Cisco ISE: FortiAP-də Qonaq Girişinin Konfiqurasiyası. 3-cü hissə

Cisco ISE seriyasındakı üçüncü yazıya xoş gəlmisiniz. Serialdakı bütün məqalələrə keçidlər aşağıda verilmişdir:

1. Cisco ISE: Giriş, tələblər, quraşdırma. 1-ci hissə

2. Cisco ISE: İstifadəçilərin yaradılması, LDAP serverlərinin əlavə edilməsi, AD ilə inteqrasiya. 2-ci hissə

3. Cisco ISE: FortiAP-də Qonaq Girişinin Konfiqurasiyası. 3-cü hissə

Bu yazıda siz qonaq girişinə, eləcə də Fortinet-dən giriş nöqtəsi olan FortiAP-ı konfiqurasiya etmək üçün Cisco ISE və FortiGate-i inteqrasiya etmək üçün addım-addım təlimatla tanış olacaqsınız (ümumiyyətlə, onu dəstəkləyən istənilən cihaz). RADIUS CoA — Səlahiyyətin dəyişdirilməsi).

Məqalələrimiz əlavə olunur. Fortinet - faydalı materialların seçimi.

QeydA: Check Point SMB cihazları RADIUS CoA-nı dəstəkləmir.

Gözəldir bələdçi İngilis dilində Cisco WLC-də (Simsiz Nəzarətçi) Cisco ISE istifadə edərək qonaq girişinin necə yaradılacağını təsvir edir. Gəlin bunu anlayaq!

1. Giriş

Qonaq girişi (portal) sizə yerli şəbəkəyə daxil olmaq istəmədiyiniz qonaqlar və istifadəçilər üçün İnternetə və ya daxili resurslara çıxışı təmin etməyə imkan verir. Qonaq portalının əvvəlcədən təyin edilmiş 3 növü var (Qonaq portalı):

1. Hotspot Qonaq portalı - Şəbəkəyə giriş giriş məlumatları olmadan qonaqlara verilir. İstifadəçilərdən ümumiyyətlə şəbəkəyə daxil olmamışdan əvvəl şirkətin “İstifadə və Məxfilik Siyasəti”ni qəbul etmələri tələb olunur.

2. Sponsorlu-Qonaq portalı - şəbəkəyə giriş və giriş məlumatları sponsor - Cisco ISE-də qonaq hesablarının yaradılmasına cavabdeh olan istifadəçi tərəfindən verilməlidir.

3. Öz-özünə Qeydiyyatdan Keçmiş Qonaq portalı - bu halda qonaqlar mövcud giriş məlumatlarından istifadə edirlər və ya giriş məlumatları ilə özləri üçün hesab yaradırlar, lakin şəbəkəyə giriş əldə etmək üçün sponsorun təsdiqi tələb olunur.

Cisco ISE-də eyni vaxtda bir neçə portal yerləşdirilə bilər. Varsayılan olaraq, qonaq portalında istifadəçi Cisco loqosunu və standart ümumi ifadələri görəcək. Bütün bunlar fərdiləşdirilə və hətta giriş əldə etməzdən əvvəl məcburi reklamlara baxmaq üçün təyin edilə bilər.

Qonaq girişinin quraşdırılması 4 əsas addıma bölünə bilər: FortiAP quraşdırması, Cisco ISE və FortiAP bağlantısı, qonaq portalının yaradılması və giriş siyasətinin qurulması.

2. FortiGate-də FortiAP-ın konfiqurasiyası

FortiGate giriş nöqtəsi nəzarətçisidir və bütün parametrlər onun üzərində edilir. FortiAP giriş nöqtələri PoE-ni dəstəkləyir, ona görə də onu Ethernet vasitəsilə şəbəkəyə qoşduqdan sonra konfiqurasiyaya başlaya bilərsiniz.

1) FortiGate-də nişana keçin WiFi & Switch Controller > İdarə olunan FortiAPs > Yeni Yarat > İdarə olunan AP. Giriş nöqtəsinin özündə çap olunan giriş nöqtəsinin unikal seriya nömrəsindən istifadə edərək, onu obyekt kimi əlavə edin. Və ya özünü göstərib sonra basa bilər Səlahiyyət ver sağ siçan düyməsini istifadə edərək.

2) FortiAP parametrləri standart ola bilər, məsələn, ekran görüntüsündə olduğu kimi buraxın. 5 GHz rejimini yandırmağı çox tövsiyə edirəm, çünki bəzi cihazlar 2.4 GHz-i dəstəkləmir.

3) Sonra tabda WiFi & Switch Controller > FortiAP Profiles > Create New biz giriş nöqtəsi üçün parametrlər profili yaradırıq (versiya 802.11 protokolu, SSID rejimi, kanal tezliyi və onların sayı).

FortiAP parametrləri nümunəsi

4) Növbəti addım SSID yaratmaqdır. Taba keçin WiFi & Switch Controller > SSIDs > Create New > SSID. Burada vacib olandan konfiqurasiya edilməlidir:

• qonaq WLAN üçün ünvan sahəsi - IP/Şəbəkə maskası

• İnzibati Giriş sahəsində RADIUS Mühasibatlığı və Təhlükəsiz Parça Bağlantısı

• Cihazın aşkarlanması seçimi

• SSID və Yayım SSID seçimi

• Təhlükəsizlik Rejimi Parametrləri > Əsir Portal 

• Doğrulama Portalı - Xarici və 20-ci addımdan Cisco ISE-dən yaradılmış qonaq portalına keçid daxil edin

• İstifadəçi Qrupu - Qonaq Qrupu - Xarici - Cisco ISE-yə RADIUS əlavə edin (səh. 6-dan sonra)

SSID quraşdırma nümunəsi

5) Sonra FortiGate-də giriş siyasətində qaydalar yaratmalısınız. Taba keçin Siyasət və Obyektlər > Firewall Siyasəti və belə bir qayda yaradın:

3. RADIUS parametri

6) Nişana Cisco ISE veb interfeysinə keçin Siyasət > Siyasət Elementləri > Lüğətlər > Sistem > Radius > RADIUS Satıcıları > Əlavə et. Bu tabda biz Fortinet RADIUS-u dəstəklənən protokollar siyahısına əlavə edəcəyik, çünki demək olar ki, hər bir satıcının özünəməxsus atributları var - VSA (Vendor-Specific Atributs).

Fortinet RADIUS atributlarının siyahısını tapa bilərsiniz burada. VSA-lar unikal Satıcı ID nömrəsi ilə seçilir. Fortinet bu ID = var 12356... Tam siyahı VSA IANA tərəfindən dərc edilmişdir.

7) Lüğətin adını təyin edin, dəqiqləşdirin Satıcı şəxsiyyəti (12356) və basın Təqdim.

8) Biz getdikdən sonra İdarəetmə > Şəbəkə Cihazı Profilləri > Əlavə et və yeni cihaz profili yaradın. RADIUS Lüğətləri sahəsində əvvəllər yaradılmış Fortinet RADIUS lüğətini seçin və sonradan ISE siyasətində istifadə etmək üçün CoA metodlarını seçin. Mən RFC 5176 və Port Bounce (bağlama/bağlama şəbəkə interfeysi yoxdur) və müvafiq VSA-ları seçdim: 

Fortinet-Access-Profile=oxu-yaz

Fortinet-Qrup Adı = fmg_faz_admins

9) Sonra, ISE ilə əlaqə üçün FortiGate əlavə edin. Bunu etmək üçün nişana keçin İdarəetmə > Şəbəkə Resursları > Şəbəkə Qurğu Profilləri > Əlavə et. Dəyişdiriləcək sahələr Adı, Satıcı, RADIUS Lüğətləri (IP ünvanı FortiAP tərəfindən deyil, FortiGate tərəfindən istifadə olunur).

ISE tərəfdən RADIUS konfiqurasiya nümunəsi

10) Bundan sonra siz FortiGate tərəfində RADIUS-u konfiqurasiya etməlisiniz. FortiGate veb interfeysində bura keçin İstifadəçi və Doğrulama > RADIUS Serverləri > Yeni yarat. Əvvəlki paraqrafdan adı, IP ünvanını və Paylaşılan sirri (parol) göstərin. Sonrakı klikləyin İstifadəçi etimadnaməsini sınayın və RADIUS vasitəsilə götürülə bilən hər hansı etimadnaməsini daxil edin (məsələn, Cisco ISE-də yerli istifadəçi).

11) Qonaq Qrupuna RADIUS server əlavə edin (əgər o mövcud deyilsə), eləcə də xarici istifadəçilər mənbəyi.

12) 4-cü addımda əvvəllər yaratdığımız SSID-ə Qonaq Qrupunu əlavə etməyi unutmayın.

4. İstifadəçi Doğrulama Parametri

13) İstəyə görə, siz sertifikatı ISE qonaq portalına idxal edə və ya tabda öz imzalı sertifikat yarada bilərsiniz. İş Mərkəzləri > Qonaq Girişi > İdarəetmə > Sertifikatlaşdırma > Sistem Sertifikatları.

14) Nişandan sonra İş Mərkəzləri > Qonaq Girişi > Şəxsiyyət Qrupları > İstifadəçi Kimliyi Qrupları > Əlavə et qonaq girişi üçün yeni istifadəçi qrupu yaradın və ya standart olanlardan istifadə edin.

15) Daha sonra tabda İdarə > Şəxsiyyətlər qonaq istifadəçiləri yaradın və onları əvvəlki paraqrafdan qruplara əlavə edin. Üçüncü tərəf hesablarından istifadə etmək istəyirsinizsə, bu addımı atlayın.

16) Parametrlərə keçdikdən sonra İş Mərkəzləri > Qonaq Girişi > Şəxsiyyətlər > Şəxsiyyət Mənbəsi Ardıcıllığı > Qonaq Portal Ardıcıllığı — bu qonaq istifadəçilər üçün standart identifikasiya ardıcıllığıdır. Və sahədə Doğrulama Axtarış Siyahısı istifadəçi identifikasiyası sifarişini seçin.

17) Qonaqları birdəfəlik parol ilə xəbərdar etmək üçün bu məqsədlə SMS provayderləri və ya SMTP serverini konfiqurasiya edə bilərsiniz. Taba keçin İş Mərkəzləri > Qonaq Girişi > İdarəetmə > SMTP Server və ya SMS Gateway Provayderləri bu parametrlər üçün. SMTP serveri vəziyyətində siz ISE üçün hesab yaratmalı və bu tabda məlumatları göstərməlisiniz.

18) SMS bildirişləri üçün müvafiq nişanı istifadə edin. ISE məşhur SMS provayderlərinin əvvəlcədən quraşdırılmış profillərinə malikdir, lakin öz profilinizi yaratmaq daha yaxşıdır. Bu profilləri quraşdırma nümunəsi kimi istifadə edin SMS E-poçt Gatewayy və ya SMS HTTP API.

Birdəfəlik parol üçün SMTP serverinin və SMS şlüzünün qurulması nümunəsi

5. Qonaq portalının qurulması

19) Əvvəldə qeyd edildiyi kimi, əvvəlcədən quraşdırılmış qonaq portallarının 3 növü var: Hotspot, Sponsorlu, Self-Registered. Mən üçüncü variantı seçməyi təklif edirəm, çünki bu, ən çox yayılmışdır. Hər halda, parametrlər əsasən eynidır. Beləliklə, nişana keçək. İş Mərkəzləri > Qonaq Girişi > Portallar və Komponentlər > Qonaq Portalları > Öz-özünə Qeydiyyatdan Keçmiş Qonaq Portalı (defolt). 

20) Sonra, Portal Səhifəsini Fərdiləşdirmə sekmesinde seçin “Rusca - Rus dilində bax”, portalın rus dilində göstərilməsi üçün. İstənilən tabın mətnini dəyişə, loqo əlavə edə və s. edə bilərsiniz. Küncdə sağda daha yaxşı baxmaq üçün qonaq portalına baxış var.

Qonaq portalının özünü qeydiyyatla konfiqurasiya nümunəsi

21) İfadə üzərinə klikləyin Portal test URL və 4-cü addımda portal URL-ni FortiGate-də SSID-ə kopyalayın. Nümunə URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Domeninizi göstərmək üçün sertifikatı qonaq portalına yükləməlisiniz, 13-cü addıma baxın.

22) Nişana keçin İş Mərkəzləri > Qonaq Girişi > Siyasət Elementləri > Nəticələr > Avtorizasiya Profilləri > Əlavə et əvvəl yaradılmış profilin altında avtorizasiya profili yaratmaq Şəbəkə Cihazı Profili.

23) Nişanda İş Mərkəzləri > Qonaq Girişi > Siyasət Dəstləri WiFi istifadəçiləri üçün giriş siyasətini redaktə edin.

24) Qonaq SSID-ə qoşulmağa çalışaq. Məni dərhal giriş səhifəsinə yönləndirir. Burada siz ISE-də yerli olaraq yaradılmış qonaq hesabı ilə daxil ola və ya qonaq istifadəçi kimi qeydiyyatdan keçə bilərsiniz.

25) Öz-özünə qeydiyyat seçimini seçmisinizsə, birdəfəlik giriş məlumatları poçtla, SMS vasitəsilə göndərilə və ya çap edilə bilər.

26) Cisco ISE-də RADIUS > Live Logs sekmesinde siz müvafiq giriş qeydlərini görəcəksiniz.

6. Nəticə

Bu uzun məqalədə biz Cisco ISE-də qonaq girişini uğurla konfiqurasiya etdik, burada FortiGate giriş nöqtəsi nəzarətçisi, FortiAP isə giriş nöqtəsi kimi çıxış edir. Bir növ qeyri-trivial inteqrasiya ortaya çıxdı ki, bu da İMKB-nin geniş istifadəsini bir daha sübut edir.

Cisco ISE-ni sınamaq üçün əlaqə saxlayın əlaqəvə həmçinin kanallarımızı izləməyə davam edin (Teleqram, Facebook, VK, TS Solution Blog, Yandex Zen).

Mənbə: www.habr.com