Cisco ISE: Konfigurearje gast tagong op FortiAP. Diel 3

Wolkom by de tredde post yn de Cisco ISE rige. Links nei alle artikels yn 'e searje wurde hjirûnder jûn:

1. Cisco ISE: Yntroduksje, easken, ynstallaasje. Diel 1

2. Cisco ISE: Meitsje brûkers, tafoegjen fan LDAP-tsjinners, yntegrearje mei AD. Diel 2

3. Cisco ISE: Konfigurearje gast tagong op FortiAP. Diel 3

Yn dizze post sille jo dûke yn gast tagong, lykas ek in stap-foar-stap hantlieding foar it yntegrearjen fan Cisco ISE en FortiGate om FortiAP te konfigurearjen, in tagongspunt fan Fortinet (yn 't algemien, elk apparaat dat stipet RADIUS CoA - Feroaring fan autorisaasje).

Taheakke binne ús artikels. Fortinet - in seleksje fan brûkbere materialen.

remarkA: Check Point SMB-apparaten stypje gjin RADIUS CoA.

prachtich liederskip beskriuwt yn it Ingelsk hoe te meitsjen fan in gast tagong mei help Cisco ISE op in Cisco WLC (Wireless Controller). Litte wy it útfine!

1. Yntroduksje

Gast tagong (portal) lit jo tagong jaan ta it ynternet of ta ynterne boarnen foar gasten en brûkers dy't jo net wolle litte yn jo lokale netwurk. D'r binne 3 foarôf definieare soarten gastportaal (Gastportaal):

1. Hotspot Gastportaal - Tagong ta it netwurk wurdt jûn oan gasten sûnder oanmeldgegevens. Brûkers binne oer it algemien ferplichte om it "Gebrûk en Privacybelied" fan it bedriuw te akseptearjen foardat se tagong krije ta it netwurk.

2. Sponsored-Guest portal - tagong ta it netwurk en oanmeldgegevens moatte wurde útjûn troch de sponsor - de brûker ferantwurdlik foar it meitsjen fan gast akkounts op Cisco ISE.

3. Self-Registered Guest portal - yn dit gefal, gasten brûke besteande oanmeldgegevens, of meitsje in akkount foar harsels mei oanmeldgegevens, mar sponsor befêstiging is nedich foar in fa tagong ta it netwurk.

Meardere portalen kinne wurde ynset op Cisco ISE tagelyk. Standert, yn it gastportaal, sil de brûker it Cisco-logo en standert mienskiplike útdrukkingen sjen. Dit alles kin wurde oanpast en sels ynsteld om ferplichte advertinsjes te besjen foardat jo tagong krije.

Gast tagong opset kin wurde ferdield yn 4 haadstappen: FortiAP opset, Cisco ISE en FortiAP ferbining, gast portal skepping, en tagong belied opset.

2. Konfigurearje FortiAP op FortiGate

FortiGate is in tagongspuntkontrôler en alle ynstellingen wurde derop makke. FortiAP tagongspunten stypje PoE, dus as jo ienris ferbûn hawwe mei it netwurk fia Ethernet, kinne jo de konfiguraasje begjinne.

1) Op FortiGate, gean nei it ljepblêd WiFi & Switch Controller> Managed FortiAPs> Meitsje nij> Managed AP. Brûk it unike searjenûmer fan it tagongspunt, dat is printe op it tagongspunt sels, foegje it ta as in objekt. Of it kin himsels sjen litte en dan drukke Authorize mei de rjochter mûsknop.

2) FortiAP-ynstellingen kinne standert wêze, bygelyks litte lykas yn 'e skermôfbylding. Ik riede tige oan om de 5 GHz-modus yn te skeakeljen, om't guon apparaten gjin 2.4 GHz stypje.

3) Dan yn tab WiFi & Switch Controller > FortiAP-profilen > Nij oanmeitsje wy meitsje in ynstellingsprofyl foar it tagongspunt (ferzje 802.11-protokol, SSID-modus, kanaalfrekwinsje en har nûmer).

Foarbyld fan FortiAP ynstellings

4) De folgjende stap is om in SSID te meitsjen. Gean nei tab WiFi & Switch Controller> SSID's> Nij oanmeitsje> SSID. Hjir fan 'e wichtige moat konfigureare wurde:

• adresromte foar gast WLAN - IP / Netmasker

• RADIUS Accounting en Secure Fabric Connection yn it fjild Bestjoerlike tagong

• Opsje foar apparaatdeteksje

• SSID en Broadcast SSID opsje

• Feiligensmodusynstellingen> Captive Portal 

• Authentication Portal - Ekstern en foegje in keppeling yn nei it oanmakke gastportaal fan Cisco ISE fan stap 20

• Brûkersgroep - Gastgroep - Ekstern - foegje RADIUS ta oan Cisco ISE (s. 6 en fierder)

SSID ynstelling foarbyld

5) Dan moatte jo regels oanmeitsje yn it tagongsbelied op FortiGate. Gean nei tab Belied en objekten > Firewallbelied en meitsje in regel lykas dizze:

3. RADIUS ynstelling

6) Gean nei de Cisco ISE web ynterface nei de ljepper Belied > Beliedseleminten > Wurdboeken > Systeem > Radius > RADIUS-ferkeapers > Taheakje. Yn dit ljepblêd sille wy Fortinet RADIUS tafoegje oan 'e list mei stipe protokollen, om't hast elke ferkeaper syn eigen spesifike attributen hat - VSA (Vendor-Spesifike attributen).

In list mei Fortinet RADIUS-attributen kin fûn wurde hjir. VSAs wurde ûnderskieden troch harren unike Vendor ID nûmer. Fortinet hat dizze ID = 12356... Fol list De VSA is publisearre troch de IANA.

7) Stel de namme fan it wurdboek yn, spesifisearje Ferkeaper ID (12356) en druk Yntsjinje.

8) Neidat wy gean nei Behear > Netwurkapparaatprofilen > Taheakje en meitsje in nij apparaat profyl. Selektearje yn it fjild RADIUS Dictionaries it earder oanmakke Fortinet RADIUS wurdboek en selektearje de CoA-metoaden om letter te brûken yn it ISE-belied. Ik keas RFC 5176 en Port Bounce (shutdown / gjin shutdown netwurkynterface) en de oerienkommende VSA's: 

Fortinet-Access-Profile=lêze-skriuwe

Fortinet-Group-Name = fmg_faz_admins

9) Foegje dan FortiGate ta foar ferbining mei ISE. Om dit te dwaan, gean nei de ljepper Behear > Netwurkboarnen > Netwurkapparaatprofilen > Taheakje. Fjilden te feroarjen Namme, ferkeaper, RADIUS Wurdboeken (IP-adres wurdt brûkt troch FortiGate, net FortiAP).

Foarbyld fan it konfigurearjen fan RADIUS fan 'e ISE-kant

10) Dêrnei moatte jo RADIUS konfigurearje oan 'e FortiGate-kant. Gean yn 'e FortiGate-webynterface nei Brûker en ferifikaasje> RADIUS-tsjinners> Nij oanmeitsje. Spesifisearje de namme, IP-adres en Shared geheim (wachtwurd) fan 'e foarige paragraaf. Folgjende klik Test User Credentials en fier alle bewiisbrieven dy't kin wurde oplutsen fia RADIUS (Bygelyks, in lokale brûker op de Cisco ISE).

11) Foegje in RADIUS-tsjinner ta oan de Gastgroep (as it net bestiet) en ek in eksterne boarne fan brûkers.

12) Ferjit net de gastgroep ta te foegjen oan de SSID dy't wy earder makke hawwe yn stap 4.

4. User Authentication Setting

13) Opsjoneel kinne jo in sertifikaat ymportearje nei it ISE-gasteportaal of in sels-ûndertekene sertifikaat oanmeitsje yn 'e ljepper Wurksintra > Gast tagong > Behear > Sertifikaasje > Systeemsertifikaten.

14) Nei yn tab Wurksintra > Gast tagong > Identiteitsgroepen > Brûkersidentiteitsgroepen > taheakje meitsje in nije brûkersgroep foar tagong ta gasten, of brûk de standert.

15) Fierder yn 'e ljepper Administration > Identiteiten meitsje gastbrûkers en foegje se ta oan de groepen fan 'e foarige paragraaf. As jo ​​akkounts fan tredden wolle brûke, skip dan dizze stap oer.

16) Neidat wy gean nei de ynstellings Wurksintra > Gast tagong > Identiteiten > Sequence fan identiteitsboarne > Folchoarder fan gastportaal — dit is de standert ferifikaasje folchoarder foar gast brûkers. En yn it fjild Authentication Search List selektearje de brûker autentikaasje folchoarder.

17) Om gasten te melden mei in ienmalige wachtwurd, kinne jo foar dit doel SMS-providers as in SMTP-tsjinner ynstelle. Gean nei tab Wurksintra > Gast tagong > Behear > SMTP-tsjinner of SMS Gateway Oanbieders foar dizze ynstellings. Yn it gefal fan in SMTP-tsjinner moatte jo in akkount meitsje foar de ISE en spesifisearje de gegevens yn dizze ljepper.

18) Brûk de passende ljepper foar SMS-notifikaasjes. ISE hat foarôf ynstalleare profilen fan populêre SMS-providers, mar it is better om jo eigen te meitsjen. Brûk dizze profilen as foarbyld fan ynstelling SMS E-post Gatewayy of SMS HTTP API.

In foarbyld fan it ynstellen fan in SMTP-tsjinner en in SMS-gateway foar in ienmalige wachtwurd

5. It opsetten fan de gast portal

19) Lykas oan it begjin neamd binne, binne d'r 3 soarten foarôf ynstalleare gastportalen: Hotspot, Sponsored, Self-Registrearre. Ik stel foar om de tredde opsje te kiezen, om't it de meast foarkommende is. Hoe dan ek, de ynstellingen binne foar it grutste part identyk. Dus litte wy nei it ljepblêd gean. Wurksintra > Gast tagong > Portalen en komponinten > Gastportalen > Sels registrearre gastportaal (standert). 

20) Selektearje dêrnei yn it ljepblêd Portal Page Customization "Sjoch yn Russysk - Russysk", sadat it portaal yn it Russysk werjûn wurdt. Jo kinne de tekst fan elke ljepper feroarje, jo logo tafoegje, en mear. Oan 'e rjochterkant yn' e hoeke is in foarbyld fan it gastportaal foar in better sicht.

Foarbyld fan it konfigurearjen fan in gastportaal mei selsregistraasje

21) Klik op in sin Portal test URL en kopiearje de portal URL nei de SSID op de FortiGate yn stap 4. Sample URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Om jo domein wer te jaan, moatte jo it sertifikaat uploade nei it gastportaal, sjoch stap 13.

22) Gean nei tab Wurksintra > Gast tagong > Beliedseleminten > Resultaten > Autorisaasjeprofilen > Taheakje om in autorisaasjeprofyl te meitsjen ûnder it earder oanmakke Netwurk Device Profile.

23) In tab Wurksintra > Gast tagong > Beliedssets bewurkje it tagongsbelied foar WiFi-brûkers.

24) Litte wy besykje te ferbinen mei de gast SSID. It ferwiist my daliks nei de oanmeldside. Hjir kinne jo ynlogge mei de gast akkount makke lokaal op de ISE, of registrearje as gast brûker.

25) As jo ​​​​de opsje foar selsregistraasje hawwe keazen, kinne ienmalige ynloggegevens per post, fia SMS of printe wurde stjoerd.

26) Yn de RADIUS> Live Logs ljepper op de Cisco ISE, do silst sjen de oerienkommende login logs.

6. Fermelding

Yn dit lange artikel hawwe wy mei súkses ynsteld gast tagong op Cisco ISE, dêr't FortiGate fungearret as de tagong punt controller, en FortiAP fungearret as it tagong punt. It die bliken in soarte fan net-triviale yntegraasje, dy't nochris it wiidferspraat gebrûk fan ISE bewiist.

Foar in test Cisco ISE, kontakt linken bliuw ek op 'e hichte yn ús kanalen (Telegram, facebook, VK, TS Solution Blog, Yandex Zen).

Boarne: www.habr.com