Vítejte u třetího příspěvku v sérii Cisco ISE. Odkazy na všechny články ze série jsou uvedeny níže:
V tomto příspěvku se ponoříte do přístupu pro hosty a také s podrobným průvodcem integrací Cisco ISE a FortiGate pro konfiguraci FortiAP, přístupového bodu od společnosti Fortinet (obecně jakékoli zařízení, které podporuje RADIUS CoA — Změna oprávnění).
V příloze jsou naše články.
PoznámkaA: Zařízení Check Point SMB nepodporují RADIUS CoA.
Báječné
1. Úvod
Hostovský přístup (portál) umožňuje poskytnout přístup k internetu nebo k interním zdrojům pro hosty a uživatele, které nechcete pouštět do své lokální sítě. Existují 3 předdefinované typy portálu pro hosty (portál pro hosty):
-
Hotspot Guest portál - Přístup do sítě je poskytován hostům bez přihlašovacích údajů. Uživatelé jsou obecně povinni před přístupem do sítě přijmout „Zásady používání a ochrany osobních údajů“ společnosti.
-
Portál Sponsored-Guest – přístup do sítě a přihlašovací údaje musí vydat sponzor – uživatel zodpovědný za vytváření účtů hostů na Cisco ISE.
-
Portál pro samoregistrovaný host - v tomto případě hosté použijí stávající přihlašovací údaje, nebo si vytvoří účet s přihlašovacími údaji, ale pro získání přístupu do sítě je vyžadováno potvrzení sponzora.
Na Cisco ISE lze nasadit více portálů současně. Ve výchozím nastavení na portálu pro hosty uvidí uživatel logo Cisco a standardní běžné fráze. To vše lze přizpůsobit a dokonce nastavit pro zobrazení povinných reklam před získáním přístupu.
Nastavení přístupu pro hosty lze rozdělit do 4 hlavních kroků: nastavení FortiAP, konektivita Cisco ISE a FortiAP, vytvoření portálu pro hosty a nastavení zásad přístupu.
2. Konfigurace FortiAP na FortiGate
FortiGate je ovladač přístupového bodu a všechna nastavení se provádějí na něm. Přístupové body FortiAP podporují PoE, takže jakmile jej připojíte k síti přes Ethernet, můžete zahájit konfiguraci.
1) Na FortiGate přejděte na kartu WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Pomocí jedinečného sériového čísla přístupového bodu, které je vytištěno na samotném přístupovém bodu, jej přidejte jako objekt. Nebo se může ukázat a poté stisknout Povolit pomocí pravého tlačítka myši.
2) Nastavení FortiAP může být výchozí, například nechat jako na snímku obrazovky. Vřele doporučuji zapnout režim 5 GHz, protože některá zařízení 2.4 GHz nepodporují.
3) Poté v tab WiFi & Switch Controller > FortiAP Profiles > Create New vytváříme profil nastavení pro přístupový bod (protokol verze 802.11, režim SSID, frekvence kanálu a jejich číslo).
Příklad nastavení FortiAP
4) Dalším krokem je vytvoření SSID. Přejděte na kartu WiFi & Switch Controller > SSID > Create New > SSID. Zde z toho důležitého by mělo být nakonfigurováno:
-
adresní prostor pro hostující WLAN - IP/Netmask
-
RADIUS Accounting a Secure Fabric Connection v poli Přístup pro správce
-
Možnost detekce zařízení
-
Možnost SSID a Broadcast SSID
-
Nastavení režimu zabezpečení > Captive Portal
-
Autentizační portál – externí a vložte odkaz na vytvořený portál pro hosty z Cisco ISE z kroku 20
-
Skupina uživatelů – Skupina hostů – Externí – přidejte RADIUS do Cisco ISE (str. 6 a dále)
Příklad nastavení SSID
5) Poté byste měli vytvořit pravidla v politice přístupu na FortiGate. Přejděte na kartu Zásady a objekty > Zásady brány firewall a vytvořte pravidlo takto:
3. Nastavení RADIUS
6) Přejděte do webového rozhraní Cisco ISE na záložku Zásady > Prvky zásad > Slovníky > Systém > Poloměr > Dodavatelé RADIUS > Přidat. Na této záložce přidáme Fortinet RADIUS do seznamu podporovaných protokolů, protože téměř každý dodavatel má své specifické atributy - VSA (Vendor-Specific Attributes).
Seznam atributů Fortinet RADIUS naleznete
7) Nastavte název slovníku, upřesněte Vendor ID (12356) a stiskněte Předložit.
8) Poté, co půjdeme na Správa > Profily síťových zařízení > Přidat a vytvořte nový profil zařízení. V poli RADIUS Dictionaries vyberte dříve vytvořený slovník Fortinet RADIUS a vyberte metody CoA, které chcete později použít v zásadě ISE. Vybral jsem si RFC 5176 a Port Bounce (vypnutí/bez vypnutí síťové rozhraní) a odpovídající VSA:
Fortinet-Access-Profile=čtení-zápis
Fortinet-Group-Name = fmg_faz_admins
9) Dále přidejte FortiGate pro konektivitu s ISE. Chcete-li to provést, přejděte na kartu Správa > Síťové prostředky > Profily síťových zařízení > Přidat. Pole, která mají být změněna Název, prodejce, slovníky RADIUS (IP adresu používá FortiGate, ne FortiAP).
Příklad konfigurace RADIUS ze strany ISE
10) Poté byste měli nakonfigurovat RADIUS na straně FortiGate. Ve webovém rozhraní FortiGate přejděte na User & Authentication > RADIUS Servers > Create New. Zadejte jméno, IP adresu a sdílené tajemství (heslo) z předchozího odstavce. Další kliknutí Otestujte přihlašovací údaje uživatele a zadejte všechna pověření, která lze získat přes RADIUS (například místní uživatel na Cisco ISE).
11) Přidejte server RADIUS do skupiny hostů (pokud neexistuje) a také externí zdroj uživatelů.
12) Nezapomeňte přidat skupinu hostů k SSID, které jsme vytvořili dříve v kroku 4.
4. Nastavení ověření uživatele
13) Volitelně můžete importovat certifikát do portálu pro hosty ISE nebo vytvořit certifikát s vlastním podpisem na záložce Pracovní střediska > Přístup hostů > Administrace > Certifikace > Systémové certifikáty.
14) Po v tab Pracovní střediska > Přístup hostů > Skupiny identit > Skupiny identity uživatelů > Přidat vytvořte novou uživatelskou skupinu pro přístup hostů nebo použijte výchozí.
15) Dále v tab Správa > Totožnosti vytvořte uživatele typu host a přidejte je do skupin z předchozího odstavce. Pokud chcete používat účty třetích stran, pak tento krok přeskočte.
16) Poté, co přejdeme do nastavení Pracovní střediska > Přístup hostů > Identity > Sekvence zdroje identity > Sekvence portálu pro hosty — toto je výchozí sekvence ověřování pro uživatele typu host. A v terénu Seznam hledání autentizace vyberte pořadí ověření uživatele.
17) Chcete-li hosty upozornit jednorázovým heslem, můžete pro tento účel nakonfigurovat poskytovatele SMS nebo server SMTP. Přejděte na kartu Pracovní střediska > Přístup hostů > Správa > Server SMTP nebo Poskytovatelé SMS bran pro tato nastavení. V případě SMTP serveru musíte vytvořit účet pro ISE a zadat údaje na této záložce.
18) Pro SMS upozornění použijte příslušnou záložku. ISE má předinstalované profily oblíbených poskytovatelů SMS, ale je lepší si vytvořit vlastní. Použijte tyto profily jako příklad nastavení SMS e-mailová bránay nebo SMS HTTP API.
Příklad nastavení SMTP serveru a SMS brány pro jednorázové heslo
5. Nastavení portálu pro hosty
19) Jak již bylo zmíněno na začátku, existují 3 typy předinstalovaných portálů pro hosty: Hotspot, Sponsored, Self-Registered. Navrhuji zvolit třetí možnost, protože je nejběžnější. V každém případě je nastavení z velké části totožné. Pojďme tedy na záložku. Pracovní centra > Přístup pro hosty > Portály a komponenty > Portály pro hosty > Samoregistrovaný portál pro hosty (výchozí).
20) Dále na kartě Přizpůsobení portálové stránky vyberte "Zobrazit v ruštině - ruštině", aby se portál zobrazoval v ruštině. Můžete změnit text libovolné karty, přidat své logo a další. Vpravo v rohu je náhled portálu pro hosty pro lepší zobrazení.
Příklad konfigurace portálu pro hosty se samoregistrací
21) Klikněte na frázi Testovací URL portálu a zkopírujte URL portálu do SSID na FortiGate v kroku 4. Ukázka URL
Chcete-li zobrazit svou doménu, musíte nahrát certifikát na portál pro hosty, viz krok 13.
22) Přejděte na kartu Pracovní střediska > Přístup hostů > Prvky zásad > Výsledky > Profily autorizace > Přidat k vytvoření autorizačního profilu pod dříve vytvořeným Profil síťového zařízení.
23) V tab Pracovní centra > Přístup hostů > Sady zásad upravit zásady přístupu pro uživatele WiFi.
24) Zkusme se připojit k SSID hosta. Okamžitě mě to přesměruje na přihlašovací stránku. Zde se můžete přihlásit pomocí účtu hosta vytvořeného lokálně na ISE nebo se zaregistrovat jako uživatel typu host.
25) Pokud jste zvolili možnost samoregistrace, pak lze jednorázové přihlašovací údaje zaslat poštou, prostřednictvím SMS nebo vytisknout.
26) V záložce RADIUS > Live Logs na Cisco ISE uvidíte odpovídající logy přihlášení.
6. Závěr
V tomto dlouhém článku jsme úspěšně nakonfigurovali přístup pro hosty na Cisco ISE, kde FortiGate funguje jako řadič přístupového bodu a FortiAP funguje jako přístupový bod. Ukázalo se jakousi netriviální integraci, která opět dokazuje široké využití ISE.
Chcete-li otestovat Cisco ISE, kontaktujte
Zdroj: www.habr.com