مرحبًا بك في المنشور الثالث في سلسلة Cisco ISE. الروابط لجميع المقالات في السلسلة مذكورة أدناه:
في هذا المنشور ، ستتعمق في الوصول إلى الضيف ، بالإضافة إلى دليل تفصيلي لدمج Cisco ISE و FortiGate لتكوين FortiAP ، وهي نقطة وصول من Fortinet (بشكل عام ، أي جهاز يدعم RADIUS CoA - تغيير التفويض).
مرفقة هي مقالاتنا.
لاحظج: لا تدعم أجهزة Check Point SMB RADIUS CoA.
رائع
1. .ведение
يسمح لك وصول الضيف (المدخل) بتوفير الوصول إلى الإنترنت أو إلى الموارد الداخلية للضيوف والمستخدمين الذين لا تريد السماح لهم بالدخول إلى شبكتك المحلية. هناك 3 أنواع محددة مسبقًا من بوابة الضيف (بوابة الضيف):
-
بوابة ضيف Hotspot - يتم توفير الوصول إلى الشبكة للضيوف بدون بيانات تسجيل الدخول. يُطلب من المستخدمين عمومًا قبول "سياسة الاستخدام والخصوصية" الخاصة بالشركة قبل الوصول إلى الشبكة.
-
بوابة الضيف المكفول - يجب أن يتم إصدار الوصول إلى الشبكة وبيانات تسجيل الدخول من قبل الراعي - المستخدم المسؤول عن إنشاء حسابات الضيف على Cisco ISE.
-
بوابة الضيف المسجل ذاتيًا - في هذه الحالة ، يستخدم الضيوف تفاصيل تسجيل الدخول الحالية ، أو ينشئون حسابًا لأنفسهم مع تفاصيل تسجيل الدخول ، ولكن يلزم تأكيد الراعي للوصول إلى الشبكة.
يمكن نشر بوابات متعددة على Cisco ISE في نفس الوقت. بشكل افتراضي ، في بوابة الضيف ، سيرى المستخدم شعار Cisco والعبارات الشائعة القياسية. كل هذا يمكن تخصيصه وحتى ضبطه لعرض الإعلانات الإلزامية قبل الوصول.
يمكن تقسيم إعداد وصول الضيف إلى 4 خطوات رئيسية: إعداد FortiAP واتصال Cisco ISE و FortiAP وإنشاء بوابة الضيف وإعداد سياسة الوصول.
2. تكوين FortiAP على FortiGate
FortiGate عبارة عن وحدة تحكم في نقطة الوصول ويتم إجراء جميع الإعدادات عليها. تدعم نقاط وصول FortiAP PoE ، لذلك بمجرد توصيلها بالشبكة عبر Ethernet ، يمكنك بدء التكوين.
1) في FortiGate ، انتقل إلى علامة التبويب WiFi والتحكم في التبديل> FortiAPs المُدارة> إنشاء جديد> AP مُدار. باستخدام الرقم التسلسلي الفريد لنقطة الوصول ، والذي تتم طباعته على نقطة الوصول نفسها ، قم بإضافته ككائن. أو يمكن أن تظهر نفسها ثم تضغط يأذن باستخدام زر الفأرة الأيمن.
2) يمكن أن تكون إعدادات FortiAP افتراضية ، على سبيل المثال ، اتركها كما في لقطة الشاشة. أوصي بشدة بتشغيل وضع 5 جيجاهرتز ، لأن بعض الأجهزة لا تدعم 2.4 جيجاهرتز.
3) ثم في علامة التبويب WiFi والتحكم في التبديل> ملفات تعريف FortiAP> إنشاء جديد نقوم بإنشاء ملف تعريف إعدادات لنقطة الوصول (بروتوكول الإصدار 802.11 ووضع SSID وتردد القناة ورقمها).
مثال على إعدادات FortiAP
4) الخطوة التالية هي إنشاء SSID. انتقل إلى علامة التبويب WiFi & Switch Controller> SSIDs> Create New> SSID. هنا من المهم يجب تكوينه:
-
مساحة عنوان الضيف WLAN - IP / Netmask
-
RADIUS Accounting and Secure Fabric Connection في حقل الوصول الإداري
-
خيار الكشف عن الجهاز
-
SSID وخيار البث SSID
-
إعدادات وضع الأمان> بوابة مقيدة
-
بوابة المصادقة - خارجية وأدخل رابطًا لبوابة الضيف التي تم إنشاؤها من Cisco ISE من الخطوة 20
-
مجموعة المستخدمين - مجموعة الضيوف - خارجية - أضف RADIUS إلى Cisco ISE (الصفحة 6 وما بعدها)
مثال على إعداد SSID
5) ثم يجب عليك إنشاء قواعد في سياسة الوصول على FortiGate. انتقل إلى علامة التبويب السياسة والكائنات> نهج جدار الحماية وأنشئ قاعدة مثل هذه:
3. إعداد RADIUS
6) انتقل إلى واجهة ويب Cisco ISE إلى علامة التبويب السياسة> عناصر السياسة> القواميس> النظام> نصف القطر> موردي RADIUS> إضافة. في علامة التبويب هذه ، سنضيف Fortinet RADIUS إلى قائمة البروتوكولات المدعومة ، نظرًا لأن كل بائع تقريبًا لديه سماته الخاصة - VSA (سمات خاصة بالمورد).
يمكن العثور على قائمة سمات Fortinet RADIUS
7) حدد اسم القاموس ، حدد بائع ID (12356) والصحافة خضع.
8) بعد أن نذهب إلى الإدارة> ملفات تعريف جهاز الشبكة> إضافة وإنشاء ملف تعريف جديد للجهاز. في حقل قواميس RADIUS ، حدد قاموس Fortinet RADIUS الذي تم إنشاؤه مسبقًا وحدد أساليب CoA لاستخدامها لاحقًا في سياسة ISE. اخترت RFC 5176 و Port Bounce (إيقاف التشغيل / بدون واجهة شبكة إيقاف التشغيل) و VSAs المقابلة:
Fortinet-Access-Profile = قراءة وكتابة
Fortinet-Group-Name = fmg_faz_admins
9) بعد ذلك ، أضف FortiGate للاتصال بـ ISE. للقيام بذلك ، انتقل إلى علامة التبويب الإدارة> موارد الشبكة> ملفات تعريف جهاز الشبكة> إضافة. الحقول المطلوب تغييرها الاسم ، البائع ، قواميس RADIUS (يتم استخدام عنوان IP بواسطة FortiGate وليس FortiAP).
مثال على تكوين RADIUS من جانب ISE
10) بعد ذلك ، يجب عليك تكوين RADIUS على جانب FortiGate. في واجهة الويب FortiGate ، انتقل إلى المستخدم والمصادقة> خوادم RADIUS> إنشاء جديد. حدد الاسم وعنوان IP والسر المشترك (كلمة المرور) من الفقرة السابقة. انقر بعد ذلك اختبار بيانات اعتماد المستخدم وأدخل أي بيانات اعتماد يمكن سحبها عبر RADIUS (على سبيل المثال ، مستخدم محلي في Cisco ISE).
11) أضف خادم RADIUS إلى Guest-Group (إذا لم يكن موجودًا) بالإضافة إلى مصدر خارجي للمستخدمين.
12) لا تنس إضافة Guest-Group إلى SSID الذي أنشأناه سابقًا في الخطوة 4.
4. إعداد مصادقة المستخدم
13) اختياريًا ، يمكنك استيراد شهادة إلى بوابة ضيف ISE أو إنشاء شهادة موقعة ذاتيًا في علامة التبويب مراكز العمل> وصول الضيف> الإدارة> الشهادات> شهادات النظام.
14) بعد في علامة التبويب مراكز العمل> وصول الضيف> مجموعات الهوية> مجموعات هوية المستخدم> إضافة أنشئ مجموعة مستخدمين جديدة لوصول الضيف ، أو استخدم المجموعات الافتراضية.
15) مزيد في علامة التبويب الإدارة> الهويات إنشاء مستخدمين ضيوف وإضافتهم إلى المجموعات من الفقرة السابقة. إذا كنت تريد استخدام حسابات جهات خارجية ، فتخط هذه الخطوة.
16) بعد أن نذهب إلى الإعدادات مراكز العمل> وصول الضيف> الهويات> تسلسل مصدر الهوية> تسلسل بوابة الضيف - هذا هو تسلسل المصادقة الافتراضي للمستخدمين الضيوف. وفي الميدان قائمة بحث المصادقة حدد ترتيب مصادقة المستخدم.
17) لإعلام الضيوف بكلمة مرور لمرة واحدة ، يمكنك تكوين موفري خدمة الرسائل القصيرة أو خادم SMTP لهذا الغرض. انتقل إلى علامة التبويب مراكز العمل> وصول الضيف> الإدارة> خادم SMTP أو مزودو بوابة الرسائل القصيرة لهذه الإعدادات. في حالة خادم SMTP ، تحتاج إلى إنشاء حساب لـ ISE وتحديد البيانات في علامة التبويب هذه.
18) بالنسبة إلى إشعارات الرسائل القصيرة ، استخدم علامة التبويب المناسبة. يحتوي ISE على ملفات تعريف مثبتة مسبقًا لموفري خدمة الرسائل القصيرة المشهورين ، ولكن من الأفضل إنشاء ملفات تعريف خاصة بك. استخدم هذه الملفات الشخصية كمثال على الإعداد بوابة البريد الإلكتروني SMSذ أو SMS HTTP API.
مثال على إعداد خادم SMTP وبوابة SMS لكلمة مرور لمرة واحدة
5. إنشاء بوابة الضيف
19) كما ذكرنا في البداية ، هناك 3 أنواع من بوابات الضيف المثبتة مسبقًا: نقطة فعالة ، وبوابات برعاية ، ومسجلة ذاتيًا. أقترح اختيار الخيار الثالث ، لأنه الأكثر شيوعًا. في كلتا الحالتين ، الإعدادات متطابقة إلى حد كبير. لذلك دعنا ننتقل إلى علامة التبويب. مراكز العمل> وصول الضيف> البوابات والمكونات> بوابات الضيف> بوابة الضيف ذاتية التسجيل (افتراضي).
20) بعد ذلك ، في علامة التبويب تخصيص صفحة موقع البوابة ، حدد "عرض باللغة الروسية - الروسية" ، بحيث يتم عرض البوابة باللغة الروسية. يمكنك تغيير نص أي علامة تبويب وإضافة شعارك والمزيد. على اليمين في الزاوية توجد معاينة لبوابة الضيف للحصول على عرض أفضل.
مثال على تكوين بوابة الضيف بالتسجيل الذاتي
21) اضغط على العبارة عنوان URL لاختبار البوابة وانسخ عنوان URL للبوابة إلى SSID على FortiGate في الخطوة 4. نموذج URL
لعرض المجال الخاص بك ، يجب عليك تحميل الشهادة إلى بوابة الضيف ، انظر الخطوة 13.
22) انتقل إلى علامة التبويب مراكز العمل> وصول الضيف> عناصر السياسة> النتائج> ملفات تعريف التفويض> إضافة لإنشاء ملف تعريف ترخيص ضمن الملف الذي تم إنشاؤه مسبقًا ملف تعريف جهاز الشبكة.
23) في علامة التبويب مراكز العمل> وصول الضيف> مجموعات السياسات قم بتحرير سياسة الوصول لمستخدمي WiFi.
24) دعنا نحاول الاتصال ب SSID الضيف. يقوم على الفور بإعادة توجيهي إلى صفحة تسجيل الدخول. هنا يمكنك تسجيل الدخول باستخدام حساب الضيف الذي تم إنشاؤه محليًا على ISE ، أو التسجيل كمستخدم ضيف.
25) إذا اخترت خيار التسجيل الذاتي ، فيمكن إرسال بيانات تسجيل الدخول لمرة واحدة عبر البريد أو عبر الرسائل القصيرة أو طباعتها.
26) في علامة التبويب RADIUS> Live Logs في Cisco ISE ، سترى سجلات تسجيل الدخول المقابلة.
6. الخلاصة
في هذه المقالة الطويلة ، قمنا بتكوين وصول الضيف بنجاح على Cisco ISE ، حيث تعمل FortiGate كوحدة تحكم في نقطة الوصول ، ويعمل FortiAP كنقطة وصول. لقد اتضح أنه نوع من التكامل غير التافه ، والذي يثبت مرة أخرى الاستخدام الواسع لـ ISE.
لاختبار Cisco ISE ، اتصل
المصدر: www.habr.com