Bienvenue au troisième article de la série Cisco ISE. Les liens vers tous les articles de la série sont donnés ci-dessous :
Dans cet article, vous vous plongerez dans l'accès invité, ainsi qu'un guide étape par étape pour intégrer Cisco ISE et FortiGate pour configurer FortiAP, un point d'accès de Fortinet (en général, tout appareil prenant en charge RAYON CoA — Changement d'autorisation).
Ci-joint nos articles. .
NoterR : Les appareils Check Point SMB ne prennent pas en charge RADIUS CoA.
Formidable décrit en anglais comment créer un accès invité à l'aide de Cisco ISE sur un Cisco WLC (Wireless Controller). Découvrons-le !
1. Introduction
L'accès invité (portail) vous permet de fournir un accès à Internet ou à des ressources internes pour les invités et les utilisateurs que vous ne souhaitez pas laisser entrer dans votre réseau local. Il existe 3 types prédéfinis de portail invité (Portail invité) :
-
Portail Hotspot Guest - L'accès au réseau est fourni aux invités sans données de connexion. Les utilisateurs sont généralement tenus d'accepter la "Politique d'utilisation et de confidentialité" de l'entreprise avant d'accéder au réseau.
-
Portail Sponsored-Guest - l'accès au réseau et les données de connexion doivent être émis par le sponsor - l'utilisateur responsable de la création des comptes invités sur Cisco ISE.
-
Portail invité auto-enregistré - dans ce cas, les invités utilisent les informations de connexion existantes ou créent un compte pour eux-mêmes avec les informations de connexion, mais la confirmation du parrain est requise pour accéder au réseau.
Plusieurs portails peuvent être déployés sur Cisco ISE en même temps. Par défaut, dans le portail invité, l'utilisateur verra le logo Cisco et les phrases courantes standard. Tout cela peut être personnalisé et même configuré pour afficher les publicités obligatoires avant d'y accéder.
La configuration de l'accès invité peut être décomposée en 4 étapes principales : configuration FortiAP, connectivité Cisco ISE et FortiAP, création du portail invité et configuration de la politique d'accès.
2. Configurer FortiAP sur FortiGate
FortiGate est un contrôleur de point d'accès et tous les réglages sont effectués dessus. Les points d'accès FortiAP prennent en charge PoE, donc une fois que vous l'avez connecté au réseau via Ethernet, vous pouvez commencer la configuration.
1) Sur FortiGate, allez dans l'onglet WiFi & Switch Controller > FortiAP gérés > Créer un nouveau > AP géré. À l'aide du numéro de série unique du point d'accès, qui est imprimé sur le point d'accès lui-même, ajoutez-le en tant qu'objet. Ou il peut se montrer et ensuite appuyer sur Autoriser à l'aide du bouton droit de la souris.
2) Les paramètres FortiAP peuvent être par défaut, par exemple, laissez comme dans la capture d'écran. Je recommande fortement d'activer le mode 5 GHz, car certains appareils ne prennent pas en charge 2.4 GHz.
3) Puis dans l'onglet WiFi & Switch Controller > Profils FortiAP > Créer un nouveau nous créons un profil de paramètres pour le point d'accès (protocole version 802.11, mode SSID, fréquence du canal et leur numéro).
Exemple de paramètres FortiAP
4) L'étape suivante consiste à créer un SSID. Aller à l'onglet Contrôleur WiFi et commutateur> SSID> Créer nouveau> SSID. Voici de l'important doit être configuré:
-
espace d'adressage pour le WLAN invité - IP/Netmask
-
Comptabilité RADIUS et connexion Secure Fabric dans le champ Accès administratif
-
Option de détection de périphérique
-
Option SSID et diffusion SSID
-
Paramètres du mode de sécurité > Portail captif
-
Portail d'authentification - Externe et insérez un lien vers le portail invité créé à partir de Cisco ISE à partir de l'étape 20
-
Groupe d'utilisateurs - Groupe d'invités - Externe - ajouter RADIUS à Cisco ISE (p. 6 et suivantes)
Exemple de réglage SSID
5) Ensuite, vous devez créer des règles dans la politique d'accès sur FortiGate. Aller à l'onglet Politique et objets > Politique de pare-feu et créez une règle comme celle-ci :
3. Réglage RAYON
6) Accédez à l'interface Web de Cisco ISE à l'onglet Stratégie > Éléments de stratégie > Dictionnaires > Système > Radius > Fournisseurs RADIUS > Ajouter. Dans cet onglet, nous ajouterons Fortinet RADIUS à la liste des protocoles pris en charge, car presque chaque fournisseur a ses propres attributs spécifiques - VSA (Vendor-Specific Attributes).
Une liste des attributs Fortinet RADIUS peut être trouvée . Les VSA se distinguent par leur numéro d'identification de fournisseur unique. Fortinet a cet identifiant = 12356... Complet Le VSA a été publié par l'IANA.
7) Définissez le nom du dictionnaire, spécifiez Vendor ID (12356) et appuyez sur Soumettre.
8) Après nous allons à Administration > Profils de périphérique réseau > Ajouter et créez un nouveau profil d'appareil. Dans le champ RADIUS Dictionaries, sélectionnez le dictionnaire Fortinet RADIUS créé précédemment et sélectionnez les méthodes CoA à utiliser ultérieurement dans la stratégie ISE. J'ai choisi RFC 5176 et Port Bounce (interface réseau avec arrêt/pas d'arrêt) et les VSA correspondants :
Fortinet-Access-Profile=lecture-écriture
Fortinet-Group-Name = fmg_faz_admins
9) Ensuite, ajoutez FortiGate pour la connectivité avec ISE. Pour cela, rendez-vous dans l'onglet Administration > Ressources réseau > Profils de périphérique réseau > Ajouter. Champs à modifier Nom, Fournisseur, RADIUS Dictionnaires (L'adresse IP est utilisée par FortiGate, pas FortiAP).
Exemple de configuration de RADIUS du côté ISE
10) Après cela, vous devez configurer RADIUS du côté FortiGate. Dans l'interface Web de FortiGate, rendez-vous sur Utilisateur et authentification > Serveurs RADIUS > Créer nouveau. Spécifiez le nom, l'adresse IP et le secret partagé (mot de passe) du paragraphe précédent. Cliquez ensuite Tester les informations d'identification de l'utilisateur et entrez toutes les informations d'identification pouvant être extraites via RADIUS (par exemple, un utilisateur local sur Cisco ISE).
11) Ajoutez un serveur RADIUS au Guest-Group (s'il n'existe pas) ainsi qu'une source externe d'utilisateurs.
12) N'oubliez pas d'ajouter le groupe d'invités au SSID que nous avons créé précédemment à l'étape 4.
4. Paramètre d'authentification de l'utilisateur
13) En option, vous pouvez importer un certificat sur le portail invité ISE ou créer un certificat auto-signé dans l'onglet Postes de travail > Accès invité > Administration > Certification > Certificats système.
14) Après dans l'onglet Centres de travail > Accès invité > Groupes d'identité > Groupes d'identité utilisateur > Ajouter créez un nouveau groupe d'utilisateurs pour l'accès invité ou utilisez ceux par défaut.
15) Plus loin dans l'onglet Administration > Identités créez des utilisateurs invités et ajoutez-les aux groupes du paragraphe précédent. Si vous souhaitez utiliser des comptes tiers, ignorez cette étape.
16) Après on va dans les paramètres Centres de travail > Accès invité > Identités > Séquence de source d'identité > Séquence de portail invité — il s'agit de la séquence d'authentification par défaut pour les utilisateurs invités. Et sur le terrain Liste de recherche d'authentification sélectionnez l'ordre d'authentification des utilisateurs.
17) Pour notifier les invités avec un mot de passe à usage unique, vous pouvez configurer des fournisseurs de SMS ou un serveur SMTP à cet effet. Aller à l'onglet Postes de travail > Accès invité > Administration > Serveur SMTP ou Fournisseurs de passerelle SMS pour ces paramètres. Dans le cas d'un serveur SMTP, vous devez créer un compte pour l'ISE et spécifier les données dans cet onglet.
18) Pour les notifications par SMS, utilisez l'onglet approprié. ISE a des profils préinstallés de fournisseurs de SMS populaires, mais il est préférable de créer les vôtres. Utilisez ces profils comme exemple de configuration Passerelle de messagerie SMSou API HTTP SMS.
Un exemple de configuration d'un serveur SMTP et d'une passerelle SMS pour un mot de passe à usage unique
5. Configuration du portail invité
19) Comme mentionné au début, il existe 3 types de portails invités préinstallés : Hotspot, Sponsored, Self-Registered. Je suggère de choisir la troisième option, car c'est la plus courante. Dans tous les cas, les paramètres sont largement identiques. Passons donc à l'onglet. Centres de travail > Accès invité > Portails et composants > Portails invités > Portail invité auto-enregistré (par défaut).
20) Ensuite, dans l'onglet Personnalisation de la page du portail, sélectionnez "Voir en russe - russe", pour que le portail s'affiche en russe. Vous pouvez modifier le texte de n'importe quel onglet, ajouter votre logo, etc. Sur la droite dans le coin se trouve un aperçu du portail invité pour une meilleure vue.
Exemple de configuration d'un portail invité avec auto-enregistrement
21) Cliquez sur une phrase URL de test du portail et copiez l'URL du portail sur le SSID du FortiGate à l'étape 4. Exemple d'URL
Pour afficher votre domaine, vous devez télécharger le certificat sur le portail invité, voir l'étape 13.
22) Aller à l'onglet Centres de travail > Accès invité > Éléments de stratégie > Résultats > Profils d'autorisation > Ajouter pour créer un profil d'autorisation sous celui créé précédemment Profil de périphérique réseau.
23) Dans l'onglet Centres de travail > Accès invité > Ensembles de règles modifier la politique d'accès pour les utilisateurs WiFi.
24) Essayons de nous connecter au SSID invité. Il me redirige immédiatement vers la page de connexion. Ici, vous pouvez vous connecter avec le compte invité créé localement sur l'ISE ou vous inscrire en tant qu'utilisateur invité.
25) Si vous avez choisi l'option d'auto-inscription, les données de connexion uniques peuvent être envoyées par courrier, par SMS ou imprimées.
26) Dans l'onglet RADIUS > Live Logs de Cisco ISE, vous verrez les journaux de connexion correspondants.
6. Заключение
Dans ce long article, nous avons configuré avec succès l'accès invité sur Cisco ISE, où FortiGate agit en tant que contrôleur de point d'accès, et FortiAP agit en tant que point d'accès. Il s'est avéré une sorte d'intégration non triviale, ce qui prouve une fois de plus l'utilisation généralisée d'ISE.
Pour tester Cisco ISE, contactez et restez également à l'écoute de nos chaînes (, , , , ).
Source: habr.com