; então, o clique submete-se.

8.

Confirme que o TAMPÃO novo está adicionado.9.

Navegue às sequências da fonte da administração > do Gerenciamento de identidades >da identidade, e o clique adiciona.

10.

Dê à sequência um nome de TestSequence (neste exemplo).11.

Enrole para baixo para certificate a autenticação baseada:

Permita o perfil seleto do certificado de autenticação (a caixa é verificada).SelecioneCertAuth (ou um outro perfil do TAMPÃO criado mais cedo).

12.

Enrole para baixo a lista da busca da autenticação:13.

Mova AD1 de disponível para selecionado.Clique o botão ascendente a fim mover AD1para a prioridade máxima.

O clique submete-se a fim salvar.14.

Confirme que a sequência nova da fonte da identidade está adicionada.15.

Use o AD a fim autenticar meus dispositivos portais. Navegue a ISE > sequência da fonteda administração > do Gerenciamento de identidades > da identidade, e editeMyDevices_Portal_Sequence.

16.

Adicionar AD1 à lista selecionada, e clique o botão ascendente a fim mover AD1 para aprioridade máxima.

17.

Click Save.18.

Confirme que a sequência da loja da identidade para MyDevices_Portal_Sequence contémAD1.

19.

Repita etapas 16-19 a fim adicionar AD1 para Guest_Portal_Sequence, e clique asalvaguarda.

20.

Confirme que Guest_Portal_Sequence contém AD1.21.

A fim adicionar o WLC ao dispositivo do acesso de rede (WLC), para navegar àadministração > aos recursos de rede > aos dispositivos de rede, e ao clique adicionar.

22.

Adicionar o nome WLC, IP address, máscara de sub-rede, e assim por diante.23.

Enrole para baixo ajustes da autenticação, e incorpore o segredo compartilhado. Isto devecombinar o segredo compartilhado do RAIO WLC.

24.

Clique em Submit.25.

Navegue a ISE > política > elementos > resultados da política.26.

Expanda resultados e autorização, clique perfis da autorização, e o clique adiciona para umperfil novo.

27.

Dê a este perfil estes valores:

Nome: CWA

28.

Permita a autenticação da Web (a caixa é verificada):

Autenticação da Web: CentralizadoACL: ACL-REDIRECT (isto deve combinar o nome doPRE-AUTH ACL WLC.)Redirecionar: Padrão

Clique submetem-se, e confirmam-se que o perfil da autorização CWA esteve adicionado.29.

O clique adiciona a fim criar um perfil novo da autorização.30.

Dê a este perfil estes valores:

Nome: Disposição

Permita a autenticação da Web (a caixa é verificada):

Valor da autenticação da Web: Abastecimento do suplicante

ACL: ACL-REDIRECT (isto deve combinar o nome do PRE-AUTH ACL WLC.)

31.

Clique submetem-se, e confirmam-se que o perfil da autorização da disposição esteveadicionado.

32.

Enrole para baixo nos resultados, expanda o abastecimento do cliente, e clique recursos.33.

Selecione o perfil nativo do suplicante.34.

Dê ao perfil um nome de WirelessSP (neste exemplo).35.

Incorpore estes valores:

Tipo de conexão: Sem fioSSID: Demo1x (este valor é da configuração do 802.1x WLANWLC)Protocolo permitido: TLSTamanho chave: 1024

36.

Clique em Submit.37.

Click Save.38.

Confirme que o perfil novo esteve adicionado.39.

Navegue à política > ao abastecimento do cliente.40.

Incorpore estes valores para a regra do abastecimento de dispositivos iOS:

Nome da regra: iOSGrupos da identidade: Qualquer um

41.

Sistemas operacionais: IOS todo do Mac

Resultados: WirelessSP (este é o perfil nativo do suplicante criado mais cedo)

Navegue aos resultados > ao perfil do assistente (lista de drop-down) > WirelessSP.

Confirme que o perfil do abastecimento iOS esteve adicionado.42.

No lado direito da primeira regra, encontre a lista de drop-down das ações, e selecione aduplicata abaixo (ou acima).

43.

Mude o nome da regra nova a Android.44.

Mude os sistemas operacionais a Android.45.

Deixe outros valores inalterados.46.

Clique a salvaguarda (tela da esquerda mais baixa).47.

Navegue a ISE > política > autenticação.48.

Altere a circunstância para incluir Wireless_MAB, e expanda Wired_MAB.49.

Clique a lista de drop-down do nome de circunstância.50.

Selecione dicionários > condição composta.51.

Selecione Wireless_MAB.52.

Àdireita da regra, selecione a seta para expandir.53.

Selecione estes valores da lista de drop-down:

Fonte da identidade: TestSequence (este é o valor criado mais cedo)Se a autenticaçãofalhou: RejeiçãoSe usuário não encontrado: ContinuarSe o processo falhou: Gota

54.

Vá à regra do dot1x, e mude estes valores:55.

Condição: Wireless_802.1X

Fonte da identidade: TestSequence

Click Save.56.

Navegue a ISE > política > autorização.57.

As regras de padrão (tais como o padrão preto da lista, perfilado, e o padrão) sãoconfiguradas já da instalação; os primeiros dois podem ser ignorados; a regra de padrãoserá editada mais tarde.

58.

Àdireita da segunda regra (Telefones IP perfilados de Cisco), clique a seta para baixo aolado de editam, e selecionam a regra nova da inserção abaixo.

Uma regra padrão nova # éadicionada.

59.

Mude o nome da regra da regra padrão # a OpenCWA. Esta regra inicia o processo deregistro no WLAN aberto (SSID duplo) para os usuários que vêm à rede de convidado a fimter dispositivos provisioned.

60.

Clique o sinal positivo (+) para circunstâncias, e clique a condição existente seleta dabiblioteca.

61.

Selecione circunstâncias compostas > Wireless_MAB.62.

No perfil de AuthZ, clique o sinal positivo (+), e selecione o padrão.63.

Selecione o padrão CWA (este é o perfil da autorização criado mais cedo).64.

Confirme que a regra está adicionada com as circunstâncias e a autorização corretas.65.

Clique feito (no lado direito da regra).66.

Àdireita da mesma regra, clique a seta para baixo ao lado de editam, e selecionam a regra67.

nova da inserção abaixo.

Mude o nome da regra da regra padrão # a PEAPrule (neste exemplo). Esta regra é para oPEAP (igualmente usado para a única encenação SSID) para verificar essa autenticaçãodo 802.1X sem o Transport Layer Security (TLS) e esse abastecimento do suplicante darede é iniciado com o perfil da autorização da disposição criado previamente.

68.

Mude a circunstância a Wireless_802.1X.69.

Clique o ícone da engrenagem no lado direito da circunstância, e seleto adicionar oatributo/valor. Isto é “e” circunstância, não “ou” circunstância.

70.

Encontre e selecione o acesso de rede.71.

Selecione AuthenticationMethod, e incorpore estes valores:

AuthenticationMethod: Iguais

Selecione o MSCHAPv2.

72.

Este é um exemplo da regra; seja certo confirmar que a circunstância éE.

No perfil de AuthZ, padrão > disposição seletos (este é o perfil da autorização criado maiscedo).

73.

Clique em Concluído.74.

Àdireita do PEAPrule, clique a seta para baixo ao lado de editam, e selecionam a regranova da inserção abaixo.

75.

Mude o nome da regra da regra padrão # a AllowRule (neste exemplo). Esta regra seráusada a fim permitir o acesso aos dispositivos registrados com os Certificados instalados.

76.

Sob circunstâncias, selecione circunstâncias compostas.77.

Selecione Wireless_802.1X.78.

Adicionar E atribua-o.79.

Clique o ícone da engrenagem no lado direito da circunstância, e seleto adicionar oatributo/valor.

80.

Encontre e selecione o raio.81.

Selecione Calling-Station-ID--[31].82.

Selecione iguais.83.

Vá ao CERTIFICADO, e clique a seta direita.84.

Selecione o nome alternativo sujeito.85.

Para o perfil de AuthZ, selecione o padrão.86.

Selecione o acesso da licença.87.

Clique em Concluído.

Este é um exemplo da regra:

88.

Encontre a regra de padrão a fim mudar PermitAccess a DenyAccess.89.

O clique edita a fim editar a regra de padrão.90.

Vá ao perfil existente de AuthZ de PermitAccess.91.

Selecione o padrão.92.

Selecione DenyAccess.93.

Confirme que a regra de padrão tem DenyAccess se nenhum fósforo é encontrado.94.

Clique em Concluído.

Este é um exemplo das regras principais exigidas para este teste; são aplicáveis para umúnico SSID ou a encenação dupla SSID.

95.

Click Save.96.

Navegue a ISE > administração > sistema > Certificados a fim configurar o server ISE comum perfil SCEP.

97.

Em operações do certificado, clique perfis SCEP CA.98.

Clique em Add.99.

Incorpore estes valores para este perfil:

Nome: mySCEP (neste exemplo)URL: <ca-server> /CertSrv/mscep/ de https:// (verifiquesua configuração do servidor CA para ver se há o endereço correto.)

100.

Clique a Conectividade do teste a fim testar a Conectividade da conexão SCEP.101.

Esta resposta mostra que a conectividade de servidor é bem sucedida.102.

Clique em Submit.103.

O server responde que o perfil CA esteve criado com sucesso.104.

Confirme que o perfil SCEP CA está adicionado.105.

Experiência do usuário - IOS do abastecimento

SSID duplo

Esta seção cobre o SSID duplo e descreve como conectar ao convidado a ser provisioned e comoconectar a um 802.1x WLAN.

Termine estas etapas a fim provision o iOS na encenação dupla SSID:

No dispositivo iOS, vá às redes do Wi-fi, e a DemoCWA seleto (WLAN aberto configuradoem WLC).

1.

Abra o navegador do safari no dispositivo iOS, e visite uma URL alcançável (por exemplo,web server interno/externo). O ISE reorienta-o ao portal. O clique continua.

2.

Você é reorientado ao portal do convidado para o início de uma sessão.3.

Início de uma sessão com uma conta de usuário e senha AD. Instale o perfil CA quandoalertado.

4.

O clique instala o certificado confiável do server CA.5.

Clique feito uma vez que o perfil é instalado completamente.6.

Retorne ao navegador, e clique o registro. Faça uma anotação do identificador de dispositivoque contém o MAC address do dispositivo.

7.

O clique instala a fim instalar o perfil verificado.8.

O clique instala agora.9.

Depois que o processo é terminado, o perfil de WirelessSP confirma que o perfil estáinstalado. Clique em Concluído.

10.

Vá às redes do Wi-fi, e mude a rede a Demo1x. Seu dispositivo agora é conectado e usa oTLS.

11.

No ISE, navegue às operações > às autenticações. Os eventos mostram o processo emque o dispositivo é conectado à rede de convidado aberta, examina o processo de registrocom abastecimento do suplicante, e é permitido o acesso da licença após o registro.

12.

Navegue a ISE > administração > Gerenciamento de identidades > grupos > grupos >13.

RegisteredDevices da identidade do valor-limite. O MAC address foi adicionado ao base dedados.

Único SSID

Esta seção cobre o único SSID e descreve como conectar diretamente a um 802.1x WLAN,fornecer o username AD/senha para a autenticação de PEAP, provision com uma conta doconvidado, e reconectá-los com o TLS.

Termine estas etapas a fim provision o iOS na única encenação SSID:

Se você está usando o mesmo dispositivo iOS, remova o valor-limite dos dispositivosregistrados.

1.

No dispositivo iOS, navegue aos ajustes > aos generais > aos perfis. Remova os perfisinstalados neste exemplo.

2.

O clique remove a fim remover os perfis precedentes.3.

Conecte diretamente ao 802.1x com o dispositivo (cancelado) existente ou com umdispositivo novo iOS.

4.

Conecte ao dot1x, incorpore um nome de usuário e senha, e o clique junta-se.5.

Repita etapas 90 e sobre da seção de configuração ISE até que os perfis apropriados6.

estejam instalados completamente.

Navegue a ISE > operações > autenticações a fim monitorar o processo. Este exemplomostra o cliente que está conectado diretamente ao 802.1X WLAN enquanto provisioned,desliga, e reconecta ao mesmo WLAN com o uso do TLS.

7.

Navegue a WLC > monitor > [Client MAC]. No detalhe do cliente, note que o cliente está noestado de CORRIDA, seu interruptor dos dados é ajustado ao local, e a autenticação écentral. Isto é verdadeiro para os clientes que conectam a FlexConnect AP.

8.

Experiência do usuário - Abastecimento Android

SSID duplo

Esta seção cobre o SSID duplo e descreve como conectar ao convidado a ser provisioned e comoconectar a um 802.1x WLAN.

O processo da conexão para o dispositivo de Android é muito similar àquele para um dispositivoiOS (único ou SSID duplo). Contudo, uma diferença importante é que o dispositivo de Androidexige o acesso ao Internet a fim alcançar o mercado de Google (agora Google Play) e transferir oagente do suplicante.

Termine estas etapas a fim provision um dispositivo de Android (tal como o Samsung Galaxyneste exemplo) na encenação dupla SSID:

No dispositivo de Android, use o Wi-fi a fim conectar a DemoCWA, e abrir o convidadoWLAN.

1.

Aceite todo o certificado a fim conectar ao ISE.2.

Incorpore um nome de usuário e senha no portal do convidado a fim entrar.3.

Clique o registro. O dispositivo tenta alcançar o Internet a fim alcançar o mercado de4.

Google. Adicionar todas as regras adicionais ao PRE-AUTH ACL (tal como ACL-REDIRECT)no controlador a fim permitir o acesso ao Internet.

Google alista a rede Cisco Setup como um App de Android. O clique INSTALA.5.

Assine dentro a Google, e o clique INSTALA.6.

Clique em OK.7.

No dispositivo de Android, encontre o app instalado de Cisco SPW, e abra-o.8.

Certifique-se de que você está entrado ainda ao portal do convidado de seu dispositivo deAndroid.

9.

Clique o começo a fim começar o assistente da instalação do Wi-fi.10.

Cisco SPW começa a instalar Certificados.11.

Quando alertado, ajuste uma senha para o armazenamento credencial.12.

Cisco SPW retorna com um nome do certificado, que contenha a chave e o certificado deusuário do usuário. Clique em OK para confirmar.

13.

Cisco SPW continua e alerta para um outro nome do certificado, que contenha o certificadode CA. Entre no iseca do nome (neste exemplo), a seguir clique a APROVAÇÃO a fimcontinuar.

14.

O dispositivo de Android é conectado agora.15.

Meus dispositivos portais

Meu portal dos dispositivos permite que os usuários põr previamente dispositivos registrados noevento que um dispositivo é perdido ou roubado. Igualmente permite que os usuários re-recrutemse necessário.

Termine estas etapas a fim põr um dispositivo:

A fim entrar a meu portal dos dispositivos, abra um navegador, conectam a https://ise-server:8443/mydevices (note o número de porta 8443), e ao início de uma sessão com umaconta AD.

1.

Encontre o dispositivo sob o identificador de dispositivo, e clique perdido? a fim iniciar põr deum dispositivo.

2.

Quando o ISE alerta um aviso, clique sim a fim continuar.3.

O ISE confirma que o dispositivo está marcado como perdido.4.

Toda a tentativa de conectar à rede com o dispositivo registrado é obstruída previamenteagora, mesmo se há um certificado válido instalado. Este é um exemplo de um dispositivopõr que falhe a autenticação:

5.

Um administrador pode navegar a ISE > administração > Gerenciamento de identidades >grupos, grupos da identidade do valor-limite do clique > lista negra, e vê que o dispositivo

6.

está põr.

Termine estas etapas a fim restabelecer um dispositivo põr:

De meu portal dos dispositivos, o clique restabelece para esse dispositivo.1.

Quando o ISE alerta um aviso, clique sim a fim continuar.2.

O ISE confirma que o dispositivo esteve restabelecido com sucesso. Conecte o dispositivorestabelecido à rede a fim testar que o dispositivo estará permitido agora.

3.

Referência - Certificados

O ISE exige não somente um certificado de raiz válido CA, mas igualmente precisa um certificadoválido assinado pelo CA.

Termine estas etapas a fim adicionar, ligar, e importar o certificado de CA confiado novo:

Navegue a ISE > administração > sistema > Certificados, clique Certificados locais, e oclique adiciona.

1.

Seleto gerencia a solicitação de assinatura de certificado (CSR).2.

Incorpore o assunto CN=<ISE-SERVER hostname.FQDN> do certificado. Para os outroscampos, você pode usar o padrão ou os valores exigido por sua instalação CA. Clique emSubmit.

3.

O ISE verifica que o CSR esteve gerado.4.

A fim alcançar o CSR, clique as operações das solicitações de assinatura de certificado.5.

Selecione o CSR criado recentemente, a seguir clique a exportação.6.

O ISE exporta o CSR para um arquivo .pem. O arquivo da salvaguarda do clique, clica entãoa APROVAÇÃO a fim salvar o arquivo à máquina local.

7.

Encontre e abra o arquivo certificado ISE com um editor de texto.8.

Copie o índice inteiro do certificado.9.

Conecte ao server CA, e ao início de uma sessão com uma conta de administrador. Oserver é Microsoft 2008 CA em https://10.10.10.10/certsrv (neste exemplo).

10.

Pedido do clique um certificado.11.

Pedido do certificado avançado do clique.12.

Clique a segunda opção a fim submeter um pedido do certificado usando um base-64-encoded CMC ou….

13.

Cole o índice do arquivo certificado ISE (.pem) no campo da solicitação salva, assegure-sede que o molde de certificado seja servidor de Web, e o clique se submeta.

14.

Clique o certificado da transferência.15.

Salvar o arquivo de certnew.cer; será usado mais tarde a fim ligar com o ISE.16.

Dos Certificados ISE, navegue aos Certificados locais, e o clique adiciona > certificado deCA do ligamento.

17.

Consulte ao certificado que salvar à máquina local na etapa precedente, permitem osprotocolos EAP e de interface de gerenciamento (as caixas são verificadas), e o cliquesubmete-se. O ISE pode tomar diversos minutos ou mais a fim reiniciar serviços.

18.

Retorne à página da aterrissagem do CA (https://CA/certsrv/), e clica a transferência umcertificado de CA, um certificate chain, ou um CRL.

19.

Clique o certificado de CA da transferência.20.

Salvar o arquivo à máquina local.21.

Com o server ISE em linha, vá aos Certificados, e clique Certificados do CertificateAuthority.

22.

Clique a importação.23.

Consulte para o certificado de CA, permita a confiança para a authenticação do cliente (acaixa é verificada), e o clique submete-se.

24.

Confirme que o certificado de CA confiado novo está adicionado.25.

Informações Relacionadas

Guia de instalação de hardware do Cisco Identity Services Engine, liberação 1.0.4●

Controladores de LAN sem fio Cisco série 2000●

Controladores de LAN sem fio Cisco série 4400●

Cisco Aironet série 3500●

Guia de implantação do controlador sem fio de ramificações Flex 7500●

Bring Your Own Device - Autenticação unificada do dispositivo e experiência consistente doacesso

●

Sem fio BYOD com Identity Services Engine●

Suporte Técnico e Documentação - Cisco Systems●