Dobrodošli u treći post iz Cisco ISE serije. Linkovi na sve članke iz serije su dati u nastavku:
U ovoj publikaciji ćete zaroniti u pristup gostu, kao i korak po korak vodič za integraciju Cisco ISE i FortiGate za konfiguriranje FortiAP - pristupne točke iz Fortinet-a (općenito, svaki uređaj koji podržava RADIUS CoA — Promjena ovlaštenja).
Dodatno prilažem naše članke .
primjedba: Check Point SMB uređaji ne podržavaju RADIUS CoA.
divno opisuje na engleskom kako da kreirate pristup za goste koristeći Cisco ISE na Cisco WLC (bežični kontroler). Hajde da to shvatimo!
1. Uvod
Pristup za goste (portal) vam omogućava da omogućite pristup internetu ili internim resursima za goste i korisnike kojima ne želite da dopustite u svoju lokalnu mrežu. Postoje 3 unaprijed definirana tipa portala za goste (Guest portal):
-
Hotspot Guest portal—mrežni pristup je omogućen gostima bez podataka za prijavu. Od korisnika se generalno traži da prihvate kompanijsku "Pravu korištenja i privatnosti" prije pristupa mreži.
-
Portal za sponzorisane goste – pristup mreži i podatke za prijavu mora da izda sponzor – korisnik odgovoran za kreiranje naloga za goste na Cisco ISE.
-
Portal za samoregistrirane goste - u ovom slučaju gosti koriste postojeće podatke za prijavu ili kreiraju račun za sebe s podacima za prijavu, ali je potrebna potvrda sponzora da bi dobili pristup mreži.
Možete implementirati više portala istovremeno na Cisco ISE. Podrazumevano, korisnik će videti Cisco logo i standardne uobičajene fraze na portalu za goste. Sve se to može prilagoditi i čak možete podesiti gledanje obaveznog oglašavanja prije pristupa.
Podešavanje pristupa za goste može se podijeliti na 4 glavna koraka: FortiAP postavljanje, Cisco ISE i FortiAP povezivanje, kreiranje portala za goste i postavljanje politike pristupa.
2. Konfiguriranje FortiAP-a na FortiGate-u
FortiGate je kontroler pristupne tačke i na njemu se vrše sva podešavanja. FortiAP pristupne tačke podržavaju PoE, tako da kada ga povežete na mrežu preko Etherneta, možete započeti konfiguraciju.
1) Na FortiGate-u idite na karticu WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Koristeći jedinstveni serijski broj pristupne tačke, koji se nalazi na samoj pristupnoj tački, dodajte je kao objekat. Ili se može pojaviti samostalno, a zatim kliknuti Ovlastite koristeći desni taster miša.
2) FortiAP postavke mogu biti zadane; na primjer, ostavite ih kao na snimku ekrana. Toplo preporučujem da uključite režim od 5 GHz, jer neki uređaji ne podržavaju 2.4 GHz.
3) Zatim u kartici WiFi & Switch Controller > FortiAP profili > Kreiraj novi kreiramo profil podešavanja za pristupnu tačku (verzija 802.11 protokola, SSID režim, frekvencija kanala i njihov broj).
Primjer postavki FortiAP-a
4) Sljedeći korak je kreiranje SSID-a. Idi na karticu WiFi & Switch Controller > SSID-ovi > Kreiraj novi > SSID. Evo važnih stvari za konfiguraciju:
-
adresni prostor za WLAN za goste - IP/Netmask
-
RADIUS računovodstvo i sigurna Fabric veza u polju Administrativni pristup
-
Opcija Detection Device
-
SSID i Broadcast SSID opcija
-
Postavke sigurnosnog načina > Portal za zaštitu
-
Portal za autentifikaciju - eksterni i umetnite vezu na kreirani portal za goste iz Cisco ISE od koraka 20
-
Grupa korisnika - Grupa gostiju - Eksterna - dodajte RADIUS u Cisco ISE (odjeljak 6 i dalje)
Primjer konfiguracije SSID-a
5) Zatim biste trebali kreirati pravila u politici pristupa na FortiGate-u. Idi na karticu Politika i objekti > Politika zaštitnog zida i kreiraj ovakvo pravilo:
3. RADIUS postavka
6) Idite na Cisco ISE web interfejs na karticu Politika > Elementi politike > Rječnici > Sistem > Radijus > RADIUS dobavljači > Dodaj. U ovoj kartici ćemo dodati Fortinet RADIUS na listu podržanih protokola, jer gotovo svaki dobavljač ima svoje specifične atribute - VSA (Vendor-Specific Attributes).
Lista Fortinet RADIUS atributa se može naći . VSA se razlikuju po jedinstvenom ID broju dobavljača. Fortinet ima ovaj ID = 12356... Pun VSA je objavila IANA.
7) Podesite naziv rečnika, navedite ID dobavljača (12356) i pritisnite Pošaljite
8) Nakon što odemo u Administracija > Profili mrežnih uređaja > Dodaj i kreirajte novi profil uređaja. U polju RADIUS Rječnici odaberite prethodno kreirani Fortinet RADIUS rječnik i odaberite CoA metode koje ćete kasnije koristiti u ISE politici. Odabrao sam RFC 5176 i Port Bounce (gašenje/bez gašenja mrežnog sučelja) i odgovarajući VSA:
Fortinet-Access-Profile=read-write
Fortinet-Group-Name = fmg_faz_admins
9) Zatim dodajte FortiGate za povezivanje sa ISE. Da biste to učinili, idite na karticu Administracija > Mrežni resursi > Profili mrežnih uređaja > Dodaj. Polja koja se mijenjaju Naziv, dobavljač, RADIUS rječnici (IP adresu koristi FortiGate, a ne FortiAP).
Primjer konfiguracije RADIUS-a sa strane ISE
10) Nakon toga, trebali biste konfigurirati RADIUS na FortiGate strani. U FortiGate web interfejsu idite na Korisnik i autentifikacija > RADIUS serveri > Kreiraj novo. Navedite ime, IP adresu i Zajedničku tajnu (lozinku) iz prethodnog paragrafa. Sljedeći klik Testirajte korisničke akreditive i unesite sve vjerodajnice koje se mogu povući preko RADIUS-a (na primjer, lokalni korisnik na Cisco ISE).
11) Dodajte RADIUS server u grupu gostiju (ako ne postoji) kao i eksterni izvor korisnika.
12) Ne zaboravite da dodate grupu gostiju SSID-u koji smo kreirali ranije u koraku 4.
4. Postavka autentifikacije korisnika
13) Opciono, možete uvesti certifikat na ISE portal za goste ili kreirati samopotpisani certifikat u kartici Radni centri > Pristup za goste > Administracija > Certifikacija > Sistemski certifikati.
14) Nakon u tab Radni centri > Pristup za goste > Grupe identiteta > Grupe korisničkih identiteta > Dodaj kreirajte novu korisničku grupu za pristup gostu ili koristite one zadane.
15) Dalje u kartici Administracija > Identiteti kreirajte gostujuće korisnike i dodajte ih u grupe iz prethodnog paragrafa. Ako želite koristiti račune trećih strana, preskočite ovaj korak.
16) Nakon što idemo na postavke Radni centri > Pristup za goste > Identiteti > Slijed izvora identiteta > Redoslijed gostujućeg portala - ovo je zadana sekvenca autentifikacije za gostujuće korisnike. I na terenu Lista za pretragu autentifikacije odaberite redoslijed provjere autentičnosti korisnika.
17) Da biste goste obavijestili jednokratnom lozinkom, možete konfigurirati SMS provajdere ili SMTP server za tu svrhu. Idi na karticu Radni centri > Pristup za goste > Administracija > SMTP server ili SMS Gateway Provajderi za ove postavke. U slučaju SMTP servera, potrebno je da kreirate nalog za ISE i navedete podatke u ovoj kartici.
18) Za SMS obaveštenja koristite odgovarajuću karticu. ISE ima unapred instalirane profile popularnih SMS provajdera, ali je bolje da kreirate sopstveni. Koristite ove profile kao primjer postavki SMS Email Gateway ili SMS HTTP API.
Primjer postavljanja SMTP servera i SMS gatewaya za jednokratnu lozinku
5. Postavljanje portala za goste
19) Kao što je pomenuto na početku, postoje 3 tipa unapred instaliranih portala za goste: Hotspot, Sponzorisani, Samoregistrovani. Predlažem da odaberete treću opciju, jer je ona najčešća. U svakom slučaju, postavke su uglavnom identične. Dakle, idemo na karticu. Radni centri > Pristup za goste > Portali i komponente > Portali za goste > Samoregistrirani portal za goste (zadano).
20) Zatim na kartici Prilagođavanje stranice portala odaberite “Pogled na ruskom - ruskom”, tako da portal bude prikazan na ruskom jeziku. Možete promijeniti tekst bilo koje kartice, dodati svoj logotip i još mnogo toga. Desno u uglu je pregled portala za goste za bolji pregled.
Primjer konfiguracije portala za goste sa samoregistracijom
21) Kliknite na frazu “Test URL portala” i kopirajte URL portala u SSID na FortiGate-u u koraku 4. Primjer URL-a
Da biste prikazali svoju domenu, morate otpremiti certifikat na portal za goste, pogledajte korak 13.
22) Idite na karticu Radni centri > Gost pristup > Elementi politike > Rezultati > Profili autorizacije > Dodaj da kreirate autorizacijski profil pod prethodno kreiranim Profil mrežnog uređaja.
23) U tab Radni centri > Pristup za goste > Skupovi pravila uredite politiku pristupa za WiFi korisnike.
24) Pokušajmo se povezati sa gostujućim SSID-om. Odmah me preusmjerava na stranicu za prijavu. Ovdje se možete prijaviti sa gostujućim računom kreiranim lokalno na ISE-u ili se registrirati kao gost korisnik.
25) Ako ste odabrali opciju samoregistracije, jednokratni podaci za prijavu se mogu poslati e-poštom, SMS-om ili odštampati.
26) Na kartici RADIUS > Live Logs na Cisco ISE, videćete odgovarajuće evidencije prijavljivanja.
6. Zaključak
U ovom dugačkom članku, uspešno smo konfigurisali gostujući pristup na Cisco ISE, gde FortiGate deluje kao kontroler pristupne tačke, a FortiAP kao pristupna tačka. Rezultat je svojevrsna netrivijalna integracija, što još jednom dokazuje široku upotrebu ISE-a.
Za testiranje Cisco ISE, kontaktirajte i ostanite sa nama na našim kanalima (, , , , ).
izvor: www.habr.com