Benvenuti à a terza publicazione di una seria d'articuli dedicati à Cisco ISE. I ligami à tutti l'articuli in a serie sò dati quì sottu:
In questa publicazione, vi immergerete in l'accessu d'ospiti, è ancu una guida passo-passu per integrà Cisco ISE è FortiGate per cunfigurà FortiAP - un puntu d'accessu da Fortinet (in generale, qualsiasi dispositivu chì supporta RADIUS CoA - Cambia l'autorizazione).
Inoltre, aghju aghjustatu i nostri articuli .
Vita: I dispositi Check Point SMB ùn sustene micca RADIUS CoA.
Meravigliosa descrive in inglese cumu creà l'accessu d'ospiti cù Cisco ISE in un Cisco WLC (Wireless Controller). Scuprimu !
1. Introduzione
L'accessu d'ospiti (portale) vi permette di furnisce l'accessu à Internet o à e risorse internu per l'invitati è l'utilizatori chì ùn vulete micca permette in a vostra reta lucale. Ci sò 3 tippi pre-installati di u portale d'ospiti:
-
Portale Hotspot Guest - l'accessu à a rete hè furnitu à l'invitati senza infurmazione di login. Di genere, l'utilizatori sò tenuti à accettà a "Politica d'usu è di privacy" di una cumpagnia prima di accede à a reta.
-
Portale Sponsored-Guest - l'accessu à a reta è i dati di login deve esse furnitu da u sponsor - l'utilizatore rispunsevuli di creà cunti d'ospiti in Cisco ISE.
-
Portale d'ospiti registrati - in questu casu, l'ospiti utilizanu dati di login esistenti, o creanu un contu per elli stessi cù dati di login, ma a cunferma di u sponsor hè necessaria per accede à a reta.
Pudete implementà parechji portali simultaneamente in Cisco ISE. Per automaticamente, l'utilizatore vede u logu Cisco è e frasi cumuni standard in u portale d'ospiti. Tuttu chistu pò esse persunalizatu è pudete ancu stabilisce a visualizazione di publicità obligatoria prima di accede.
Configurazione di l'accessu di l'ospiti pò esse divisu in 4 passi principali: installazione di FortiAP, stabilisce a cunnessione Cisco ISE è FortiAP, crea un portale d'ospiti, è stabilisce una pulitica d'accessu.
2. Configurazione di FortiAP in FortiGate
FortiGate hè un controller di puntu d'accessu è tutti i paràmetri sò realizati nantu à questu. I punti d'accessu FortiAP supportanu PoE, cusì una volta chì l'avete cunnessu à a vostra reta via Ethernet, pudete inizià a cunfigurazione.
1) In FortiGate, andate à a tabulazione WiFi & Switch Controller> Managed FortiAPs> Create New> Managed AP. Utilizendu u numeru di serie unicu di u puntu d'accessu, chì si trova nantu à u puntu d'accessu stessu, aghjunghje cum'è un ughjettu. O si pò vede da sè stessu è dopu cliccate Autorizà usendu u buttone drittu di u mouse.
2) I paràmetri di FortiAP ponu esse predeterminati; per esempiu, lasciate cum'è in a screenshot. Vi cunsigliu assai di accende u modu 5 GHz, perchè certi dispositi ùn supportanu micca 2.4 GHz.
3) Allora in tabulazione WiFi & Switch Controller> Profili FortiAP> Crea Novu Creemu un prufilu di paràmetri per u puntu d'accessu (versione di protokollu 802.11, modalità SSID, frequenza di canali è numeru di canali).
Esempiu di paràmetri FortiAP
4) U prossimu passu hè di creà un SSID. Andà à a tabulazione WiFi & Switch Controller> SSIDs> Crea Novu> SSID. Eccu i cose impurtanti per cunfigurà:
-
spaziu d'indirizzu per l'ospiti WLAN - IP/Netmask
-
RADIUS Accounting and Secure Fabric Connection in u campu di Access Administrative
-
Opzione di rilevazione di u dispositivu
-
Opzione SSID è Broadcast SSID
-
Configurazione di u Modu di Sicurezza> Portal Captive
-
Portal d'autentificazione - Esternu è incollà u ligame à u portale d'ospiti creatu da Cisco ISE da u passu 20
-
Gruppu d'utilizatori - Gruppu d'ospiti - Esternu - aghjunghje RADIUS à Cisco ISE (sezzione 6 ff)
Esempiu di cunfigurazione SSID
5) In seguitu, duvete creà regule in a pulitica di accessu à u FortiGate. Andà à a tabulazione Politica & Oggetti> Politica di Firewall è crea una regula cum'è questu:
3. Setup RADIUS
6) Andà à l'interfaccia web Cisco ISE à a tabulazione Politica > Elementi di pulitica > Dizionari > Sistema > Radius > Venditori RADIUS > Add. In questa tabulazione aghjunghjemu RADIUS da Fortinet à a lista di protokolli supportati, postu chì quasi ogni venditore hà i so attributi specifichi - VSA (Vendor-Specific Attributes).
Una lista di l'attributi Fortinet RADIUS pò esse truvata . I VSA sò distinti da un numeru ID unicu di u venditore. Fortinet hà questu ID = 12356. Pienu U VSA hè statu publicatu da l'urganizazione IANA.
7) Pone un nome per u dizziunariu, indica ID di u venditore (12356) è stampa Invia.
8) Dopu andemu à Amministrazione> Profili di Dispositivi Rete> Add è creà un novu prufilu di u dispusitivu. In u campu RADIUS Dictionaries, duvete selezziunate u dizziunariu Fortinet RADIUS creatu prima è selezziunate i metudi CoA per aduprà più tardi in a pulitica ISE. Aghju sceltu RFC 5176 è Port Bounce (shutdown / no shutdown of the network interface) è u VSA currispundente:
Fortinet-Access-Profile = lettura-scrittura
Fortinet-Group-Name = fmg_faz_admins
9) Dopu duvete aghjunghje FortiGate per a cunnessione cù ISE. Per fà questu, andate à a tabulazione Administration> Network Resources> Network Device Profiles> Add. I campi deve esse cambiatu Nome, Venditore, Dizionari RADIUS (L'indirizzu IP hè utilizatu da FortiGate, micca FortiAP).
Esempiu di cunfigurazione RADIUS da u latu ISE
10) Dopu, duvete cunfigurà RADIUS da u latu FortiGate. In l'interfaccia web FortiGate, andate à User & Authentication> Servitori RADIUS> Crea Novu. Specificate u nome, l'indirizzu IP è u sicretu Shared (password) da u paràgrafu precedente. Cliccate dopu Pruvate i credenziali d'utilizatore è inserite qualsiasi credenziali chì ponu esse tiratu via RADIUS (per esempiu, utilizatore locale in Cisco ISE).
11) Aghjunghjite un servitore RADIUS à u Gruppu d'Ospiti (se ùn esiste micca, creanu unu), è ancu l'utilizatori di fonti esterni.
12) Ùn vi scurdate di aghjunghje u Gruppu d'ospiti à u SSID chì avemu creatu prima in u passu 4.
4. Stallà utilizatori autentificazione
13) Opzionalmente, pudete impurtà un certificatu à u portale d'ospiti ISE o creà un certificatu autofirmatu in a tabulazione Centri di travagliu > Accessu d'ospiti > Amministrazione > Certificazione > Certificati di sistema.
14) Dopu in a tabulazione Centri di travagliu > Accessu d'ospiti > Gruppi d'identità > Gruppi d'identità d'utilizatori > Add crea un novu gruppu d'utilizatori per l'accessu d'ospiti, o utilizate quelli predeterminati.
15) Dopu in a tabulazione Amministrazione > Identità crià utilizatori invitati è aghjunghje à i gruppi da u paràgrafu precedente. Sè vo vulete aduprà cunti di terzu-party, tandu saltà stu passu.
16) Allora andate à i paràmetri Centri di travagliu> Accessu d'ospiti> Identità> Sequenza Fonte d'Identità> Sequenza Portale Guest - Questa hè una sequenza di autentificazione predefinita per l'utilizatori invitati. È in u campu Lista di ricerca di autentificazione selezziunà l'ordine di autentificazione di l'utilizatori.
17) Per avvisà l'invitati cù una password unica, pudete cunfigurà i fornituri di SMS o u servitore SMTP per questu scopu. Andà à a tabulazione Centri di travagliu> Accessu d'ospiti> Amministrazione> Servitore SMTP o Fornitori di Gateway SMS per questi paràmetri. In u casu di un servitore SMTP, avete bisognu di creà un contu per ISE è specificà i dati in questa tabulazione.
18) Per notifiche SMS, utilizate a tabulazione adatta. ISE hà preinstallati profili di i fornituri SMS populari, ma hè megliu per creà u vostru propiu. Aduprate questi profili cum'è un esempiu di paràmetri SMS Email Gateway o SMS HTTP API.
Esempiu di creazione di un servitore SMTP è di una porta di SMS per una password unica
5. Stallà u portale di invitati
19) Cum'è dettu à u principiu, ci sò 3 tippi di portali d'ospiti preinstallati: Hotspot, Sponsored, Self-Registered. Suggeriu di sceglie a terza opzione, postu chì hè a più cumuna. In ogni casu, i paràmetri sò largamente identici. Allora andemu à a tabulazione Centri di travagliu > Accessu di l'ospiti > Portali è cumpunenti > Portali di l'ospiti > Portale d'ospiti registratu (predeterminatu).
20) In seguitu, in a tabulazione di persunalizazione di a pagina di u portale, selezziunate "Vede in Russian - Russian", cusì chì u portale principia à esse mostratu in Russu. Pudete cambià u testu di ogni tabulazione, aghjunghje u vostru logò è assai di più. In u cantonu drittu hè una vista previa di u portale d'ospiti per una presentazione più còmuda.
Esempiu di creazione di un portale d'ospiti cù autoregistrazione
21) Cliccate nantu à a frasa "URL di prova di u portale" è copià l'URL di u portale à u SSID nantu à u FortiGate in u passu 4. Sample URL
Per esse affissatu u vostru duminiu, duvete carica u certificatu à u portale d'ospiti, vede u passu 13.
22) Andà à a tabulazione Centri di travagliu > Accessu d'ospiti > Elementi di pulitica > Risultati > Profili d'autorizazione > Add per creà un prufilu d'autorizazione per un creatu prima Profilu di u dispositivu di rete.
23) In tab Centri di travagliu> Accessu d'ospiti> Setti di pulitica edità a pulitica d'accessu per l'utilizatori di WiFi.
24) Pruvemu di cunnette cù u SSID invitatu. Sò immediatamente reindirizzatu à a pagina di login. Quì pudete login sottu u contu d'ospiti creatu localmente in ISE, o registrate cum'è utilizatore invitatu.
25) Se sceglite l'opzione di autoregistrazione, allora i dati di login una volta ponu esse mandati per email, per SMS, o stampati.
26) In u RADIUS> Live Logs tab in Cisco ISE vi vede i login currispundenti.
6. Chjave
In questu longu articulu, avemu cunfiguratu successu l'accessu di l'ospiti in Cisco ISE, induve FortiGate agisce cum'è u cuntrollu di u puntu d'accessu è FortiAP cum'è u puntu d'accessu. U risultatu hè un tipu d'integrazione micca triviale, chì prova una volta di più l'usu generalizatu di ISE.
Per pruvà Cisco ISE, cuntattate , è ancu seguità l'aghjurnamenti in i nostri canali (, , , , ).
Source: www.habr.com