Cisco ISE፡ በ FortiAP ላይ የእንግዳ መዳረሻን በማዋቀር ላይ። ክፍል 3

በሲስኮ አይኤስኢ ተከታታይ ወደ ሶስተኛው ልጥፍ እንኳን በደህና መጡ። በተከታታይ ላሉ ሁሉም መጣጥፎች አገናኞች ከዚህ በታች ተሰጥተዋል፡-

1. Cisco ISE: መግቢያ, መስፈርቶች, መጫን. ክፍል 1

2. Cisco ISE፡ ተጠቃሚዎችን መፍጠር፣ የኤልዲኤፒ አገልጋዮችን መጨመር፣ ከ AD ጋር መቀላቀል። ክፍል 2

3. Cisco ISE፡ በ FortiAP ላይ የእንግዳ መዳረሻን በማዋቀር ላይ። ክፍል 3

በዚህ ልኡክ ጽሁፍ ላይ ወደ እንግዳ መዳረሻ፣ እንዲሁም Cisco ISE እና FortiGate ን ለማዋሃድ የደረጃ በደረጃ መመሪያ ከFortinet የመዳረሻ ነጥብ (በአጠቃላይ ማንኛውም መሳሪያ የሚደግፍ ፎርቲኤፒን) ለማዋቀር ይጠቅማሉ። RADIUS COA - የፍቃድ ለውጥ).

ጽሑፎቻችን ተያይዘዋል። Fortinet - ጠቃሚ ቁሳቁሶች ምርጫ.

አመለከተመ፡ የፍተሻ ነጥብ SMB መሣሪያዎች RADIUS CoAን አይደግፉም።

ድንቅ መመሪያ በሲስኮ ደብልዩኤልሲ (ገመድ አልባ መቆጣጠሪያ) ላይ Cisco ISE ን በመጠቀም የእንግዳ መዳረሻን እንዴት መፍጠር እንደሚቻል በእንግሊዝኛ ይገልፃል። እስቲ እናስተውል!

1. መግቢያ

የእንግዳ መዳረሻ (ፖርታል) ወደ በይነመረብ ወይም ወደ አካባቢያዊ አውታረ መረብዎ እንዲገቡ የማይፈልጉትን ለእንግዶች እና ለተጠቃሚዎች የበይነመረብ መዳረሻን ወይም የውስጥ ምንጮችን እንዲያቀርቡ ይፈቅድልዎታል። 3 አስቀድሞ የተገለጹ የእንግዳ ፖርታል ዓይነቶች አሉ (የእንግዳ ፖርታል)፡-

1. መገናኛ ነጥብ የእንግዳ ፖርታል - የአውታረ መረቡ መዳረሻ ያለ መግቢያ ውሂብ ለእንግዶች ይሰጣል። ተጠቃሚዎች በአጠቃላይ ወደ አውታረ መረቡ ከመግባታቸው በፊት የኩባንያውን "አጠቃቀም እና ግላዊነት ፖሊሲ" መቀበል ይጠበቅባቸዋል.

2. ስፖንሰር የተደረገ የእንግዳ ፖርታል - የአውታረ መረብ መዳረሻ እና የመግቢያ ውሂብ በስፖንሰር መሰጠት አለበት - በ Cisco ISE ላይ የእንግዳ መለያዎችን የመፍጠር ኃላፊነት ያለው ተጠቃሚ።

3. በእራሱ የተመዘገበ የእንግዳ ፖርታል - በዚህ አጋጣሚ እንግዶች አሁን ያሉትን የመግቢያ ዝርዝሮች ይጠቀማሉ ወይም ለራሳቸው የመግቢያ ዝርዝሮችን ይፍጠሩ, ነገር ግን ወደ አውታረ መረቡ ለመድረስ የስፖንሰር ማረጋገጫ ያስፈልጋል.

በርካታ መግቢያዎች በሲስኮ ISE ላይ በተመሳሳይ ጊዜ ሊሰማሩ ይችላሉ። በነባሪ፣ በእንግዳ ፖርታል ውስጥ፣ ተጠቃሚው የሲስኮ አርማ እና መደበኛ የጋራ ሀረጎችን ያያል። ይህ ሁሉ ሊበጅ አልፎ ተርፎም መዳረሻ ከማግኘትዎ በፊት የግዴታ ማስታወቂያዎችን ለማየት ሊዋቀር ይችላል።

የእንግዳ መዳረሻ ማዋቀር በ 4 ዋና ዋና ደረጃዎች ሊከፈል ይችላል፡ FortiAP ማዋቀር፣ Cisco ISE እና FortiAP ግንኙነት፣ የእንግዳ ፖርታል መፍጠር እና የመዳረሻ ፖሊሲ ማዋቀር።

2. FortiAP በ FortiGate ላይ በማዋቀር ላይ

FortiGate የመዳረሻ ነጥብ መቆጣጠሪያ ሲሆን ሁሉም ቅንጅቶች በእሱ ላይ ተሠርተዋል. FortiAP የመዳረሻ ነጥቦች PoE ን ይደግፋሉ፣ ስለዚህ አንዴ በኤተርኔት በኩል ከአውታረ መረቡ ጋር ካገናኙት በኋላ አወቃቀሩን መጀመር ይችላሉ።

1) በ FortiGate ላይ, ወደ ትሩ ይሂዱ ዋይፋይ እና መቀየሪያ መቆጣጠሪያ > የሚተዳደሩ FortiAPs > አዲስ ፍጠር > የሚተዳደር ኤ.ፒ. የመዳረሻ ነጥቡን ልዩ መለያ ቁጥር በመጠቀም፣ በራሱ የመዳረሻ ነጥቡ ላይ የታተመውን እንደ ዕቃ ይጨምሩት። ወይም እራሱን ማሳየት እና ከዚያ መጫን ይችላል ፈቃድ ስጥ የቀኝ መዳፊት ቁልፍን በመጠቀም።

2) የፎርቲኤፒ ቅንጅቶች ነባሪ ሊሆኑ ይችላሉ ፣ ለምሳሌ ፣ በቅጽበታዊ ገጽ እይታው ላይ እንዳለ ይተዉት። የ 5 GHz ሁነታን ለማብራት በጣም እመክራለሁ, ምክንያቱም አንዳንድ መሳሪያዎች 2.4 GHz አይደግፉም.

3) ከዚያም በትር ውስጥ ዋይፋይ እና መቀየሪያ መቆጣጠሪያ > FortiAP መገለጫዎች > አዲስ ፍጠር እኛ ለመዳረሻ ነጥብ የቅንጅቶች መገለጫ እየፈጠርን ነው (ስሪት 802.11 ፕሮቶኮል ፣ SSID ሁነታ ፣ የሰርጥ ድግግሞሽ እና ቁጥራቸው)።

የFortiAP ቅንብሮች ምሳሌ

4) ቀጣዩ ደረጃ SSID መፍጠር ነው. ወደ ትር ይሂዱ ዋይፋይ እና መቀየሪያ መቆጣጠሪያ > SSIDs > አዲስ ፍጠር > SSID። እዚህ ከአስፈላጊው መዋቀር አለበት፡-

• የአድራሻ ቦታ ለእንግዳ WLAN - IP/Netmask

• RADIUS የሂሳብ አያያዝ እና ደህንነቱ የተጠበቀ የጨርቅ ግንኙነት በአስተዳደር ተደራሽነት መስክ

• የመሣሪያ ማወቂያ አማራጭ

• SSID እና ብሮድካስት SSID አማራጭ

• የደህንነት ሁነታ ቅንጅቶች > የተቀረጸ ፖርታል 

• የማረጋገጫ ፖርታል - ውጫዊ እና ከደረጃ 20 ጀምሮ ከ Cisco ISE ወደተፈጠረው የእንግዳ ፖርታል አገናኝ አስገባ

• የተጠቃሚ ቡድን - የእንግዳ ቡድን - ውጫዊ - RADIUS ወደ Cisco ISE ያክሉ (ገጽ 6 ወደፊት)

የ SSID ቅንብር ምሳሌ

5) ከዚያ በ FortiGate ላይ ባለው የመዳረሻ ፖሊሲ ውስጥ ደንቦችን መፍጠር አለብዎት። ወደ ትር ይሂዱ ፖሊሲ እና ነገሮች > የፋየርዎል ፖሊሲ እና የሚከተለውን ደንብ ይፍጠሩ:

3. RADIUS ቅንብር

6) ወደ ትሩ ወደ Cisco ISE የድር በይነገጽ ይሂዱ መመሪያ > የመመሪያ ኤለመንቶች > መዝገበ ቃላት > ስርዓት > ራዲየስ > RADIUS ሻጮች > አክል በዚህ ትር ውስጥ ፎርቲኔት RADIUSን ወደ ሚደገፉ ፕሮቶኮሎች ዝርዝር ውስጥ እንጨምራለን ፣ ምክንያቱም እያንዳንዱ ሻጭ ማለት ይቻላል የራሱ ልዩ ባህሪዎች አሉት - VSA (የአቅራቢ-ተኮር ባህሪዎች)።

የ Fortinet RADIUS ባህሪያት ዝርዝር ሊገኝ ይችላል እዚህ. ቪኤስኤዎች በልዩ የአቅራቢ መታወቂያ ቁጥራቸው ተለይተዋል። Fortinet ይህ መታወቂያ = አለው 12356... ሙሉ ዝርዝር ቪኤስኤ በ IANA ታትሟል።

7) የመዝገበ-ቃላትን ስም አዘጋጅ, ይግለጹ የአቅራቢ መታወቂያ (12356) እና ተጫን ያስገቡ

8) ከሄድን በኋላ አስተዳደር > የአውታረ መረብ መሣሪያ መገለጫዎች > ያክሉ እና አዲስ የመሣሪያ መገለጫ ይፍጠሩ። በ RADIUS መዝገበ-ቃላት መስክ ቀደም ሲል የተፈጠረውን Fortinet RADIUS መዝገበ ቃላት ይምረጡ እና በኋላ በ ISE ፖሊሲ ውስጥ የሚጠቀሙባቸውን የ CoA ዘዴዎች ይምረጡ። RFC 5176 እና Port Bounce (የአውታረ መረብ በይነገጽ መዘጋት/የማይዘጋ) እና ተጓዳኝ ቪኤስኤዎችን መርጫለሁ። 

Fortinet-Access-Profile=read-write

Fortinet-ቡድን-ስም = fmg_faz_admins

9) በመቀጠል FortiGateን ለግንኙነት ከአይኤስኢ ጋር ይጨምሩ። ይህንን ለማድረግ ወደ ትሩ ይሂዱ አስተዳደር > የአውታረ መረብ መርጃዎች > የአውታረ መረብ መሣሪያ መገለጫዎች > ያክሉ። የሚለወጡ መስኮች ስም፣ ሻጭ፣ RADIUS መዝገበ ቃላት (አይፒ አድራሻው በFortiGate እንጂ በፎርቲኤፒ አይጠቀምም)።

RADIUSን ከ ISE ጎን የማዋቀር ምሳሌ

10) ከዚያ በኋላ RADIUS በ FortiGate በኩል ማዋቀር አለብዎት. በFortiGate ድር በይነገጽ ውስጥ ወደ ይሂዱ ተጠቃሚ እና ማረጋገጫ > RADIUS አገልጋዮች > አዲስ ፍጠር. ከቀዳሚው አንቀፅ ውስጥ ስሙን ፣ የአይፒ አድራሻውን እና የተጋራውን ምስጢር (የይለፍ ቃል) ይግለጹ። በመቀጠል ጠቅ ያድርጉ የተጠቃሚ ምስክርነቶችን ሞክር እና በ RADIUS (ለምሳሌ በሲስኮ ISE ላይ ያለ የአካባቢ ተጠቃሚ) የሚጎትቱ ማናቸውንም ምስክርነቶች ያስገቡ።

11) የ RADIUS አገልጋይ ወደ እንግዳ-ቡድን (ከሌለው) እንዲሁም የተጠቃሚ ውጫዊ ምንጭ ያክሉ።

12) የእንግዳ ቡድንን በደረጃ 4 ላይ ቀደም ብለን በፈጠርነው SSID ላይ ማከልን እንዳትረሱ።

4. የተጠቃሚ ማረጋገጫ ቅንብር

13) እንደ አማራጭ የምስክር ወረቀት ወደ አይኤስኢ እንግዳ ፖርታል ማስመጣት ወይም በትሩ ውስጥ በራስ የተፈረመ የምስክር ወረቀት መፍጠር ይችላሉ ። የስራ ማእከላት > የእንግዳ መዳረሻ > አስተዳደር > የምስክር ወረቀት > የስርዓት ሰርተፊኬቶች.

14) በትር ውስጥ በኋላ የስራ ማእከላት > የእንግዳ መዳረሻ > የማንነት ቡድኖች > የተጠቃሚ ማንነት ቡድኖች > አክል ለእንግዶች መዳረሻ አዲስ የተጠቃሚ ቡድን ይፍጠሩ ወይም ነባሪዎቹን ይጠቀሙ።

15) በትሩ ውስጥ ተጨማሪ አስተዳደር > ማንነቶች የእንግዳ ተጠቃሚዎችን ይፍጠሩ እና ከቀዳሚው አንቀፅ ወደ ቡድኖቹ ያክሏቸው። የሶስተኛ ወገን መለያዎችን መጠቀም ከፈለጉ ይህን ደረጃ ይዝለሉት።

16) ወደ ቅንጅቶች ከሄድን በኋላ የስራ ማእከላት > የእንግዳ መዳረሻ > ማንነት > የማንነት ምንጭ ቅደም ተከተል > የእንግዳ ፖርታል ቅደም ተከተል - ይህ ለእንግዳ ተጠቃሚዎች ነባሪው የማረጋገጫ ቅደም ተከተል ነው። እና በሜዳው ውስጥ የማረጋገጫ ፍለጋ ዝርዝር የተጠቃሚውን የማረጋገጫ ቅደም ተከተል ይምረጡ።

17) እንግዶችን በአንድ ጊዜ የይለፍ ቃል ለማሳወቅ የኤስኤምኤስ አቅራቢዎችን ወይም የSMTP አገልጋይን ለዚህ አላማ ማዋቀር ይችላሉ። ወደ ትር ይሂዱ የስራ ማእከላት > የእንግዳ መዳረሻ > አስተዳደር > SMTP አገልጋይ ወይም የኤስኤምኤስ ጌትዌይ አቅራቢዎች ለእነዚህ ቅንብሮች. በኤስኤምቲፒ አገልጋይ ላይ ለአይኤስኢ መለያ መፍጠር እና በዚህ ትር ውስጥ ያለውን ውሂብ መግለጽ ያስፈልግዎታል።

18) ለኤስኤምኤስ ማሳወቂያዎች ተገቢውን ትር ይጠቀሙ። ISE ቀድሞ የተጫኑ የታዋቂ ኤስኤምኤስ አቅራቢዎች መገለጫዎች አሉት፣ ግን የራስዎን መፍጠር የተሻለ ነው። እነዚህን መገለጫዎች እንደ ቅንብር ምሳሌ ይጠቀሙ የኤስኤምኤስ ኢሜል ጌትዌይy ወይም SMS HTTP API.

ለአንድ ጊዜ የይለፍ ቃል የSMTP አገልጋይ እና የኤስኤምኤስ መግቢያ በር የማዘጋጀት ምሳሌ

5. የእንግዳ መግቢያውን ማዘጋጀት

19) መጀመሪያ ላይ እንደተገለፀው 3 አይነት ቀድሞ የተጫኑ የእንግዳ ፖርቶች አሉ፡- Hotspot፣ Sponsored፣ self-registered። በጣም የተለመደው ስለሆነ ሶስተኛውን አማራጭ እንዲመርጡ ሀሳብ አቀርባለሁ. ያም ሆነ ይህ, ቅንብሮቹ በአብዛኛው ተመሳሳይ ናቸው. ስለዚህ ወደ ትሩ እንሂድ. የስራ ማዕከላት > የእንግዳ መዳረሻ > ፖርታል እና አካላት > የእንግዳ መግቢያዎች > በራስ የተመዘገበ የእንግዳ ፖርታል (ነባሪ)። 

20) በመቀጠል በፖርታል ገጽ ማበጀት ትር ውስጥ ይምረጡ "በሩሲያኛ - ሩሲያኛ ይመልከቱ", ፖርታሉ በሩሲያኛ እንዲታይ። የማንኛውም ትር ጽሑፍ መቀየር፣ አርማህን ማከል እና ሌሎችንም ማድረግ ትችላለህ። በማእዘኑ በቀኝ በኩል ለተሻለ እይታ የእንግዳ ፖርታል ቅድመ እይታ አለ።

የእንግዳ ፖርታልን በራስ-ምዝገባ የማዋቀር ምሳሌ

21) በአንድ ሐረግ ላይ ጠቅ ያድርጉ የፖርታል ሙከራ ዩአርኤል እና የፖርታል ዩአርኤልን ወደ SSID በፎርቲጌት በደረጃ 4 ይቅዱ። የናሙና URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

ጎራህን ለማሳየት የምስክር ወረቀቱን ወደ እንግዳ ፖርታል መስቀል አለብህ፣ ደረጃ 13ን ተመልከት።

22) ወደ ትር ይሂዱ የስራ ማእከላት > የእንግዳ መዳረሻ > የመመሪያ አካላት > ውጤቶች > የፈቃድ መገለጫዎች > አክል ቀደም ሲል በተፈጠረው ስር የፍቃድ መገለጫ ለመፍጠር የአውታረ መረብ መሣሪያ መገለጫ።

23) በትር ውስጥ የስራ ማእከላት > የእንግዳ መዳረሻ > የፖሊሲ ስብስቦች ለዋይፋይ ተጠቃሚዎች የመዳረሻ ፖሊሲን ያርትዑ።

24) ከእንግዳው SSID ጋር ለመገናኘት እንሞክር. ወዲያውኑ ወደ መግቢያ ገጹ ይመራኛል። እዚህ በአይኤስኢ ውስጥ በተፈጠረ የእንግዳ መለያ መግባት ወይም እንደ እንግዳ ተጠቃሚ መመዝገብ ይችላሉ።

25) የራስ-ምዝገባ ምርጫን ከመረጡ የአንድ ጊዜ የመግቢያ መረጃ በፖስታ ፣ በኤስኤምኤስ ወይም በማተም ሊላክ ይችላል።

26) በሲስኮ ISE ላይ በ RADIUS> Live Logs ትር ውስጥ ተጓዳኝ የመግቢያ ምዝግብ ማስታወሻዎችን ያያሉ።

6. ማጠቃለያ

በዚህ ረጅም መጣጥፍ ውስጥ፣ FortiGate እንደ የመዳረሻ ነጥብ ተቆጣጣሪ ሆኖ የሚሰራበት፣ እና ፎርቲኤፒ እንደ የመዳረሻ ነጥብ የሚሰራበትን በሲስኮ ISE ላይ የእንግዳ መዳረሻን በተሳካ ሁኔታ አዋቅረናል። አንድ ዓይነት ቀላል ያልሆነ ውህደት ተገኘ ፣ ይህም እንደገና የ ISE ሰፊ አጠቃቀምን ያረጋግጣል።

Cisco ISE ን ለመፈተሽ ያነጋግሩ ማያያዣእንዲሁም በቻናሎቻችን ላይ ይከታተሉ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ, Yandex ዜን).

ምንጭ: hab.com