Malipayon nga pag-abut sa ikatulo nga post sa serye sa Cisco ISE. Ang mga link sa tanan nga mga artikulo sa serye gihatag sa ubos:
Sa kini nga post, mag-dive ka sa pag-access sa bisita, ingon man usa ka sunod-sunod nga giya sa pag-integrate sa Cisco ISE ug FortiGate aron ma-configure ang FortiAP, usa ka access point gikan sa Fortinet (sa kinatibuk-an, bisan unsang aparato nga nagsuporta RADIUS CoA - Pagbag-o sa Awtorisasyon).
Gilakip ang among mga artikulo. .
ΠΡΠΈΠΌΠ΅ΡΠ°Π½ΠΈΠ΅A: Ang Check Point SMB device dili mosuporta sa RADIUS CoA.
talagsaon naghulagway sa English kon unsaon paghimo og bisita access gamit ang Cisco ISE sa Cisco WLC (Wireless Controller). Atong hisgotan kini!
1. Pasiuna
Ang pag-access sa bisita (portal) nagtugot kanimo sa paghatag og access sa Internet o sa internal nga mga kapanguhaan alang sa mga bisita ug tiggamit nga dili nimo gusto nga pasudlon sa imong lokal nga network. Adunay 3 predefined nga matang sa guest portal (Guest portal):
-
Hotspot Guest portal - Ang access sa network gihatag sa mga bisita nga walay data sa pag-login. Ang mga tiggamit sa kasagaran gikinahanglan nga modawat sa "Paggamit ug Patakaran sa Pagkapribado" sa kompanya sa dili pa ma-access ang network.
-
Sponsored-Guest portal - ang pag-access sa network ug data sa pag-login kinahanglan i-isyu sa sponsor - ang user nga responsable sa paghimo og mga guest account sa Cisco ISE.
-
Self-Registered Guest portal - sa kini nga kaso, ang mga bisita naggamit sa kasamtangan nga mga detalye sa pag-login, o paghimo og usa ka account alang sa ilang kaugalingon nga adunay mga detalye sa pag-login, apan gikinahanglan ang pagkumpirma sa sponsor aron makaangkon og access sa network.
Daghang mga portal ang mahimong i-deploy sa Cisco ISE sa parehas nga oras. Sa kasagaran, sa guest portal, makita sa user ang Cisco logo ug standard common phrases. Kining tanan mahimong ipasibo ug gani itakda sa pagtan-aw sa mandatory nga mga ad sa dili pa makakuha og access.
Ang pag-setup sa pag-access sa bisita mahimong bahinon sa 4 nga panguna nga mga lakang: pag-setup sa FortiAP, koneksyon sa Cisco ISE ug FortiAP, paghimo sa portal sa bisita, ug pag-setup sa palisiya sa pag-access.
2. Pag-configure sa FortiAP sa FortiGate
Ang FortiGate usa ka access point controller ug ang tanan nga mga setting gihimo niini. Ang mga access point sa FortiAP nagsuporta sa PoE, mao nga kung makonektar na nimo kini sa network pinaagi sa Ethernet, mahimo nimong sugdan ang pag-configure.
1) Sa FortiGate, adto sa tab WiFi & Switch Controller > Gidumala nga FortiAPs > Paghimo Bag-o > Gidumala nga AP. Gamit ang talagsaong serial number sa access point, nga giimprinta sa access point mismo, idugang kini isip butang. O kini mahimong magpakita sa iyang kaugalingon ug dayon mopadayon Pagtugot gamit ang tuo nga mouse button.
2) Ang mga setting sa FortiAP mahimong default, pananglitan, ibilin sama sa screenshot. Girekomenda nako nga i-on ang 5 GHz mode, tungod kay ang ubang mga aparato dili mosuporta sa 2.4 GHz.
3) Unya sa tab WiFi & Switch Controller > FortiAP Profile > Paghimo Bag-o naghimo kami og profile sa mga setting alang sa access point (bersyon 802.11 protocol, SSID mode, channel frequency ug ilang numero).
Pananglitan sa mga setting sa FortiAP
4) Ang sunod nga lakang mao ang paghimo og SSID. Adto sa tab WiFi & Switch Controller > SSIDs > Paghimo Bag-o > SSID. Dinhi gikan sa importante kinahanglan nga ma-configure:
-
address space para sa bisita nga WLAN - IP/Netmask
-
RADIUS Accounting ug Secure Fabric Connection sa Administrative Access field
-
Pagpili sa Device Detection
-
SSID ug Broadcast SSID kapilian
-
Mga Setting sa Mode sa Seguridad > Captive Portal
-
Authentication Portal - External ug isulod ang usa ka link sa gibuhat nga guest portal gikan sa Cisco ISE gikan sa lakang 20
-
Grupo sa Gumagamit - Grupo sa Bisita - External - idugang ang RADIUS sa Cisco ISE (p. 6 pataas)
Pananglitan sa SSID setting
5) Unya kinahanglan ka maghimo mga lagda sa palisiya sa pag-access sa FortiGate. Adto sa tab Patakaran ug mga butang > Patakaran sa Firewall ug paghimo usa ka lagda nga sama niini:
3. RADIUS setting
6) Adto sa Cisco ISE web interface sa tab Patakaran > Mga Elemento sa Patakaran > Mga Diksyonaryo > Sistema > Radius > RADIUS Vendor > Idugang. Sa kini nga tab, idugang namon ang Fortinet RADIUS sa lista sa gisuportahan nga mga protocol, tungod kay hapit matag vendor adunay kaugalingon nga piho nga mga kinaiya - VSA (Vendor-Specific Attributes).
Ang usa ka lista sa Fortinet RADIUS nga mga hiyas makit-an . Ang mga VSA gipalahi sa ilang talagsaon nga numero sa Vendor ID. Ang Fortinet adunay kini nga ID = 12356... Puno Ang VSA gimantala sa IANA.
7) Ibutang ang ngalan sa diksyonaryo, ipiho Vendor ID (12356) ug press Pagsumite.
8) Human kita moadto sa Administrasyon > Mga Profile sa Network Device > Idugang ug paghimo og bag-ong device profile. Sa natad sa RADIUS Dictionaries, pilia ang gihimo kaniadto nga Fortinet RADIUS nga diksyonaryo ug pilia ang mga pamaagi sa CoA nga gamiton sa ulahi sa polisiya sa ISE. Gipili nako ang RFC 5176 ug Port Bounce (shutdown/no shutdown network interface) ug ang katugbang nga VSA:
Fortinet-Access-Profile=basaha-sulat
Fortinet-Group-Ngalan = fmg_faz_admins
9) Sunod, idugang ang FortiGate alang sa koneksyon sa ISE. Aron mahimo kini, adto sa tab Administrasyon > Mga Kapanguhaan sa Network > Mga Profile sa Device sa Network > Idugang. Mga natad nga usbon Ngalan, Vendor, RADIUS Dictionaries (Ang IP Address gigamit sa FortiGate, dili FortiAP).
Pananglitan sa pag-configure sa RADIUS gikan sa kilid sa ISE
10) Pagkahuman niana, kinahanglan nimo nga i-configure ang RADIUS sa bahin sa FortiGate. Sa FortiGate web interface, adto sa User & Authentication > RADIUS Servers > Create New. Ipiho ang ngalan, IP address ug Shared secret (password) gikan sa miaging paragraph. Sunod nga pag-klik Sulayi ang Mga Kredensyal sa Gumagamit ug pagsulod sa bisan unsang mga kredensyal nga mahimong makuha pinaagi sa RADIUS (pananglitan, usa ka lokal nga tiggamit sa Cisco ISE).
11) Pagdugang ug RADIUS server sa Guest-Group (kung wala kini) ingon man usa ka eksternal nga tinubdan sa mga tiggamit.
12) Ayaw kalimti nga idugang ang Guest-Group sa SSID nga among gibuhat sa sayo pa sa lakang 4.
4. Setting sa Pagpamatuod sa Gumagamit
13) Opsyonal, mahimo nimong i-import ang usa ka sertipiko sa portal sa bisita sa ISE o maghimo usa ka sertipiko nga gipirmahan sa kaugalingon sa tab Mga Sentro sa Trabaho > Pag-access sa Bisita > Administrasyon > Sertipikasyon > Mga Sertipiko sa Sistema.
14) Human sa tab Work Centers > Guest Access > Identity Groups > User Identity Groups > Add paghimo og bag-ong grupo sa tiggamit alang sa pag-access sa bisita, o gamita ang mga default.
15) Dugang pa sa tab Administrasyon > Mga Identidad paghimo og bisita nga tiggamit ug idugang sila sa mga grupo gikan sa miaging parapo. Kung gusto nimo gamiton ang mga account sa ikatulo nga partido, laktawan kini nga lakang.
16) Human kita moadto sa mga setting Mga Sentro sa Trabaho > Pag-access sa Bisita > Mga Identidad > Pagkasunod-sunod sa Tinubdan sa Identidad > Pagkasunod-sunod sa Guest Portal β kini ang default nga han-ay sa pag-ila sa mga bisita. Ug sa kapatagan Listahan sa Pagpangita sa Pagpamatuod pilia ang order sa pag-authenticate sa user.
17) Aron mapahibalo ang mga bisita sa usa ka higayon nga password, mahimo nimong i-configure ang mga SMS provider o usa ka server sa SMTP alang niini nga katuyoan. Adto sa tab Work Centers > Guest Access > Administration > SMTP Server o Mga Taghatag sa SMS Gateway alang niini nga mga setting. Sa kaso sa usa ka SMTP server, kinahanglan ka nga maghimo usa ka account alang sa ISE ug ipiho ang datos sa kini nga tab.
18) Para sa SMS notifications, gamita ang angay nga tab. Ang ISE adunay na-pre-install nga mga profile sa mga sikat nga SMS providers, apan mas maayo nga maghimo og imong kaugalingon. Gamita kini nga mga profile isip usa ka ehemplo sa setting SMS Email Gatewayy o SMS HTTP API.
Usa ka pananglitan sa pag-set up sa SMTP server ug SMS gateway alang sa usa ka higayon nga password
5. Pag-set up sa guest portal
19) Sama sa nahisgotan na sa sinugdanan, adunay 3 ka matang sa pre-installed guest portals: Hotspot, Sponsored, Self-Registered. Gisugyot ko ang pagpili sa ikatulo nga kapilian, tungod kay kini ang labing kasagaran. Sa bisan unsang paagi, ang mga setting sa kadaghanan parehas. Busa adto ta sa tab. Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal (default).
20) Sunod, sa Portal Page Customization tab, pilia "Tan-awa sa Russian - Russian", aron ang portal gipakita sa Russian. Mahimo nimong usbon ang teksto sa bisan unsang tab, idugang ang imong logo, ug daghan pa. Sa tuo sa suok mao ang usa ka preview sa bisita portal alang sa usa ka mas maayo nga panglantaw.
Pananglitan sa pag-configure sa usa ka bisita nga portal nga adunay pagparehistro sa kaugalingon
21) Pag-klik sa usa ka hugpong sa mga pulong URL sa pagsulay sa portal ug kopyaha ang portal URL sa SSID sa FortiGate sa lakang 4. Sample URL
Aron ipakita ang imong domain, kinahanglan nimo nga i-upload ang sertipiko sa portal sa bisita, tan-awa ang lakang 13.
22) Lakaw ngadto sa tab Mga Sentro sa Trabaho > Pag-access sa Bisita > Mga Elemento sa Patakaran > Mga Resulta > Mga Profile sa Awtorisasyon > Pagdugang sa paghimo sa usa ka pagtugot profile sa ilalum sa kaniadto gibuhat sa usa Profile sa Device sa Network.
23) Sa tab Mga Sentro sa Trabaho > Pag-access sa Bisita > Mga Set sa Patakaran usba ang palisiya sa pag-access alang sa mga tiggamit sa WiFi.
24) Atong sulayan ang pagkonektar sa bisita nga SSID. Gi-redirect dayon ko niini sa login page. Dinhi mahimo ka mag log in gamit ang guest account nga gihimo sa lokal sa ISE, o magparehistro isip guest user.
25) Kung gipili nimo ang kapilian sa pagparehistro sa kaugalingon, unya ang usa ka higayon nga data sa pag-login mahimong ipadala pinaagi sa koreo, pinaagi sa SMS, o giimprinta.
26) Sa RADIUS> Live Logs tab sa Cisco ISE, imong makita ang katugbang nga mga log sa pag-login.
6. Panapos
Niining taas nga artikulo, malampuson namong na-configure ang pag-access sa bisita sa Cisco ISE, diin ang FortiGate naglihok isip access point controller, ug ang FortiAP naglihok isip access point. Kini nahimong usa ka matang sa dili-trivial nga panagsama, nga sa makausa pa nagpamatuod sa kaylap nga paggamit sa ISE.
Aron masulayan ang Cisco ISE, kontaka ug padayon usab nga magtan-aw sa among mga channel (, , , , ).
Source: www.habr.com