Cisco ISE: پیکربندی دسترسی مهمان در FortiAP. قسمت 3

به پست سوم از سری سیسکو ISE خوش آمدید. پیوندهای تمام مقالات این مجموعه در زیر آمده است:

1. Cisco ISE: مقدمه، الزامات، نصب. قسمت 1

2. Cisco ISE: ایجاد کاربران، افزودن سرورهای LDAP، ادغام با AD. قسمت 2

3. Cisco ISE: پیکربندی دسترسی مهمان در FortiAP. قسمت 3

در این پست، شما به دسترسی مهمان و همچنین راهنمای گام به گام برای ادغام Cisco ISE و FortiGate برای پیکربندی FortiAP، یک نقطه دسترسی از Fortinet (به طور کلی، هر دستگاهی که RADIUS CoA - تغییر مجوز).

مقالات ما پیوست شده است. Fortinet - مجموعه ای از مواد مفید.

یادداشتپاسخ: دستگاه‌های Check Point SMB از RADIUS CoA پشتیبانی نمی‌کنند.

فوق العاده رهبری نحوه ایجاد دسترسی مهمان با استفاده از Cisco ISE در یک سیسکو WLC (کنترل کننده بی سیم) را به زبان انگلیسی توضیح می دهد. بیایید آن را بفهمیم!

1 مقدمه

دسترسی مهمان (پورتال) به شما امکان می دهد دسترسی به اینترنت یا منابع داخلی را برای مهمانان و کاربرانی که نمی خواهید به شبکه محلی خود راه دهید فراهم کنید. 3 نوع از پیش تعریف شده پورتال مهمان (پورتال مهمان) وجود دارد:

1. پورتال Hotspot Guest - دسترسی به شبکه بدون اطلاعات ورود به سیستم برای مهمانان فراهم می شود. کاربران عموماً ملزم به پذیرش «سیاست استفاده و حفظ حریم خصوصی» شرکت قبل از دسترسی به شبکه هستند.

2. پورتال Sponsored-Guest - دسترسی به شبکه و داده های ورود باید توسط اسپانسر صادر شود - کاربر مسئول ایجاد حساب های مهمان در Cisco ISE.

3. پورتال مهمان خود ثبت شده - در این مورد، مهمانان از جزئیات ورود به سیستم موجود استفاده می کنند، یا یک حساب کاربری با جزئیات ورود ایجاد می کنند، اما تأیید اسپانسر برای دسترسی به شبکه لازم است.

چندین پورتال را می توان همزمان در Cisco ISE مستقر کرد. به طور پیش فرض، در پورتال مهمان، کاربر لوگوی سیسکو و عبارات رایج استاندارد را می بیند. همه اینها را می توان سفارشی کرد و حتی برای مشاهده تبلیغات اجباری قبل از دسترسی تنظیم کرد.

راه اندازی دسترسی مهمان را می توان به 4 مرحله اصلی تقسیم کرد: راه اندازی FortiAP، اتصال Cisco ISE و FortiAP، ایجاد پورتال مهمان و تنظیم خط مشی دسترسی.

2. پیکربندی FortiAP در FortiGate

فورتی گیت یک کنترل کننده نقطه دسترسی است و تمام تنظیمات روی آن انجام می شود. نقاط دسترسی FortiAP از PoE پشتیبانی می کنند، بنابراین هنگامی که آن را از طریق اترنت به شبکه متصل کردید، می توانید پیکربندی را شروع کنید.

1) در FortiGate، به تب بروید WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. با استفاده از شماره سریال منحصر به فرد نقطه دسترسی، که روی نقطه دسترسی چاپ شده است، آن را به عنوان یک شی اضافه کنید. یا می تواند خودش را نشان دهد و سپس فشار دهد مجاز با استفاده از دکمه سمت راست ماوس

2) تنظیمات FortiAP می تواند پیش فرض باشد، به عنوان مثال، همانطور که در تصویر است رها کنید. من به شدت توصیه می کنم حالت 5 گیگاهرتز را روشن کنید، زیرا برخی از دستگاه ها از 2.4 گیگاهرتز پشتیبانی نمی کنند.

3) سپس در تب WiFi & Switch Controller > FortiAP Profiles > Create New ما در حال ایجاد یک پروفایل تنظیمات برای نقطه دسترسی (نسخه 802.11 پروتکل، حالت SSID، فرکانس کانال و تعداد آنها) هستیم.

نمونه تنظیمات FortiAP

4) مرحله بعدی ایجاد یک SSID است. به برگه بروید WiFi & Switch Controller > SSIDs > Create New > SSID. در اینجا یکی از موارد مهم باید پیکربندی شود:

• فضای آدرس برای WLAN مهمان - IP/Netmask

• RADIUS Accounting و Secure Fabric Connection در قسمت Administrative Access

• گزینه تشخیص دستگاه

• گزینه SSID و Broadcast SSID

• تنظیمات حالت امنیتی > پورتال اسیر 

• پورتال احراز هویت - خارجی و درج پیوند به پورتال مهمان ایجاد شده از Cisco ISE از مرحله 20

• گروه کاربر - گروه مهمان - خارجی - اضافه کردن RADIUS به Cisco ISE (ص. 6 به بعد)

مثال تنظیم SSID

5) سپس باید قوانینی را در سیاست دسترسی در FortiGate ایجاد کنید. به برگه بروید خط مشی و اشیاء > خط مشی فایروال و یک قانون مانند این ایجاد کنید:

3. تنظیم RADIUS

6) به رابط وب Cisco ISE در تب بروید خط مشی > عناصر خط مشی > دیکشنری ها > سیستم > شعاع > فروشندگان RADIUS > افزودن. در این برگه، Fortinet RADIUS را به لیست پروتکل های پشتیبانی شده اضافه می کنیم، زیرا تقریباً هر فروشنده دارای ویژگی های خاص خود است - VSA (ویژگی های خاص فروشنده).

فهرستی از ویژگی های Fortinet RADIUS را می توان یافت اینجا. VSA ها با شماره شناسه فروشنده منحصر به فردشان متمایز می شوند. Fortinet این شناسه = را دارد 12356... پر شده فهرست VSA توسط IANA منتشر شده است.

7) نام فرهنگ لغت را تنظیم کنید، مشخص کنید شناسه فروشنده (12356) و فشار دهید ارسال.

8) بعد از رفتن به مدیریت > نمایه های دستگاه شبکه > افزودن و یک نمایه دستگاه جدید ایجاد کنید. در قسمت RADIUS Dictionaries، فرهنگ لغت Fortinet RADIUS را که قبلا ایجاد شده است انتخاب کنید و روش های CoA را انتخاب کنید تا بعداً در خط مشی ISE استفاده کنید. من RFC 5176 و Port Bounce (واسط شبکه خاموش/بدون خاموش شدن) و VSAهای مربوطه را انتخاب کردم: 

Fortinet-Access-Profile=خواندن-نوشتن

Fortinet-Group-Name = fmg_faz_admins

9) سپس FortiGate را برای اتصال با ISE اضافه کنید. برای انجام این کار، به تب بروید مدیریت > منابع شبکه > نمایه های دستگاه شبکه > افزودن. فیلدهایی که باید تغییر کنند نام، فروشنده، فرهنگ لغت RADIUS (آدرس IP توسط FortiGate استفاده می شود نه FortiAP).

نمونه ای از پیکربندی RADIUS از سمت ISE

10) پس از آن، باید RADIUS را در سمت FortiGate پیکربندی کنید. در رابط وب FortiGate، به User & Authentication > RADIUS Servers > Create New. نام، آدرس IP و رمز مشترک (رمز عبور) را از پاراگراف قبلی مشخص کنید. کلیک بعدی تست اعتبار کاربر و هر گونه اعتباری را که می توان از طریق RADIUS (مثلاً یک کاربر محلی در Cisco ISE) برداشت، وارد کنید.

11) یک سرور RADIUS به گروه مهمان (اگر وجود ندارد) و همچنین یک منبع خارجی از کاربران اضافه کنید.

12) فراموش نکنید که Guest-Group را به SSID که قبلاً در مرحله 4 ایجاد کردیم اضافه کنید.

4. تنظیمات احراز هویت کاربر

13) به صورت اختیاری، می توانید گواهی را به پورتال مهمان ISE وارد کنید یا یک گواهی خودامضا در برگه ایجاد کنید. مراکز کاری > دسترسی مهمان > مدیریت > گواهی > گواهینامه های سیستم.

14) بعد در تب مراکز کاری > دسترسی مهمان > گروه های هویت > گروه های هویت کاربر > افزودن یک گروه کاربری جدید برای دسترسی مهمان ایجاد کنید یا از گروه های پیش فرض استفاده کنید.

15) بیشتر در برگه مدیریت > هویت کاربران مهمان ایجاد کنید و آنها را به گروه های پاراگراف قبلی اضافه کنید. اگر می خواهید از حساب های شخص ثالث استفاده کنید، این مرحله را رد کنید.

16) بعد از رفتن به تنظیمات مراکز کاری > دسترسی مهمان > هویت > دنباله منبع هویت > دنباله پورتال مهمان — این توالی احراز هویت پیش فرض برای کاربران مهمان است. و در میدان لیست جستجوی احراز هویت سفارش احراز هویت کاربر را انتخاب کنید.

17) برای اطلاع رسانی به مهمانان با یک رمز عبور یکبار مصرف، می توانید ارائه دهندگان پیام کوتاه یا سرور SMTP را برای این منظور پیکربندی کنید. به برگه بروید مراکز کاری > دسترسی مهمان > مدیریت > سرور SMTP یا ارائه دهندگان دروازه پیامک برای این تنظیمات در مورد سرور SMTP، باید یک حساب کاربری برای ISE ایجاد کنید و داده ها را در این تب مشخص کنید.

18) برای اطلاع رسانی پیامکی از تب مناسب استفاده کنید. ISE نمایه های از پیش نصب شده ارائه دهندگان پیام کوتاه دارد، اما بهتر است پروفایل خود را ایجاد کنید. از این پروفایل ها به عنوان نمونه ای از تنظیمات استفاده کنید دروازه ایمیل اس ام اسy یا SMS HTTP API.

نمونه ای از راه اندازی سرور SMTP و دروازه پیامک برای رمز عبور یکبار مصرف

5. راه اندازی پورتال مهمان

19) همانطور که در ابتدا ذکر شد، 3 نوع پورتال مهمان از پیش نصب شده وجود دارد: Hotspot، Sponsored، Self-Registered. من پیشنهاد می کنم گزینه سوم را انتخاب کنید، زیرا رایج ترین است. در هر صورت، تنظیمات تا حد زیادی یکسان هستند. پس بیایید به برگه برویم. مراکز کاری > دسترسی مهمان > پورتال ها و مؤلفه ها > پورتال مهمان > پورتال مهمان خود ثبت شده (پیش فرض). 

20) سپس در برگه سفارشی سازی صفحه پورتال، را انتخاب کنید "مشاهده به زبان روسی - روسی"، به طوری که پورتال به زبان روسی نمایش داده می شود. می توانید متن هر برگه را تغییر دهید، لوگوی خود را اضافه کنید و موارد دیگر. در سمت راست در گوشه، پیش نمایشی از پورتال مهمان برای دید بهتر وجود دارد.

نمونه ای از پیکربندی یک پورتال مهمان با ثبت نام خود

21) روی یک عبارت کلیک کنید URL تست پورتال و آدرس پورتال را در SSID روی FortiGate در مرحله 4 کپی کنید. URL نمونه https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

برای نمایش دامنه خود، باید گواهی را در پورتال مهمان آپلود کنید، مرحله 13 را ببینید.

22) به تب بروید مراکز کاری > دسترسی مهمان > عناصر خط مشی > نتایج > نمایه های مجوز > افزودن برای ایجاد یک نمایه مجوز تحت نمایه ای که قبلا ایجاد شده است نمایه دستگاه شبکه

23) در برگه مراکز کاری > دسترسی مهمان > مجموعه‌های خط‌مشی خط مشی دسترسی کاربران WiFi را ویرایش کنید.

24) بیایید سعی کنیم به SSID مهمان متصل شویم. بلافاصله مرا به صفحه ورود هدایت می کند. در اینجا می توانید با حساب مهمان ایجاد شده به صورت محلی در ISE وارد شوید یا به عنوان کاربر مهمان ثبت نام کنید.

25) اگر گزینه ثبت نام خود را انتخاب کرده اید، داده های ورود یکباره را می توان از طریق پست، از طریق پیام کوتاه یا چاپ کرد.

26) در تب RADIUS > Live Logs در Cisco ISE، لاگ های ورود مربوطه را مشاهده خواهید کرد.

6. نتیجه گیری

در این مقاله طولانی، ما با موفقیت دسترسی مهمان را در Cisco ISE پیکربندی کردیم، جایی که FortiGate به عنوان کنترل کننده نقطه دسترسی عمل می کند و FortiAP به عنوان نقطه دسترسی عمل می کند. معلوم شد که نوعی ادغام غیر پیش پا افتاده است که بار دیگر استفاده گسترده از ISE را ثابت می کند.

برای تست Cisco ISE تماس بگیرید پیوندو همچنین با کانال های ما همراه باشید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS, Yandex Zen).

منبع: www.habr.com