在思科身份服务引擎12中自定义访客Web门户.pdfVIP

在思科身份服务引擎 1.2 中 自定义访客 Web 门户 安全访问操作指南系列 日期：2014 年 12 月 18 日 作者： Imran Bashir 、Jason Kunst 、Hsing-Tsu Lai （思科身份服务引擎技术营销工程师） 安全访问操作指南 目录 简介 使用案例 问题 解决方案 注意 配置步骤 创建终端组 创建默认门户和承包商门户 5 创建身份验证策略 创建授权配置文件 创建授权策略 . 总结 ? 2015 思科系统公司 第 2 页 安全访问操作指南 简介 本解决方案说明了如何根据访客所在的 AD 组为其显示不同的自定义成功接入页面。 使用案例 在此需求中，我们以某家公司为例。该公司有许多 Apple 承包商和 Microsoft 承包商需要访问其 Web 门户，他 们希望为不同类型的承包商提供自定义的身份服务引擎 (ISE) Web 身份验证成功接入页面。 详细信息： ? 有两家不同公司的承包商连接到我的网络。例如： Apple_Contractor 和 Microsoft_Contractor 。 ? 这些承包商使用其 Active Directory 凭证登录集中式 Web 身份验证（访客）门户，从而连接到网络。 ? 在承包商登录 Web 身份验证（访客）门户后，根据他们所登录的组，会为他们提供不同的自定义的成 功接入页面： 应为 Apple 承包商提供 Apple 自定义的成功接入页面。 应为 Microsoft 承包商提供 Microsoft 自定义的成功接入页面。 问题 在 ISE 中，成功接入页面是采用硬编码方式写到访客门户中的。因此，如果在承包商登录流程中仅使用一个 已配置的门户，则不可能根据其所在 AD 组显示不同的成功接入页面。 解决方案 利用设备注册 Web 身份验证流程，根据 AD 凭证提供自定义的成功接入页面。 注意 ? 由于无法通过 purge 命令清除终端组，因此您需要执行手动清除。 ISE 1.3 具有自动清除每个终端组的 功能。 ? 由于门户的变迁和构建方式已发生显著变化，本解决方案可能会在升级到 1.3 版本后出现故障。如果 您计划升级，建议您对系统在升级后的运行方式进行验证。 ? ISE 1.3 完成自定义工作的方式与之前有所不同，本文档对此不再赘述。 一般情况下，建议在将任何新解决方案投入生产之前，先在实验室中对其进行试验和验证。 ? 2015 思科系统公司 第 3 页 安全访问操作指南 配置步骤 此配置文档假定您具有一些配置 ISE 1.2 身份验证和访客接入授权策略的经验。以下将介绍配置过程中出现的 相关屏幕以及完成配置所需的基本步骤。 创建终端组 为每个承包商（访客）类型创建必要的终端组。 步骤 1 为承包商终端创建两个终端身份组。 MAC 地址会在重定向到 DRW 门户之后被注册。 步骤 2 导航至 Administration Groups Endpoint Identity Groups 。 步骤 3 添加以下终端组。 ? Apple_Contractor ：用于 Apple 承包商的终端身份组。 ? Microsoft_Contractor ：用于 Microsoft 承包商的终端身份组。 图 1. 终端