обработка ISE BYOD просроченных или истекающих сертификатов

hnohre

Здравствуйте Я знаю, что с недавнего времени у нас есть возможность разрешить клиенту, чей сертификат истек или истекает, доступ к порталу регистрации. Я также помню несколько хороших слайдов (из технического руководства ISE или чего-то подобного), в которых описывалась конфигурация для различных клиентских ОС... Кто-нибудь может подсказать, где найти эти слайды? С уважением Хакан

howon

Возможно, другие могут продолжить обсуждение по поводу пакета, но конфигурация одинакова для любой клиентской ОС. В условии авторизации есть атрибут под названием «CERTIFICATE:Days to Expiry» (Срок действия сертификата). С его помощью можно создать правило политики авторизации, которое будет гласить: «Если CERTIFICATE:Days to Expiry меньше 15 дней, то назначьте поток BYOD», что заставит пользователя пройти процесс BYOD заново. Теперь, если сертификат уже истек, конечная точка не сможет подключиться к защищенной WLAN, поскольку ISE откажет в доступе из-за недействительного сертификата. Чтобы покрыть этот сценарий, вы можете разрешить поток BYOD с двойным SSID в гостевой WLAN и заставить их пройти через поток BYOD, когда пользователь-сотрудник входит в гостевой портал.

howon

Арне, ты заметил мою ошибку. Тебе нужно создать портал CWA, который заставляет сотрудников использовать BYOD вместо портала BYOD, и использовать его во время истечения срока действия сертификата в сети 802.1X WLAN. Вот краткие инструкции: 1. Создайте портал CWA, который заставляет сотрудников проходить BYOD (вы можете повторно использовать уже существующий, если он уже есть). 2. Создайте профиль AuthZ для CWA, обязательно установите
флажок
«
Отображать сообщение о продлении сертификата». ![Screen Shot 2018-09-25 at 1.23.45 AM.png] 3. Создайте политику, которая будет соответствовать 802.1X WLAN, к которой пользователь подключается с помощью сертификата, следующим образом: «Если СЕРТИФИКАТ:Срок действия МЕНЬШЕ X», затем назначьте профиль AuthZ, созданный выше. ![Screen Shot 2018-09-25 at 1.37.44 AM.png] Теперь, когда пользователь подключается к 802.1X WLAN с сертификатом, срок действия которого подходит к концу, он будет перенаправлен в соответствии с созданной вами политикой, а благодаря опции «Отображать сообщение о продлении сертификата», используемой в профиле AuthZ, ISE добавит параметр «daysToExpiry=Y» в конец строки перенаправления URL, как показано ниже: https://ise.example.com:8443/portal/PortalSetup.action?portal=babebabe...babebabe&sessionId=abeabeabe...abeabe&action=cwa&redirect=www.cisco.com%2F&
daysToExpiry=11 Пользователь будет вынужден войти в портал, после чего начнется процесс продления BYOD. Вместо кнопки «Start» пользователь увидит кнопку «Renewal». ![Screen Shot 2018-09-25 at 1.36.02 AM.png]

kthiruve

Вот скриншот того, что поддерживается в рамках атрибута CERTIFICATE, который вы можете добавить в качестве условия авторизации в политике авторизации в рамках BYOD. ![]

Arne Bier

Привет
[, @howon] У меня ISE 2.4 patch 3, и я тестирую, что происходит, когда пользователь BYOD аутентифицируется с помощью клиентского сертификата, срок действия которого скоро истекает. Я фиксирую это условие в политике авторизации и использую профиль авторизации следующим образом Перенаправление веб-трафика = Нативное предоставление доступа На клиенте я могу быть перенаправлен и вижу следующий экран — ошибка кажется логичной — как ISE узнает личность пользователя, если он сразу перенаправляется на портал NSP без какой-либо аутентификации? Когда я первоначально подключил этого пользователя, я сделал это через портал для гостей — и там я, конечно, могу аутентифицировать пользователя. Как это работает, если я перенаправляю непосредственно на портал NSP BYOD? ![BYOD-error.PNG]

daniel.landry

Есть ли новости по этому вопросу? Единственный способ продлить сертификат BYOD — это через CWA? Спасибо.

Jason Kunst

Да, это единственный способ перенаправить клиента. Это не решение MDM, поэтому мы не имеем контроля над ОС конечной точки.

daniel.landry

Нет другого способа обновить, не повторяя процесс подключения?
Нет разницы между двойным и одинарным SSID?

Jason Kunst

Клиенту требуется новый сертификат, связанный с профилем просителя для EAP-TLS. Это единственный способ вне MDM. Страница 36 — [)

daniel.landry

И с этой настройкой (один SSID): когда срок действия сертификата истекает, пользователь просто входит в процесс NSP, чтобы переустановить действительный сертификат? Следовательно, нет CWA с одним SSID? ![2018-10-23 16_58_00-MS Word Template_102504 - Adobe Reader.jpg]

daniel.landry

После нескольких размышлений и попыток я пришел к выводу, что мой вопрос был не совсем понятен. В данном сценарии, я думаю, отказ также осуществляется CWA!?

howon

Мы принудительно применяем CWA, поскольку нам необходимо подтвердить учетные данные пользователя для повторной выдачи сертификата. Это способ убедиться, что пользователь действительно является тем пользователем, которому был выдан сертификат. Без этого любой пользователь, имеющий доступ к паре сертификатов, сможет получить доступ на неопределенный срок. Если это нежелательно, рекомендуем продлить срок действия.
В соответствии с вашей политикой, по истечении срока действия сертификата пользователю будет отказано в доступе к защищенному SSID, если ISE не настроен на разрешение просроченных сертификатов. Если вы хотите разрешить процесс обновления, следуйте моему примеру выше, где вы принудительно применяете CWA для защищенного SSID. В качестве альтернативы пользователь может подключиться к открытому/гостевому SSID для обновления сертификата, при условии что BYOD включен в потоке открытого/гостевого SSID.

Andrej Sumak

Было ли условие
«СЕРТИФИКАТ: срок действия» удалено из ISE в версиях 3.x?
Я использую версию 3.2 P8, и это условие больше не доступно/не находится в конструкторе условий. Прилагаю изображение.