使用客戶服務(wù)靈活管理外來訪問

ISE的客戶服務(wù)類型

ISE客戶服務(wù)實現(xiàn)步驟包括客戶初始化連接到一個個顆粒的客戶網(wǎng)絡(luò)，之后在網(wǎng)頁認證頁面輸入對應(yīng)的帳號信息，就可以執(zhí)行所需的網(wǎng)絡(luò)訪問了。

Guest Service支持 Guest User、Sponser和Admin用戶類型，其中Sponsor類型一般由企業(yè)內(nèi)部員工使用。在ISE管理頁面點擊“Administration”、“Identity Source Sequences”項，點擊工具欄上的“Add”按鈕，創(chuàng)建新的身份順序源。輸入其名稱（例如“sfsxy”），在“Available”列表中顯示可用的身份源，包括“Internal Endpoints”（內(nèi)部終端）、“Internal User”（本地數(shù)據(jù)庫）以及域賬戶等。

當(dāng)然，域賬戶需要事先導(dǎo)入到ISE中。選擇合適的身份源（例如選擇本地數(shù)據(jù)庫和域賬戶等），點擊“>”按鈕，將其添加到“Selected”列表中，可以根據(jù)需要來調(diào)整其排列順序，有了身份順序源，就可以很方便的查找賬戶信息。

設(shè)置門戶管理參數(shù)

首先，依次點擊“Administration” →“Web Portal Management”→“Settings”選項，在左側(cè)依次點擊“Guest”→“Details Policy”項，在右側(cè)的“First Name”、“Last Name”以及“Company”列表中分別選擇“Mandatory”項，那么在創(chuàng)建客戶賬戶時，必須設(shè)置名稱和公司信息，點擊“Save”按鈕保存配置信息。

在左側(cè)選擇“Guest” →“Multi-Portal Configrations”→“defaultGuestPortal”項，在右側(cè)的“Operations”面板中如果選擇“Guest users should be allow to do self service”項，允許客戶自己創(chuàng)建臨時賬戶。

在“Authentication”面板中的“Identity Store Sequence”列表中選擇上述“sfsxy” 身份順序源，作為認證的依據(jù)。

在左側(cè)選擇“Guest”→“Portal Policy”項，在右側(cè)的“Self Registration Guest Role”列表中選擇選擇“Guest”項，表示客戶創(chuàng)建的臨時賬戶只能保存在Guest組中。

配置賬戶和密碼策略

在左側(cè)選擇“Guest”→“Password Policy” 項，在右側(cè)可以定義客戶密碼策略，包括密碼組成、密碼位數(shù)、密碼包含的數(shù)字個數(shù)、密碼包含的符號、符號出現(xiàn)的次數(shù)等。

注意，密碼是隨機產(chǎn)生的。在左側(cè)選擇“Guest”→“Time Profiles”項，在右側(cè)顯示時間模版，例如對于“DefaultOneHour”模版來說，表示當(dāng)創(chuàng)建臨時賬戶后，其只能存在一個小時。

而對于“Default FirstLogin”模版來說，當(dāng)臨時賬戶第一次登錄后，只能使用一個小時。對于“DefaultStartEnd”模版來說，可以自定義賬戶有效期。當(dāng)然，可以根據(jù)調(diào)整對應(yīng)的時間模版或者創(chuàng)建新的模版。

例如點擊工具欄上的“Add”按鈕，創(chuàng)建的新的時間模版，輸入其名稱（例 如“Timemb”）和描述信息，選擇合適的時區(qū)（例如“Asia/Chongqing”）， 在“Account Type”列表中選擇“FromFirstLogin”項，表示從首次登錄開始計算可用時間。

在“Duration”欄中設(shè)置所需的時間長度（如10個小時）。點擊“Submit”按鈕提交修改。

在左側(cè)點擊“Guest”→“Username Policy”項，在右側(cè)顯示默認的賬戶名稱策略，包括用戶名字符組成、最小位數(shù)、賬戶名包含的數(shù)字個數(shù)、賬戶名包含的符號、符號出現(xiàn)的次數(shù)等。

為了便于操作，可以對其進行適當(dāng)?shù)恼{(diào)整，例如將賬戶名長度設(shè)置為6位、不包含數(shù)字等。

對應(yīng)的，可以對贊助商門戶進行設(shè)置。在左側(cè)選擇“Sponsor”→“Authentication Source”項，在右側(cè)選擇認證源，在“Identity Store Sequence”列表選擇合適的身份順序源，可以使用域中的數(shù)據(jù)庫，也可以使用本地數(shù)據(jù)庫。例如選擇“sfsxy”身份順序源項目。

創(chuàng)建所需的賬戶

點擊“Administration”、“Groups”項，點擊工具欄上的“Add”按鈕，創(chuàng)建名為“Tempgrp”的組。點擊菜 單“Administration”→“Identitties”項，點擊工具欄上的“Add”按鈕，創(chuàng)建一個新的賬戶，輸入名稱（例如“Newuser”），設(shè)置密碼。在“User Group”列表中選擇上述“Tempgrp”的組，將本賬戶放置到該組中。點擊菜單“Administration”→“Identities”項，在 左側(cè)點擊“users”，在右側(cè)點擊“Add”按鈕，創(chuàng)建名為“user1”的賬戶并設(shè)置密碼，然后將其放置到“Employee”組中，該組是ISE內(nèi)置的本地組。同時，在AD、數(shù)據(jù)庫中設(shè)置了名為“aduser1”的賬戶，用來對ISE進行全面管理。

當(dāng)然，這需要將AD數(shù)據(jù)庫中的相應(yīng)賬戶信息導(dǎo)入到ISE的賬戶數(shù)據(jù)庫中，因為只有將ISE設(shè)備集成到Windows的域環(huán)境中，才可以有效發(fā)揮其功能。具體導(dǎo)入的方法很簡單，這里限于篇幅不再贅述。

為了便于進行權(quán)限的控制，這里針對以上不同類型的賬戶，在登錄到贊助商門戶時，進行權(quán)限控制操作。即針對“Aduser”賬戶來說，其擁有的權(quán)限最大，對于屬于臨時性質(zhì)的“Newuser1”賬戶來說，其擁有的權(quán)限最小號，對于本地“Employee”組中“user1”賬戶來說，其權(quán)限則處于兩者之間。

自定義門戶組，實現(xiàn)靈活訪問

為了便于使用，采用自定義組的方式，來實現(xiàn)靈活的權(quán)限管理。

注意，默認門戶組是無法刪除的，但是其對應(yīng)的默認策略可以刪除。點擊工具欄上的“Administrations”→“Sponsor Group Policy”項，點擊“Add”按鈕，在“Name”欄中輸入新門戶組名稱（例如“ZdGroup”），在“Authorization Levels”面板中設(shè)置其擁有的權(quán)利等級，包括允許登錄、創(chuàng)建單獨的賬戶、創(chuàng)建隨機賬戶、導(dǎo)入數(shù)據(jù)、發(fā)送郵件、發(fā)送短信、查看客戶密碼、打印客戶信息、查看/編輯賬戶等。

在默認狀態(tài)下，所有的權(quán)限都處于允許狀態(tài)，讓其擁有最大權(quán)限。在“Guest Roles”面板中的“Select an item”列中選擇具體的組名（例 如“Guest”、“Empoyee”、“TempGrp”等），表示允許該門戶組組中的用戶可以產(chǎn)生選定組的賬戶。在“Time”面板中顯示所有的時間模版，您可以根據(jù)需要進行選擇，例如導(dǎo)入所有的時間模版。點擊“Submit”按鈕保存修改。

對應(yīng)的，創(chuàng)建名為“YbGroup” 的門戶組，“Authorization Levels”面板對其權(quán)限進行適當(dāng)?shù)目刂啤?/p>

例 如，在“View Guest Password” 和“Allow Printing Guest Details”列表中均選擇“No”項，禁止其查看和打印Guest賬戶密碼信息。在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中均選擇“Group Accounts”項，只允許其查看和管理本組中的賬戶信息。在“Guest Roles”面板中只允許其創(chuàng)建“TempGrp”、“Guest”組的 賬戶。而在“Time Profiles”面板中導(dǎo)入合適的時間模版。

之后創(chuàng)則建名為“ZxGroup”的門戶組，在“Authorization Levels”面板中為其設(shè)置盡可能小的權(quán)限，例如禁止發(fā)送郵件和短信、禁止查看、打印和管理賬戶信息，在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中選擇“Own Accounts”項，只允許其管理自己產(chǎn)生的賬戶。

在“Guest Roles”面板中只允許其創(chuàng)建“Guest”組的賬戶，最后在“Time Profiles”面 板中只能導(dǎo)入盡可能少的時間模版，例如只能使用“DefaultFirstLogin”模版。

創(chuàng)建門戶組策略

點擊工具欄上的“Sponsor Group Policy”按鈕， 在“Identity Groups”列中分別選擇上述默認門戶組，點擊“Action”→“Delete”項將相關(guān)的策略刪除。

在第一行中的“Policy Name”l欄中輸入策略名（例 如“PolicyAll”），在“Identity Groups” 欄中選擇“Any”，在“Other Conditions”欄中選擇外部組中的“ISEGrp”組，該組事先需要在域控中的AD數(shù)據(jù)庫中創(chuàng)建，主要用來存儲和ISE管理相關(guān)的賬戶。

在“Pick Sponsor Group(s)”欄中選擇上述“ZdGroup”門戶組。這樣，只要是屬于“ISEGrp”中的用戶，在登錄贊助商門戶時，就可以擁有最大的管理權(quán)限。

點擊右側(cè)的“Action”→“Insert New Policy Below”項，追加新的策略項。 在“Policy Name”欄中輸入策略名（例如“Policylocal”）， 在“Identity Groups”欄中選擇本地組中的“Empolyee”組，該組是ISE內(nèi)置的組。在“Pick Sponsor Group(s)”欄中選擇上述“YbGroup”門戶組。

這樣，只要是屬于“Empolyee”中的用戶，在登錄贊助商門戶時，就可以擁有適中的管理權(quán)限。同理添加新的策略項，在“Policy Name”欄中輸入策略名（例如“PolicyOwn”），在“Identity Groups”欄中選擇本地組中 的“TempGrp”組，該 組是自定義的組。在“Pick Sponsor Group(s)”欄中選擇上述“ZxGroup”門戶組。

這樣，只要是屬于“TempGrp”組中的用戶，在登錄贊助商門戶時，就可以擁有最小的管理權(quán)限。

創(chuàng)建有線和無線授權(quán)項目

當(dāng)然。還需要為這些賬戶設(shè)置訪問策略，讓其可以執(zhí)行一些網(wǎng)絡(luò)訪問操作。例如對于賓客賬戶來說，不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，只能訪問互聯(lián)網(wǎng)。在ISE管理界面中點擊“Policy”→“Result”項，在左側(cè)選擇“Authorization”→“Downloadable ACLs”項，在右側(cè)點擊“Add”按鈕，創(chuàng)建新的下載訪問列表，輸入其名稱（例如“newacl”），在“DACL Content”欄中輸入“deny icmp any any”、“permit ip any any”等內(nèi)容。

對于無線環(huán)境來說，可以登錄到無線控制器管理界面，針對某個WLAN項，在工具欄上點擊“SECURITY”按鈕，點擊“New”按鈕，輸入新的ACL控制列表名稱（例如“Wirelessacs”），在該ACL的屬性窗口中點擊“Add New Rule”按鈕，輸入新規(guī)則序號，在“Protocol”列表中選擇“ICMP” 項，在“Action”列表中選擇“Deny”項，點擊“Apply”按鈕，保存該規(guī)則。

同理創(chuàng)建新的規(guī)則，針對所有的屬性（包括源地址，目的地址，所有協(xié)議等）執(zhí)行“Pernit”動作。

在ISE管理界面中點擊菜單“Policy” →“Results”項，然后在左側(cè)選 擇“Authorization” →“Authorization Profiles”項，在右側(cè)點擊“Add”按鈕，創(chuàng)建新的授權(quán)項目，輸入其名稱（例 如“Author1”），選 擇“DACL Name”項，在其右側(cè)選擇“newacl”項，選擇“VLAN”項，設(shè)置合適的VLAN，這樣當(dāng)在有線環(huán)境中訪問時，就可以執(zhí)行預(yù)設(shè)的ACL，并被劃分到指定的VLAN中。對應(yīng)的創(chuàng)建名為“Author2”的授權(quán)項目，選擇“Airespace ACL Name”項，選擇“Wirelessacs”項，這樣當(dāng)在無線環(huán)境中訪問時，可以執(zhí)行預(yù)設(shè)的ACL。

創(chuàng)建授權(quán)訪問規(guī)則

點擊工具欄上的“Authorization”按 鈕，在授權(quán)策略列表第一行右側(cè)點擊“Edit” →“Insert New Rule Ablove”項，在頂部插入新的策略項，在“Rule Name”欄中輸入策略名（例如“Yxfw”），在“Conditions”欄中選擇“Guest”組，在將其位置屬性設(shè)置為A地點。在“Permissions”欄中選擇上述“Author1”授權(quán)項。

同理創(chuàng)建名為“Wxfw”的授權(quán)策略，在“Conditions”欄中選擇“Guest”組，在將其位置屬性設(shè)置為C地點。在“Permissions”欄中選擇上述“Author2”授權(quán)項。

當(dāng)然，這里只是以簡單的例子進行說明，實際的配置要更加靈活。

門戶網(wǎng)站使用實例

這樣，當(dāng)新來的員工到本單位后，為了便于訪問網(wǎng)絡(luò)，可以向單位的某個合法員工發(fā)出幫助請求，該合法用戶可以登錄到ISE的贊助商門戶網(wǎng)站，為其創(chuàng)建臨時Guest賬戶。得到臨時賬戶后，該外來人員可以將自己的電腦連接到交換機的某個端口上。之后打開瀏覽器，輸入內(nèi)網(wǎng)中的某個網(wǎng)址，就可以重定向到ISE的來賓門戶網(wǎng)站。輸入上述臨時賬戶和密碼，點擊“登錄”按鈕，就可以按照預(yù)設(shè)的策略連接到網(wǎng)絡(luò)中。

除了使用有線連接，也可以使用無線進行連接，選擇目標(biāo)WLAN項進行連接，其連接過程基本相同。當(dāng)對于無線連接來說，還可以使用自助服務(wù)進行操作。當(dāng)然，其訪問權(quán)限會受到預(yù)設(shè)策略的制約。