BYOD
(Bring Your Own Device) sobre ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
_________________________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
De igual manera, se debe haber preconfigurado Cisco ISE para integración con Active Directory.
_________________________________________________________________________________
Proceso 1: Configurando Portal BYOD, Servicio BYOD para Empleado
Autenticado.
Paso 1: Navegar a través de la ruta Work
Centers > BYOD > Configure > BYOD Portals.
Paso 2: A la derecha de la ventana llegar el campo Portal Name, colocar el nombre del
portal, por ejemplo: TraeTuMovil
y en el campo Description, describir
las características y funciones de dicho portal. Validar figura 57.
Figura57.: Nombre y descripcion
del portal, Servicio BYOD para empleado Autenticado
Paso 2: Luego hacer click sobre la seccion
Portal Settings. Dejar las
configuraciones por defecto como muestra la Figura58, solo realizar cambios en
la seccion Display Lenguage marcando
la casilla Always Use optando por Spanish-Español.
Figura58.: Nombre y descripcion
del portal, Servicio BYOD para empleado Autenticado
Paso 3: Hacer click sobre BYOD Settings, marcar la casilla Include an AUP y optar por on page. Marcar la casilla Display Device ID field during
registration. Por ultimo marcar la opcion Success page en la seccion After successful device configuration table
employee to:.
Paso 4: Hacer click sobre Support Information Page Settings, marcar
Include Support Information Page, luego
las casillas MAC address, IP address,
Browser user agent, Policy server y Failure code. En la seccion inferior Empty Fields, marcar Hide Field. Validar Figura59.
Figura59.: Byod and Support Settings, Servicio BYOD para
empleado Autenticado
Paso 5: Click en Save.
Paso 6: Click sobre la seccion Portal
Page Customization.
Paso 7: En el campo Portal
Theme, optar por un tema, por ejemplo: DefaultBluetheme.
Paso 8: n el campo View in, elegir
Spanish-Español.
Paso 9: En la seccion Text
Elements, colocar el nombre visible del portal en el campo Banner tittle, por ejemplo BYOD Portal.
Paso 16: En la sección Global
Page Customizations Imágenes, subir los logos y emblemas del cliente tanto
para la version de navegador del dispositivo movil como para el desktop.
Validar Figura60.
Paso 17: Click en boton Save.
Figura60.: Byod and Support Settings, Servicio BYOD para
empleado Autenticado
Proceso 2: Configurando Portal BYOD, Servicio BYOD para Empleado
Autenticado.
Paso 1: Navegar a través de la ruta Work
Centers > BYOD > Configure > My Devices Portals.
Paso 2: A la derecha de la ventana llegar el campo Portal Name, colocar el nombre del
portal, por ejemplo: MiPortal_BYOD
y en el campo Description, describir
las características y funciones de dicho portal. Validar figura 61.
Figura61.: Portal Name, My Devices
Portals, Servicio BYOD para empleado Autenticado
Paso 3: Luego hacer click sobre la seccion
Portal Settings. Dejar las
configuraciones por defecto como muestra la Figura62, solo realizar cambios en
la seccion Display Lenguage marcando
la casilla Always Use optando por Spanish-Español,y en
el campo Authentication Method elegir
la Identity Source Sequence (la fuente de identidades que se
permitiran como credenciales validas), para
editarlas o crear una nueva:
Navegar a través de la ruta Work Centers > Guest Access > Identities > Identity Source
Sequence. A la derecha hacer click en +Add.
Editar el campo Name, por
ejemplo MyDevices_Portal_Sequence. En Authentication
Search List, seleccionar SETRYS. Dejar marcada la opcion Treat
as if the user was not found an proceed to the next store in the sequence. Click
en Save. Validar figura 63.
Figura62.: Portal Settings, My
Devices Portals, Servicio BYOD para empleado Autenticado
Figura63.: Identity Source
Sequence, My Devices Portals, Servicio BYOD para empleado Autenticado
Paso 9: Hacer click sobre Acceptable Use Policy (AUP) Page Settings,
marcar Include an AUP page y por
ultimo On first login only.
Paso 10: Hacer click sobre Post Login Banner Portal Settings, marcar
Include a Post Login Banner Page.
Paso 11: Hacer click sobre Employee Change Password Settings, no
marcar ninguna casilla.
Paso 12: Hacer click sobre Support Information Page Settings, marcar
Include Support Information Page, luego
las casillas MAC address, IP address,
Browser user agent, Policy server y Failure code. En la seccion inferior Empty Fields, marcar Hide Field. Validar Figura64.
Paso 13: Hacer click Save.
Figura64.: AUP, PostLogin Banner y
Support Information, My Devices Portals, Servicio BYOD para empleado
Autenticado
Paso 14: Hacer click
Paso 15: Click sobre la seccion Portal
Page Customization.
Paso 16: En el campo Portal
Theme, optar por un tema, por ejemplo: DefaultBluetheme.
Paso 17: En el campo View
in, elegir Spanish-Español.
Paso 18: En la seccion Text
Elements, colocar el nombre visible del portal en el campo Banner tittle, por ejemplo Mi Portal de
Dispositivos.
Paso 19: En la sección Global
Page Customizations Imágenes, subir los logos y emblemas del cliente tanto
para la version de navegador del dispositivo movil como para el desktop.
Validar Figura65.
Paso 20: Click en boton Save.
Figura65.: My Devices Portals,
Portal Page Customization, Servicio BYOD para empleado Autenticado
Proceso 3: Configurar Condiciones de Autorización, Servicio BYOD
para Empleado Autenticado.
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: BYOD_is_Registered.
Paso 4: En el campo Description de la sección Condition
Expression elegir EndPoints:BYODisRegistered,
seguido por Equals y por último Yes. Validar
Figura 66.
Paso 5: Click en Save.
Figura66.: Condición EndPoints
registrado, Servicio BYOD para empleado autenticado
Paso 5: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 6: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
7: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: EAP-TLS.
Paso 8: En el campo Description de la sección Condition
Expression elegir Network Access:EapAuthentication,
seguido por Equals y por último EAP-TLS. Validar
Figura 67.
Paso 9: Click en Save.
Figura67.: Condición Auteticacion
EAP, Servicio BYOD para empleado autenticado
Paso 10: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 11: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
12: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: EAP-MSCHAPv2.
Paso 13: En el campo Description de la sección Condition
Expression elegir Network Access:EapAuthentication,
seguido por Equals y por último EAP-MSCHAPv2. Validar
Figura 68.
Paso 14: Click en Save.
Figura68.: Condición Auteticacion
EAP-MSCHAPv2, Servicio BYOD para empleado autenticado
Paso 15: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 16: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
17: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo:
GrupoBYOD_BCOEXT.
Paso 18: En el campo Description de la sección Condition
Expression elegir SETRYS:ExternalUsers,
seguido por Equals y por último Setrys.com/Users/DomainAdmins
Validar Figura 69.
Paso 19: Click en Save.
Figura69.: Condición Grupo de
Acceso, Servicio BYOD para empleado autenticado
Proceso 4: Configurando Perfil de Autorización, Servicio BYOD
para Empleado Autenticado.
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Results.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Authorization Profiles.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: NPS_Onboard.
Paso 4: En el campo Access
Type elegir ACCESS_ACCEPT.
Paso 5: En la seccion Common Tasks, marcar la casilla Web Redirection (CWA, MDM, NSP, CPP). Seguido y a la izquiera optar
por Native
Supplicant Provisioning, en el campo ACL
colocar el nombre de la lista de acceso de preautentication configurada en el
WLC, en este caso PreAuth_Invitado. A la derecha en el campo Value optar por el nombre del portal
configurado para BYOD, por ejemplo: TraeTuMovil.
Paso 6: Click en Save. Verificar Figura70.
Figura70.: Perfil de Autorizacion,
Servicio BYOD para empleado autenticado
Proceso 5: Configurar Política de Autorización, Servicio BYOD
para Empleado Autenticado
Paso 1: Navegar
a traves de la ruta Policy > Authorization.
Paso 2: Crear una política de autorización agregándola y
colocándole un nombre, por ejemplo: Employee_EAP-TLS, en condiciones los atributos y condiciones ya
existentes y configuradas: Wireless 802.1X, BYOD_is_Registered y EAP-TLS.
En el campo Permission optar por los
perfiles de autorización PermitAccess
y el grupo de seguridad BYOD.
Paso
3: Click en Done.
Paso 4: Crear
una política de autorización justo debajo de la anterior, agregándola y
colocándole un nombre, por ejemplo: Employee_Onboarding, en condiciones los atributos y condiciones ya
existentes y configuradas: Wireless 802.1X, EAP-MSCHAPv2 y GrupoBYOD_BCOEXT (como alternativa la condición puede ser creada
directamente para esta política). En el campo Permission optar por los perfiles de autorización NSP_Onboard y el grupo de seguridad BYOD.
Paso 5: Click en Done.
En la parte inferior click en Save. Validar
Figura 71.
Figura71.: Politicas de
Autorizacion, Servicio BYOD para empleado autenticado
Proceso 6: Verificar Certificados, Servicio BYOD para Empleado
Autenticado
Paso 1: Navegar
a traves de la ruta Administration > System
> Certificates. Verificar Figura 72.
Paso 2: En el panel de la izquierda, desplegar la sección
de Certificate Authority y allí
click sobre Certificate Templates. A
la derecha, hacer click sobre la casilla EAP_Authentication_Certificate_Template,
luego en el botón Edit.
Paso 3: En la nueva ventana, verificar que en el campo Subject Alternative Name (SAN) contenga
MAC Address.
Figura72.: Politicas de
Autorizacion, Servicio BYOD para empleado autenticado
Proceso 6: Verificar Aplicación Certificados, Servicio BYOD para
Empleado Autenticado
Paso 1: Navegar
a traves de la ruta Work Centers > BYOD
> Client Provisioning. Verificar Figura 73.
Paso 2: En el panel de la izquierda, hacer click sobre Resorces. A la derecha, hacer click
sobre la casilla Cisco-ISE-NSP, luego
en el botón Edit.
Paso 3: En la nueva ventana, en la sección Wireless Profile(s), hacer la casilla
del perfil que existe por default, ISE, y
luego en el botón Edit.
Paso 4: En la nueva ventana y en el campo SSID Name colocar el nombre del SSID
designado para el servicio BYOD-ISE-LAB,
en el campo Security elegir WPA2
Enterprise, en Allowed Protocol elegir TLS y en el campo Certificate Template, optar EAP_Autentication_Certificate_Template.
Click en Submit, luego en Save.
Figura73.: Client Provisioning
Resources, Servicio BYOD para empleado autenticado
Proceso 7: Configurando Client Provisioning Policy, Servicio BYOD
para Empleado Autenticado
Paso 1: Navegar
a traves de la ruta Work Centers > BYOD
> Client Provisioning. Verificar Figura 74.
Paso 2: En el panel de la izquierda, hacer click sobre Client Provisioning Policy. Verificar
el despliegue de políticas por Default, en donde el recurso Cisco-ISE-NSP es aplicado como Result para dispositivos Apple y
Android.
Figura74.: Client Provisioning Policy, Servicio BYOD para empleado autenticado
Proceso 8: Configurando limite Equipos por Cliente, Servicio BYOD
para Empleado Autenticado
Paso 1: Navegar
a traves de la ruta Work Centers > BYOD
> Settings. Verificar Figura 75.
Paso 2: En el panel de la izquierda, hacer click sobre Employee Registered Devices.
Paso 3: En el campo Retrict
employees to devices, colocar el
numero máximo de dispositivos registrados permitidos por cada usuario, por
ejemplo 2.
Paso 4: Click en Save.
Figura75.: Maximo de Equipos
Registrados, Servicio BYOD para empleado autenticado
Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Wireless BYOD with Identity Service Engine. Document ID: 113476.
Bring Your Own Device (BYOD) Solutions. Cisco Validated Design. Agosto 2014.
KUNST, Jason. ISE 2.0 Wireless Guest Setup Guide. Secure Access How to guides series. Marzo 2016.
No hay comentarios:
Publicar un comentario