🥇Cisco ISE: FortiAP-তে গেস্ট অ্যাক্সেস কনফিগার করা হচ্ছে। পার্ট 3

Cisco ISE সিরিজের তৃতীয় পোস্টে স্বাগতম। সিরিজের সমস্ত নিবন্ধের লিঙ্ক নীচে দেওয়া হল:

এই পোস্টে, আপনি গেস্ট অ্যাক্সেসে ডুব দেবেন, পাশাপাশি সিসকো আইএসই এবং ফোর্টিগেটকে একীভূত করার জন্য একটি ধাপে ধাপে নির্দেশিকা FortiAP কনফিগার করার জন্য, Fortinet-এর একটি অ্যাক্সেস পয়েন্ট (সাধারণত, যে কোনও ডিভাইস যা সমর্থন করে RADIUS CoA — অনুমোদনের পরিবর্তন)।

আমাদের নিবন্ধ সংযুক্ত করা হয়. Fortinet - দরকারী উপকরণ একটি নির্বাচন.

মন্তব্যউত্তর: চেক পয়েন্ট এসএমবি ডিভাইস RADIUS CoA সমর্থন করে না।

বিস্ময়কর নেতৃত্ব একটি Cisco WLC (ওয়্যারলেস কন্ট্রোলার) তে Cisco ISE ব্যবহার করে কিভাবে গেস্ট অ্যাক্সেস তৈরি করতে হয় তা ইংরেজিতে বর্ণনা করে। এর এটা চিন্তা করা যাক!

1। ভূমিকা

গেস্ট অ্যাক্সেস (পোর্টাল) আপনাকে অতিথি এবং ব্যবহারকারীদের জন্য ইন্টারনেটে বা অভ্যন্তরীণ সংস্থানগুলিতে অ্যাক্সেস প্রদান করতে দেয় যা আপনি আপনার স্থানীয় নেটওয়ার্কে যেতে চান না। অতিথি পোর্টালের ৩টি পূর্বনির্ধারিত প্রকার রয়েছে (অতিথি পোর্টাল):

হটস্পট গেস্ট পোর্টাল - লগইন ডেটা ছাড়াই অতিথিদের নেটওয়ার্কে অ্যাক্সেস দেওয়া হয়। নেটওয়ার্ক অ্যাক্সেস করার আগে ব্যবহারকারীদের সাধারণত কোম্পানির "ব্যবহার এবং গোপনীয়তা নীতি" মেনে নিতে হয়।
স্পন্সরড-গেস্ট পোর্টাল - নেটওয়ার্কে অ্যাক্সেস এবং লগইন ডেটা অবশ্যই স্পন্সর দ্বারা জারি করা উচিত - Cisco ISE-তে অতিথি অ্যাকাউন্ট তৈরি করার জন্য দায়ী ব্যবহারকারী।
স্ব-নিবন্ধিত অতিথি পোর্টাল - এই ক্ষেত্রে, অতিথিরা বিদ্যমান লগইন বিশদ ব্যবহার করেন, বা লগইন বিবরণ সহ নিজের জন্য একটি অ্যাকাউন্ট তৈরি করেন, তবে নেটওয়ার্কে অ্যাক্সেস পেতে স্পনসর নিশ্চিতকরণ প্রয়োজন।

সিসকো আইএসই-তে একই সময়ে একাধিক পোর্টাল স্থাপন করা যেতে পারে। ডিফল্টরূপে, গেস্ট পোর্টালে, ব্যবহারকারী Cisco লোগো এবং সাধারণ সাধারণ বাক্যাংশ দেখতে পাবেন। এই সমস্ত কাস্টমাইজ করা যেতে পারে এবং এমনকি অ্যাক্সেস পাওয়ার আগে বাধ্যতামূলক বিজ্ঞাপনগুলি দেখার জন্য সেট করা যেতে পারে।

গেস্ট অ্যাক্সেস সেটআপকে 4টি প্রধান ধাপে বিভক্ত করা যেতে পারে: FortiAP সেটআপ, Cisco ISE এবং FortiAP সংযোগ, গেস্ট পোর্টাল তৈরি এবং অ্যাক্সেস নীতি সেটআপ।

2. FortiGate এ FortiAP কনফিগার করা

FortiGate একটি অ্যাক্সেস পয়েন্ট কন্ট্রোলার এবং সমস্ত সেটিংস এটি তৈরি করা হয়. FortiAP অ্যাক্সেস পয়েন্টগুলি PoE সমর্থন করে, তাই একবার আপনি এটিকে ইথারনেটের মাধ্যমে নেটওয়ার্কের সাথে সংযুক্ত করলে, আপনি কনফিগারেশন শুরু করতে পারেন।

1) FortiGate এ, ট্যাবে যান ওয়াইফাই এবং সুইচ কন্ট্রোলার > পরিচালিত FortiAPs > নতুন তৈরি করুন > পরিচালিত AP. অ্যাক্সেস পয়েন্টের অনন্য সিরিয়াল নম্বর ব্যবহার করে, যা অ্যাক্সেস পয়েন্টে মুদ্রিত হয়, এটিকে একটি বস্তু হিসাবে যুক্ত করুন। অথবা এটি নিজেকে দেখাতে পারে এবং তারপর টিপুন অনুমোদন করা ডান মাউস বোতাম ব্যবহার করে।

2) FortiAP সেটিংস ডিফল্ট হতে পারে, উদাহরণস্বরূপ, স্ক্রিনশট হিসাবে ছেড়ে দিন। আমি অত্যন্ত 5 GHz মোড চালু করার সুপারিশ করছি, কারণ কিছু ডিভাইস 2.4 GHz সমর্থন করে না।

3) তারপর ট্যাবে ওয়াইফাই এবং সুইচ কন্ট্রোলার > FortiAP প্রোফাইল > নতুন তৈরি করুন আমরা অ্যাক্সেস পয়েন্টের জন্য একটি সেটিংস প্রোফাইল তৈরি করছি (সংস্করণ 802.11 প্রোটোকল, SSID মোড, চ্যানেল ফ্রিকোয়েন্সি এবং তাদের নম্বর)।

FortiAP সেটিংস উদাহরণ

4) পরবর্তী ধাপ হল একটি SSID তৈরি করা। ট্যাবে যান ওয়াইফাই এবং সুইচ কন্ট্রোলার > SSID > নতুন তৈরি করুন > SSID। এখানে গুরুত্বপূর্ণ থেকে কনফিগার করা উচিত:

অতিথি WLAN- আইপি/নেটমাস্কের ঠিকানার স্থান
RADIUS অ্যাকাউন্টিং এবং প্রশাসনিক অ্যাক্সেস ক্ষেত্রে সুরক্ষিত ফ্যাব্রিক সংযোগ
ডিভাইস সনাক্তকরণ বিকল্প
SSID এবং Broadcast SSID বিকল্প
নিরাপত্তা মোড সেটিংস > ক্যাপটিভ পোর্টাল
প্রমাণীকরণ পোর্টাল - বাহ্যিক এবং ধাপ 20 থেকে Cisco ISE থেকে তৈরি গেস্ট পোর্টালে একটি লিঙ্ক সন্নিবেশ করান
ইউজার গ্রুপ - গেস্ট গ্রুপ - এক্সটার্নাল - সিস্কো আইএসইতে RADIUS যোগ করুন (পৃ. 6 এর পর)

SSID সেটিং উদাহরণ

5) তারপর আপনি FortiGate অ্যাক্সেস নীতিতে নিয়ম তৈরি করা উচিত. ট্যাবে যান নীতি ও বস্তু > ফায়ারওয়াল নীতি এবং এই মত একটি নিয়ম তৈরি করুন:

3. RADIUS সেটিং

6) ট্যাবে Cisco ISE ওয়েব ইন্টারফেসে যান নীতি > নীতি উপাদান > অভিধান > সিস্টেম > ব্যাসার্ধ > RADIUS বিক্রেতা > যোগ করুন। এই ট্যাবে, আমরা সমর্থিত প্রোটোকলের তালিকায় Fortinet RADIUS যোগ করব, যেহেতু প্রায় প্রতিটি বিক্রেতার নিজস্ব নির্দিষ্ট বৈশিষ্ট্য রয়েছে - VSA (বিক্রেতা-নির্দিষ্ট বৈশিষ্ট্য)।

Fortinet RADIUS বৈশিষ্ট্যের একটি তালিকা পাওয়া যাবে এখানে. VSA তাদের অনন্য ভেন্ডর আইডি নম্বর দ্বারা আলাদা করা হয়। Fortinet এই ID আছে = 12356... সম্পূর্ণ তালিকা ভিএসএ IANA দ্বারা প্রকাশিত হয়েছে।

7) অভিধানের নাম সেট করুন, উল্লেখ করুন বিক্রেতা সনাক্তকরন সংখ্যা (12356) এবং টিপুন জমা দিন।

8) আমরা যাওয়ার পর প্রশাসন > নেটওয়ার্ক ডিভাইস প্রোফাইল > যোগ করুন এবং একটি নতুন ডিভাইস প্রোফাইল তৈরি করুন। RADIUS অভিধান ক্ষেত্রে, পূর্বে তৈরি Fortinet RADIUS অভিধান নির্বাচন করুন এবং ISE নীতিতে পরে ব্যবহার করার জন্য CoA পদ্ধতি নির্বাচন করুন। আমি RFC 5176 এবং পোর্ট বাউন্স (শাটডাউন/কোন শাটডাউন নেটওয়ার্ক ইন্টারফেস নেই) এবং সংশ্লিষ্ট VSA বেছে নিয়েছি:

ফরটিনেট-অ্যাক্সেস-প্রোফাইল=পড়ুন-লিখুন

Fortinet-গ্রুপ-নাম = fmg_faz_admins

9) এরপর, ISE এর সাথে সংযোগের জন্য FortiGate যোগ করুন। এটি করতে, ট্যাবে যান প্রশাসন > নেটওয়ার্ক সম্পদ > নেটওয়ার্ক ডিভাইস প্রোফাইল > যোগ করুন। ক্ষেত্র পরিবর্তন করা হবে নাম, বিক্রেতা, RADIUS অভিধান (IP ঠিকানা FortiGate ব্যবহার করে, FortiAP নয়)।

ISE পাশ থেকে RADIUS কনফিগার করার উদাহরণ

10) এর পরে, আপনাকে FortiGate পাশে RADIUS কনফিগার করতে হবে। FortiGate ওয়েব ইন্টারফেসে, যান ব্যবহারকারী ও প্রমাণীকরণ > RADIUS সার্ভার > নতুন তৈরি করুন. পূর্ববর্তী অনুচ্ছেদ থেকে নাম, আইপি ঠিকানা এবং ভাগ করা গোপন (পাসওয়ার্ড) উল্লেখ করুন। পরবর্তী ক্লিক করুন ব্যবহারকারীর শংসাপত্র পরীক্ষা করুন এবং যেকোন শংসাপত্র লিখুন যা RADIUS এর মাধ্যমে টেনে আনা যেতে পারে (উদাহরণস্বরূপ, Cisco ISE-এর স্থানীয় ব্যবহারকারী)।

11) গেস্ট-গ্রুপে একটি RADIUS সার্ভার যোগ করুন (যদি এটি বিদ্যমান না থাকে) পাশাপাশি ব্যবহারকারীদের একটি বাহ্যিক উত্স।

12) SSID-এ গেস্ট-গ্রুপ যোগ করতে ভুলবেন না যা আমরা আগে ধাপ 4 এ তৈরি করেছি।

4. ব্যবহারকারীর প্রমাণীকরণ সেটিং

13) ঐচ্ছিকভাবে, আপনি ISE গেস্ট পোর্টালে একটি শংসাপত্র আমদানি করতে পারেন বা ট্যাবে একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে পারেন কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > প্রশাসন > সার্টিফিকেশন > সিস্টেম সার্টিফিকেট.

14) ট্যাবে পরে কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > আইডেন্টিটি গ্রুপ > ইউজার আইডেন্টিটি গ্রুপ > অ্যাড করুন গেস্ট অ্যাক্সেসের জন্য একটি নতুন ব্যবহারকারী গ্রুপ তৈরি করুন, অথবা ডিফল্টগুলি ব্যবহার করুন।

15) আরও ট্যাবে প্রশাসন > পরিচয় গেস্ট ব্যবহারকারী তৈরি করুন এবং পূর্ববর্তী অনুচ্ছেদ থেকে তাদের গ্রুপে যুক্ত করুন। আপনি যদি তৃতীয় পক্ষের অ্যাকাউন্ট ব্যবহার করতে চান, তাহলে এই ধাপটি এড়িয়ে যান।

16) আমরা সেটিংসে যাওয়ার পরে কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > পরিচয় > আইডেন্টিটি সোর্স সিকোয়েন্স > গেস্ট পোর্টাল সিকোয়েন্স — এটি অতিথি ব্যবহারকারীদের জন্য ডিফল্ট প্রমাণীকরণ ক্রম। আর মাঠে প্রমাণীকরণ অনুসন্ধান তালিকা ব্যবহারকারী প্রমাণীকরণ আদেশ নির্বাচন করুন.

17) একটি এক-কালীন পাসওয়ার্ড সহ অতিথিদের অবহিত করতে, আপনি এই উদ্দেশ্যে এসএমএস প্রদানকারী বা একটি SMTP সার্ভার কনফিগার করতে পারেন। ট্যাবে যান কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > অ্যাডমিনিস্ট্রেশন > SMTP সার্ভার বা এসএমএস গেটওয়ে প্রদানকারী এই সেটিংসের জন্য। একটি SMTP সার্ভারের ক্ষেত্রে, আপনাকে ISE-এর জন্য একটি অ্যাকাউন্ট তৈরি করতে হবে এবং এই ট্যাবে ডেটা নির্দিষ্ট করতে হবে।

18) SMS বিজ্ঞপ্তির জন্য, উপযুক্ত ট্যাব ব্যবহার করুন। ISE জনপ্রিয় এসএমএস প্রদানকারীর প্রোফাইলগুলি আগে থেকে ইনস্টল করা আছে, কিন্তু আপনার নিজের তৈরি করা ভাল। সেটিং এর উদাহরণ হিসাবে এই প্রোফাইল ব্যবহার করুন এসএমএস ইমেল গেটওয়েy বা SMS HTTP API.

একটি এককালীন পাসওয়ার্ডের জন্য একটি SMTP সার্ভার এবং একটি SMS গেটওয়ে সেট আপ করার একটি উদাহরণ৷

5. গেস্ট পোর্টাল সেট আপ করা

19) শুরুতে যেমন উল্লেখ করা হয়েছে, 3 ধরনের আগে থেকে ইনস্টল করা গেস্ট পোর্টাল রয়েছে: হটস্পট, স্পন্সরড, সেলফ-নিবন্ধিত। আমি তৃতীয় বিকল্পটি বেছে নেওয়ার পরামর্শ দিই, কারণ এটি সবচেয়ে সাধারণ। যেভাবেই হোক, সেটিংস অনেকাংশে অভিন্ন। তো চলুন ট্যাবে যাই। কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > পোর্টাল ও উপাদান > গেস্ট পোর্টাল > স্ব-নিবন্ধিত গেস্ট পোর্টাল (ডিফল্ট)।

20) এরপর, পোর্টাল পৃষ্ঠা কাস্টমাইজেশন ট্যাবে, নির্বাচন করুন "রুশ ভাষায় দেখুন - রাশিয়ান", যাতে পোর্টালটি রাশিয়ান ভাষায় প্রদর্শিত হয়। আপনি যেকোনো ট্যাবের পাঠ্য পরিবর্তন করতে পারেন, আপনার লোগো যোগ করতে পারেন এবং আরও অনেক কিছু করতে পারেন। কোণে ডানদিকে আরও ভাল দেখার জন্য অতিথি পোর্টালের একটি পূর্বরূপ রয়েছে৷

স্ব-নিবন্ধন সহ একটি অতিথি পোর্টাল কনফিগার করার উদাহরণ

21) একটি বাক্যাংশে ক্লিক করুন পোর্টাল পরীক্ষার URL এবং ধাপ 4-এ FortiGate-এ SSID-তে পোর্টাল URL কপি করুন। নমুনা URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

আপনার ডোমেন প্রদর্শন করতে, আপনাকে অবশ্যই গেস্ট পোর্টালে সার্টিফিকেট আপলোড করতে হবে, ধাপ 13 দেখুন।

22) ট্যাবে যান কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > নীতি উপাদান > ফলাফল > অনুমোদন প্রোফাইল > যোগ করুন পূর্বে তৈরি একটি অধীনে একটি অনুমোদন প্রোফাইল তৈরি করতে নেটওয়ার্ক ডিভাইস প্রোফাইল।

23) ট্যাবে কাজের কেন্দ্র > গেস্ট অ্যাক্সেস > পলিসি সেট WiFi ব্যবহারকারীদের জন্য অ্যাক্সেস নীতি সম্পাদনা করুন।

24) আসুন গেস্ট SSID এর সাথে সংযোগ করার চেষ্টা করি। এটি অবিলম্বে লগইন পৃষ্ঠায় আমাকে পুনঃনির্দেশিত করে। এখানে আপনি ISE-তে স্থানীয়ভাবে তৈরি গেস্ট অ্যাকাউন্ট দিয়ে লগ ইন করতে পারেন, অথবা অতিথি ব্যবহারকারী হিসেবে নিবন্ধন করতে পারেন।

25) আপনি যদি স্ব-নিবন্ধন বিকল্পটি বেছে নিয়ে থাকেন, তাহলে এককালীন লগইন ডেটা মেল, এসএমএস বা প্রিন্টের মাধ্যমে পাঠানো যেতে পারে।

26) Cisco ISE-এর RADIUS > Live Logs ট্যাবে, আপনি সংশ্লিষ্ট লগইন লগ দেখতে পাবেন।

6। উপসংহার

এই দীর্ঘ নিবন্ধে, আমরা সিসকো আইএসই-তে অতিথি অ্যাক্সেস সফলভাবে কনফিগার করেছি, যেখানে ফোরটিগেট অ্যাক্সেস পয়েন্ট কন্ট্রোলার হিসাবে কাজ করে এবং ফোর্টিয়াপি অ্যাক্সেস পয়েন্ট হিসাবে কাজ করে। এটি এক ধরণের অ-তুচ্ছ ইন্টিগ্রেশন হয়ে উঠেছে, যা আবার ISE এর ব্যাপক ব্যবহার প্রমাণ করে।

Cisco ISE পরীক্ষা করতে, যোগাযোগ করুন লিংকএবং আমাদের চ্যানেলের সাথে থাকুন (Telegram, ফেসবুক, VK, টিএস সমাধান ব্লগ, ইয়ানডেক্স জেন).

উত্স: www.habr.com

Cisco ISE: FortiAP-তে গেস্ট অ্যাক্সেস কনফিগার করা। পার্ট 3