обработка ISE BYOD просроченных или истекающих сертификатов
-
Возможно, другие могут продолжить обсуждение по поводу пакета, но конфигурация одинакова для любой клиентской ОС. В условии авторизации есть атрибут под названием «CERTIFICATE:Days to Expiry» (Срок действия сертификата). С его помощью можно создать правило политики авторизации, которое будет гласить: «Если CERTIFICATE:Days to Expiry меньше 15 дней, то назначьте поток BYOD», что заставит пользователя пройти процесс BYOD заново. Теперь, если сертификат уже истек, конечная точка не сможет подключиться к защищенной WLAN, поскольку ISE откажет в доступе из-за недействительного сертификата. Чтобы покрыть этот сценарий, вы можете разрешить поток BYOD с двойным SSID в гостевой WLAN и заставить их пройти через поток BYOD, когда пользователь-сотрудник входит в гостевой портал.
-
Арне, ты заметил мою ошибку. Тебе нужно создать портал CWA, который заставляет сотрудников использовать BYOD вместо портала BYOD, и использовать его во время истечения срока действия сертификата в сети 802.1X WLAN. Вот краткие инструкции: 1. Создайте портал CWA, который заставляет сотрудников проходить BYOD (вы можете повторно использовать уже существующий, если он уже есть). 2. Создайте профиль AuthZ для CWA, обязательно установите
флажок
«
Отображать сообщение о продлении сертификата». ![Screen Shot 2018-09-25 at 1.23.45 AM.png] 3. Создайте политику, которая будет соответствовать 802.1X WLAN, к которой пользователь подключается с помощью сертификата, следующим образом: «Если СЕРТИФИКАТ:Срок действия МЕНЬШЕ X», затем назначьте профиль AuthZ, созданный выше. ![Screen Shot 2018-09-25 at 1.37.44 AM.png] Теперь, когда пользователь подключается к 802.1X WLAN с сертификатом, срок действия которого подходит к концу, он будет перенаправлен в соответствии с созданной вами политикой, а благодаря опции «Отображать сообщение о продлении сертификата», используемой в профиле AuthZ, ISE добавит параметр «daysToExpiry=Y» в конец строки перенаправления URL, как показано ниже: https://ise.example.com:8443/portal/PortalSetup.action?portal=babebabe...babebabe&sessionId=abeabeabe...abeabe&action=cwa&redirect=www.cisco.com%2F&
daysToExpiry=11 Пользователь будет вынужден войти в портал, после чего начнется процесс продления BYOD. Вместо кнопки «Start» пользователь увидит кнопку «Renewal». ![Screen Shot 2018-09-25 at 1.36.02 AM.png]
-
Вот скриншот того, что поддерживается в рамках атрибута CERTIFICATE, который вы можете добавить в качестве условия авторизации в политике авторизации в рамках BYOD. ![]
-
Привет
[, @howon] У меня ISE 2.4 patch 3, и я тестирую, что происходит, когда пользователь BYOD аутентифицируется с помощью клиентского сертификата, срок действия которого скоро истекает. Я фиксирую это условие в политике авторизации и использую профиль авторизации следующим образом Перенаправление веб-трафика = Нативное предоставление доступа На клиенте я могу быть перенаправлен и вижу следующий экран — ошибка кажется логичной — как ISE узнает личность пользователя, если он сразу перенаправляется на портал NSP без какой-либо аутентификации? Когда я первоначально подключил этого пользователя, я сделал это через портал для гостей — и там я, конечно, могу аутентифицировать пользователя. Как это работает, если я перенаправляю непосредственно на портал NSP BYOD? ![BYOD-error.PNG]
-
Есть ли новости по этому вопросу? Единственный способ продлить сертификат BYOD — это через CWA? Спасибо.
-
Да, это единственный способ перенаправить клиента. Это не решение MDM, поэтому мы не имеем контроля над ОС конечной точки.
-
Нет другого способа обновить, не повторяя процесс подключения?
Нет разницы между двойным и одинарным SSID? -
Клиенту требуется новый сертификат, связанный с профилем просителя для EAP-TLS. Это единственный способ вне MDM. Страница 36 — [)
-
И с этой настройкой (один SSID): когда срок действия сертификата истекает, пользователь просто входит в процесс NSP, чтобы переустановить действительный сертификат? Следовательно, нет CWA с одним SSID? ![2018-10-23 16_58_00-MS Word Template_102504 - Adobe Reader.jpg]
-
После нескольких размышлений и попыток я пришел к выводу, что мой вопрос был не совсем понятен. В данном сценарии, я думаю, отказ также осуществляется CWA!?
-
Мы принудительно применяем CWA, поскольку нам необходимо подтвердить учетные данные пользователя для повторной выдачи сертификата. Это способ убедиться, что пользователь действительно является тем пользователем, которому был выдан сертификат. Без этого любой пользователь, имеющий доступ к паре сертификатов, сможет получить доступ на неопределенный срок. Если это нежелательно, рекомендуем продлить срок действия.
В соответствии с вашей политикой, по истечении срока действия сертификата пользователю будет отказано в доступе к защищенному SSID, если ISE не настроен на разрешение просроченных сертификатов. Если вы хотите разрешить процесс обновления, следуйте моему примеру выше, где вы принудительно применяете CWA для защищенного SSID. В качестве альтернативы пользователь может подключиться к открытому/гостевому SSID для обновления сертификата, при условии что BYOD включен в потоке открытого/гостевого SSID. -
Было ли условие
«СЕРТИФИКАТ: срок действия» удалено из ISE в версиях 3.x?
Я использую версию 3.2 P8, и это условие больше не доступно/не находится в конструкторе условий. Прилагаю изображение.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти