обработка ISE BYOD просроченных или истекающих сертификатов
-
Вот скриншот того, что поддерживается в рамках атрибута CERTIFICATE, который вы можете добавить в качестве условия авторизации в политике авторизации в рамках BYOD. ![]
-
Привет
[, @howon] У меня ISE 2.4 patch 3, и я тестирую, что происходит, когда пользователь BYOD аутентифицируется с помощью клиентского сертификата, срок действия которого скоро истекает. Я фиксирую это условие в политике авторизации и использую профиль авторизации следующим образом Перенаправление веб-трафика = Нативное предоставление доступа На клиенте я могу быть перенаправлен и вижу следующий экран — ошибка кажется логичной — как ISE узнает личность пользователя, если он сразу перенаправляется на портал NSP без какой-либо аутентификации? Когда я первоначально подключил этого пользователя, я сделал это через портал для гостей — и там я, конечно, могу аутентифицировать пользователя. Как это работает, если я перенаправляю непосредственно на портал NSP BYOD? ![BYOD-error.PNG]
-
Есть ли новости по этому вопросу? Единственный способ продлить сертификат BYOD — это через CWA? Спасибо.
-
Да, это единственный способ перенаправить клиента. Это не решение MDM, поэтому мы не имеем контроля над ОС конечной точки.
-
Нет другого способа обновить, не повторяя процесс подключения?
Нет разницы между двойным и одинарным SSID? -
Клиенту требуется новый сертификат, связанный с профилем просителя для EAP-TLS. Это единственный способ вне MDM. Страница 36 — [)
-
И с этой настройкой (один SSID): когда срок действия сертификата истекает, пользователь просто входит в процесс NSP, чтобы переустановить действительный сертификат? Следовательно, нет CWA с одним SSID? ![2018-10-23 16_58_00-MS Word Template_102504 - Adobe Reader.jpg]
-
После нескольких размышлений и попыток я пришел к выводу, что мой вопрос был не совсем понятен. В данном сценарии, я думаю, отказ также осуществляется CWA!?
-
Мы принудительно применяем CWA, поскольку нам необходимо подтвердить учетные данные пользователя для повторной выдачи сертификата. Это способ убедиться, что пользователь действительно является тем пользователем, которому был выдан сертификат. Без этого любой пользователь, имеющий доступ к паре сертификатов, сможет получить доступ на неопределенный срок. Если это нежелательно, рекомендуем продлить срок действия.
В соответствии с вашей политикой, по истечении срока действия сертификата пользователю будет отказано в доступе к защищенному SSID, если ISE не настроен на разрешение просроченных сертификатов. Если вы хотите разрешить процесс обновления, следуйте моему примеру выше, где вы принудительно применяете CWA для защищенного SSID. В качестве альтернативы пользователь может подключиться к открытому/гостевому SSID для обновления сертификата, при условии что BYOD включен в потоке открытого/гостевого SSID. -
Было ли условие
«СЕРТИФИКАТ: срок действия» удалено из ISE в версиях 3.x?
Я использую версию 3.2 P8, и это условие больше не доступно/не находится в конструкторе условий. Прилагаю изображение.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти