En esta publicación, se sumergirá en el acceso de invitados, así como en una guía paso a paso para integrar Cisco ISE y FortiGate para configurar FortiAP, un punto de acceso de Fortinet (en general, cualquier dispositivo que admita RADIO CoA — Cambio de Autorización).
NotaR: Los dispositivos SMB de Check Point no son compatibles con RADIUS CoA.
Maravilloso руководство describe en inglés cómo crear un acceso de invitado utilizando Cisco ISE en un Cisco WLC (controlador inalámbrico). ¡Averigüémoslo!
1 Introduccion
El acceso de invitados (portal) le permite proporcionar acceso a Internet oa recursos internos para invitados y usuarios que no desea permitir el acceso a su red local. Hay 3 tipos predefinidos de portal de invitados (Portal de invitados):
Portal de invitados Hotspot: el acceso a la red se proporciona a los invitados sin datos de inicio de sesión. Por lo general, se requiere que los usuarios acepten la "Política de uso y privacidad" de la empresa antes de acceder a la red.
Portal de invitados patrocinados: el patrocinador debe emitir el acceso a la red y los datos de inicio de sesión, el usuario responsable de crear cuentas de invitados en Cisco ISE.
Portal de invitados autorregistrados: en este caso, los invitados utilizan los detalles de inicio de sesión existentes o crean una cuenta para ellos mismos con los detalles de inicio de sesión, pero se requiere la confirmación del patrocinador para obtener acceso a la red.
Se pueden implementar múltiples portales en Cisco ISE al mismo tiempo. De forma predeterminada, en el portal de invitados, el usuario verá el logotipo de Cisco y frases comunes estándar. Todo esto se puede personalizar e incluso configurar para ver anuncios obligatorios antes de acceder.
La configuración del acceso de invitados se puede dividir en 4 pasos principales: configuración de FortiAP, conectividad Cisco ISE y FortiAP, creación del portal de invitados y configuración de políticas de acceso.
2. Configuración de FortiAP en FortiGate
FortiGate es un controlador de punto de acceso y todas las configuraciones se realizan en él. Los puntos de acceso FortiAP admiten PoE, por lo que una vez que lo haya conectado a la red a través de Ethernet, puede comenzar la configuración.
1) En FortiGate, ve a la pestaña Wi-Fi y Switch Controller > FortiAP administrados > Crear nuevo > AP administrado. Usando el número de serie único del punto de acceso, que está impreso en el mismo punto de acceso, agréguelo como un objeto. O puede mostrarse y luego presionar Autorizar utilizando el botón derecho del ratón.
2) La configuración de FortiAP puede ser predeterminada, por ejemplo, dejar como en la captura de pantalla. Recomiendo encarecidamente activar el modo de 5 GHz, porque algunos dispositivos no admiten 2.4 GHz.
3) Luego en la pestaña Wi-Fi y Switch Controller > Perfiles de FortiAP > Crear nuevo estamos creando un perfil de configuración para el punto de acceso (versión del protocolo 802.11, modo SSID, frecuencia del canal y su número).
Ejemplo de configuración de FortiAP
4) El siguiente paso es crear un SSID. ir a la pestaña Wi-Fi y Switch Controller > SSID > Crear nuevo > SSID. Aquí desde lo importante se debe configurar:
espacio de direcciones para WLAN invitado - IP/máscara de red
RADIUS Accounting and Secure Fabric Connection en el campo Acceso administrativo
Opción de detección de dispositivos
Opción SSID y SSID de difusión
Configuración del modo de seguridad > Portal cautivo
Portal de autenticación: externo e inserte un enlace al portal de invitados creado desde Cisco ISE desde el paso 20
Grupo de usuarios - Grupo invitado - Externo - agregar RADIUS a Cisco ISE (p. 6 en adelante)
Ejemplo de configuración de SSID
5) Luego debe crear reglas en la política de acceso en FortiGate. ir a la pestaña Política y objetos > Política de cortafuegos y crea una regla como esta:
3. Configuración del RADIO
6) Vaya a la interfaz web de Cisco ISE a la pestaña Política > Elementos de política > Diccionarios > Sistema > Radius > Proveedores de RADIUS > Agregar. En esta pestaña, agregaremos Fortinet RADIUS a la lista de protocolos admitidos, ya que casi todos los proveedores tienen sus propios atributos específicos: VSA (atributos específicos del proveedor).
Se puede encontrar una lista de atributos RADIUS de Fortinet aquí. Los VSA se distinguen por su número de identificación de proveedor único. Fortinet tiene este ID = 12356. Lleno lista El VSA ha sido publicado por la IANA.
7) Establecer el nombre del diccionario, especificar Vendor ID (12356) y presione Enviar.
8) Después de ir a Administración > Perfiles de dispositivos de red > Agregar y cree un nuevo perfil de dispositivo. En el campo Diccionarios RADIUS, seleccione el diccionario RADIUS de Fortinet creado anteriormente y seleccione los métodos CoA para usar más adelante en la política ISE. Elegí RFC 5176 y Port Bounce (interfaz de red cerrada/sin cierre) y los VSA correspondientes:
Fortinet-Access-Profile=lectura-escritura
Nombre del grupo de Fortinet = fmg_faz_admins
9) A continuación, agregue FortiGate para conectividad con ISE. Para hacer esto, vaya a la pestaña Administración > Recursos de red > Perfiles de dispositivos de red > Agregar. Campos a cambiar Nombre, proveedor, diccionarios RADIUS (La dirección IP es utilizada por FortiGate, no por FortiAP).
Ejemplo de configuración de RADIUS desde el lado ISE
10) Después de eso, debe configurar RADIUS en el lado de FortiGate. En la interfaz web de FortiGate, vaya a Usuario y autenticación > Servidores RADIUS > Crear nuevo. Especifique el nombre, la dirección IP y el secreto compartido (contraseña) del párrafo anterior. Siguiente clic Credenciales de usuario de prueba e ingrese cualquier credencial que se pueda extraer a través de RADIUS (por ejemplo, un usuario local en Cisco ISE).
11) Agregue un servidor RADIUS al grupo invitado (si no existe), así como una fuente externa de usuarios.
12) No olvide agregar el grupo de invitados al SSID que creamos anteriormente en el paso 4.
4. Configuración de autenticación de usuario
13) Opcionalmente, puede importar un certificado al portal de invitados ISE o crear un certificado autofirmado en la pestaña Centros de trabajo > Acceso de invitados > Administración > Certificación > Certificados del sistema.
14) Después en la pestaña Centros de trabajo > Acceso de invitado > Grupos de identidad > Grupos de identidad de usuario > Agregar cree un nuevo grupo de usuarios para el acceso de invitados o use los predeterminados.
15) Más adelante en la pestaña Administración > Identidades cree usuarios invitados y agréguelos a los grupos del párrafo anterior. Si desea utilizar cuentas de terceros, omita este paso.
16) Después vamos a la configuración Centros de trabajo > Acceso de invitados > Identidades >Secuencia de origen de identidad > Secuencia del portal de invitados: esta es la secuencia de autenticación predeterminada para los usuarios invitados. y en el campo Lista de búsqueda de autenticación seleccione el orden de autenticación del usuario.
17) Para notificar a los invitados con una contraseña de un solo uso, puede configurar proveedores de SMS o un servidor SMTP para este propósito. ir a la pestaña Centros de trabajo > Acceso de invitados > Administración > Servidor SMTP o Proveedores de puerta de enlace de SMS para estos ajustes. En el caso de un servidor SMTP, debe crear una cuenta para el ISE y especificar los datos en esta pestaña.
18) Para notificaciones por SMS, utilice la pestaña correspondiente. ISE tiene perfiles preinstalados de proveedores de SMS populares, pero es mejor crear los suyos propios. Utilice estos perfiles como ejemplo de configuración Pasarela de correo electrónico SMStu o API HTTP SMS.
Un ejemplo de configuración de un servidor SMTP y una puerta de enlace SMS para una contraseña de un solo uso
5. Configuración del portal de invitados
19) Como se mencionó al principio, hay 3 tipos de portales de invitados preinstalados: Hotspot, Sponsored, Self-Registrated. Sugiero elegir la tercera opción, ya que es la más común. De cualquier manera, la configuración es en gran medida idéntica. Así que vamos a la pestaña. Centros de trabajo > Acceso de invitados > Portales y componentes > Portales de invitados > Portal de invitados autorregistrado (predeterminado).
20) A continuación, en la pestaña Personalización de la página del portal, seleccione "Ver en ruso - ruso", para que el portal se muestre en ruso. Puede cambiar el texto de cualquier pestaña, agregar su logotipo y más. A la derecha, en la esquina, hay una vista previa del portal de invitados para una mejor vista.
Ejemplo de configuración de un portal de invitados con registro automático
Para mostrar su dominio, debe cargar el certificado en el portal de invitados, consulte el paso 13.
22) Ir a la pestaña Centros de trabajo > Acceso de invitado > Elementos de política > Resultados > Perfiles de autorización > Agregar para crear un perfil de autorización bajo el creado previamente Perfil de dispositivo de red.
23) En pestaña Centros de trabajo > Acceso de invitados > Conjuntos de políticas edite la política de acceso para los usuarios de WiFi.
24) Intentemos conectarnos al SSID invitado. Inmediatamente me redirige a la página de inicio de sesión. Aquí puede iniciar sesión con la cuenta de invitado creada localmente en el ISE o registrarse como usuario invitado.
25) Si ha elegido la opción de registro automático, los datos de inicio de sesión únicos se pueden enviar por correo, por SMS o imprimir.
26) En la pestaña RADIUS > Live Logs en Cisco ISE, verá los registros de inicio de sesión correspondientes.
6. Заключение
En este largo artículo, hemos configurado con éxito el acceso de invitados en Cisco ISE, donde FortiGate actúa como controlador de punto de acceso y FortiAP actúa como punto de acceso. Resultó una especie de integración no trivial, que una vez más demuestra el uso generalizado de ISE.