Croeso i'r trydydd post yng nghyfres Cisco ISE. Rhoddir dolenni i bob erthygl yn y gyfres isod:
Yn y swydd hon, byddwch yn plymio i fynediad gwestai, yn ogystal â chanllaw cam wrth gam ar integreiddio Cisco ISE a FortiGate i ffurfweddu FortiAP, pwynt mynediad o Fortinet (yn gyffredinol, unrhyw ddyfais sy'n cefnogi COA RADIUS — Newid Awdurdodiad).
Ynghlwm mae ein herthyglau.
NodynA: Nid yw dyfeisiau Check Point SMB yn cefnogi RADIUS CoA.
bendigedig
1. Cyflwyniad
Mae mynediad gwestai (porth) yn caniatáu ichi ddarparu mynediad i'r Rhyngrwyd neu i adnoddau mewnol ar gyfer gwesteion a defnyddwyr nad ydych am eu gosod i mewn i'ch rhwydwaith lleol. Mae yna 3 math o borth gwesteion wedi'u diffinio ymlaen llaw (porth gwestai):
-
Hotspot Porth gwesteion - Darperir mynediad i'r rhwydwaith i westeion heb ddata mewngofnodi. Yn gyffredinol, mae'n ofynnol i ddefnyddwyr dderbyn "Polisi Defnydd a Phreifatrwydd" y cwmni cyn cyrchu'r rhwydwaith.
-
Porth Gwestai Noddedig - rhaid i'r noddwr gyhoeddi mynediad i'r rhwydwaith a data mewngofnodi - y defnyddiwr sy'n gyfrifol am greu cyfrifon gwesteion ar Cisco ISE.
-
Porth Gwesteion Hunangofrestredig - yn yr achos hwn, mae gwesteion yn defnyddio manylion mewngofnodi presennol, neu'n creu cyfrif drostynt eu hunain gyda manylion mewngofnodi, ond mae angen cadarnhad noddwr i gael mynediad i'r rhwydwaith.
Gellir defnyddio pyrth lluosog ar Cisco ISE ar yr un pryd. Yn ddiofyn, yn y porth gwestai, bydd y defnyddiwr yn gweld logo Cisco ac ymadroddion cyffredin safonol. Gellir addasu hyn i gyd a hyd yn oed ei osod i weld hysbysebion gorfodol cyn cael mynediad.
Gellir rhannu gosodiadau mynediad gwestai yn 4 prif gam: gosod FortiAP, cysylltedd Cisco ISE a FortiAP, creu porth gwestai, a sefydlu polisi mynediad.
2. Ffurfweddu FortiAP ar FortiGate
Mae FortiGate yn rheolydd pwynt mynediad a gwneir pob gosodiad arno. Mae pwyntiau mynediad FortiAP yn cefnogi PoE, felly ar ôl i chi ei gysylltu â'r rhwydwaith trwy Ethernet, gallwch chi ddechrau sefydlu.
1) Ar FortiGate, ewch i'r tab Rheolydd WiFi a Switsh > FortiAPs a Reolir > Creu Newydd > AP Rheoledig. Gan ddefnyddio rhif cyfresol unigryw'r pwynt mynediad, sydd wedi'i argraffu ar y pwynt mynediad ei hun, ychwanegwch ef fel gwrthrych. Neu gall ddangos ei hun ac yna pwyso Awdurdodi gan ddefnyddio botwm dde'r llygoden.
2) Gall gosodiadau FortiAP fod yn rhagosodedig, er enghraifft, gadewch fel yn y screenshot. Rwy'n argymell yn fawr troi'r modd 5 GHz ymlaen, oherwydd nid yw rhai dyfeisiau'n cefnogi 2.4 GHz.
3) Yna yn y tab Rheolydd WiFi a Switsh > Proffiliau FortiAP > Creu Newydd rydym yn creu proffil gosodiadau ar gyfer y pwynt mynediad (protocol fersiwn 802.11, modd SSID, amlder sianel a'u rhif).
Enghraifft o osodiadau FortiAP
4) Y cam nesaf yw creu SSID. Ewch i'r tab Rheolydd WiFi a Switsh > SSIDs > Creu Newydd > SSID. Yma o'r un pwysig dylid ei ffurfweddu:
-
gofod cyfeiriad ar gyfer WLAN gwestai - IP/Netmask
-
Cyfrifo RADIUS a Chysylltiad Ffabrig Diogel yn y maes Mynediad Gweinyddol
-
Opsiwn Canfod Dyfais
-
Opsiwn SSID a Darlledu SSID
-
Gosodiadau Modd Diogelwch > Porth Caeth
-
Porth Dilysu - Allanol a mewnosod dolen i'r porth gwestai a grëwyd o Cisco ISE o gam 20
-
Grŵp Defnyddwyr - Grŵp Gwadd - Allanol - ychwanegu RADIUS at Cisco ISE (t. 6 ymlaen)
Enghraifft o osod SSID
5) Yna dylech greu rheolau yn y polisi mynediad ar FortiGate. Ewch i'r tab Polisi ac Amcanion > Polisi Mur Tân a chreu rheol fel hyn:
3. gosodiad RADIUS
6) Ewch i ryngwyneb gwe Cisco ISE i'r tab Polisi > Elfennau Polisi > Geiriaduron > System > Radiws > Gwerthwyr RADIUS > Ychwanegu. Yn y tab hwn, byddwn yn ychwanegu Fortinet RADIUS at y rhestr o brotocolau a gefnogir, gan fod gan bron bob gwerthwr ei rinweddau penodol ei hun - VSA (Prinweddau Gwerthwr-Benodol).
Gellir dod o hyd i restr o briodoleddau Fortinet RADIUS
7) Gosodwch enw'r geiriadur, nodwch ID Gwerthwr (12356) a gwasg Cyflwyno.
8) Ar ôl i ni fynd i Gweinyddu > Proffiliau Dyfeisiau Rhwydwaith > Ychwanegu a chreu proffil dyfais newydd. Yn y maes Geiriaduron RADIUS, dewiswch eiriadur Fortinet RADIUS a grëwyd yn flaenorol a dewiswch y dulliau CoA i'w defnyddio yn ddiweddarach yn y polisi ISE. Dewisais RFC 5176 a Port Bounce (rhyngwyneb rhwydwaith cau i lawr / dim cau) a'r VSAs cyfatebol:
Fortinet-Access-Profile=darllen-ysgrifennu
Fortinet-Group-Name = fmg_faz_admins
9) Nesaf, ychwanegwch FortiGate ar gyfer cysylltedd ag ISE. I wneud hyn, ewch i'r tab Gweinyddu > Adnoddau Rhwydwaith > Proffiliau Dyfeisiau Rhwydwaith > Ychwanegu. Meysydd i'w newid Enw, Gwerthwr, Geiriaduron RADIUS (Defnyddir Cyfeiriad IP gan FortiGate, nid FortiAP).
Enghraifft o ffurfweddu RADIUS o ochr ISE
10) Ar ôl hynny, dylech ffurfweddu RADIUS ar ochr FortiGate. Yn y rhyngwyneb gwe FortiGate, ewch i Defnyddiwr a Dilysu > Gweinyddwyr RADIUS > Creu Newydd. Nodwch yr enw, y cyfeiriad IP a'r gyfrinach a rennir (cyfrinair) o'r paragraff blaenorol. Cliciwch nesaf Profi Manylion Defnyddiwr a nodwch unrhyw gymwysterau y gellir eu tynnu i fyny trwy RADIUS (er enghraifft, defnyddiwr lleol ar y Cisco ISE).
11) Ychwanegu gweinydd RADIUS i'r Grŵp Gwadd (os nad yw'n bodoli) yn ogystal â ffynhonnell allanol o ddefnyddwyr.
12) Peidiwch ag anghofio ychwanegu'r Grŵp Gwadd i'r SSID a grëwyd gennym yn gynharach yng ngham 4.
4. Gosodiad Dilysu Defnyddiwr
13) Yn ddewisol, gallwch fewnforio tystysgrif i borth gwesteion ISE neu greu tystysgrif hunan-lofnodedig yn y tab Canolfannau Gwaith > Mynediad Gwesteion > Gweinyddu > Ardystio > Tystysgrifau System.
14) Ar ôl yn y tab Canolfannau Gwaith > Mynediad Gwesteion > Grwpiau Hunaniaeth > Grwpiau Hunaniaeth Defnyddwyr > Ychwanegu creu grŵp defnyddwyr newydd ar gyfer mynediad gwesteion, neu ddefnyddio'r rhai rhagosodedig.
15) Ymhellach yn y tab Gweinyddu > Hunaniaethau creu defnyddwyr gwadd a'u hychwanegu at y grwpiau o'r paragraff blaenorol. Os ydych chi am ddefnyddio cyfrifon trydydd parti, yna hepgorwch y cam hwn.
16) Ar ôl i ni fynd i'r gosodiadau Canolfannau Gwaith > Mynediad Gwesteion > Hunaniaeth > Dilyniant Ffynhonnell Hunaniaeth > Dilyniant Porth Gwesteion — dyma'r dilyniant dilysu rhagosodedig ar gyfer defnyddwyr gwadd. Ac yn y maes Rhestr Chwilio Dilysu dewiswch y gorchymyn dilysu defnyddiwr.
17) I hysbysu gwesteion gyda chyfrinair un-amser, gallwch chi ffurfweddu darparwyr SMS neu weinydd SMTP at y diben hwn. Ewch i'r tab Canolfannau Gwaith > Mynediad Gwesteion > Gweinyddu > Gweinydd SMTP neu Darparwyr Porth SMS ar gyfer y gosodiadau hyn. Yn achos gweinydd SMTP, mae angen i chi greu cyfrif ar gyfer yr ISE a nodi'r data yn y tab hwn.
18) Ar gyfer hysbysiadau SMS, defnyddiwch y tab priodol. Mae gan ISE broffiliau o ddarparwyr SMS poblogaidd wedi'u gosod ymlaen llaw, ond mae'n well creu rhai eich hun. Defnyddiwch y proffiliau hyn fel enghraifft o osodiad Porth E-bost SMSy neu SMS HTTP API.
Enghraifft o sefydlu gweinydd SMTP a phorth SMS ar gyfer cyfrinair un-amser
5. Sefydlu'r porth gwesteion
19) Fel y crybwyllwyd ar y dechrau, mae yna 3 math o byrth gwesteion wedi'u gosod ymlaen llaw: Hotspot, Noddedig, Hunan-gofrestredig. Rwy'n awgrymu dewis y trydydd opsiwn, gan mai dyma'r mwyaf cyffredin. Y naill ffordd neu'r llall, mae'r gosodiadau yn union yr un fath i raddau helaeth. Felly gadewch i ni fynd i'r tab. Canolfannau Gwaith > Mynediad Gwesteion > Pyrth a Chydrannau > Pyrth Gwesteion > Porth Gwesteion Hunangofrestredig (diofyn).
20) Nesaf, yn y tab Portal Page Customization, dewiswch “Golygfa yn Rwsieg - Rwsieg”, fel bod y porth yn cael ei arddangos yn Rwsieg. Gallwch newid testun unrhyw dab, ychwanegu eich logo, a mwy. Ar y dde yn y gornel mae rhagolwg o'r porth gwesteion i gael golwg well.
Enghraifft o ffurfweddu porth gwestai gyda hunan-gofrestriad
21) Cliciwch ar ymadrodd URL prawf porth a chopïwch yr URL porth i'r SSID ar y FortiGate yng ngham 4. URL enghreifftiol
I arddangos eich parth, rhaid i chi uwchlwytho'r dystysgrif i'r porth gwesteion, gweler cam 13.
22) Ewch i'r tab Canolfannau Gwaith > Mynediad Gwesteion > Elfennau Polisi > Canlyniadau > Proffiliau Awdurdodi > Ychwanegu i greu proffil awdurdodi o dan yr un a grëwyd yn flaenorol Proffil Dyfais Rhwydwaith.
23) Mewn tab Canolfannau Gwaith > Mynediad Gwesteion > Setiau Polisi golygu'r polisi mynediad ar gyfer defnyddwyr WiFi.
24) Gadewch i ni geisio cysylltu â'r SSID gwestai. Mae'n fy ailgyfeirio ar unwaith i'r dudalen mewngofnodi. Yma gallwch fewngofnodi gyda'r cyfrif gwestai a grëwyd yn lleol ar yr ISE, neu gofrestru fel defnyddiwr gwadd.
25) Os ydych chi wedi dewis yr opsiwn hunan-gofrestru, yna gellir anfon data mewngofnodi un-amser trwy'r post, trwy SMS, neu ei argraffu.
26) Yn y tab RADIUS > Logiau Byw ar y Cisco ISE, fe welwch y logiau mewngofnodi cyfatebol.
6. Casgliad
Yn yr erthygl hir hon, rydym wedi llwyddo i ffurfweddu mynediad gwesteion ar Cisco ISE, lle mae FortiGate yn gweithredu fel rheolwr pwynt mynediad, ac mae FortiAP yn gweithredu fel y pwynt mynediad. Daeth yn fath o integreiddio nad yw'n ddibwys, sydd unwaith eto'n profi'r defnydd eang o ISE.
I brofi Cisco ISE, cysylltwch
Ffynhonnell: hab.com