Benvingut a la tercera publicació de la sèrie Cisco ISE. A continuació es mostren els enllaços a tots els articles de la sèrie:
En aquesta publicació, us endinsareu en l'accés de convidats, així com en una guia pas a pas per integrar Cisco ISE i FortiGate per configurar FortiAP, un punt d'accés de Fortinet (en general, qualsevol dispositiu que admeti RADI CoA — Canvi d'autorització).
Adjuntem els nostres articles. .
NotaR: Els dispositius Check Point SMB no admeten RADIUS CoA.
meravellós descriu en anglès com crear un accés de convidat mitjançant Cisco ISE en un Cisco WLC (controlador sense fil). Anem a esbrinar-ho!
1. Introducció
L'accés de convidat (portal) us permet proporcionar accés a Internet o a recursos interns per a convidats i usuaris que no voleu deixar entrar a la vostra xarxa local. Hi ha 3 tipus predefinits de portal de convidats (portal de convidats):
-
Portal de convidats de hotspot: l'accés a la xarxa es proporciona als convidats sense dades d'inici de sessió. En general, els usuaris estan obligats a acceptar la "Política d'ús i privadesa" de l'empresa abans d'accedir a la xarxa.
-
Portal patrocinat-convidat: l'accés a la xarxa i les dades d'inici de sessió han de ser emesos pel patrocinador, l'usuari responsable de crear comptes de convidat a Cisco ISE.
-
Portal de convidats autoregistrats: en aquest cas, els convidats utilitzen les dades d'inici de sessió existents o es creen un compte amb les dades d'inici de sessió, però es requereix la confirmació del patrocinador per accedir a la xarxa.
Es poden desplegar diversos portals a Cisco ISE al mateix temps. Per defecte, al portal de convidats, l'usuari veurà el logotip de Cisco i les frases habituals estàndard. Tot això es pot personalitzar i fins i tot configurar-lo per veure anuncis obligatoris abans d'accedir.
La configuració de l'accés de convidat es pot dividir en 4 passos principals: configuració de FortiAP, connectivitat de Cisco ISE i FortiAP, creació de portals de convidats i configuració de polítiques d'accés.
2. Configuració de FortiAP a FortiGate
FortiGate és un controlador de punt d'accés i tots els paràmetres s'hi fan. Els punts d'accés FortiAP admeten PoE, de manera que un cop l'hagueu connectat a la xarxa mitjançant Ethernet, podeu iniciar la configuració.
1) A FortiGate, aneu a la pestanya Controlador WiFi i commutador > FortiAP gestionats > Crea nou > AP gestionat. Utilitzant el número de sèrie únic del punt d'accés, que està imprès al mateix punt d'accés, afegiu-lo com a objecte. O es pot mostrar i després prémer Autoritzar utilitzant el botó dret del ratolí.
2) La configuració de FortiAP pot ser predeterminada, per exemple, deixar com a la captura de pantalla. Recomano molt activar el mode de 5 GHz, perquè alguns dispositius no admeten 2.4 GHz.
3) A continuació, a la pestanya Controlador WiFi i commutador > Perfils FortiAP > Crea un nou estem creant un perfil de configuració per al punt d'accés (versió 802.11 protocol, mode SSID, freqüència del canal i el seu número).
Exemple de configuració de FortiAP
4) El següent pas és crear un SSID. Vés a la pestanya Controlador WiFi i commutador > SSID > Crea nou > SSID. Aquí des de l'important s'hauria de configurar:
-
espai d'adreces per a WLAN convidat - IP/Màscara de xarxa
-
RADIUS Accounting and Secure Fabric Connection al camp Accés administratiu
-
Opció de detecció del dispositiu
-
Opció SSID i SSID de difusió
-
Configuració del mode de seguretat > Portal captiu
-
Portal d'autenticació: extern i inseriu un enllaç al portal de convidats creat des de Cisco ISE a partir del pas 20
-
Grup d'usuaris - Grup de convidats - Extern - afegeix RADIUS a Cisco ISE (p. 6 en endavant)
Exemple de configuració de SSID
5) Aleshores, hauríeu de crear regles a la política d'accés a FortiGate. Vés a la pestanya Política i objectes > Política del tallafoc i creeu una regla com aquesta:
3. Configuració de RADIUS
6) Aneu a la interfície web de Cisco ISE a la pestanya Política > Elements de política > Diccionaris > Sistema > Radi > Proveïdors RADIUS > Afegeix. En aquesta pestanya, afegirem Fortinet RADIUS a la llista de protocols compatibles, ja que gairebé tots els venedors tenen els seus propis atributs específics: VSA (atributs específics del proveïdor).
Es pot trobar una llista d'atributs de Fortinet RADIUS . Els VSA es distingeixen pel seu número d'identificació de proveïdor únic. Fortinet té aquest ID = 12356... Complet El VSA ha estat publicat per la IANA.
7) Establiu el nom del diccionari, especifiqueu Identificador de proveïdor (12356) i premsa Presentar.
8) Després d'anar a Administració > Perfils de dispositiu de xarxa > Afegeix i creeu un perfil de dispositiu nou. Al camp Diccionaris RADIUS, seleccioneu el diccionari Fortinet RADIUS creat anteriorment i seleccioneu els mètodes CoA per utilitzar més endavant a la política ISE. Vaig triar RFC 5176 i Port Bounce (apagat/sense apagat interfície de xarxa) i els VSA corresponents:
Fortinet-Access-Profile=lectura-escriptura
Fortinet-Group-Name = fmg_faz_admins
9) A continuació, afegiu FortiGate per connectar-vos amb ISE. Per fer-ho, aneu a la pestanya Administració > Recursos de xarxa > Perfils de dispositius de xarxa > Afegeix. Camps a canviar Nom, venedor, diccionaris RADIUS (FortiGate fa servir l'adreça IP, no FortiAP).
Exemple de configuració de RADIUS des del costat ISE
10) Després d'això, hauríeu de configurar RADIUS al costat de FortiGate. A la interfície web de FortiGate, aneu a Usuari i autenticació > Servidors RADIUS > Crea nou. Especifiqueu el nom, l'adreça IP i el secret compartit (contrasenya) del paràgraf anterior. Feu clic a continuació Prova les credencials d'usuari i introduïu qualsevol credencial que es pugui obtenir mitjançant RADIUS (per exemple, un usuari local a Cisco ISE).
11) Afegiu un servidor RADIUS al grup de convidats (si no existeix) així com una font externa d'usuaris.
12) No oblideu afegir el grup de convidats al SSID que hem creat anteriorment al pas 4.
4. Configuració d'autenticació d'usuari
13) Opcionalment, podeu importar un certificat al portal de convidats ISE o crear un certificat autofirmat a la pestanya Centres de treball > Accés convidat > Administració > Certificació > Certificats del sistema.
14) Després de la pestanya Centres de treball > Accés de convidat > Grups d'identitat > Grups d'identitat d'usuari > Afegeix creeu un grup d'usuaris nou per accedir als convidats o utilitzeu els predeterminats.
15) Més a la pestanya Administració > Identitats crear usuaris convidats i afegir-los als grups del paràgraf anterior. Si voleu utilitzar comptes de tercers, ometeu aquest pas.
16) Després d'anar a la configuració Centres de treball > Accés convidat > Identitats > Seqüència font d'identitat > Seqüència del portal de convidats — aquesta és la seqüència d'autenticació per defecte per als usuaris convidats. I al camp Llista de cerca d'autenticació seleccioneu l'ordre d'autenticació de l'usuari.
17) Per notificar als convidats amb una contrasenya única, podeu configurar proveïdors d'SMS o un servidor SMTP per a aquesta finalitat. Vés a la pestanya Centres de treball > Accés convidat > Administració > Servidor SMTP o Proveïdors de passarel·la SMS per a aquests paràmetres. En el cas d'un servidor SMTP, heu de crear un compte per a l'ISE i especificar les dades en aquesta pestanya.
18) Per a les notificacions per SMS, utilitzeu la pestanya adequada. ISE té perfils preinstal·lats de proveïdors d'SMS populars, però és millor crear els vostres. Utilitzeu aquests perfils com a exemple de configuració Passarel·la de correu electrònic SMSy o API HTTP SMS.
Un exemple de configuració d'un servidor SMTP i una passarel·la d'SMS per a una contrasenya única
5. Configuració del portal de convidats
19) Com s'ha esmentat al principi, hi ha 3 tipus de portals de convidats preinstal·lats: Hotspot, Sponsored, Self-Registered. Suggereixo triar la tercera opció, ja que és la més habitual. De qualsevol manera, la configuració és en gran part idèntica. Així que anem a la pestanya. Centres de treball > Accés de convidat > Portals i components > Portals de convidats > Portal de convidat registrat (per defecte).
20) A continuació, a la pestanya Personalització de la pàgina del portal, seleccioneu "Veure en rus - rus", perquè el portal es mostri en rus. Podeu canviar el text de qualsevol pestanya, afegir el vostre logotip i molt més. A la dreta a la cantonada hi ha una vista prèvia del portal de convidats per a una millor visió.
Exemple de configuració d'un portal de convidats amb autoregistre
21) Feu clic a una frase URL de prova del portal i copieu l'URL del portal al SSID del FortiGate al pas 4. URL de mostra
Per mostrar el vostre domini, heu de carregar el certificat al portal de convidats, vegeu el pas 13.
22) Anar a la pestanya Centres de treball > Accés de convidat > Elements de política > Resultats > Perfils d'autorització > Afegeix per crear un perfil d'autorització sota el creat anteriorment Perfil de dispositiu de xarxa.
23) A la pestanya Centres de treball > Accés de convidat > Conjunts de polítiques editar la política d'accés per als usuaris de WiFi.
24) Intentem connectar-nos al SSID convidat. Em redirigeix immediatament a la pàgina d'inici de sessió. Aquí podeu iniciar sessió amb el compte de convidat creat localment a l'ISE o registrar-vos com a usuari convidat.
25) Si heu escollit l'opció d'autoregistre, les dades d'inici de sessió es poden enviar per correu, per SMS o per imprimir.
26) A la pestanya RADIUS > Registres en directe de Cisco ISE, veureu els registres d'inici de sessió corresponents.
6. Conclusió
En aquest llarg article, hem configurat correctament l'accés de convidats a Cisco ISE, on FortiGate actua com a controlador de punt d'accés i FortiAP actua com a punt d'accés. Va resultar una mena d'integració no trivial, que demostra una vegada més l'ús generalitzat de l'ISE.
Per provar Cisco ISE, poseu-vos en contacte i també estigueu atents als nostres canals (, , , , ).
Font: www.habr.com