Exit

Immer oefter kommen mittlerweile die Anfragen eine SSID offen fuer alle und eine SSID mit User/Password Authentication fuer premium Nutzer an zu bieten. Dazu sollen die AGBs alle paar Stunden vom Gast akzeptiert werden.

Prinzipiell kein Problem, aber auf anhieb bin ich gleich mehrfach in unterschiedliche Fallen getappt. Sowohl ISE Seitig als auch WLC Seitig gibt es Stolpersteine. Nun bin ich auch mehr die WLAN Technikerin und habe weniger tiefes ISE Wissen als ein Security TechnikerIn.

Wir unterscheiden die zwei Portale in der Policy anhand der Called-Station ID. Die wird per default mit AP-MAC:SSID-Name mitgesendet. Am WLC koennen sie auch auf andere Parameter umgestellt werden e.g. AP Gruppe aber das ist nur bedingt hilfreich meines Erachtens.

Fuer den Zugang nach der Authentication pruefen wir die Guest Type da die Guest Endpoints nur alle 24h geloescht werden koennen und das evtl. zu mehr als 24h zwischen AGBs bestaetigen fuehrt. Ausserdem sind auf der ISE GuestEndpoints nicht mehr einer anderen Gruppe zuweisbar (Gast bezahlt aufpreis fuer Premium).

Die gratis WLAN Benutzer filtern wir noch mit den Endpoints:LastAUPAcceptanceHours damit wir sie alle 8h wieder zum Hotspot Portal senden koennen.

So sieht dann die Policy aus:

ISE Authz Policy

Weniger als 8h ist derzeit (Stand Juli2017) leider nicht moeglich. Die Geruechtekueche besagt, dass das ab ISE 2.2 schon moeglich sein wird – wir warten gespannt 🙂

Close
Go top