无线BYOD用身份服务引擎.PDF

无线BYOD用身份服务引擎 Contents Introduction Prerequisites Requirements Components Used 拓扑 Conventions 无线局域网控制器RADIUS NAC和CoA概述 无线局域网控制器RADIUS NAC和CoA功能流 描出概述的ISE 创建内部身份用户 添加无线局域网控制器到ISE 配置无线认证的ISE 引导无线局域网控制器 连接WLC到网络 添加认证服务器(ISE)到WLC 创建WLC雇员动态接口 创建WLC客户动态接口 添加802.1x WLAN 测试WLC动态接口 iOS的(IP电话/iPad)无线认证 添加状态重定向ACL到WLC 描出在ISE的Enable (event)探测 Enable (event) ISE设备的配置文件策略 ISE状态发现重定向的授权配置文件 创建ISE员工的授权配置文件 创建ISE承包商的授权配置文件 设备状态/描出的授权策略 测试状态修正策略 被区分的访问的授权策略 测试CoA被区分的访问的 WLC客户WLAN 测试客户WLAN和客户门户 ISE无线赞助了访客访问 赞助的客户 测试客户门户访问 身份验证配置 Windows 2008激活目录集中 添加激活目录组 添加身份来源顺序 ISE无线赞助了与集成AD的访客访问 配置在交换机的SPAN 参考：Apple MAC OS X的无线认证 参考：Microsoft Windows XP的无线认证 参考：微软视窗的7无线认证 Related Information Introduction 思科身份服务引擎(ISE)是思科的下一代策略服务器该提供认证和授权基础设施对Cisco TrustSec解 决方案。它也提供其他两重要服务： 第一项服务是提供方式描出根据属性自动地的终点设备类型ISE从多种信息源接受的Cisco。此 服务(称为Profiler)提供等同的功能给什么Cisco以前提供了与Cisco NAC Profiler工具。 另一项重要服务Cisco ISE提供是扫描终端标准;例如， AV/AS软件安装和其定义文件正确性(叫 作状态)。Cisco以前仅提供此确切的状态功能Cisco NAC设备。 Cisco ISE提供功能的一个等同的级别，并且集成802.1X认证机制。 Cisco ISE集成无线局域网控制器(WLCs)能提供描出移动设备机制例如Apple iDevices (IP电话、 iPad和iPod)，机器人根据智能电话和其他。对于802.1X用户， Cisco ISE能提供服务的同样水平例 如描出和状态扫描。在Cisco ISE的客户服务可能也集成Cisco WLC通过重定向对Cisco ISE的 Web认证请求认证的。 本文引入Bring的无线解决方案您自己的设备(BYOD)，例如提供根据已知终端和用户策略的被区分 的访问。本文不提供BYOD完整的解决方案，然而服务展示动态访问一简单的用例。使用ISE赞助商 门户，其他配置示例包括，一个特权用户能赞助设置的无线访客访问一个客户。 Prerequisites Requirements There are no specific requirements for this document. Components Used 本文档中的信息基于以下软件和硬件版本： 有软件版本的7.2.103 Cisco无线LAN控制器2504或2106 Catalyst 3560 – 8个端口 WLC 2504 身份服务引擎1.0MR (VMware服务器镜像版本) Windows 2008服务器(VMware镜像) — 512M， 20GB磁盘Active DirectoryDNSDHCP证书服 务 拓扑 Conventions Refer to Cisco Technical Tips Conventions for more information on document conventions. 无线局域网控制器RADIUS NAC和CoA概述 此设置enable (event)寻找网域名称转址AV对的WLC来自ISE RADIUS服务器。附加对与设置被启 用的RADIUS NAC的一个接口的这仅在WLAN。当网域名称转址的Cisco AV对被接受时，客户端被 放到POSTURE_REQD状态。这基本上是相同的象WEBAUTH_REQD状态内部地在控制器。 当ISE RADIUS服务器视