Вітаю ў трэцяй публікацыі цыкла артыкулаў, прысвечанаму Cisco ISE. Спасылкі на ўсе артыкулы ў цыкле прыведзены ніжэй:
У дадзенай публікацыі вас чакае апусканне ў гасцявы доступ, а таксама пакрокавае кіраўніцтва інтэграцыі Cisco ISE і FortiGate для налады FortiAP – кропкі доступу ад Fortinet (у цэлым падыходзіць любое прылада, якое падтрымлівае RADIUS CoA - Сhange of Authorization).
Дадаткова прыкладаю нашы артыкулы
Заўвага: Check Point SMB прылады не падтрымліваюць RADIUS CoA.
Выдатнае
1. ўвядзенне
Гасцявы доступ (партал) дазваляе даць доступ у Інтэрнэт або да ўнутраных рэсурсаў для гасцей і карыстальнікаў, якіх вы не хочаце ўпускаць у сваю лакальную сетку. Існуе 3 прадусталяваных тыпу гасцявога партала (Guest portal):
-
Hotspot Guest portal - доступ у сетку гасцям прадастаўляецца без дадзеных для ўваходу. Як правіла, карыстальнікам патрабуецца прыняць "Палітыку выкарыстання і прыватнасці" кампаніі, перш чым атрымаць доступ у сетку.
-
Sponsored-Guest portal – доступ у сетку і дадзеныя для ўваходы абавязаны выдаць спонсар – карыстач, адказны за стварэнне гасцявых улікаў на Cisco ISE.
-
Self-Registered Guest portal - у гэтым выпадку госці выкарыстоўваюць існуючыя дадзеныя для ўваходу, альбо самі сабе ствараюць акаўнт з дадзенымі для ўваходу, аднак патрабуецца пацверджанне спонсара для атрымання доступу ў сетку.
На Cisco ISE можна разгарнуць мноства парталаў адначасова. Па змаўчанні на госцевым партале карыстач убачыць лагатып Cisco і стандартныя агульныя фразы. Гэта ўсё можна кастамізаваць і нават устанавіць прагляд абавязковай рэкламы перад атрыманнем доступу.
Наладу гасцявога доступу можна разбіць на 4 асноўных этапы: настройка FortiAP, устанаўленне складнасці Cisco ISE і FortiAP, стварэнне гасцявога партала і настройка палітыкі доступу.
2. Настройка FortiAP на FortiGate
FortiGate з'яўляецца кантролерам кропак доступу і ўсе наладкі праводзяцца на ім. Пункты доступу FortiAP падтрымліваюць PoE, таму як толькі вы падключылі яе ў сетку па Ethernet, можна пачынаць наладу.
1) На FortiGate зайдзіце ва ўкладку WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Выкарыстоўваючы ўнікальны серыйны нумар кропкі доступу, які паказаны на самой кропцы доступу, дадайце яе як аб'ект. Альбо ж яна можа выявіцца сама і тады націсніце санкцыянаваць з дапамогай правай клавішы мышы.
2) Налады FortiAP могуць быць па змаўчанні, для прыкладу пакіньце як на скрыншоце. Вельмі рэкамендую ўключаць 5 Ггц рэжым, бо некаторыя прылады не падтрымліваюць 2.4/XNUMX Ггц.
3) Затым ва ўкладцы WiFi & Switch Controller > FortiAP Profiles > Create New мы ствараем профіль налад для кропкі доступу (версія 802.11 пратаколу, рэжым SSID, частата канала і іх колькасць).
Прыклад настроек FortiAP
4) Наступны крок - стварэнне SSID. Перайдзіце ва ўкладку WiFi & Switch Controller > SSIDs > Create New > SSID. Тут з важнага трэба наладзіць:
-
адрасная прастора для гасцявога WLAN – IP/Netmask
-
RADIUS Accounting і Secure Fabric Connection у полі Administrative Access
-
Опцыя Device Detection
-
SSID і опцыя Broadcast SSID
-
Security Mode Settings > Captive Portal
-
Authentication Portal – External і ўставіць спасылку на створаны гасцявы партал з Cisco ISE з п. 20
-
User Group – Guest Group – External – дадаць RADIUS на Cisco ISE (п. 6 і далей)
Прыклад наладкі SSID
5) Затым трэба стварыць правілы ў палітыцы доступу на FortiGate. Перайдзіце ва ўкладку Policy & Objects > Firewall Policy і стварыце правіла наступнага выгляду:
3. Настройка RADIUS
6) Перайдзіце ў вэб інтэрфейс Cisco ISE ва ўкладку Policy > Policy Elements > Dictionaries > System > Radius > RADIUS Vendors > Add. У дадзенай укладцы мы дадамо ў спіс падтрымоўваных пратаколаў RADIUS ад Fortinet, бо амаль кожны вендар мае ўласныя спецыфічныя атрыбуты – VSA (Vendor-Specific Attributes).
Спіс атрыбутаў RADIUS Fortinet можна знайсці
7) Задаем імя слоўніку, паказваем Ідэнтыфікатар пастаўшчыка (12356) і націскаем Адправіць.
8) Пасля пераходзім у Administration > Network Device Profiles > Add і ствараем новы профіль прылады. У полі RADIUS Dictionaries варта абраць раней створаны Fortinet RADIUS слоўнік і абраць метады CoA для таго, каб выкарыстоўваць іх потым у палітыцы ISE. Я абраў RFC 5176 і Port Bounce (shutdown/no shutdown сеткавага інтэрфейсу) і адпаведныя VSA:
Fortinet-Access-Profile = read-write
Fortinet-Group-Name = fmg_faz_admins
9) Далей варта дадаць FortiGate для складнасці c ISE. Для гэтага зайдзіце ва ўкладку Administration > Network Resources > Network Device Profiles > Add. Змяніць варта палі Name, Vendor, RADIUS Dictionaries (IP Address выкарыстоўваецца FortiGate, а не FortiAP).
Прыклад наладкі RADIUS з боку ISE
10) Пасля варта наладзіць RADIUS на баку FortiGate. У вэб інтэрфейсе FortiGate зайдзіце ў User & Authentication > RADIUS Servers > Create New. Укажыце імя, IP адрас і Shared secret (пароль) з мінулага пункта. Далей націсніце Test User Credentials і ўвядзіце любыя уліковыя дадзеныя, якія могуць падцягнуцца праз RADIUS (напрыклад, лакальны карыстач на Cisco ISE).
11) Дадайце ў групу Guest-Group (калі яе няма стварыце) RADIUS сервер, як і вонкавая крыніца карыстачоў.
12) Не забудзьцеся дадаць групу Guest-Group у SSID, які мы стварылі раней у п. 4.
4. Настройка карыстальнікаў аўтэнтыфікацыі
13) Апцыянальна вы можаце імпартаваць на гасцявы партал ISE сертыфікат або стварыць самападпісаны сертыфікат ва ўкладцы Work Centers > Guest Access > Administration > Certification > System Certificates.
14) Пасля ва ўкладцы Work Centers > Guest Access > Identity Groups > User Identity Groups > Add стварыце новую групу карыстальнікаў для гасцявога доступу, або выкарыстоўвайце створаныя па змаўчанні.
15) Далей ва ўкладцы Administration > Identities стварыце гасцявых карыстальнікаў і дадайце іх у груп з мінулага пункта. Калі ж вы хочаце выкарыстоўваць іншыя ўліковыя запісы, то прапусціце дадзены крок.
16) Пасля пераходзім у налады Work Centers > Guest Access > Identities > Identity Source Sequence > Праграмнае забеспячэнне Portal Sequence гэта прадусталяваная паслядоўнасць аўтэнтыфікацыі гасцявых карыстальнікаў. І ў полі Authentication Search List абярыце парадак аўтэнтыфікацыі карыстальнікаў.
17) Для апавяшчэння гасцей аднаразовым паролем можна сканфігураваць SMS правайдэраў або SMTP сервер для гэтай мэты. Перайдзіце ва ўкладку Work Centers > Guest Access > Administration > SMTP Server або SMS Gateway Providers для дадзеных налад. У выпадку з SMTP серверам патрабуецца стварыць уліковы запіс для ISE і пазначыць дадзеныя ў гэтай укладцы.
18) Для апавяшчэнняў па SMS выкарыстоўвайце адпаведную ўкладку. У ISE ёсць прадусталяваныя профілі папулярных SMS правайдэраў, аднак лепш стварыць свой. Дадзеныя профілі выкарыстоўвайце як прыклад наладкі SMS Email Gateway ці SMS HTTP API.
Прыклад настройкі SMTP сервера і SMS шлюза для аднаразовага пароля
5. Настройка гасцявога партала
19) Як было згадана ў пачатку, ёсць 3 тыпу прадусталяваных гасцявых партала: Hotspot, Sponsored, Self-Registered. Прапаную абраць трэці варыянт, бо ён найболей часта сустракаемы. У любым выпадку наладкі шмат у чым ідэнтычныя. Таму пераходзім ва ўкладку Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal (default).
20) Далей ва ўкладцы Portal Page Customization абярыце “View in Belarus – Рускі”, каб партал стаў адлюстроўвацца на расейскай мове. Вы можаце змяняць тэкст любой укладкі, дадаць свой лагатып і шматлікае іншае. Справа ў куце папярэдні прагляд гасцявога партала для зручнейшага прадстаўлення.
Прыклад наладкі гасцявога партала з самарэгістрацыяй
21) Націсніце на фразу "Portal test URL" і скапіруйце URL партала ў SSID на FortiGate у кроку 4. Прыкладны выгляд URL
Каб адлюстроўваўся ваш дамен, варта падгрузіць сертыфікат на гасцявы партал, гледзіце крок 13.
22) Перайдзіце ва ўкладку Work Centers > Guest Access > Policy Elements > Results > Authorization Profiles > Add для стварэння профілю аўтарызацыі пад раней створаны Network Device Profile.
23) Ва ўкладцы Work Centers > Guest Access > Policy Sets адрэдагуйце палітыку доступу для WiFi карыстальнікаў.
24) Паспрабуем падключыцца да гасцявога SSID. Мяне адразу перанакіроўвае на старонку ўваходу. Тут можна зайсці пад улікам guest, створанай лакальна на ISE, альбо зарэгістравацца ў якасці гасцявога карыстальніка.
25) Калі вы абралі варыянт самарэгістрацыі, то аднаразовыя дадзеныя для ўваходу можна адправіць на пошту, праз СМС ці ж раздрукаваць.
26) Ва ўкладцы RADIUS > Live Logs на Cisco ISE вы ўбачыце адпаведныя логі ўваходу.
6. заключэнне
У дадзеным доўгім артыкулам мы паспяхова наладзілі гасцявы доступ на Cisco ISE, дзе ў якасці кантролера кропак доступу выступае FortiGate, а ў якасці кропкі доступу FortiAP. Атрымалася такая нетрывіяльная інтэграцыя, што ў чарговы раз даказвае шырокае ўжыванне ISE.
Для тэсціравання Cisco ISE звяртайцеся па
Крыніца: habr.com