使用客戶服務靈活管理外來訪問

ISE的客戶服務類型

ISE客戶服務實現步驟包括客戶初始化連接到一個個顆粒的客戶網絡，之后在網頁認證頁面輸入對應的帳號信息，就可以執行所需的網絡訪問了。

Guest Service支持 Guest User、Sponser和Admin用戶類型，其中Sponsor類型一般由企業內部員工使用。在ISE管理頁面點擊“Administration”、“Identity Source Sequences”項，點擊工具欄上的“Add”按鈕，創建新的身份順序源。輸入其名稱（例如“sfsxy”），在“Available”列表中顯示可用的身份源，包括“Internal Endpoints”（內部終端）、“Internal User”（本地數據庫）以及域賬戶等。

當然，域賬戶需要事先導入到ISE中。選擇合適的身份源（例如選擇本地數據庫和域賬戶等），點擊“>”按鈕，將其添加到“Selected”列表中，可以根據需要來調整其排列順序，有了身份順序源，就可以很方便的查找賬戶信息。

設置門戶管理參數

首先，依次點擊“Administration” →“Web Portal Management”→“Settings”選項，在左側依次點擊“Guest”→“Details Policy”項，在右側的“First Name”、“Last Name”以及“Company”列表中分別選擇“Mandatory”項，那么在創建客戶賬戶時，必須設置名稱和公司信息，點擊“Save”按鈕保存配置信息。

在左側選擇“Guest” →“Multi-Portal Configrations”→“defaultGuestPortal”項，在右側的“Operations”面板中如果選擇“Guest users should be allow to do self service”項，允許客戶自己創建臨時賬戶。

在“Authentication”面板中的“Identity Store Sequence”列表中選擇上述“sfsxy” 身份順序源，作為認證的依據。

在左側選擇“Guest”→“Portal Policy”項，在右側的“Self Registration Guest Role”列表中選擇選擇“Guest”項，表示客戶創建的臨時賬戶只能保存在Guest組中。

配置賬戶和密碼策略

在左側選擇“Guest”→“Password Policy” 項，在右側可以定義客戶密碼策略，包括密碼組成、密碼位數、密碼包含的數字個數、密碼包含的符號、符號出現的次數等。

注意，密碼是隨機產生的。在左側選擇“Guest”→“Time Profiles”項，在右側顯示時間模版，例如對于“DefaultOneHour”模版來說，表示當創建臨時賬戶后，其只能存在一個小時。

而對于“Default FirstLogin”模版來說，當臨時賬戶第一次登錄后，只能使用一個小時。對于“DefaultStartEnd”模版來說，可以自定義賬戶有效期。當然，可以根據調整對應的時間模版或者創建新的模版。

例如點擊工具欄上的“Add”按鈕，創建的新的時間模版，輸入其名稱（例 如“Timemb”）和描述信息，選擇合適的時區（例如“Asia/Chongqing”）， 在“Account Type”列表中選擇“FromFirstLogin”項，表示從首次登錄開始計算可用時間。

在“Duration”欄中設置所需的時間長度（如10個小時）。點擊“Submit”按鈕提交修改。

在左側點擊“Guest”→“Username Policy”項，在右側顯示默認的賬戶名稱策略，包括用戶名字符組成、最小位數、賬戶名包含的數字個數、賬戶名包含的符號、符號出現的次數等。

為了便于操作，可以對其進行適當的調整，例如將賬戶名長度設置為6位、不包含數字等。

對應的，可以對贊助商門戶進行設置。在左側選擇“Sponsor”→“Authentication Source”項，在右側選擇認證源，在“Identity Store Sequence”列表選擇合適的身份順序源，可以使用域中的數據庫，也可以使用本地數據庫。例如選擇“sfsxy”身份順序源項目。

創建所需的賬戶

點擊“Administration”、“Groups”項，點擊工具欄上的“Add”按鈕，創建名為“Tempgrp”的組。點擊菜 單“Administration”→“Identitties”項，點擊工具欄上的“Add”按鈕，創建一個新的賬戶，輸入名稱（例如“Newuser”），設置密碼。在“User Group”列表中選擇上述“Tempgrp”的組，將本賬戶放置到該組中。點擊菜單“Administration”→“Identities”項，在 左側點擊“users”，在右側點擊“Add”按鈕，創建名為“user1”的賬戶并設置密碼，然后將其放置到“Employee”組中，該組是ISE內置的本地組。同時，在AD、數據庫中設置了名為“aduser1”的賬戶，用來對ISE進行全面管理。

當然，這需要將AD數據庫中的相應賬戶信息導入到ISE的賬戶數據庫中，因為只有將ISE設備集成到Windows的域環境中，才可以有效發揮其功能。具體導入的方法很簡單，這里限于篇幅不再贅述。

為了便于進行權限的控制，這里針對以上不同類型的賬戶，在登錄到贊助商門戶時，進行權限控制操作。即針對“Aduser”賬戶來說，其擁有的權限最大，對于屬于臨時性質的“Newuser1”賬戶來說，其擁有的權限最小號，對于本地“Employee”組中“user1”賬戶來說，其權限則處于兩者之間。

自定義門戶組，實現靈活訪問

為了便于使用，采用自定義組的方式，來實現靈活的權限管理。

注意，默認門戶組是無法刪除的，但是其對應的默認策略可以刪除。點擊工具欄上的“Administrations”→“Sponsor Group Policy”項，點擊“Add”按鈕，在“Name”欄中輸入新門戶組名稱（例如“ZdGroup”），在“Authorization Levels”面板中設置其擁有的權利等級，包括允許登錄、創建單獨的賬戶、創建隨機賬戶、導入數據、發送郵件、發送短信、查看客戶密碼、打印客戶信息、查看/編輯賬戶等。

在默認狀態下，所有的權限都處于允許狀態，讓其擁有最大權限。在“Guest Roles”面板中的“Select an item”列中選擇具體的組名（例 如“Guest”、“Empoyee”、“TempGrp”等），表示允許該門戶組組中的用戶可以產生選定組的賬戶。在“Time”面板中顯示所有的時間模版，您可以根據需要進行選擇，例如導入所有的時間模版。點擊“Submit”按鈕保存修改。

對應的，創建名為“YbGroup” 的門戶組，“Authorization Levels”面板對其權限進行適當的控制。

例 如，在“View Guest Password” 和“Allow Printing Guest Details”列表中均選擇“No”項，禁止其查看和打印Guest賬戶密碼信息。在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中均選擇“Group Accounts”項，只允許其查看和管理本組中的賬戶信息。在“Guest Roles”面板中只允許其創建“TempGrp”、“Guest”組的 賬戶。而在“Time Profiles”面板中導入合適的時間模版。

之后創則建名為“ZxGroup”的門戶組，在“Authorization Levels”面板中為其設置盡可能小的權限，例如禁止發送郵件和短信、禁止查看、打印和管理賬戶信息，在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中選擇“Own Accounts”項，只允許其管理自己產生的賬戶。

在“Guest Roles”面板中只允許其創建“Guest”組的賬戶，最后在“Time Profiles”面 板中只能導入盡可能少的時間模版，例如只能使用“DefaultFirstLogin”模版。

創建門戶組策略

點擊工具欄上的“Sponsor Group Policy”按鈕， 在“Identity Groups”列中分別選擇上述默認門戶組，點擊“Action”→“Delete”項將相關的策略刪除。

在第一行中的“Policy Name”l欄中輸入策略名（例 如“PolicyAll”），在“Identity Groups” 欄中選擇“Any”，在“Other Conditions”欄中選擇外部組中的“ISEGrp”組，該組事先需要在域控中的AD數據庫中創建，主要用來存儲和ISE管理相關的賬戶。

在“Pick Sponsor Group(s)”欄中選擇上述“ZdGroup”門戶組。這樣，只要是屬于“ISEGrp”中的用戶，在登錄贊助商門戶時，就可以擁有最大的管理權限。

點擊右側的“Action”→“Insert New Policy Below”項，追加新的策略項。 在“Policy Name”欄中輸入策略名（例如“Policylocal”）， 在“Identity Groups”欄中選擇本地組中的“Empolyee”組，該組是ISE內置的組。在“Pick Sponsor Group(s)”欄中選擇上述“YbGroup”門戶組。

這樣，只要是屬于“Empolyee”中的用戶，在登錄贊助商門戶時，就可以擁有適中的管理權限。同理添加新的策略項，在“Policy Name”欄中輸入策略名（例如“PolicyOwn”），在“Identity Groups”欄中選擇本地組中 的“TempGrp”組，該 組是自定義的組。在“Pick Sponsor Group(s)”欄中選擇上述“ZxGroup”門戶組。

這樣，只要是屬于“TempGrp”組中的用戶，在登錄贊助商門戶時，就可以擁有最小的管理權限。

創建有線和無線授權項目

當然。還需要為這些賬戶設置訪問策略，讓其可以執行一些網絡訪問操作。例如對于賓客賬戶來說，不能訪問企業內部網絡，只能訪問互聯網。在ISE管理界面中點擊“Policy”→“Result”項，在左側選擇“Authorization”→“Downloadable ACLs”項，在右側點擊“Add”按鈕，創建新的下載訪問列表，輸入其名稱（例如“newacl”），在“DACL Content”欄中輸入“deny icmp any any”、“permit ip any any”等內容。

對于無線環境來說，可以登錄到無線控制器管理界面，針對某個WLAN項，在工具欄上點擊“SECURITY”按鈕，點擊“New”按鈕，輸入新的ACL控制列表名稱（例如“Wirelessacs”），在該ACL的屬性窗口中點擊“Add New Rule”按鈕，輸入新規則序號，在“Protocol”列表中選擇“ICMP” 項，在“Action”列表中選擇“Deny”項，點擊“Apply”按鈕，保存該規則。

同理創建新的規則，針對所有的屬性（包括源地址，目的地址，所有協議等）執行“Pernit”動作。

在ISE管理界面中點擊菜單“Policy” →“Results”項，然后在左側選 擇“Authorization” →“Authorization Profiles”項，在右側點擊“Add”按鈕，創建新的授權項目，輸入其名稱（例 如“Author1”），選 擇“DACL Name”項，在其右側選擇“newacl”項，選擇“VLAN”項，設置合適的VLAN，這樣當在有線環境中訪問時，就可以執行預設的ACL，并被劃分到指定的VLAN中。對應的創建名為“Author2”的授權項目，選擇“Airespace ACL Name”項，選擇“Wirelessacs”項，這樣當在無線環境中訪問時，可以執行預設的ACL。

創建授權訪問規則

點擊工具欄上的“Authorization”按 鈕，在授權策略列表第一行右側點擊“Edit” →“Insert New Rule Ablove”項，在頂部插入新的策略項，在“Rule Name”欄中輸入策略名（例如“Yxfw”），在“Conditions”欄中選擇“Guest”組，在將其位置屬性設置為A地點。在“Permissions”欄中選擇上述“Author1”授權項。

同理創建名為“Wxfw”的授權策略，在“Conditions”欄中選擇“Guest”組，在將其位置屬性設置為C地點。在“Permissions”欄中選擇上述“Author2”授權項。

當然，這里只是以簡單的例子進行說明，實際的配置要更加靈活。

門戶網站使用實例

這樣，當新來的員工到本單位后，為了便于訪問網絡，可以向單位的某個合法員工發出幫助請求，該合法用戶可以登錄到ISE的贊助商門戶網站，為其創建臨時Guest賬戶。得到臨時賬戶后，該外來人員可以將自己的電腦連接到交換機的某個端口上。之后打開瀏覽器，輸入內網中的某個網址，就可以重定向到ISE的來賓門戶網站。輸入上述臨時賬戶和密碼，點擊“登錄”按鈕，就可以按照預設的策略連接到網絡中。

除了使用有線連接，也可以使用無線進行連接，選擇目標WLAN項進行連接，其連接過程基本相同。當對于無線連接來說，還可以使用自助服務進行操作。當然，其訪問權限會受到預設策略的制約。