ISE的客户服务类型

ISE客户服务实现步骤包括客户初始化连接到一个个颗粒的客户网络，之后在网页认证页面输入对应的帐号信息，就可以执行所需的网络访问了。

Guest Service支持 Guest User、Sponser和Admin用户类型，其中Sponsor类型一般由企业内部员工使用。在ISE管理页面点击“Administration”、“Identity Source Sequences”项，点击工具栏上的“Add”按钮，创建新的身份顺序源。输入其名称（例如“sfsxy”），在“Available”列表中显示可用的身份源，包括“Internal Endpoints”（内部终端）、“Internal User”（本地数据库）以及域账户等。

当然，域账户需要事先导入到ISE中。选择合适的身份源（例如选择本地数据库和域账户等），点击“>”按钮，将其添加到“Selected”列表中，可以根据需要来调整其排列顺序，有了身份顺序源，就可以很方便的查找账户信息。

设置门户管理参数

首先，依次点击“Administration” →“Web Portal Management”→“Settings”选项，在左侧依次点击“Guest”→“Details Policy”项，在右侧的“First Name”、“Last Name”以及“Company”列表中分别选择“Mandatory”项，那么在创建客户账户时，必须设置名称和公司信息，点击“Save”按钮保存配置信息。

在左侧选择“Guest” →“Multi-Portal Configrations”→“defaultGuestPortal”项，在右侧的“Operations”面板中如果选择“Guest users should be allow to do self service”项，允许客户自己创建临时账户。

在“Authentication”面板中的“Identity Store Sequence”列表中选择上述“sfsxy” 身份顺序源，作为认证的依据。

在左侧选择“Guest”→“Portal Policy”项，在右侧的“Self Registration Guest Role”列表中选择选择“Guest”项，表示客户创建的临时账户只能保存在Guest组中。

配置账户和密码策略

在左侧选择“Guest”→“Password Policy” 项，在右侧可以定义客户密码策略，包括密码组成、密码位数、密码包含的数字个数、密码包含的符号、符号出现的次数等。

注意，密码是随机产生的。在左侧选择“Guest”→“Time Profiles”项，在右侧显示时间模版，例如对于“DefaultOneHour”模版来说，表示当创建临时账户后，其只能存在一个小时。

而对于“Default FirstLogin”模版来说，当临时账户第一次登录后，只能使用一个小时。对于“DefaultStartEnd”模版来说，可以自定义账户有效期。当然，可以根据调整对应的时间模版或者创建新的模版。

例如点击工具栏上的“Add”按钮，创建的新的时间模版，输入其名称（例 如“Timemb”）和描述信息，选择合适的时区（例如“Asia/Chongqing”）， 在“Account Type”列表中选择“FromFirstLogin”项，表示从首次登录开始计算可用时间。

在“Duration”栏中设置所需的时间长度（如10个小时）。点击“Submit”按钮提交修改。

在左侧点击“Guest”→“Username Policy”项，在右侧显示默认的账户名称策略，包括用户名字符组成、最小位数、账户名包含的数字个数、账户名包含的符号、符号出现的次数等。

为了便于操作，可以对其进行适当的调整，例如将账户名长度设置为6位、不包含数字等。

对应的，可以对赞助商门户进行设置。在左侧选择“Sponsor”→“Authentication Source”项，在右侧选择认证源，在“Identity Store Sequence”列表选择合适的身份顺序源，可以使用域中的数据库，也可以使用本地数据库。例如选择“sfsxy”身份顺序源项目。

创建所需的账户

点击“Administration”、“Groups”项，点击工具栏上的“Add”按钮，创建名为“Tempgrp”的组。点击菜 单“Administration”→“Identitties”项，点击工具栏上的“Add”按钮，创建一个新的账户，输入名称（例如“Newuser”），设置密码。在“User Group”列表中选择上述“Tempgrp”的组，将本账户放置到该组中。点击菜单“Administration”→“Identities”项，在 左侧点击“users”，在右侧点击“Add”按钮，创建名为“user1”的账户并设置密码，然后将其放置到“Employee”组中，该组是ISE内置的本地组。同时，在AD、数据库中设置了名为“aduser1”的账户，用来对ISE进行全面管理。

当然，这需要将AD数据库中的相应账户信息导入到ISE的账户数据库中，因为只有将ISE设备集成到Windows的域环境中，才可以有效发挥其功能。具体导入的方法很简单，这里限于篇幅不再赘述。

为了便于进行权限的控制，这里针对以上不同类型的账户，在登录到赞助商门户时，进行权限控制操作。即针对“Aduser”账户来说，其拥有的权限最大，对于属于临时性质的“Newuser1”账户来说，其拥有的权限最小号，对于本地“Employee”组中“user1”账户来说，其权限则处于两者之间。

自定义门户组，实现灵活访问

为了便于使用，采用自定义组的方式，来实现灵活的权限管理。

注意，默认门户组是无法删除的，但是其对应的默认策略可以删除。点击工具栏上的“Administrations”→“Sponsor Group Policy”项，点击“Add”按钮，在“Name”栏中输入新门户组名称（例如“ZdGroup”），在“Authorization Levels”面板中设置其拥有的权利等级，包括允许登录、创建单独的账户、创建随机账户、导入数据、发送邮件、发送短信、查看客户密码、打印客户信息、查看/编辑账户等。

在默认状态下，所有的权限都处于允许状态，让其拥有最大权限。在“Guest Roles”面板中的“Select an item”列中选择具体的组名（例 如“Guest”、“Empoyee”、“TempGrp”等），表示允许该门户组组中的用户可以产生选定组的账户。在“Time”面板中显示所有的时间模版，您可以根据需要进行选择，例如导入所有的时间模版。点击“Submit”按钮保存修改。

对应的，创建名为“YbGroup” 的门户组，“Authorization Levels”面板对其权限进行适当的控制。

例 如，在“View Guest Password” 和“Allow Printing Guest Details”列表中均选择“No”项，禁止其查看和打印Guest账户密码信息。在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中均选择“Group Accounts”项，只允许其查看和管理本组中的账户信息。在“Guest Roles”面板中只允许其创建“TempGrp”、“Guest”组的 账户。而在“Time Profiles”面板中导入合适的时间模版。

之后创则建名为“ZxGroup”的门户组，在“Authorization Levels”面板中为其设置尽可能小的权限，例如禁止发送邮件和短信、禁止查看、打印和管理账户信息，在“View/Edit Accounts” 和“Suspend/Reinstate Accounts”列表中选择“Own Accounts”项，只允许其管理自己产生的账户。

在“Guest Roles”面板中只允许其创建“Guest”组的账户，最后在“Time Profiles”面 板中只能导入尽可能少的时间模版，例如只能使用“DefaultFirstLogin”模版。

创建门户组策略

点击工具栏上的“Sponsor Group Policy”按钮， 在“Identity Groups”列中分别选择上述默认门户组，点击“Action”→“Delete”项将相关的策略删除。

在第一行中的“Policy Name”l栏中输入策略名（例 如“PolicyAll”），在“Identity Groups” 栏中选择“Any”，在“Other Conditions”栏中选择外部组中的“ISEGrp”组，该组事先需要在域控中的AD数据库中创建，主要用来存储和ISE管理相关的账户。

在“Pick Sponsor Group(s)”栏中选择上述“ZdGroup”门户组。这样，只要是属于“ISEGrp”中的用户，在登录赞助商门户时，就可以拥有最大的管理权限。

点击右侧的“Action”→“Insert New Policy Below”项，追加新的策略项。 在“Policy Name”栏中输入策略名（例如“Policylocal”）， 在“Identity Groups”栏中选择本地组中的“Empolyee”组，该组是ISE内置的组。在“Pick Sponsor Group(s)”栏中选择上述“YbGroup”门户组。

这样，只要是属于“Empolyee”中的用户，在登录赞助商门户时，就可以拥有适中的管理权限。同理添加新的策略项，在“Policy Name”栏中输入策略名（例如“PolicyOwn”），在“Identity Groups”栏中选择本地组中 的“TempGrp”组，该 组是自定义的组。在“Pick Sponsor Group(s)”栏中选择上述“ZxGroup”门户组。

这样，只要是属于“TempGrp”组中的用户，在登录赞助商门户时，就可以拥有最小的管理权限。

创建有线和无线授权项目

当然。还需要为这些账户设置访问策略，让其可以执行一些网络访问操作。例如对于宾客账户来说，不能访问企业内部网络，只能访问互联网。在ISE管理界面中点击“Policy”→“Result”项，在左侧选择“Authorization”→“Downloadable ACLs”项，在右侧点击“Add”按钮，创建新的下载访问列表，输入其名称（例如“newacl”），在“DACL Content”栏中输入“deny icmp any any”、“permit ip any any”等内容。

对于无线环境来说，可以登录到无线控制器管理界面，针对某个WLAN项，在工具栏上点击“SECURITY”按钮，点击“New”按钮，输入新的ACL控制列表名称（例如“Wirelessacs”），在该ACL的属性窗口中点击“Add New Rule”按钮，输入新规则序号，在“Protocol”列表中选择“ICMP” 项，在“Action”列表中选择“Deny”项，点击“Apply”按钮，保存该规则。

同理创建新的规则，针对所有的属性（包括源地址，目的地址，所有协议等）执行“Pernit”动作。

在ISE管理界面中点击菜单“Policy” →“Results”项，然后在左侧选 择“Authorization” →“Authorization Profiles”项，在右侧点击“Add”按钮，创建新的授权项目，输入其名称（例 如“Author1”），选 择“DACL Name”项，在其右侧选择“newacl”项，选择“VLAN”项，设置合适的VLAN，这样当在有线环境中访问时，就可以执行预设的ACL，并被划分到指定的VLAN中。对应的创建名为“Author2”的授权项目，选择“Airespace ACL Name”项，选择“Wirelessacs”项，这样当在无线环境中访问时，可以执行预设的ACL。

创建授权访问规则

点击工具栏上的“Authorization”按 钮，在授权策略列表第一行右侧点击“Edit” →“Insert New Rule Ablove”项，在顶部插入新的策略项，在“Rule Name”栏中输入策略名（例如“Yxfw”），在“Conditions”栏中选择“Guest”组，在将其位置属性设置为A地点。在“Permissions”栏中选择上述“Author1”授权项。

同理创建名为“Wxfw”的授权策略，在“Conditions”栏中选择“Guest”组，在将其位置属性设置为C地点。在“Permissions”栏中选择上述“Author2”授权项。

当然，这里只是以简单的例子进行说明，实际的配置要更加灵活。

门户网站使用实例

这样，当新来的员工到本单位后，为了便于访问网络，可以向单位的某个合法员工发出帮助请求，该合法用户可以登录到ISE的赞助商门户网站，为其创建临时Guest账户。得到临时账户后，该外来人员可以将自己的电脑连接到交换机的某个端口上。之后打开浏览器，输入内网中的某个网址，就可以重定向到ISE的来宾门户网站。输入上述临时账户和密码，点击“登录”按钮，就可以按照预设的策略连接到网络中。

除了使用有线连接，也可以使用无线进行连接，选择目标WLAN项进行连接，其连接过程基本相同。当对于无线连接来说，还可以使用自助服务进行操作。当然，其访问权限会受到预设策略的制约。