Welkom by die derde publikasie van 'n reeks artikels gewy aan Cisco ISE. Skakels na al die artikels in die reeks word hieronder gegee:
In hierdie publikasie sal jy ingaan op gastetoegang, sowel as 'n stap-vir-stap-gids oor die integrasie van Cisco ISE en FortiGate om FortiAP op te stel - 'n toegangspunt van Fortinet (in die algemeen, enige toestel wat ondersteun RADIUS CoA — Verandering van magtiging).
Daarbenewens heg ek ons artikels aan
Let daarop: Check Point SMB-toestelle ondersteun nie RADIUS CoA nie.
Wonderlik
1. inleiding
Gastetoegang (portaal) laat jou toe om toegang tot die internet of tot interne hulpbronne te verskaf vir gaste en gebruikers wat jy nie in jou plaaslike netwerk wil toelaat nie. Daar is 3 vooraf geïnstalleerde tipes gasteportaal:
-
Hotspot-gasteportaal—netwerktoegang word aan gaste verskaf sonder aanmeldinligting. Gebruikers word gewoonlik vereis om in te stem tot 'n maatskappy se "Gebruik- en Privaatheidsbeleid" voordat hulle toegang tot die netwerk verkry.
-
Geborgde-gas-portaal - toegang tot die netwerk en aanmelddata moet deur die borg verskaf word - die gebruiker wat verantwoordelik is vir die skep van gasrekeninge op Cisco ISE.
-
Self-geregistreerde gasportaal - in hierdie geval gebruik gaste bestaande aanmelddata, of skep 'n rekening vir hulself met aanmelddata, maar borgbevestiging word vereis om toegang tot die netwerk te verkry.
U kan verskeie portale gelyktydig op Cisco ISE ontplooi. By verstek sal die gebruiker die Cisco-logo en standaard algemene frases in die gasportaal sien. Dit alles kan aangepas word en jy kan selfs die besigtiging van verpligte advertensies instel voordat jy toegang kry.
Die opstel van gastetoegang kan in 4 hoofstappe opgedeel word: die opstel van FortiAP, die vestiging van Cisco ISE en FortiAP-konneksie, die skep van 'n gasteportaal en die opstel van 'n toegangsbeleid.
2. Konfigureer FortiAP op FortiGate
FortiGate is 'n toegangspuntbeheerder en alle instellings word daarop uitgevoer. FortiAP-toegangspunte ondersteun PoE, so sodra jy dit via Ethernet aan jou netwerk gekoppel het, kan jy met konfigurasie begin.
1) Op FortiGate, gaan na die oortjie WiFi en skakelbeheerder > Bestuurde FortiAP's > Skep nuwe > Bestuurde AP. Gebruik die unieke reeksnommer van die toegangspunt, wat op die toegangspunt self geleë is, voeg dit as 'n voorwerp by. Of dit kan op sy eie verskyn en dan klik Magtig met die regter muisknoppie.
2) FortiAP-instellings kan verstek wees; laat dit byvoorbeeld soos in die skermkiekie. Ek beveel sterk aan om die 5 GHz-modus aan te skakel, want sommige toestelle ondersteun nie 2.4 GHz nie.
3) Dan in die oortjie WiFi- en skakelbeheerder > FortiAP-profiele > Skep nuwe ons skep 'n instellingsprofiel vir die toegangspunt (802.11-protokolweergawe, SSID-modus, kanaalfrekwensie en aantal kanale).
Voorbeeld van FortiAP-instellings
4) Die volgende stap is om 'n SSID te skep. Gaan na die oortjie WiFi en skakelbeheerder > SSID's > Skep nuwe > SSID. Hier is die belangrike dinge om te konfigureer:
-
adresspasie vir gas WLAN - IP/Netmasker
-
RADIUS Rekeningkunde en Veilige Stofverbinding in die Administratiewe Toegang-veld
-
Toestelopsporing-opsie
-
SSID en Broadcast SSID opsie
-
Sekuriteitmodusinstellings > Gevangeportaal
-
Authentication Portal - Ekstern en plak die skakel na die geskepde gasportaal vanaf Cisco ISE vanaf stap 20
-
Gebruikersgroep - Gastegroep - Ekstern - voeg RADIUS by Cisco ISE (afdeling 6 ev)
SSID konfigurasie voorbeeld
5) Vervolgens moet jy reëls in die toegangsbeleid op die FortiGate skep. Gaan na die oortjie Beleid en voorwerpe > Firewall-beleid en skep 'n reël soos hierdie:
3. RADIUS opstelling
6) Gaan na die Cisco ISE-webkoppelvlak na die blad Beleid > Beleidselemente > Woordeboeke > Stelsel > Radius > RADIUS-verskaffers > Voeg by. In hierdie oortjie sal ons RADIUS vanaf Fortinet by die lys van ondersteunde protokolle voeg, aangesien byna elke verkoper sy eie spesifieke eienskappe het - VSA (Vendor-Specific Attributes).
'n Lys van Fortinet RADIUS-kenmerke kan gevind word
7) Stel 'n naam vir die woordeboek, dui aan Verkoper ID (12356) en druk Indien.
8) Daarna gaan ons na Administrasie > Netwerktoestelprofiele > Voeg by en skep 'n nuwe toestelprofiel. In die RADIUS Woordeboeke-veld moet jy die voorheen geskepte Fortinet RADIUS-woordeboek kies en CoA-metodes kies om dit later in die ISE-beleid te gebruik. Ek het RFC 5176 en Port Bounce (afsluiting/geen afsluiting van die netwerkkoppelvlak) en die ooreenstemmende VSA gekies:
Fortinet-Access-Profile = lees-skryf
Fortinet-Groepnaam = fmg_faz_admins
9) Vervolgens moet jy FortiGate byvoeg vir konnektiwiteit met ISE. Om dit te doen, gaan na die blad Administrasie > Netwerkhulpbronne > Netwerktoestelprofiele > Voeg by. Velde moet verander word Naam, Verkoper, RADIUS Woordeboeke (IP-adres word deur FortiGate gebruik, nie FortiAP nie).
Voorbeeld van RADIUS-konfigurasie vanaf ISE-kant
10) Vervolgens moet jy RADIUS aan die FortiGate-kant konfigureer. Gaan in die FortiGate-webkoppelvlak na Gebruiker en stawing > RADIUS-bedieners > Skep nuwe. Spesifiseer die naam, IP-adres en Gedeelde geheim (wagwoord) van die vorige paragraaf. Volgende klik Toets Gebruikersbewyse en voer enige geloofsbriewe in wat via RADIUS opgetrek kan word (byvoorbeeld plaaslike gebruiker op Cisco ISE).
11) Voeg 'n RADIUS-bediener by die Gaste-groep (as dit nie bestaan nie, skep een), sowel as eksterne brongebruikers.
12) Moenie vergeet om die Gaste-groep by die SSID te voeg wat ons vroeër in stap 4 geskep het nie.
4. Die opstel van verifikasie gebruikers
13) Opsioneel kan jy 'n sertifikaat na die ISE-gasportaal invoer of 'n selfondertekende sertifikaat in die oortjie skep Werksentrums > Gastetoegang > Administrasie > Sertifisering > Stelselsertifikate.
14) Na in die blad Werksentrums > Gastetoegang > Identiteitsgroepe > Gebruikersidentiteitsgroepe > Voeg by skep 'n nuwe gebruikersgroep vir gastetoegang, of gebruik die verstekgroepe.
15) Volgende in die blad Administrasie > Identiteite skep gasgebruikers en voeg hulle by die groepe van die vorige paragraaf. As jy derdeparty-rekeninge wil gebruik, slaan dan hierdie stap oor.
16) Gaan dan na instellings Werksentrums > Gastetoegang > Identiteite > Identiteitsbronreeks > Gasportaalvolgorde - Dit is 'n voorafbepaalde verifikasievolgorde vir gasgebruikers. En in die veld Verifikasie soeklys kies die gebruikerverifikasiebestelling.
17) Om gaste met 'n eenmalige wagwoord in kennis te stel, kan jy SMS-verskaffers of SMTP-bediener vir hierdie doel opstel. Gaan na die oortjie Werksentrums > Gastetoegang > Administrasie > SMTP-bediener of SMS-poortverskaffers vir hierdie instellings. In die geval van 'n SMTP-bediener, moet jy 'n rekening vir ISE skep en die data in hierdie oortjie spesifiseer.
18) Vir SMS-kennisgewings, gebruik die toepaslike oortjie. ISE het vooraf geïnstalleerde profiele van gewilde SMS-verskaffers, maar dit is beter om jou eie te skep. Gebruik hierdie profiele as 'n voorbeeld van instellings SMS E-pos Gateway of SMS HTTP API.
Voorbeeld van die opstel van 'n SMTP-bediener en SMS-poort vir 'n eenmalige wagwoord
5. Die opstel van die gasteportaal
19) Soos aan die begin genoem, is daar 3 tipes vooraf geïnstalleerde gasteportale: Hotspot, Geborg, Selfgeregistreer. Ek stel voor dat u die derde opsie kies, aangesien dit die algemeenste is. In elk geval is die instellings grootliks identies. So kom ons gaan na die blad Werksentrums > Gastetoegang > Portale en komponente > Gasteportale > Selfgeregistreerde gasteportaal (verstek).
20) Kies dan in die Portaalbladsyaanpassing-oortjie "Bekyk in Russies - Russies", sodat die portaal in Russies begin vertoon word. Jy kan die teks van enige oortjie verander, jou logo byvoeg en nog baie meer. In die regterhoek is 'n voorskou van die gasteportaal vir 'n geriefliker aanbieding.
Voorbeeld van die opstel van 'n gasteportaal met selfregistrasie
21) Klik op die frase "Portaaltoets-URL" en kopieer die portaal-URL na die SSID op die FortiGate in stap 4. Voorbeeld-URL
Om jou domein te laat vertoon, moet jy die sertifikaat na die gasportaal oplaai, sien stap 13.
22) Gaan na die blad Werksentrums > Gastetoegang > Beleidselemente > Resultate > Magtigingsprofiele > Voeg by om 'n magtigingsprofiel vir 'n voorheen geskepde een te skep Netwerktoestelprofiel.
23) In die blad Werksentrums > Gastetoegang > Beleidstelle wysig die toegangsbeleid vir WiFi-gebruikers.
24) Kom ons probeer om aan die gas SSID te koppel. Ek word dadelik herlei na die aanmeldbladsy. Hier kan jy aanmeld onder die gasrekening wat plaaslik op ISE geskep is, of as 'n gasgebruiker registreer.
25) As jy die selfregistrasie-opsie gekies het, kan eenmalige aanmelddata per e-pos, per SMS of gedruk word.
26) In die RADIUS > Live Logs-oortjie op Cisco ISE sal jy die ooreenstemmende login-logs sien.
6. gevolgtrekking
In hierdie lang artikel het ons gastetoegang suksesvol op Cisco ISE gekonfigureer, waar FortiGate as die toegangspuntbeheerder en FortiAP as die toegangspunt optree. Die resultaat is 'n soort nie-triviale integrasie, wat weereens die wydverspreide gebruik van ISE bewys.
Om Cisco ISE te toets, kontak
Bron: will.com