Добре дошли в третата публикация от поредицата Cisco ISE. Връзки към всички статии от поредицата са дадени по-долу:
В тази публикация ще се потопите в достъпа за гости, както и ръководство стъпка по стъпка за интегриране на Cisco ISE и FortiGate за конфигуриране на FortiAP, точка за достъп от Fortinet (като цяло всяко устройство, което поддържа РАДИУС CoA — Промяна на разрешение).
Приложени са нашите статии.
ВниманиеО: Устройствата на Check Point SMB не поддържат RADIUS CoA.
чудесен
1. Въведение
Достъпът за гости (портал) ви позволява да предоставите достъп до интернет или до вътрешни ресурси за гости и потребители, които не искате да допускате във вашата локална мрежа. Има 3 предварително дефинирани типа портал за гости (портал за гости):
-
Hotspot Portal за гости - Достъп до мрежата се предоставя на гости без данни за вход. По принцип от потребителите се изисква да приемат "Политиката за използване и поверителност" на компанията, преди да получат достъп до мрежата.
-
Портал за спонсорирани гости - достъпът до мрежата и данните за вход трябва да бъдат издадени от спонсора - потребителят, отговорен за създаването на акаунти за гости в Cisco ISE.
-
Портал за саморегистрирани гости - в този случай гостите използват съществуващи данни за вход или създават акаунт за себе си с данни за вход, но се изисква потвърждение от спонсор, за да получат достъп до мрежата.
Множество портали могат да бъдат разположени на Cisco ISE едновременно. По подразбиране в портала за гости потребителят ще види логото на Cisco и стандартните общи фрази. Всичко това може да бъде персонализирано и дори настроено за преглед на задължителни реклами, преди да получите достъп.
Настройката на достъпа за гости може да бъде разделена на 4 основни стъпки: настройка на FortiAP, свързване на Cisco ISE и FortiAP, създаване на портал за гости и настройка на правила за достъп.
2. Конфигуриране на FortiAP на FortiGate
FortiGate е контролер за точка за достъп и всички настройки се правят на него. FortiAP точките за достъп поддържат PoE, така че след като го свържете към мрежата чрез Ethernet, можете да започнете конфигурацията.
1) Във FortiGate отидете на раздела WiFi & Switch Controller > Управлявани FortiAPs > Създаване на нов > Управляван AP. Като използвате уникалния сериен номер на точката за достъп, който е отпечатан върху самата точка за достъп, добавете я като обект. Или може да се покаже и след това да се натисне Упълномощаване с помощта на десния бутон на мишката.
2) Настройките на FortiAP могат да бъдат по подразбиране, например оставете както на екранната снимка. Силно препоръчвам да включите режим 5 GHz, защото някои устройства не поддържат 2.4 GHz.
3) След това в табл WiFi & Switch Controller > FortiAP Profiles > Create New създаваме профил за настройки за точката за достъп (протокол версия 802.11, режим SSID, честота на канала и техния номер).
Пример за настройки на FortiAP
4) Следващата стъпка е да създадете SSID. Отидете в раздела WiFi & Switch Controller > SSIDs > Create New > SSID. Тук от важното трябва да се конфигурира:
-
адресно пространство за гост WLAN - IP/мрежова маска
-
RADIUS Accounting и Secure Fabric Connection в полето за административен достъп
-
Опция за откриване на устройство
-
Опция SSID и Broadcast SSID
-
Настройки на режима на защита > Captive Portal
-
Портал за удостоверяване - външен и вмъкнете връзка към създадения портал за гости от Cisco ISE от стъпка 20
-
Потребителска група - Група за гости - Външен - добавете RADIUS към Cisco ISE (стр. 6 и нататък)
Пример за настройка на SSID
5) След това трябва да създадете правила в правилата за достъп на FortiGate. Отидете в раздела Политика и обекти > Политика на защитната стена и създайте правило като това:
3. Настройка на РАДИУС
6) Отидете в уеб интерфейса на Cisco ISE до раздела Политика > Елементи на политика > Речници > Система > Радиус > RADIUS Доставчици > Добавяне. В този раздел ще добавим Fortinet RADIUS към списъка с поддържани протоколи, тъй като почти всеки доставчик има свои специфични атрибути - VSA (Vendor-Specific Attributes).
Можете да намерите списък с RADIUS атрибути на Fortinet
7) Задайте името на речника, посочете Предложител ID (12356) и натиснете Изпращане.
8) След като отидем на Администриране > Профили на мрежови устройства > Добавяне и създайте нов профил на устройството. В полето RADIUS Речници изберете създадения преди това Fortinet RADIUS речник и изберете CoA методите, които да използвате по-късно в правилата на ISE. Избрах RFC 5176 и Port Bounce (мрежов интерфейс за изключване/без изключване) и съответните VSA:
Fortinet-Access-Profile=четене-запис
Fortinet-Group-Name = fmg_faz_admins
9) След това добавете FortiGate за свързване с ISE. За да направите това, отидете на раздела Администриране > Мрежови ресурси > Профили на мрежови устройства > Добавяне. Полета за промяна Име, доставчик, речници RADIUS (IP адресът се използва от FortiGate, а не от FortiAP).
Пример за конфигуриране на RADIUS от страна на ISE
10) След това трябва да конфигурирате RADIUS от страна на FortiGate. В уеб интерфейса на FortiGate отидете на Потребител и удостоверяване > RADIUS сървъри > Създаване на нов. Посочете име, IP адрес и споделена тайна (парола) от предходния параграф. Следващ клик Тествайте идентификационните данни на потребителя и въведете всички идентификационни данни, които могат да бъдат изтеглени чрез RADIUS (например локален потребител на Cisco ISE).
11) Добавете RADIUS сървър към Guest-Group (ако не съществува), както и външен източник на потребители.
12) Не забравяйте да добавите Guest-Group към SSID, който създадохме по-рано в стъпка 4.
4. Настройка за удостоверяване на потребителя
13) По желание можете да импортирате сертификат в портала за гости на ISE или да създадете самоподписан сертификат в раздела Работни центрове > Достъп за гости > Администриране > Сертифициране > Системни сертификати.
14) След в табл Работни центрове > Достъп за гости > Групи за самоличност > Групи за идентичност на потребителя > Добавяне създайте нова потребителска група за достъп на гости или използвайте тези по подразбиране.
15) По-нататък в таб Администриране > Идентичности създайте гост потребители и ги добавете към групите от предходния параграф. Ако искате да използвате акаунти на трети страни, пропуснете тази стъпка.
16) След като отидем на настройките Работни центрове > Достъп за гости > Идентичности > Последователност на източник на идентичност > Последователност на портал за гости — това е последователността за удостоверяване по подразбиране за гост потребители. И на полето Списък за търсене при удостоверяване изберете реда за удостоверяване на потребителя.
17) За да уведомите гостите с еднократна парола, можете да конфигурирате SMS доставчици или SMTP сървър за тази цел. Отидете в раздела Работни центрове > Достъп за гости > Администриране > SMTP сървър или Доставчици на SMS Gateway за тези настройки. В случай на SMTP сървър, трябва да създадете акаунт за ISE и да посочите данните в този раздел.
18) За SMS известия използвайте съответния раздел. ISE има предварително инсталирани профили на популярни доставчици на SMS, но е по-добре да създадете свой собствен. Използвайте тези профили като пример за настройка SMS имейл шлюзy или SMS HTTP API.
Пример за настройка на SMTP сървър и SMS шлюз за еднократна парола
5. Настройка на портала за гости
19) Както споменахме в началото, има 3 вида предварително инсталирани портали за гости: Hotspot, Sponsored, Self-Registered. Предлагам да изберете третия вариант, тъй като той е най-често срещаният. Така или иначе, настройките са до голяма степен идентични. И така, нека отидем на раздела. Работни центрове > Достъп за гости > Портали и компоненти > Портали за гости > Саморегистриран портал за гости (по подразбиране).
20) След това в раздела Персонализиране на порталната страница изберете „Преглед на руски - руски“, така че порталът да се показва на руски език. Можете да промените текста на който и да е раздел, да добавите вашето лого и др. Вдясно в ъгъла има визуализация на портала за гости за по-добър изглед.
Пример за конфигуриране на портал за гости със саморегистрация
21) Кликнете върху фраза Тестови URL адрес на портала и копирайте URL адреса на портала в SSID на FortiGate в стъпка 4. Примерен URL адрес
За да покажете своя домейн, трябва да качите сертификата в портала за гости, вижте стъпка 13.
22) Отидете в раздела Работни центрове > Достъп за гости > Елементи на политика > Резултати > Профили за оторизация > Добавяне за създаване на авторизационен профил под създадения преди това Профил на мрежовото устройство.
23) В табл Работни центрове > Достъп за гости > Набори от правила редактирайте правилата за достъп за WiFi потребители.
24) Нека опитаме да се свържем с SSID за гости. Веднага ме пренасочва към страницата за вход. Тук можете да влезете с акаунта на гост, създаден локално в ISE, или да се регистрирате като гост потребител.
25) Ако сте избрали опцията за саморегистрация, тогава данните за еднократно влизане могат да бъдат изпратени по пощата, чрез SMS или отпечатани.
26) В раздела RADIUS > Live Logs на Cisco ISE ще видите съответните регистрационни файлове за влизане.
6. заключение
В тази дълга статия ние успешно конфигурирахме достъп за гости на Cisco ISE, където FortiGate действа като контролер на точката за достъп, а FortiAP действа като точка за достъп. Оказа се един вид нетривиална интеграция, която още веднъж доказва широкото използване на ISE.
За да тествате Cisco ISE, свържете се с
Източник: www.habr.com