Willkommen zum dritten Beitrag der Cisco ISE-Reihe. Nachfolgend finden Sie Links zu allen Artikeln der Reihe:
In diesem Beitrag befassen Sie sich mit dem Gastzugang und erhalten eine Schritt-für-Schritt-Anleitung zur Integration von Cisco ISE und FortiGate zur Konfiguration von FortiAP, einem Zugangspunkt von Fortinet (im Allgemeinen jedes Gerät, das Folgendes unterstützt). RADIUS CoA — Änderung der Zulassung).
Im Anhang finden Sie unsere Artikel. .
BeachtenA: Check Point SMB-Geräte unterstützen RADIUS CoA nicht.
Wunderbar beschreibt auf Englisch, wie man mit Cisco ISE einen Gastzugang auf einem Cisco WLC (Wireless Controller) erstellt. Lass es uns herausfinden!
1. Einleitung
Mit dem Gastzugang (Portal) können Sie Gästen und Benutzern, die Sie nicht in Ihr lokales Netzwerk lassen möchten, Zugriff auf das Internet oder auf interne Ressourcen gewähren. Es gibt 3 vordefinierte Arten von Gastportalen (Gästeportal):
-
Hotspot-Gästeportal – Zugang zum Netzwerk erhalten Gäste ohne Login-Daten. Benutzer müssen im Allgemeinen die „Nutzungs- und Datenschutzrichtlinie“ des Unternehmens akzeptieren, bevor sie auf das Netzwerk zugreifen.
-
Sponsored-Guest-Portal – Zugang zum Netzwerk und Anmeldedaten müssen vom Sponsor – dem Benutzer, der für die Erstellung von Gastkonten auf Cisco ISE verantwortlich ist – erteilt werden.
-
Portal für selbstregistrierte Gäste – in diesem Fall verwenden Gäste vorhandene Anmeldedaten oder erstellen für sich selbst ein Konto mit Anmeldedaten. Für den Zugriff auf das Netzwerk ist jedoch eine Bestätigung des Sponsors erforderlich.
Auf Cisco ISE können mehrere Portale gleichzeitig bereitgestellt werden. Standardmäßig werden dem Benutzer im Gastportal das Cisco-Logo und gebräuchliche Standardphrasen angezeigt. All dies kann individuell angepasst und sogar so eingestellt werden, dass vor dem Zugriff obligatorische Anzeigen angezeigt werden.
Die Einrichtung des Gastzugangs kann in vier Hauptschritte unterteilt werden: FortiAP-Einrichtung, Cisco ISE- und FortiAP-Konnektivität, Erstellung eines Gastportals und Einrichtung der Zugriffsrichtlinie.
2. Konfigurieren von FortiAP auf FortiGate
FortiGate ist ein Access Point Controller und alle Einstellungen werden auf ihm vorgenommen. FortiAP Access Points unterstützen PoE, sodass Sie mit der Konfiguration beginnen können, sobald Sie sie über Ethernet mit dem Netzwerk verbunden haben.
1) Gehen Sie auf FortiGate zur Registerkarte WLAN- und Switch-Controller > Verwaltete FortiAPs > Neu erstellen > Verwalteter AP. Fügen Sie ihn mithilfe der eindeutigen Seriennummer des Access Points, die auf dem Access Point selbst aufgedruckt ist, als Objekt hinzu. Oder es kann sich zeigen und dann drücken Autorisieren mit der rechten Maustaste.
2) FortiAP-Einstellungen können standardmäßig sein, beispielsweise wie im Screenshot. Ich empfehle dringend, den 5-GHz-Modus einzuschalten, da einige Geräte 2.4 GHz nicht unterstützen.
3) Dann in Tab WLAN- und Switch-Controller > FortiAP-Profile > Neu erstellen Wir erstellen ein Einstellungsprofil für den Access Point (Version 802.11-Protokoll, SSID-Modus, Kanalfrequenz und deren Nummer).
Beispiel für FortiAP-Einstellungen
4) Der nächste Schritt besteht darin, eine SSID zu erstellen. Gehen Sie zur Registerkarte WLAN- und Switch-Controller > SSIDs > Neu erstellen > SSID. Hier sollte das Wichtigste konfiguriert werden:
-
Adressraum für Gast-WLAN – IP/Netzmaske
-
RADIUS Accounting und Secure Fabric Connection im Feld „Administratorzugriff“.
-
Option zur Geräteerkennung
-
SSID- und Broadcast-SSID-Option
-
Sicherheitsmoduseinstellungen > Captive Portal
-
Authentifizierungsportal – Extern und fügen Sie einen Link zum erstellten Gastportal von Cisco ISE aus Schritt 20 ein
-
Benutzergruppe – Gastgruppe – Extern – RADIUS zu Cisco ISE hinzufügen (S. 6 ff.)
Beispiel für die SSID-Einstellung
5) Anschließend sollten Sie Regeln in der Zugriffsrichtlinie auf FortiGate erstellen. Gehen Sie zur Registerkarte Richtlinien und Objekte > Firewall-Richtlinie und erstellen Sie eine Regel wie diese:
3. RADIUS-Einstellung
6) Gehen Sie zur Cisco ISE-Weboberfläche zur Registerkarte Richtlinie > Richtlinienelemente > Wörterbücher > System > Radius > RADIUS-Anbieter > Hinzufügen. Auf dieser Registerkarte fügen wir Fortinet RADIUS zur Liste der unterstützten Protokolle hinzu, da fast jeder Anbieter seine eigenen spezifischen Attribute hat – VSA (Vendor-Specific Attributes).
Eine Liste der Fortinet RADIUS-Attribute finden Sie hier . VSAs zeichnen sich durch ihre eindeutige Vendor-ID-Nummer aus. Fortinet hat diese ID = 12356. Voll Der VSA wurde von der IANA veröffentlicht.
7) Legen Sie den Namen des Wörterbuchs fest und geben Sie ihn an Vendor ID (12356) und drücken Sie Einreichen.
8) Nachdem wir gegangen sind Verwaltung > Netzwerkgeräteprofile > Hinzufügen und erstellen Sie ein neues Geräteprofil. Wählen Sie im Feld RADIUS-Wörterbücher das zuvor erstellte Fortinet RADIUS-Wörterbuch und die CoA-Methoden aus, die später in der ISE-Richtlinie verwendet werden sollen. Ich habe mich für RFC 5176 und Port Bounce (Netzwerkschnittstelle mit Herunterfahren/kein Herunterfahren) und die entsprechenden VSAs entschieden:
Fortinet-Access-Profile=Lesen/Schreiben
Fortinet-Gruppenname = fmg_faz_admins
9) Als nächstes fügen Sie FortiGate für die Konnektivität mit ISE hinzu. Gehen Sie dazu auf die Registerkarte Verwaltung > Netzwerkressourcen > Netzwerkgeräteprofile > Hinzufügen. Zu ändernde Felder Name, Anbieter, RADIUS-Wörterbücher (IP-Adresse wird von FortiGate verwendet, nicht von FortiAP).
Beispiel für die Konfiguration von RADIUS auf der ISE-Seite
10) Danach sollten Sie RADIUS auf der FortiGate-Seite konfigurieren. Gehen Sie in der FortiGate-Weboberfläche zu Benutzer & Authentifizierung > RADIUS-Server > Neu erstellen. Geben Sie den Namen, die IP-Adresse und das gemeinsame Geheimnis (Passwort) aus dem vorherigen Absatz an. Weiter klicken Testen Sie die Benutzeranmeldeinformationen und geben Sie alle Anmeldeinformationen ein, die über RADIUS abgerufen werden können (z. B. ein lokaler Benutzer auf der Cisco ISE).
11) Fügen Sie einen RADIUS-Server zur Gastgruppe hinzu (falls dieser nicht vorhanden ist) sowie eine externe Benutzerquelle.
12) Vergessen Sie nicht, die Gastgruppe zu der SSID hinzuzufügen, die wir zuvor in Schritt 4 erstellt haben.
4. Benutzerauthentifizierungseinstellung
13) Optional können Sie im Tab ein Zertifikat in das ISE-Gastportal importieren oder ein selbstsigniertes Zertifikat erstellen Arbeitsplätze > Gastzugang > Verwaltung > Zertifizierung > Systemzertifikate.
14) Nachher in Tab Arbeitszentren > Gastzugriff > Identitätsgruppen > Benutzeridentitätsgruppen > Hinzufügen Erstellen Sie eine neue Benutzergruppe für den Gastzugang oder verwenden Sie die Standardbenutzergruppen.
15) Weiter in der Registerkarte Verwaltung > Identitäten Erstellen Sie Gastbenutzer und fügen Sie sie den Gruppen aus dem vorherigen Absatz hinzu. Wenn Sie Konten von Drittanbietern verwenden möchten, überspringen Sie diesen Schritt.
16) Danach gehen wir zu den Einstellungen Arbeitszentren > Gastzugang > Identitäten > Identitätsquellensequenz > Gastportalsequenz – Dies ist die Standardauthentifizierungssequenz für Gastbenutzer. Und auf dem Feld Authentifizierungssuchliste Wählen Sie die Benutzerauthentifizierungsreihenfolge aus.
17) Um Gäste mit einem Einmalpasswort zu benachrichtigen, können Sie zu diesem Zweck SMS-Anbieter oder einen SMTP-Server konfigurieren. Gehen Sie zur Registerkarte Arbeitsplätze > Gastzugang > Verwaltung > SMTP-Server oder SMS-Gateway-Anbieter für diese Einstellungen. Im Falle eines SMTP-Servers müssen Sie ein Konto für die ISE erstellen und die Daten in dieser Registerkarte angeben.
18) Für SMS-Benachrichtigungen verwenden Sie die entsprechende Registerkarte. ISE verfügt über vorinstallierte Profile beliebter SMS-Anbieter, es ist jedoch besser, eigene zu erstellen. Verwenden Sie diese Profile als Beispiel für die Einstellung SMS-E-Mail-Gatewayy oder SMS-HTTP-API.
Ein Beispiel für die Einrichtung eines SMTP-Servers und eines SMS-Gateways für ein Einmalpasswort
5. Einrichten des Gästeportals
19) Wie eingangs erwähnt gibt es 3 Arten vorinstallierter Gastportale: Hotspot, Sponsored, Self-Registered. Ich schlage vor, die dritte Option zu wählen, da sie am häufigsten vorkommt. In jedem Fall sind die Einstellungen weitgehend identisch. Gehen wir also zur Registerkarte. Work Center > Gastzugang > Portale und Komponenten > Gastportale > Selbstregistriertes Gastportal (Standard).
20) Wählen Sie als Nächstes auf der Registerkarte „Anpassung der Portalseite“ die Option aus „Ansicht auf Russisch – Russisch“, damit das Portal auf Russisch angezeigt wird. Sie können den Text jeder Registerkarte ändern, Ihr Logo hinzufügen und vieles mehr. Rechts in der Ecke befindet sich zur besseren Übersicht eine Vorschau des Gästeportals.
Beispiel für die Konfiguration eines Gästeportals mit Selbstregistrierung
21) Klicken Sie auf eine Phrase Portal-Test-URL und kopieren Sie die Portal-URL in die SSID auf dem FortiGate in Schritt 4. Beispiel-URL
Um Ihre Domain anzuzeigen, müssen Sie das Zertifikat im Gästeportal hochladen, siehe Schritt 13.
22) Gehen Sie zur Registerkarte Work Center > Gastzugriff > Richtlinienelemente > Ergebnisse > Autorisierungsprofile > Hinzufügen um ein Berechtigungsprofil unter dem zuvor erstellten zu erstellen Netzwerkgeräteprofil.
23) In Tab Arbeitsplätze > Gastzugriff > Richtliniensätze Bearbeiten Sie die Zugriffsrichtlinie für WLAN-Benutzer.
24) Versuchen wir, eine Verbindung zur Gast-SSID herzustellen. Es leitet mich sofort zur Anmeldeseite weiter. Hier können Sie sich mit dem lokal auf der ISE erstellten Gastkonto anmelden oder sich als Gastbenutzer registrieren.
25) Wenn Sie die Möglichkeit der Selbstregistrierung gewählt haben, können die einmaligen Zugangsdaten per Post, SMS oder ausgedruckt übermittelt werden.
26) Auf der Registerkarte RADIUS > Live Logs der Cisco ISE sehen Sie die entsprechenden Anmeldeprotokolle.
6. Заключение
In diesem langen Artikel haben wir den Gastzugang auf Cisco ISE erfolgreich konfiguriert, wobei FortiGate als Access Point Controller und FortiAP als Access Point fungiert. Es stellte sich eine Art nicht triviale Integration heraus, die einmal mehr die weit verbreitete Verwendung von ISE beweist.
Um Cisco ISE zu testen, wenden Sie sich an und bleiben Sie auch in unseren Kanälen auf dem Laufenden (, , , , ).
Source: habr.com