Ongi etorri Cisco ISE serieko hirugarren mezura. Serieko artikulu guztietarako estekak jarraian azaltzen dira:
Argitalpen honetan, gonbidatuen sarbidean murgilduko zara, baita Cisco ISE eta FortiGate integratzeko urratsez urratseko gida bat ere FortiAP konfiguratzeko, Fortinet-en sarbide puntu bat (oro har, onartzen duen edozein gailu). ERRADIOA CoA β Baimen aldaketa).
Erantsitako gure artikuluak. .
Kontuan izanE: Check Point SMB gailuek ez dute RADIUS CoA onartzen.
zoragarria ingelesez deskribatzen du nola sortu gonbidatuentzako sarbidea Cisco ISE erabiliz Cisco WLC (Wireless Controller) batean. Asma dezagun!
1. Sarrera
Gonbidatuen sarbideak (atariak) zure sare lokalean sartu nahi ez dituzun gonbidatuei eta erabiltzaileei Interneterako sarbidea edo barne baliabideetarako sarbidea eskaintzen dizu. Aurrez definitutako 3 gonbidatuen atari mota daude (Gonbidatuen ataria):
-
Hotspot Gonbidatuen ataria - Sarerako sarbidea gonbidatuei ematen zaie saioa hasteko daturik gabe. Erabiltzaileek, oro har, konpainiaren "Erabilera eta Pribatutasun Politika" onartzea eskatzen dute sarera sartu aurretik.
-
Babesle-Gonbidatuen ataria - sarerako sarbidea eta saioa hasteko datuak babesleak eman behar ditu - Cisco ISEn gonbidatu kontuak sortzeaz arduratzen den erabiltzaileak.
-
Auto-erregistratutako Gonbidatuen ataria - kasu honetan, gonbidatuek lehendik dauden saio-saio-datuak erabiltzen dituzte edo kontu bat sortzen dute saioa hasteko xehetasunekin, baina babeslearen berrespena behar da sarera sartzeko.
Cisco ISE-n hainbat atari inplementa daitezke aldi berean. Lehenespenez, gonbidatuen atarian, erabiltzaileak Ciscoren logotipoa eta ohiko esaldi estandarrak ikusiko ditu. Hori guztia pertsonalizatu daiteke eta derrigorrezko iragarkiak ikusteko ere konfigura daiteke sarbidea lortu aurretik.
Gonbidatuen sarbidearen konfigurazioa 4 urrats nagusitan bana daiteke: FortiAP konfigurazioa, Cisco ISE eta FortiAP konektibitatea, gonbidatuen atariaren sorrera eta sarbide-politikaren konfigurazioa.
2. FortiAP FortiGate-n konfiguratzea
FortiGate sarbide-puntuaren kontrolagailu bat da eta ezarpen guztiak bertan egiten dira. FortiAP sarbide puntuek PoE onartzen dute, beraz, sarera Ethernet bidez konektatu ondoren, konfigurazioa has dezakezu.
1) FortiGate-n, joan fitxara WiFi eta Switch Controller > Kudeatutako FortiAP > Sortu berria > Kudeatutako AP. Sarbide-puntuaren serie-zenbaki esklusiboa erabiliz, sarbide-puntuan bertan inprimatuta dagoena, gehitu objektu gisa. Edo bere burua erakutsi eta gero sakatu baimentzea saguaren eskuineko botoia erabiliz.
2) FortiAP ezarpenak lehenetsiak izan daitezke, adibidez, utzi pantaila-argazkian bezala. Gomendatzen dut 5 GHz modua aktibatzea, gailu batzuek ez baitute 2.4 GHz onartzen.
3) Ondoren, fitxan WiFi eta Switch Controller > FortiAP profilak > Sortu berria sarbide-punturako ezarpen-profila sortzen ari gara (802.11 bertsioa protokoloa, SSID modua, kanalaren maiztasuna eta haien zenbakia).
FortiAP ezarpenen adibidea
4) Hurrengo urratsa SSID bat sortzea da. Joan fitxara WiFi eta Switch Controller > SSIDak > Sortu berria > SSID. Hemen garrantzitsuenetik konfiguratu behar da:
-
Gonbidatu WLANentzako helbide-espazioa - IP/Sare-maskara
-
RADIUS Kontabilitatea eta Secure Fabric Connection Administrative Access eremuan
-
Gailua hautemateko aukera
-
SSID eta Broadcast SSID aukera
-
Segurtasun moduaren ezarpenak > Atari gatibua
-
Autentifikazio-ataria - Kanpokoa eta txertatu Cisco ISE-tik sortutako gonbidatuen atarirako esteka 20. urratsetik
-
Erabiltzaile taldea - Gonbidatu taldea - Kanpokoa - Gehitu RADIUS Cisco ISE-ra (6. or.)
SSID ezarpenaren adibidea
5) Ondoren, FortiGate-ko sarbide-politikan arauak sortu behar dituzu. Joan fitxara Politika eta objektuak > Firewall politika eta sortu honelako arau bat:
3. RADIUS ezarpena
6) Joan Cisco ISE web interfazera fitxara Politika > Politika-elementuak > Hiztegiak > Sistema > Erradioa > RADIUS Saltzaileak > Gehitu. Fitxa honetan, Fortinet RADIUS onartutako protokoloen zerrendara gehituko dugu, ia saltzaile bakoitzak bere atributu zehatzak baititu - VSA (Vendor-Specific Atributes).
Fortinet RADIUS atributuen zerrenda aurki daiteke . VSAk saltzaileen ID zenbaki esklusiboagatik bereizten dira. Fortinetek ID hau = du 12356... Osoa VSA IANAk argitaratu du.
7) Ezarri hiztegiaren izena, zehaztu Saltzailearen IDa (12356) eta prentsa Bidali.
8) Joan ondoren Administrazioa > Sareko gailuen profilak > Gehitu eta sortu gailu profil berri bat. RADIUS Hiztegiak eremuan, hautatu aurretik sortutako Fortinet RADIUS hiztegia eta hautatu CoA metodoak gero ISE politikan erabiltzeko. RFC 5176 eta Port Bounce (itzali/itxi gabe sareko interfazea) eta dagozkion VSA aukeratu ditut:
Fortinet-Access-Profile=irakurketa-idazketa
Fortinet-Group-Name = fmg_faz_admins
9) Ondoren, gehitu FortiGate ISErekin konektatzeko. Horretarako, joan fitxara Administrazioa > Sareko baliabideak > Sareko gailuen profilak > Gehitu. Aldatu beharreko eremuak Izena, Saltzailea, RADIUS Hiztegiak (IP helbidea FortiGate-k erabiltzen du, ez FortiAP).
ISE aldetik RADIUS konfiguratzeko adibidea
10) Horren ondoren, RADIUS konfiguratu beharko zenuke FortiGate aldean. FortiGate web interfazean, joan hona Erabiltzailea eta autentifikazioa > RADIUS zerbitzariak > Sortu berria. Zehaztu aurreko paragrafoko izena, IP helbidea eta partekatutako sekretua (pasahitza). Hurrengo egin klik Probatu erabiltzailearen kredentzialak eta sartu RADIUS bidez atera daitezkeen kredentzialak (adibidez, Cisco ISEko tokiko erabiltzaile bat).
11) Gehitu RADIUS zerbitzari bat Gonbidatu-Taldera (ez badago), baita erabiltzaileen kanpoko iturri bat ere.
12) Ez ahaztu Gonbidatu-taldea gehitzea 4. urratsean lehenago sortu dugun SSID-era.
4. Erabiltzaileen autentifikazio-ezarpena
13) Aukeran, ziurtagiri bat inporta dezakezu ISE gonbidatuaren atarira edo norberak sinatutako ziurtagiri bat sortu fitxan Lan-zentroak > Gonbidatuen sarbidea > Administrazioa > Ziurtagiria > Sistema-ziurtagiriak.
14) Ondoren fitxan Lan-zentroak > Gonbidatuen sarbidea > Identitate taldeak > Erabiltzaileen identitate taldeak > Gehitu sortu erabiltzaile talde berri bat gonbidatuak sartzeko edo erabili lehenetsitakoak.
15) Gehiago fitxan Administrazioa > Identitateak erabiltzaile gonbidatuak sortu eta aurreko paragrafoko taldeetan gehitu. Hirugarrenen kontuak erabili nahi badituzu, saltatu urrats hau.
16) Ezarpenetara joan ondoren Lan-zentroak > Gonbidatuen sarbidea > Identitateak > Identitate-iturburuaren sekuentzia > Gonbidatuen atariaren sekuentzia β hau da erabiltzaile gonbidatuentzako autentifikazio-sekuentzia lehenetsia. Eta zelaian Autentifikazioen bilaketa-zerrenda hautatu erabiltzailearen autentifikazio-ordena.
17) Gonbidatuei behin-behineko pasahitz batekin jakinarazteko, SMS hornitzaileak edo SMTP zerbitzari bat konfigura ditzakezu horretarako. Joan fitxara Lan-zentroak > Gonbidatuen sarbidea > Administrazioa > SMTP zerbitzaria edo SMS Gateway Hornitzaileak ezarpen hauetarako. SMTP zerbitzari baten kasuan, ISErako kontu bat sortu behar duzu eta fitxa honetan datuak zehaztu.
18) SMS jakinarazpenetarako, erabili dagokion fitxa. ISEk aurrez instalatutako SMS hornitzaile ezagunen profilak ditu, baina hobe da zurea sortzea. Erabili profil hauek ezarpenaren adibide gisa SMS posta elektronikoaren pasabideay edo SMS HTTP APIa.
SMTP zerbitzari bat eta SMS atebide bat konfiguratzeko adibide bat behin-behineko pasahitz baterako
5. Gonbidatuen ataria konfiguratzea
19) Hasieran esan bezala, aurrez instalatutako gonbidatuen atari 3 mota daude: Hotspot, Babeslea, Norbere erregistratua. Hirugarren aukera aukeratzea proposatzen dut, ohikoena baita. Nolanahi ere, ezarpenak berdin-berdinak dira. Beraz, goazen fitxara. Lan-zentroak > Gonbidatuen sarbidea > Atariak eta osagaiak > Gonbidatuen atariak > Norberak erregistratutako gonbidatuaren ataria (lehenetsia).
20) Ondoren, Atariko Orriaren Pertsonalizazioa fitxan, hautatu "Ikusi errusieraz - errusieraz", ataria errusieraz ager dadin. Edozein fitxaren testua alda dezakezu, zure logotipoa gehi dezakezu eta abar. Eskuinean, izkinan, gonbidatuen atariaren aurrebista dago, hobeto ikusteko.
Gonbidatuen atari bat autoerregistroarekin konfiguratzeko adibidea
21) Egin klik esaldi batean Atariaren probaren URLa eta kopiatu atariaren URLa FortiGate-ko SSIDera 4. urratsean. URL lagina
Zure domeinua bistaratzeko, ziurtagiria kargatu behar duzu gonbidatuen atarian, ikusi 13. urratsa.
22) Joan fitxara Lan-zentroak > Gonbidatuen sarbidea > Politika-elementuak > Emaitzak > Baimen-profilak > Gehitu aurretik sortutakoaren azpian baimen-profil bat sortzeko Sareko gailuen profila.
23) Fitxa batean Lan-zentroak > Gonbidatuen sarbidea > Politika multzoak editatu WiFi erabiltzaileentzako sarbide-politika.
24) Saia gaitezen gonbidatuaren SSIDera konektatzen. Berehala birbideratzen nau saioa hasteko orrira. Hemen ISEn lokalean sortutako gonbidatu kontuarekin saioa hasi dezakezu edo erabiltzaile gonbidatu gisa erregistratu.
25) Auto-erregistratzeko aukera aukeratu baduzu, saio-hasierako datuak postaz, SMS bidez edo inprimatu daitezke.
26) Cisco ISE-ko RADIUS > Live Logs fitxan, dagozkion saioaren erregistroak ikusiko dituzu.
6. Ondorioa
Artikulu luze honetan, arrakastaz konfiguratu dugu gonbidatuen sarbidea Cisco ISE-n, non FortiGate sarbide-puntuaren kontrolagailu gisa eta FortiAP-ek sarbide-puntu gisa jokatzen duen. Integrazio ez-trivial moduko bat atera zen, ISEren erabilera hedatua dagoela berriro ere frogatzen duena.
Cisco ISE probatzeko, jarri harremanetan eta egon adi gure kanaletan (, , , , ).
Iturria: www.habr.com