Tervetuloa Cisco ISE -sarjan kolmanteen viestiin. Alla on linkit kaikkiin sarjan artikkeleihin:
Tässä viestissä sukellat vieraskäyttöön sekä vaiheittaisen oppaan Cisco ISE:n ja FortiGaten integroimiseksi FortiAPin, Fortinetin tukiaseman (yleensä kaikki laitteet, jotka tukevat RADIUS CoA — valtuutuksen muutos).
Liitteenä artikkelimme.
HuomataV: Check Point SMB -laitteet eivät tue RADIUS CoA:ta.
ihana
1. Esittely
Vieraspääsyn (portaalin) avulla voit tarjota pääsyn Internetiin tai sisäisiin resursseihin vieraille ja käyttäjille, joita et halua päästää paikalliseen verkkoosi. Vierasportaaleja (vierasportaali) on kolme ennalta määritettyä tyyppiä:
-
Hotspot Vierasportaali - Vieraille tarjotaan pääsy verkkoon ilman kirjautumistietoja. Käyttäjien on yleensä hyväksyttävä yrityksen "Käyttö- ja tietosuojakäytäntö" ennen verkkoon pääsyä.
-
Sponsored-Guest-portaali - pääsy verkkoon ja kirjautumistiedot on annettava sponsorilta - käyttäjältä, joka on vastuussa vierastilien luomisesta Cisco ISE:ssä.
-
Itserekisteröity vierasportaali - tässä tapauksessa vieraat käyttävät olemassa olevia kirjautumistietoja tai luovat itselleen tilin kirjautumistiedoilla, mutta verkkoon pääsy edellyttää sponsorin vahvistusta.
Cisco ISE:ssä voidaan ottaa käyttöön useita portaaleja samanaikaisesti. Oletusarvoisesti käyttäjä näkee Ciscon logon ja yleiset yleiset lauseet vierasportaalissa. Kaikki tämä voidaan mukauttaa ja jopa asettaa katsomaan pakollisia mainoksia ennen pääsyä.
Vieraskäytön määrittäminen voidaan jakaa neljään päävaiheeseen: FortiAP-asennus, Cisco ISE- ja FortiAP-yhteydet, vierasportaalin luominen ja pääsykäytännön määrittäminen.
2. FortiAP:n määrittäminen FortiGatessa
FortiGate on tukiasemaohjain ja kaikki asetukset tehdään siihen. FortiAP-tukipisteet tukevat PoE:tä, joten kun olet liittänyt sen verkkoon Ethernetin kautta, voit aloittaa määrityksen.
1) Siirry FortiGatessa välilehdelle WiFi & Switch Controller > Hallitut FortiAP:t > Luo uusi > Hallittu tukiasema. Käytä tukiaseman yksilöllistä sarjanumeroa, joka on painettu tukiasemaan, ja lisää se objektiksi. Tai se voi näyttää itsensä ja sitten painaa valtuuttaa hiiren oikealla painikkeella.
2) FortiAP-asetukset voivat olla oletusarvoisia, esimerkiksi jätä kuten kuvakaappauksessa. Suosittelen lämpimästi 5 GHz-tilan kytkemistä päälle, koska jotkut laitteet eivät tue 2.4 GHz:ää.
3) Sitten välilehdellä WiFi & Switch Controller > FortiAP-profiilit > Luo uusi luomme tukiasemalle asetusprofiilia (versio 802.11-protokolla, SSID-tila, kanavataajuus ja niiden numero).
Esimerkki FortiAP-asetuksista
4) Seuraava vaihe on SSID:n luominen. Siirry välilehteen WiFi & Switch Controller > SSIDs > Create New > SSID. Tässä tärkeästä pitäisi määrittää:
-
osoitetila vieras-WLANille - IP/Netmask
-
RADIUS-kirjanpito ja suojattu kangasyhteys Järjestelmänvalvojan käyttöoikeudet -kentässä
-
Laitteen tunnistus -vaihtoehto
-
SSID ja Broadcast SSID -vaihtoehto
-
Suojaustilan asetukset > Captive Portal
-
Todennusportaali – ulkoinen ja lisää linkki luotuun Cisco ISE:n vierasportaaliin vaiheesta 20 alkaen
-
Käyttäjäryhmä - Vierasryhmä - Ulkoinen - lisää RADIUS Cisco ISEen (s. 6 eteenpäin)
SSID-asetusesimerkki
5) Sitten sinun tulee luoda säännöt FortiGaten pääsykäytäntöön. Siirry välilehteen Käytäntö ja objektit > Palomuurikäytäntö ja luo tällainen sääntö:
3. RADIUS-asetus
6) Siirry Cisco ISE -verkkoliittymän välilehteen Käytäntö > Käytäntöelementit > Sanakirjat > Järjestelmä > Säde > RADIUS-toimittajat > Lisää. Tällä välilehdellä lisäämme Fortinet RADIUSin tuettujen protokollien luetteloon, koska melkein jokaisella toimittajalla on omat erityiset attribuutit - VSA (Vendor-Specific Attributes).
Luettelo Fortinet RADIUS -määritteistä löytyy
7) Aseta sanakirjan nimi, määritä Myyjätunnus (12356) ja paina Lähetä.
8) Kun olemme menossa Hallinta > Verkkolaiteprofiilit > Lisää ja luo uusi laiteprofiili. Valitse RADIUS-sanakirjat -kentässä aiemmin luotu Fortinet RADIUS -sanakirja ja valitse myöhemmin ISE-käytännössä käytettävät CoA-menetelmät. Valitsin RFC 5176:n ja Port Bouncen (sammutus/ei sammutusverkkoliitäntä) sekä vastaavat VSA:t:
Fortinet-Access-Profile=lue-kirjoita
Fortinet-ryhmän-nimi = fmg_faz_admins
9) Lisää seuraavaksi FortiGate yhdistääksesi ISE:n kanssa. Voit tehdä tämän siirtymällä välilehdelle Hallinta > Verkkoresurssit > Verkkolaiteprofiilit > Lisää. Muutettavat kentät Nimi, toimittaja, RADIUS-sanakirjat (IP-osoitetta käyttää FortiGate, ei FortiAP).
Esimerkki RADIUS:n määrittämisestä ISE-puolelta
10) Sen jälkeen sinun tulee määrittää RADIUS FortiGate-puolella. Siirry FortiGate-verkkokäyttöliittymässä kohtaan Käyttäjät ja todennus > RADIUS-palvelimet > Luo uusi. Määritä nimi, IP-osoite ja Jaettu salaisuus (salasana) edellisestä kappaleesta. Napsauta seuraavaksi Testaa käyttäjän tunnistetiedot ja anna kaikki tunnistetiedot, jotka voidaan hakea RADIUS:n kautta (esimerkiksi Cisco ISE:n paikallinen käyttäjä).
11) Lisää RADIUS-palvelin vierasryhmään (jos sitä ei ole) sekä ulkoinen käyttäjien lähde.
12) Älä unohda lisätä vierasryhmää SSID:hen, jonka loimme aiemmin vaiheessa 4.
4. Käyttäjän todennusasetus
13) Vaihtoehtoisesti voit tuoda varmenteen ISE-vierasportaaliin tai luoda itse allekirjoitetun varmenteen välilehdellä Työkeskukset > Vieraskäyttö > Hallinta > Sertifikaatit > Järjestelmävarmenteet.
14) Jälkeen välilehdellä Työkeskukset > Vieraskäyttö > Identiteettiryhmät > Käyttäjätunnusryhmät > Lisää Luo uusi käyttäjäryhmä vieraskäyttöä varten tai käytä oletusryhmiä.
15) Edelleen välilehdellä Hallinta > Henkilöllisyydet luo vierailevia käyttäjiä ja lisää heidät edellisen kappaleen ryhmiin. Jos haluat käyttää kolmannen osapuolen tilejä, ohita tämä vaihe.
16) Kun siirrymme asetuksiin Työkeskukset > Vieraskäyttö > Henkilöllisyydet > Identiteetin lähdesarja > Vierasportaalin järjestys — tämä on vieraskäyttäjien oletustodennussekvenssi. Ja kentällä Todennushakuluettelo valitse käyttäjän todennusjärjestys.
17) Voit ilmoittaa vieraille kertaluonteisella salasanalla määrittämällä tekstiviestipalveluntarjoajat tai SMTP-palvelimen tätä tarkoitusta varten. Siirry välilehteen Työkeskukset > Vieraskäyttö > Hallinta > SMTP-palvelin tai SMS-yhdyskäytävän tarjoajat näille asetuksille. Jos kyseessä on SMTP-palvelin, sinun on luotava tili ISE:lle ja määritettävä tiedot tässä välilehdessä.
18) Käytä tekstiviesti-ilmoituksia varten asianmukaista välilehteä. ISE:ssä on esiasennettu profiilit suosituista tekstiviestipalveluntarjoajista, mutta on parempi luoda oma. Käytä näitä profiileja esimerkkinä asetuksista SMS-sähköpostiyhdyskäytäväy tai SMS HTTP API.
Esimerkki SMTP-palvelimen ja SMS-yhdyskäytävän määrittämisestä kertakäyttöiselle salasanalle
5. Vierasportaalin määrittäminen
19) Kuten alussa mainittiin, esiasennettuja vierasportaaleja on kolmenlaisia: Hotspot, Sponsored, Self-Registered. Suosittelen valitsemaan kolmannen vaihtoehdon, koska se on yleisin. Joka tapauksessa asetukset ovat suurelta osin samat. Joten mennään välilehteen. Työkeskukset > Vieraskäyttö > Portaalit ja komponentit > Vierasportaalit > Itserekisteröity vierasportaali (oletus).
20) Valitse seuraavaksi Portaalisivun mukauttaminen -välilehdellä "Näytä venäjäksi - venäjäksi", jotta portaali näkyy venäjäksi. Voit muuttaa minkä tahansa välilehden tekstiä, lisätä logosi ja paljon muuta. Oikealla kulmassa on vierasportaalin esikatselu paremman näkymän saamiseksi.
Esimerkki vierasportaalin määrittämisestä itserekisteröinnin avulla
21) Napsauta lausetta Portaalin testi-URL-osoite ja kopioi portaalin URL-osoite FortiGaten SSID:hen vaiheessa 4. Esimerkki-URL-osoite
Jotta voit näyttää verkkotunnuksesi, sinun on ladattava varmenne vierasportaaliin, katso vaihe 13.
22) Siirry välilehdelle Työkeskukset > Vieraskäyttö > Käytäntöelementit > Tulokset > Valtuutusprofiilit > Lisää luodaksesi valtuutusprofiilin aiemmin luodun profiilin alle Verkkolaitteen profiili.
23) Välilehdellä Työkeskukset > Vieraskäyttö > Käytäntösarjat muokkaa WiFi-käyttäjien pääsykäytäntöä.
24) Yritetään muodostaa yhteys vieras-SSID:hen. Se ohjaa minut välittömästi kirjautumissivulle. Täällä voit kirjautua sisään ISE:ssä paikallisesti luodulla vierastilillä tai rekisteröityä vieraskäyttäjäksi.
25) Jos olet valinnut itserekisteröitymisvaihtoehdon, kertakirjautumistiedot voidaan lähettää postitse, tekstiviestillä tai tulostettuna.
26) Cisco ISE:n RADIUS > Live Logs -välilehdellä näet vastaavat kirjautumislokit.
6. Päätelmä
Tässä pitkässä artikkelissa olemme onnistuneesti määrittäneet vieraskäytön Cisco ISE:ssä, jossa FortiGate toimii tukiasemaohjaimena ja FortiAP tukiasemana. Se osoittautui eräänlaiseksi ei-triviaaliksi integraatioksi, joka jälleen kerran todistaa ISE:n laajan käytön.
Jos haluat testata Cisco ISE:n, ota yhteyttä
Lähde: will.com