Velkommen til det tredje indlæg i Cisco ISE-serien. Links til alle artikler i serien findes nedenfor:
I dette indlæg vil du dykke ned i gæsteadgang, samt en trin-for-trin guide til integration af Cisco ISE og FortiGate for at konfigurere FortiAP, et adgangspunkt fra Fortinet (generelt set enhver enhed, der understøtter RADIUS CoA — Ændring af Autorisation).
Vedhæftet er vores artikler. .
BemærkA: Check Point SMB-enheder understøtter ikke RADIUS CoA.
vidunderlig beskriver på engelsk, hvordan man opretter en gæsteadgang ved hjælp af Cisco ISE på en Cisco WLC (Wireless Controller). Lad os finde ud af det!
1. Introduktion
Gæsteadgang (portal) giver dig mulighed for at give adgang til internettet eller til interne ressourcer for gæster og brugere, som du ikke ønsker at lukke ind på dit lokale netværk. Der er 3 foruddefinerede typer gæsteportal (gæsteportal):
-
Hotspot-gæsteportal - Adgang til netværket gives til gæster uden login-data. Brugere er generelt forpligtet til at acceptere virksomhedens "brugs- og privatlivspolitik", før de får adgang til netværket.
-
Sponsoreret-gæsteportal - adgang til netværket og login-data skal udstedes af sponsoren - den bruger, der er ansvarlig for at oprette gæstekonti på Cisco ISE.
-
Selvregistreret gæsteportal - i dette tilfælde bruger gæster eksisterende loginoplysninger eller opretter en konto til sig selv med loginoplysninger, men sponsorbekræftelse er påkrævet for at få adgang til netværket.
Flere portaler kan implementeres på Cisco ISE på samme tid. Som standard vil brugeren i gæsteportalen se Cisco-logoet og almindelige almindelige sætninger. Alt dette kan tilpasses og endda indstilles til at se obligatoriske annoncer, før du får adgang.
Opsætning af gæsteadgang kan opdeles i 4 hovedtrin: FortiAP-opsætning, Cisco ISE- og FortiAP-forbindelse, oprettelse af gæsteportaler og opsætning af adgangspolitik.
2. Konfiguration af FortiAP på FortiGate
FortiGate er en adgangspunkt-controller, og alle indstillinger foretages på den. FortiAP-adgangspunkter understøtter PoE, så når du har tilsluttet det til netværket via Ethernet, kan du starte konfigurationen.
1) Gå til fanen på FortiGate WiFi & Switch Controller > Administrerede FortiAP'er > Opret ny > Administreret AP. Brug adgangspunktets unikke serienummer, som er trykt på selve adgangspunktet, tilføj det som et objekt. Eller den kan vise sig selv og derefter trykke Bemyndige ved hjælp af højre museknap.
2) FortiAP-indstillinger kan være standard, for eksempel lad være som på skærmbilledet. Jeg anbefaler stærkt at slå 5 GHz-tilstanden til, fordi nogle enheder ikke understøtter 2.4 GHz.
3) Derefter i fanen WiFi & Switch Controller > FortiAP-profiler > Opret ny vi opretter en indstillingsprofil for adgangspunktet (version 802.11 protokol, SSID-tilstand, kanalfrekvens og deres nummer).
Eksempel på FortiAP-indstillinger
4) Næste trin er at oprette et SSID. Gå til fanen WiFi & Switch Controller > SSID'er > Opret ny > SSID. Her fra den vigtige skal konfigureres:
-
adresserum til gæste-WLAN - IP/netmaske
-
RADIUS-regnskab og sikker stofforbindelse i feltet Administrativ adgang
-
Mulighed for enhedsdetektering
-
SSID og Broadcast SSID mulighed
-
Indstillinger for sikkerhedstilstand > Captive Portal
-
Authentication Portal - Ekstern og indsæt et link til den oprettede gæsteportal fra Cisco ISE fra trin 20
-
Brugergruppe - Gæstegruppe - Ekstern - tilføj RADIUS til Cisco ISE (s. 6 og frem)
Eksempel på SSID-indstilling
5) Så bør du oprette regler i adgangspolitikken på FortiGate. Gå til fanen Politik og objekter > Firewallpolitik og lav en regel som denne:
3. RADIUS indstilling
6) Gå til Cisco ISE-webgrænsefladen til fanen Politik > Politikelementer > Ordbøger > System > Radius > RADIUS-leverandører > Tilføj. På denne fane vil vi tilføje Fortinet RADIUS til listen over understøttede protokoller, da næsten hver leverandør har sine egne specifikke attributter - VSA (Vendor-Specific Attributes).
En liste over Fortinet RADIUS-attributter kan findes . VSA'er er kendetegnet ved deres unikke leverandør-id-nummer. Fortinet har dette ID = 12356. Fuld VSA er blevet offentliggjort af IANA.
7) Indstil navnet på ordbogen, angiv leverandør-id (12356) og tryk Indsend.
8) Efter vi går til Administration > Netværksenhedsprofiler > Tilføj og opret en ny enhedsprofil. I feltet RADIUS Dictionaries skal du vælge den tidligere oprettede Fortinet RADIUS-ordbog og vælge de CoA-metoder, der skal bruges senere i ISE-politikken. Jeg valgte RFC 5176 og Port Bounce (nedlukning/ingen nedlukning netværksgrænseflade) og de tilsvarende VSA'er:
Fortinet-Access-Profile=læse-skrive
Fortinet-Group-Name = fmg_faz_admins
9) Tilføj derefter FortiGate for tilslutning til ISE. For at gøre dette skal du gå til fanen Administration > Netværksressourcer > Netværksenhedsprofiler > Tilføj. Felter, der skal ændres Navn, Sælger, RADIUS Ordbøger (IP-adressen bruges af FortiGate, ikke FortiAP).
Eksempel på konfiguration af RADIUS fra ISE-siden
10) Derefter skal du konfigurere RADIUS på FortiGate-siden. Gå til FortiGate-webgrænsefladen Bruger og godkendelse > RADIUS-servere > Opret ny. Angiv navn, IP-adresse og Delt hemmelighed (adgangskode) fra forrige afsnit. Næste klik Test brugerlegitimationsoplysninger og indtast eventuelle legitimationsoplysninger, der kan trækkes op via RADIUS (f.eks. en lokal bruger på Cisco ISE).
11) Tilføj en RADIUS-server til gæstegruppen (hvis den ikke findes) samt en ekstern brugerkilde.
12) Glem ikke at tilføje gæstegruppen til det SSID, vi oprettede tidligere i trin 4.
4. Brugergodkendelsesindstilling
13) Du kan eventuelt importere et certifikat til ISE-gæsteportalen eller oprette et selvsigneret certifikat i fanen Arbejdscentre > Gæsteadgang > Administration > Certificering > Systemcertifikater.
14) Efter i faneblad Arbejdscentre > Gæsteadgang > Identitetsgrupper > Brugeridentitetsgrupper > Tilføj opret en ny brugergruppe til gæsteadgang, eller brug standardgrupperne.
15) Længere i fanen Administration > Identiteter oprette gæstebrugere og tilføje dem til grupperne fra forrige afsnit. Hvis du vil bruge tredjepartskonti, skal du springe dette trin over.
16) Efter at vi går til indstillingerne Arbejdscentre > Gæsteadgang > Identiteter > Identitetskildesekvens > Gæsteportalsekvens — dette er standardgodkendelsessekvensen for gæstebrugere. Og i marken Authentication Search List vælg brugergodkendelsesrækkefølgen.
17) For at give gæster besked med en engangsadgangskode kan du konfigurere SMS-udbydere eller en SMTP-server til dette formål. Gå til fanen Arbejdscentre > Gæsteadgang > Administration > SMTP-server eller SMS-gateway-udbydere for disse indstillinger. I tilfælde af en SMTP-server skal du oprette en konto til ISE'en og angive dataene på denne fane.
18) For SMS-beskeder, brug den relevante fane. ISE har forudinstallerede profiler af populære SMS-udbydere, men det er bedre at oprette dine egne. Brug disse profiler som et eksempel på indstilling SMS E-mail Gatewayy eller SMS HTTP API.
Et eksempel på opsætning af en SMTP-server og en SMS-gateway til en engangsadgangskode
5. Opsætning af gæsteportalen
19) Som nævnt i begyndelsen, er der 3 typer præinstallerede gæsteportaler: Hotspot, Sponsoreret, Selvregistreret. Jeg foreslår, at du vælger den tredje mulighed, da den er den mest almindelige. Uanset hvad er indstillingerne stort set identiske. Så lad os gå til fanen. Arbejdscentre > Gæsteadgang > Portaler og komponenter > Gæsteportaler > Selvregistreret gæsteportal (standard).
20) Vælg derefter på fanen Tilpasning af portalside "Se på russisk - russisk", så portalen vises på russisk. Du kan ændre teksten på enhver fane, tilføje dit logo og mere. Til højre i hjørnet er en forhåndsvisning af gæsteportalen for et bedre overblik.
Eksempel på konfiguration af en gæsteportal med selvregistrering
21) Klik på en sætning Portal test URL og kopier portal-URL'en til SSID'et på FortiGate i trin 4. Eksempel-URL
For at vise dit domæne skal du uploade certifikatet til gæsteportalen, se trin 13.
22) Gå til fanen Arbejdscentre > Gæsteadgang > Politikelementer > Resultater > Autorisationsprofiler > Tilføj for at oprette en autorisationsprofil under den tidligere oprettede Netværksenhedsprofil.
23) I fanen Arbejdscentre > Gæsteadgang > Politiksæt rediger adgangspolitikken for WiFi-brugere.
24) Lad os prøve at oprette forbindelse til gæste-SSID. Det omdirigerer mig straks til login-siden. Her kan du logge ind med den gæstekonto, der er oprettet lokalt på ISE, eller registrere dig som gæstebruger.
25) Hvis du har valgt muligheden for selvregistrering, kan engangslogindata sendes med post, SMS eller printes.
26) I fanen RADIUS > Live Logs på Cisco ISE vil du se de tilsvarende login-logfiler.
6. Konklusion
I denne lange artikel har vi med succes konfigureret gæsteadgang på Cisco ISE, hvor FortiGate fungerer som adgangspunkt-controller, og FortiAP fungerer som adgangspunkt. Det viste sig en slags ikke-triviel integration, som endnu en gang beviser den udbredte brug af ISE.
For at teste Cisco ISE, kontakt og følg også med på vores kanaler (, , , , ).
Kilde: www.habr.com