ISE的客戶服務(wù)類型

ISE客戶服務(wù)實(shí)現(xiàn)步驟包括客戶初始化連接到一個(gè)個(gè)顆粒的客戶網(wǎng)絡(luò)，之后在網(wǎng)頁認(rèn)證頁面輸入對(duì)應(yīng)的帳號(hào)信息，就可以執(zhí)行所需的網(wǎng)絡(luò)訪問了。

Guest Service支持 Guest User、Sponser和Admin用戶類型，其中Sponsor類型一般由企業(yè)內(nèi)部員工使用。在ISE管理頁面點(diǎn)擊“Administration”、“Identity Source Sequences”項(xiàng)，點(diǎn)擊工具欄上的“Add”按鈕，創(chuàng)建新的身份順序源。輸入其名稱（例如“sfsxy”），在“Available”列表中顯示可用的身份源，包括“Internal Endpoints”（內(nèi)部終端）、“Internal User”（本地?cái)?shù)據(jù)庫）以及域賬戶等。

當(dāng)然，域賬戶需要事先導(dǎo)入到ISE中。選擇合適的身份源（例如選擇本地?cái)?shù)據(jù)庫和域賬戶等），點(diǎn)擊“>”按鈕，將其添加到“Selected”列表中，可以根據(jù)需要來調(diào)整其排列順序，有了身份順序源，就可以很方便的查找賬戶信息。

設(shè)置門戶管理參數(shù)

首先，依次點(diǎn)擊“Administration” →“Web Portal Management”→“Settings”選項(xiàng)，在左側(cè)依次點(diǎn)擊“Guest”→“Details Policy”項(xiàng)，在右側(cè)的“First Name”、“Last Name”以及“Company”列表中分別選擇“Mandatory”項(xiàng)，那么在創(chuàng)建客戶賬戶時(shí)，必須設(shè)置名稱和公司信息，點(diǎn)擊“Save”按鈕保存配置信息。

在左側(cè)選擇“Guest” →“Multi-Portal Configrations”→“defaultGuestPortal”項(xiàng)，在右側(cè)的“Operations”面板中如果選擇“Guest users should be allow to do self service”項(xiàng)，允許客戶自己創(chuàng)建臨時(shí)賬戶。

在“Authentication”面板中的“Identity Store Sequence”列表中選擇上述“sfsxy” 身份順序源，作為認(rèn)證的依據(jù)。

在左側(cè)選擇“Guest”→“Portal Policy”項(xiàng)，在右側(cè)的“Self Registration Guest Role”列表中選擇選擇“Guest”項(xiàng)，表示客戶創(chuàng)建的臨時(shí)賬戶只能保存在Guest組中。

配置賬戶和密碼策略

在左側(cè)選擇“Guest”→“Password Policy” 項(xiàng)，在右側(cè)可以定義客戶密碼策略，包括密碼組成、密碼位數(shù)、密碼包含的數(shù)字個(gè)數(shù)、密碼包含的符號(hào)、符號(hào)出現(xiàn)的次數(shù)等。

注意，密碼是隨機(jī)產(chǎn)生的。在左側(cè)選擇“Guest”→“Time Profiles”項(xiàng)，在右側(cè)顯示時(shí)間模版，例如對(duì)于“DefaultOneHour”模版來說，表示當(dāng)創(chuàng)建臨時(shí)賬戶后，其只能存在一個(gè)小時(shí)。

而對(duì)于“Default FirstLogin”模版來說，當(dāng)臨時(shí)賬戶第一次登錄后，只能使用一個(gè)小時(shí)。對(duì)于“DefaultStartEnd”模版來說，可以自定義賬戶有效期。當(dāng)然，可以根據(jù)調(diào)整對(duì)應(yīng)的時(shí)間模版或者創(chuàng)建新的模版。

例如點(diǎn)擊工具欄上的“Add”按鈕，創(chuàng)建的新的時(shí)間模版，輸入其名稱（例 如“Timemb”）和描述信息，選擇合適的時(shí)區(qū)（例如“Asia/Chongqing”）， 在“Account Type”列表中選擇“FromFirstLogin”項(xiàng)，表示從首次登錄開始計(jì)算可用時(shí)間。

在“Duration”欄中設(shè)置所需的時(shí)間長度（如10個(gè)小時(shí)）。點(diǎn)擊“Submit”按鈕提交修改。

在左側(cè)點(diǎn)擊“Guest”→“Username Policy”項(xiàng)，在右側(cè)顯示默認(rèn)的賬戶名稱策略，包括用戶名字符組成、最小位數(shù)、賬戶名包含的數(shù)字個(gè)數(shù)、賬戶名包含的符號(hào)、符號(hào)出現(xiàn)的次數(shù)等。

為了便于操作，可以對(duì)其進(jìn)行適當(dāng)?shù)恼{(diào)整，例如將賬戶名長度設(shè)置為6位、不包含數(shù)字等。

對(duì)應(yīng)的，可以對(duì)贊助商門戶進(jìn)行設(shè)置。在左側(cè)選擇“Sponsor”→“Authentication Source”項(xiàng)，在右側(cè)選擇認(rèn)證源，在“Identity Store Sequence”列表選擇合適的身份順序源，可以使用域中的數(shù)據(jù)庫，也可以使用本地?cái)?shù)據(jù)庫。例如選擇“sfsxy”身份順序源項(xiàng)目。

創(chuàng)建所需的賬戶

點(diǎn)擊“Administration”、“Groups”項(xiàng)，點(diǎn)擊工具欄上的“Add”按鈕，創(chuàng)建名為“Tempgrp”的組。點(diǎn)擊菜 單“Administration”→“Identitties”項(xiàng)，點(diǎn)擊工具欄上的“Add”按鈕，創(chuàng)建一個(gè)新的賬戶，輸入名稱（例如“Newuser”），設(shè)置密碼。在“User Group”列表中選擇上述“Tempgrp”的組，將本賬戶放置到該組中。點(diǎn)擊菜單“Administration”→“Identities”項(xiàng)，在 左側(cè)點(diǎn)擊“users”，在右側(cè)點(diǎn)擊“Add”按鈕，創(chuàng)建名為“user1”的賬戶并設(shè)置密碼，然后將其放置到“Employee”組中，該組是ISE內(nèi)置的本地組。同時(shí)，在AD、數(shù)據(jù)庫中設(shè)置了名為“aduser1”的賬戶，用來對(duì)ISE進(jìn)行全面管理。

當(dāng)然，這需要將AD數(shù)據(jù)庫中的相應(yīng)賬戶信息導(dǎo)入到ISE的賬戶數(shù)據(jù)庫中，因?yàn)橹挥袑SE設(shè)備集成到Windows的域環(huán)境中，才可以有效發(fā)揮其功能。具體導(dǎo)入的方法很簡(jiǎn)單，這里限于篇幅不再贅述。

為了便于進(jìn)行權(quán)限的控制，這里針對(duì)以上不同類型的賬戶，在登錄到贊助商門戶時(shí)，進(jìn)行權(quán)限控制操作。即針對(duì)“Aduser”賬戶來說，其擁有的權(quán)限最大，對(duì)于屬于臨時(shí)性質(zhì)的“Newuser1”賬戶來說，其擁有的權(quán)限最小號(hào)，對(duì)于本地“Employee”組中“user1”賬戶來說，其權(quán)限則處于兩者之間。

自定義門戶組，實(shí)現(xiàn)靈活訪問

為了便于使用，采用自定義組的方式，來實(shí)現(xiàn)靈活的權(quán)限管理。

注意，默認(rèn)門戶組是無法刪除的，但是其對(duì)應(yīng)的默認(rèn)策略可以刪除。點(diǎn)擊工具欄上的“Administrations”→“Sponsor Group Policy”項(xiàng)，點(diǎn)擊“Add”按鈕，在“Name”欄中輸入新門戶組名稱（例如“ZdGroup”），在“Authorization Levels”面板中設(shè)置其擁有的權(quán)利等級(jí)，包括允許登錄、創(chuàng)建單獨(dú)的賬戶、創(chuàng)建隨機(jī)賬戶、導(dǎo)入數(shù)據(jù)、發(fā)送郵件、發(fā)送短信、查看客戶密碼、打印客戶信息、查看/編輯賬戶等。

在默認(rèn)狀態(tài)下，所有的權(quán)限都處于允許狀態(tài)，讓其擁有最大權(quán)限。在“Guest Roles”面板中的“Select an item”列中選擇具體的組名（例 如“Guest”、“Empoyee”、“TempGrp”等），表示允許該門戶組組中的用戶可以產(chǎn)生選定組的賬戶。在“Time”面板中顯示所有的時(shí)間模版，您可以根據(jù)需要進(jìn)行選擇，例如導(dǎo)入所有的時(shí)間模版。點(diǎn)擊“Submit”按鈕保存修改。

對(duì)應(yīng)的，創(chuàng)建名為“YbGroup” 的門戶組，“Authorization Levels”面板對(duì)其權(quán)限進(jìn)行適當(dāng)?shù)目刂啤?/p>

例 如，在“View Guest Password” 和“Allow Printing Guest Details”列表中均選擇“No”項(xiàng)，禁止其查看和打印Guest賬戶密碼信息。在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中均選擇“Group Accounts”項(xiàng)，只允許其查看和管理本組中的賬戶信息。在“Guest Roles”面板中只允許其創(chuàng)建“TempGrp”、“Guest”組的 賬戶。而在“Time Profiles”面板中導(dǎo)入合適的時(shí)間模版。

之后創(chuàng)則建名為“ZxGroup”的門戶組，在“Authorization Levels”面板中為其設(shè)置盡可能小的權(quán)限，例如禁止發(fā)送郵件和短信、禁止查看、打印和管理賬戶信息，在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中選擇“Own Accounts”項(xiàng)，只允許其管理自己產(chǎn)生的賬戶。

在“Guest Roles”面板中只允許其創(chuàng)建“Guest”組的賬戶，最后在“Time Profiles”面 板中只能導(dǎo)入盡可能少的時(shí)間模版，例如只能使用“DefaultFirstLogin”模版。

創(chuàng)建門戶組策略

點(diǎn)擊工具欄上的“Sponsor Group Policy”按鈕， 在“Identity Groups”列中分別選擇上述默認(rèn)門戶組，點(diǎn)擊“Action”→“Delete”項(xiàng)將相關(guān)的策略刪除。

在第一行中的“Policy Name”l欄中輸入策略名（例 如“PolicyAll”），在“Identity Groups” 欄中選擇“Any”，在“Other Conditions”欄中選擇外部組中的“ISEGrp”組，該組事先需要在域控中的AD數(shù)據(jù)庫中創(chuàng)建，主要用來存儲(chǔ)和ISE管理相關(guān)的賬戶。

在“Pick Sponsor Group(s)”欄中選擇上述“ZdGroup”門戶組。這樣，只要是屬于“ISEGrp”中的用戶，在登錄贊助商門戶時(shí)，就可以擁有最大的管理權(quán)限。

點(diǎn)擊右側(cè)的“Action”→“Insert New Policy Below”項(xiàng)，追加新的策略項(xiàng)。 在“Policy Name”欄中輸入策略名（例如“Policylocal”）， 在“Identity Groups”欄中選擇本地組中的“Empolyee”組，該組是ISE內(nèi)置的組。在“Pick Sponsor Group(s)”欄中選擇上述“YbGroup”門戶組。

這樣，只要是屬于“Empolyee”中的用戶，在登錄贊助商門戶時(shí)，就可以擁有適中的管理權(quán)限。同理添加新的策略項(xiàng)，在“Policy Name”欄中輸入策略名（例如“PolicyOwn”），在“Identity Groups”欄中選擇本地組中 的“TempGrp”組，該 組是自定義的組。在“Pick Sponsor Group(s)”欄中選擇上述“ZxGroup”門戶組。

這樣，只要是屬于“TempGrp”組中的用戶，在登錄贊助商門戶時(shí)，就可以擁有最小的管理權(quán)限。

創(chuàng)建有線和無線授權(quán)項(xiàng)目

當(dāng)然。還需要為這些賬戶設(shè)置訪問策略，讓其可以執(zhí)行一些網(wǎng)絡(luò)訪問操作。例如對(duì)于賓客賬戶來說，不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，只能訪問互聯(lián)網(wǎng)。在ISE管理界面中點(diǎn)擊“Policy”→“Result”項(xiàng)，在左側(cè)選擇“Authorization”→“Downloadable ACLs”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，創(chuàng)建新的下載訪問列表，輸入其名稱（例如“newacl”），在“DACL Content”欄中輸入“deny icmp any any”、“permit ip any any”等內(nèi)容。

對(duì)于無線環(huán)境來說，可以登錄到無線控制器管理界面，針對(duì)某個(gè)WLAN項(xiàng)，在工具欄上點(diǎn)擊“SECURITY”按鈕，點(diǎn)擊“New”按鈕，輸入新的ACL控制列表名稱（例如“Wirelessacs”），在該ACL的屬性窗口中點(diǎn)擊“Add New Rule”按鈕，輸入新規(guī)則序號(hào)，在“Protocol”列表中選擇“ICMP” 項(xiàng)，在“Action”列表中選擇“Deny”項(xiàng)，點(diǎn)擊“Apply”按鈕，保存該規(guī)則。

同理創(chuàng)建新的規(guī)則，針對(duì)所有的屬性（包括源地址，目的地址，所有協(xié)議等）執(zhí)行“Pernit”動(dòng)作。

在ISE管理界面中點(diǎn)擊菜單“Policy” →“Results”項(xiàng)，然后在左側(cè)選 擇“Authorization” →“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，創(chuàng)建新的授權(quán)項(xiàng)目，輸入其名稱（例 如“Author1”），選 擇“DACL Name”項(xiàng)，在其右側(cè)選擇“newacl”項(xiàng)，選擇“VLAN”項(xiàng)，設(shè)置合適的VLAN，這樣當(dāng)在有線環(huán)境中訪問時(shí)，就可以執(zhí)行預(yù)設(shè)的ACL，并被劃分到指定的VLAN中。對(duì)應(yīng)的創(chuàng)建名為“Author2”的授權(quán)項(xiàng)目，選擇“Airespace ACL Name”項(xiàng)，選擇“Wirelessacs”項(xiàng)，這樣當(dāng)在無線環(huán)境中訪問時(shí)，可以執(zhí)行預(yù)設(shè)的ACL。

創(chuàng)建授權(quán)訪問規(guī)則

點(diǎn)擊工具欄上的“Authorization”按 鈕，在授權(quán)策略列表第一行右側(cè)點(diǎn)擊“Edit” →“Insert New Rule Ablove”項(xiàng)，在頂部插入新的策略項(xiàng)，在“Rule Name”欄中輸入策略名（例如“Yxfw”），在“Conditions”欄中選擇“Guest”組，在將其位置屬性設(shè)置為A地點(diǎn)。在“Permissions”欄中選擇上述“Author1”授權(quán)項(xiàng)。

同理創(chuàng)建名為“Wxfw”的授權(quán)策略，在“Conditions”欄中選擇“Guest”組，在將其位置屬性設(shè)置為C地點(diǎn)。在“Permissions”欄中選擇上述“Author2”授權(quán)項(xiàng)。

當(dāng)然，這里只是以簡(jiǎn)單的例子進(jìn)行說明，實(shí)際的配置要更加靈活。

門戶網(wǎng)站使用實(shí)例

這樣，當(dāng)新來的員工到本單位后，為了便于訪問網(wǎng)絡(luò)，可以向單位的某個(gè)合法員工發(fā)出幫助請(qǐng)求，該合法用戶可以登錄到ISE的贊助商門戶網(wǎng)站，為其創(chuàng)建臨時(shí)Guest賬戶。得到臨時(shí)賬戶后，該外來人員可以將自己的電腦連接到交換機(jī)的某個(gè)端口上。之后打開瀏覽器，輸入內(nèi)網(wǎng)中的某個(gè)網(wǎng)址，就可以重定向到ISE的來賓門戶網(wǎng)站。輸入上述臨時(shí)賬戶和密碼，點(diǎn)擊“登錄”按鈕，就可以按照預(yù)設(shè)的策略連接到網(wǎng)絡(luò)中。

除了使用有線連接，也可以使用無線進(jìn)行連接，選擇目標(biāo)WLAN項(xiàng)進(jìn)行連接，其連接過程基本相同。當(dāng)對(duì)于無線連接來說，還可以使用自助服務(wù)進(jìn)行操作。當(dāng)然，其訪問權(quán)限會(huì)受到預(yù)設(shè)策略的制約。