Selles väljaandes käsitlete külalisjuurdepääsu ning samm-sammult juhendit Cisco ISE ja FortiGate integreerimiseks, et konfigureerida FortiAP - pääsupunkt Fortinetist (üldiselt iga seade, mis toetab RADIUS CoA — volituse muutmine).
Märkus: Check Point SMB seadmed ei toeta RADIUS CoA-d.
Imeline juhtpositsiooni kirjeldab inglise keeles, kuidas luua Cisco WLC (juhtmevaba kontroller) Cisco ISE abil külalisjuurdepääsu. Uurime välja!
1. Sissejuhatus
Külalisjuurdepääs (portaal) võimaldab pakkuda juurdepääsu Internetile või sisemistele ressurssidele külalistele ja kasutajatele, keda te ei soovi oma kohalikku võrku lubada. Külalisportaale on 3 eelinstallitud tüüpi:
Hotspot Guest portaal – külalistele pakutakse juurdepääsu võrgule ilma sisselogimisandmeteta. Tavaliselt peavad kasutajad enne võrku sisenemist nõustuma ettevõtte kasutus- ja privaatsuspoliitikaga.
Sponsoreeritud-külaliste portaal – juurdepääsu võrgule ja sisselogimisandmed peab tagama sponsor – kasutaja, kes vastutab Cisco ISE külaliskontode loomise eest.
Self-Registered Guest portaal – sellisel juhul kasutavad külalised olemasolevaid sisselogimisandmeid või loovad endale sisselogimisandmetega konto, kuid võrku pääsemiseks on vaja sponsori kinnitust.
Saate Cisco ISE-s juurutada korraga mitu portaali. Vaikimisi näeb kasutaja külalisteportaalis Cisco logo ja standardseid levinud fraase. Seda kõike saab kohandada ja enne juurdepääsu saamist saate isegi määrata kohustusliku reklaami vaatamise.
Külalisjuurdepääsu seadistamise saab jagada neljaks põhietapiks: FortiAP seadistamine, Cisco ISE ja FortiAP ühenduvuse loomine, külalisportaali loomine ja juurdepääsupoliitika seadistamine.
2. FortiAP konfigureerimine FortiGate'is
FortiGate on pääsupunkti kontroller ja kõik seadistused tehakse sellega. FortiAP-i pääsupunktid toetavad PoE-d, nii et kui olete selle Etherneti kaudu võrku ühendanud, võite alustada seadistamist.
1) Minge FortiGate'is vahekaardile WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Lisage see objektina, kasutades pöörduspunkti unikaalset seerianumbrit, mis asub pääsupunktil endal. Või võib see ilmuda iseseisvalt ja seejärel klõpsata Volitatud kasutades hiire paremat nuppu.
2) FortiAP-i sätted võivad olla vaikeseaded; näiteks jätke need ekraanipildil olevaks. Soovitan tungivalt sisse lülitada 5 GHz režiim, sest mõned seadmed ei toeta 2.4 GHz.
3) Seejärel vahekaardil WiFi & Switch Controller > FortiAP profiilid > Loo uus loome pääsupunkti seadete profiili (802.11 protokolli versioon, SSID režiim, kanali sagedus ja kanalite arv).
FortiAP-i sätete näide
4) Järgmine samm on SSID loomine. Minge vahekaardile WiFi ja lüliti kontroller > SSID-d > Loo uus > SSID. Siin on olulised asjad, mida konfigureerida:
aadressiruum külaliste WLAN-i jaoks – IP/Netmask
RADIUSe raamatupidamine ja turvaline kangaühendus väljal Administrative Access
Seadme tuvastamise valik
SSID ja Broadcast SSID valik
Turvarežiimi sätted > Captive Portal
Autentimisportaal – väline ja kleepige alates 20. sammust Cisco ISE loodud külalisportaali link
5) Järgmisena peaksite FortiGate'i juurdepääsupoliitikas looma reeglid. Minge vahekaardile Eeskirjad ja objektid > Tulemüüripoliitika ja looge selline reegel:
3. RADIUSE seadistus
6) Minge Cisco ISE veebiliidese vahekaardile Poliitika > Poliitikaelemendid > Sõnastikud > Süsteem > Raadius > RADIUSe tarnijad > Lisa. Sellel vahekaardil lisame Fortineti RADIUSe toetatud protokollide loendisse, kuna peaaegu igal müüjal on oma spetsiifilised atribuudid - VSA (Vendor-Specific Attributes).
Fortinet RADIUSe atribuutide loendi leiate siin. VSA-sid eristab kordumatu hankija ID-number. Fortinetil on see ID = 12356. Täis nimekiri VSA avaldas IANA organisatsioon.
7) Määra sõnastikule nimi, märkige Vendor ID (12356) ja vajutage Esita.
8) Pärast läheme Haldus > Võrguseadme profiilid > Lisa ja looge uus seadme profiil. Väljal RADIUS sõnastikud tuleks valida eelnevalt loodud Fortinet RADIUS sõnastik ja valida CoA meetodid, et neid hiljem ISE poliitikas kasutada. Valisin RFC 5176 ja Port Bounce (võrguliidese väljalülitamine/väljalülitamine) ning vastava VSA:
Fortinet-Access-Profile = lugemine-kirjutamine
Fortinet-Group-Name = fmg_faz_admins
9) Järgmisena peaksite ISE-ga ühendamiseks lisama FortiGate'i. Selleks minge vahekaardile Haldus > Võrguressursid > Võrguseadme profiilid > Lisa. Väljad tuleks muuta Nimi, müüja, RADIUS sõnaraamatud (IP-aadressi kasutab FortiGate, mitte FortiAP).
RADIUSe konfiguratsiooni näide ISE poolelt
10) Järgmisena peaksite konfigureerima RADIUSe FortiGate'i poolel. Minge FortiGate'i veebiliideses aadressile Kasutaja ja autentimine > RADIUS-serverid > Loo uus. Määrake nimi, IP-aadress ja jagatud saladus (parool) eelmisest lõigust. Järgmine klõps Testige kasutaja mandaate ja sisestage kõik mandaadid, mida saab RADIUS-e kaudu üles tõmmata (nt Cisco ISE kohalik kasutaja).
11) Lisage külaliste gruppi RADIUS-server (kui seda pole, looge see), samuti välise allika kasutajad.
12) Ärge unustage lisada külalisgruppi SSID-le, mille lõime varem 4. sammus.
4. Autentimiskasutajate seadistamine
13) Soovi korral saate ISE külalisportaali importida sertifikaadi või luua vahekaardil iseallkirjastatud sertifikaadi Töökeskused > Külalisjuurdepääs > Administreerimine > Sertifitseerimine > Süsteemi sertifikaadid.
14) Pärast vahekaardil Töökeskused > Külalisjuurdepääs > Identiteedirühmad > Kasutaja identiteedirühmad > Lisa looge külaliste juurdepääsuks uus kasutajarühm või kasutage vaikerühmi.
15) Järgmine vahekaardil Haldus > Identiteedid saate luua külaliskasutajaid ja lisada nad eelmise lõigu rühmadesse. Kui soovite kasutada kolmanda osapoole kontosid, jätke see samm vahele.
16) Seejärel minge seadetesse Töökeskused > Külalisjuurdepääs > Identiteedid >Identiteedi allika jada > külalisportaali järjestus – See on külaliskasutajate eelmääratletud autentimisjada. Ja põllul Autentimise otsinguloend valige kasutaja autentimise järjekord.
17) Ühekordse parooliga külaliste teavitamiseks saate selleks seadistada SMS-i pakkujad või SMTP-serveri. Minge vahekaardile Töökeskused > Külalisjuurdepääs > Administreerimine > SMTP-server või SMS-i lüüsi pakkujad nende seadete jaoks. SMTP-serveri puhul peate looma ISE konto ja määrama sellel vahekaardil olevad andmed.
18) SMS-teatiste jaoks kasutage vastavat vahekaarti. ISE-l on eelinstallitud populaarsete SMS-i pakkujate profiilid, kuid parem on luua oma profiilid. Kasutage neid profiile sätete näitena SMS-e-post Gateway või SMS HTTP API.
Näide SMTP-serveri ja SMS-lüüsi seadistamisest ühekordse parooli jaoks
5. Külalisportaali seadistamine
19) Nagu alguses mainitud, on eelinstallitud külalisportaale 3 tüüpi: Hotspot, Sponsored, Self-Registered. Soovitan valida kolmanda võimaluse, kuna see on kõige levinum. Igal juhul on seaded suures osas identsed. Nii et läheme vahekaardile Töökeskused > Külalisjuurdepääs > Portaalid ja komponendid > Külaliste portaalid > Enda registreeritud külaliste portaal (vaikimisi).
20) Järgmisena valige vahekaardil Portaalilehe kohandamine "Vaade vene keeles - vene keeles", nii et portaali hakatakse kuvama vene keeles. Saate muuta mis tahes vahekaardi teksti, lisada oma logo ja palju muud. Paremas nurgas on külalisteportaali eelvaade mugavamaks esitluseks.
Näide külalisportaali loomisest koos iseregistreerimisega
24) Proovime luua ühenduse külalise SSID-ga. Mind suunatakse koheselt sisselogimislehele. Siin saate sisse logida ISE-s kohapeal loodud külaliskonto alt või registreeruda külaliskasutajaks.
25) Kui valisite iseregistreerimise võimaluse, saab ühekordseid sisselogimisandmeid saata e-posti teel, SMS-iga või printida.
26) Cisco ISE vahekaardil RADIUS > Live Logs näete vastavaid sisselogimisloge.
6. Järeldus
Selles pikas artiklis konfigureerisime edukalt külalisjuurdepääsu Cisco ISE-s, kus FortiGate toimib pääsupunkti kontrollerina ja FortiAP pääsupunktina. Tulemuseks on omamoodi mittetriviaalne integratsioon, mis tõestab taaskord ISE laialdast kasutamist.