Kami punya masalah sederhana. Kami ingin membatasi pengguna nirkabel kami ke situs web bisnis tertentu berdasarkan nama pengguna mereka ketika mereka login. Kami memiliki banyak jenis perangkat nirkabel: telepon voip, ponsel, laptop, pemindai kode batang, dan tablet.
Misalkan ada semua kategori situs web ini, yang kami memiliki SSID dan Vlan yang ditetapkan untuk alamat sumber pengguna:
- Internet (SSID-Internet, Vlan101)
- Suara (SSID-Internet, Vlan102)
- Akuntansi (SSID-Bisnis, Vlan103)
- SDM (SSID-Bisnis, Vlan104)
- Persediaan (SSID-Business, Vlan105)
- Penelitian (SSID-Bisnis, Vlan106)
- Jaminan Kualitas (SSID-Bisnis, Vlan107)
- Pabrikan (SSID-Bisnis, Vlan108)
Setiap pengguna kami mungkin perlu menggunakan login Windows mereka untuk mengautentikasi ke jaringan nirkabel, tetapi mereka hanya boleh memiliki akses ke layanan tertentu. Beberapa contoh:
- Pengguna1: Masuk menggunakan kredensial Windows menggunakan telepon VoIP ke SSID-Voice, dan hanya dapat mengakses jaringan Suara dari telepon ini
- User1: Login menggunakan kredensial Windows menggunakan Laptop ke SSID-Business, dan hanya dapat mengakses situs web Akuntansi dari laptopnya
- User1: Login menggunakan kredensial Windows menggunakan ponsel ke SSID-Internet dan hanya dapat mengakses internet melalui proxy.
- User2: Login menggunakan kredensial Windows menggunakan telepon VoIP ke SSID-Voice, dan hanya dapat mengakses jaringan Voice dari teleponnya
- User2: Login menggunakan kredensial Windows menggunakan pemindai barcode ke SSID-Business dan hanya dapat mengakses situs web Inventaris dari pemindai barcode-nya
- User2: Login menggunakan kredensial Windows menggunakan ponsel ke SSID-Internet dan hanya dapat mengakses internet melalui proxy.
Setiap pengguna harus dapat login dengan ponsel mereka ke SSID-Internet, dan telepon wifi ke SSID-Voice. Ini tampaknya cukup mudah jika kita menggunakan pemfilteran alamat-mac. Kami akan menggunakan firewall untuk memastikan pengguna di Vans tidak melampaui batas akses mereka.
Masalahnya adalah kita tidak ingin membuat banyak SSID, sehingga jumlah Vans yang berbeda untuk SSID-Bisnis sulit. Kami ingin menetapkan pengguna ke beberapa Vans yang berbeda ketika mereka masuk ke SSID-Business. Bisakah Cisco ISE & Cisco ACS melakukan ini? Jika demikian, fitur apa yang perlu kita gunakan di Cisco ISE, Cisco ACS, dan WLC? Bisakah semua fungsi ini berfungsi jika kita hanya memiliki satu nama pengguna Windows per pengguna?
WLC kami adalah 5508 yang menjalankan 7.4. Kami memiliki Cisco ACS 5 dan Cisco ISE 1.2.
Jawaban:
Jika Anda tidak perlu membingungkan pengguna Anda dengan beberapa VLAN, jangan lakukan itu. Leverage alat yang Anda miliki. Anda menyebutkan bahwa Anda memiliki ISE dan Anda harus dapat melakukan semua ini dengan satu SSID. Seperti yang sudah disebutkan AdnanG, Anda dapat memanfaatkan fitur profil ISE untuk mengklasifikasikan perangkat.
ACS Anda harus dapat mengikat ke dalam otentikasi MS AD dan dapat memberikan otentikasi pengguna dan informasi grup.
Dari sana, Anda hanya perlu menggabungkan pengguna / grup dengan profil perangkat dan kemudian mengikatnya ke VLAN. Jadi, misalnya, jika perangkat diidentifikasi sebagai ponsel dan pengguna adalah bagian dari "grup A", maka dimasukkan ke dalam "grup A - internet" VLAN.
Saya belum melakukannya secara pribadi dengan ISE, jadi tidak bisa memberikan langkah-langkah yang pasti, tetapi ini adalah bagaimana pemasaran Cisco menjual ISE di ruang BYOD. Saya juga tahu beberapa orang yang telah melakukan pengaturan serupa dengan apa yang disarankan. Saya akan mulai dengan melihat melalui dokumen BYOD Cisco ini yang akan memberi Anda gambaran umum tentang bagaimana BYOD dilakukan dengan Cisco ISE.
sumber
Cisco Identitiy SErvices Engine (ISE) dapat melakukan apa yang Anda cari. Fitur ini disebut "Profiling" perangkat netowrk Anda. Cisco ACS akan digunakan untuk Otentikasi dan Integrasi dengan Active Directory Anda. Harap dicatat bahwa untuk mencapai apa yang Anda cari, Anda mungkin perlu berbagai perangkat dalam struktur netowrk Anda. Initautan memiliki gambaran umum tentang solusi yang akan memberi Anda pemahaman yang lebih baik tentang apa yang Anda butuhkan. Lihat bagian 'Komponen Penerapan' untuk gagasan tentang apa yang diperlukan untuk membuat profil. Solusinya mungkin terdengar rumit tetapi semuanya tergantung pada penempatan Anda. Jika salah untuk membeli beberapa perangkat berpikir bahwa itu sudah cukup untuk memberi Anda fungsionalitas yang Anda cari. Solusi Cisco biasanya melibatkan banyak komponen dan harus direncanakan dengan hati-hati.
sumber
Sebuah solusi akan menerapkan 802.11x pada titik akses nirkabel (RADIUS) dan mengintegrasikan otentikasi untuk ini melalui LDAP dengan windows, maka hanya pengguna yang memiliki nama pengguna dan kata sandi windows yang dapat mengakses Titik Akses.
Keuntungan dari ini adalah windows server kemudian dapat mengontrol apa yang dapat diakses berdasarkan rincian login pengguna menggunakan kebijakan grup, izin keamanan di Active Directory dll.
Tetapi solusi ini adalah 2 tier, windows guys perlu memahami bagaimana ini akan bekerja dan sisi jaringan harus diatur juga.
Poster sebelumnya juga menyebutkan Cisco Identity Services Engine (ISE) yang juga berfungsi. Ini sangat tergantung pada pengaturan Anda
sumber