Fáilte chuig an tríú post sa tsraith Cisco ISE. Tá naisc chuig gach alt sa tsraith tugtha thíos:
San fhoilseachán seo, tumfaidh tú isteach i rochtain aoi, chomh maith le treoir céim ar chéim chun Cisco ISE agus FortiGate a chomhtháthú chun FortiAP a chumrú - pointe rochtana ó Fortinet (go ginearálta, aon fheiste a thacaíonn le RADIUS CoA — Athrú Údaraithe).
Tá ár gcuid alt faoi iamh. .
Tabhair faoi dearaA: Ní thacaíonn feistí SMB Check Point le RADIUS CoA.
iontach cur síos i mBéarla ar conas rochtain aoi a chruthú ag baint úsáide as Cisco ISE ar Cisco WLC (Rialaitheoir Gan Sreang). A ligean ar figiúr sé amach!
1. Réamhrá
Ligeann rochtain aoi (tairseach) duit rochtain ar an Idirlíon nó ar acmhainní inmheánacha a sholáthar d’aíonna agus d’úsáideoirí nach bhfuil tú ag iarraidh ligean isteach i do líonra áitiúil. Tá 3 chineál tairseach aoi réamhshainithe (Tairseach Aoi):
-
Tairseach Aoi Hotspot - Soláthraítear rochtain ar an líonra d'aíonna gan sonraí logáil isteach. Go ginearálta ceanglaítear ar úsáideoirí glacadh le "Beartas Úsáide agus Príobháideachta" na cuideachta roimh rochtain a fháil ar an líonra.
-
Tairseach Aoi Urraithe - ní mór don urraitheoir rochtain ar an líonra agus sonraí logáil isteach a eisiúint - an t-úsáideoir atá freagrach as cuntais aoi a chruthú ar Cisco ISE.
-
Tairseach Aoi Féinchláraithe - sa chás seo, úsáideann aíonna sonraí logáil isteach atá ann cheana féin, nó cruthaíonn siad cuntas dóibh féin le sonraí logáil isteach, ach tá gá le deimhniú urraithe chun rochtain a fháil ar an líonra.
Is féidir tairseacha iolracha a imscaradh ar Cisco ISE ag an am céanna. De réir réamhshocraithe, sa tairseach aoi, feicfidh an t-úsáideoir lógó Cisco agus frásaí coitianta caighdeánacha. Is féidir é seo go léir a shaincheapadh agus fiú a shocrú chun féachaint ar fhógraí éigeantacha roimh rochtain a fháil.
Is féidir socrú rochtana aoi a bhriseadh síos i 4 phríomhchéim: socrú FortiAP, nascacht Cisco ISE agus FortiAP, cruthú tairseach aoi, agus socrú beartais rochtana.
2. FortiAP a chumrú ar FortiGate
Is rialtóir pointe rochtana é FortiGate agus déantar gach socrú air. Tacaíonn pointí rochtana FortiAP le PoE, mar sin nuair a bheidh tú nasctha leis an líonra trí Ethernet, is féidir leat an chumraíocht a thosú.
1) Ar FortiGate, téigh go dtí an cluaisín Wifi & Rialaitheoir Lasc > FortiAPanna bainistithe > Cruthaigh Nua > AP Bainistithe. Ag baint úsáide as sraithuimhir uathúil an phointe rochtana, atá clóite ar an bpointe rochtana féin, cuir leis mar réad é. Nó is féidir é féin a thaispeáint agus ansin brúigh Údarú ag baint úsáide as an cnaipe luiche ceart.
2) Is féidir socruithe FortiAP a bheith réamhshocraithe, mar shampla, fág mar atá sa screenshot. Molaim go mór an modh 5 GHz a chasadh air, toisc nach dtacaíonn roinnt feistí le 2.4 GHz.
3) Ansin sa chluaisín Wifi & Rialaitheoir Lasc > Próifílí FortiAP > Cruthaigh Nua táimid ag cruthú próifíl socruithe don phointe rochtana (leagan 802.11 prótacal, modh SSID, minicíocht cainéal agus a n-uimhir).
Sampla socruithe FortiAP
4) Is é an chéad chéim eile a chruthú SSID. Téigh go cluaisín Wifi & Rialaitheoir Athraigh > SSIDs > Cruthaigh Nua > SSID. Anseo ón gceann tábhachtach ba chóir a chumrú:
-
spás seoltaí don aoi WLAN - IP/Netmask
-
Cuntasaíocht RADIUS agus Ceangal Fabraic Slán sa réimse Rochtana Riaracháin
-
Rogha Braite Gléas
-
Rogha SSID agus Craoladh SSID
-
Socruithe Mód Slándála > Tairseach Gabhála
-
Tairseach Fíordheimhnithe - Seachtrach agus greamaigh an nasc chuig an tairseach aoi cruthaithe ó Cisco ISE ó chéim 20
-
Grúpa Úsáideoirí - Grúpa Aoi - Seachtrach - cuir RADIUS le Cisco ISE (lch. 6 ar aghaidh)
Sampla de shocrú SSID
5) Ansin ba cheart duit rialacha a chruthú sa bheartas rochtana ar FortiGate. Téigh go cluaisín Beartas & Cuspóirí > Beartas Balla Dóiteáin agus cruthaigh riail mar seo:
3. Suíomh RADIUS
6) Téigh go dtí an comhéadan gréasáin Cisco ISE chuig an cluaisín Beartas > Eilimintí Beartais > Foclóirí > Córas > Ga > Díoltóirí RADIUS > Cuir leis. Sa chluaisín seo cuirfimid RADIUS ó Fortinet le liosta na bprótacal tacaithe, ós rud é go bhfuil a shaintréithe féin ag beagnach gach díoltóir - VSA (Tréithe Díoltóra-Shonracha).
Is féidir liosta de na tréithe Fortinet RADIUS a fháil . Déantar idirdhealú ar VSAanna ag a n-uimhir aitheantais díoltóra uathúil. Tá an t-aitheantas seo ag Fortinet = 12356... Iomlán Tá an VSA foilsithe ag an IANA.
7) Socraigh ainm an fhoclóra, sonraigh Díoltóir ID (12356) agus brúighOK Cuir isteach.
8) Tar éis dúinn dul go dtí Riarachán > Próifílí Gléas Líonra > Cuir leis agus cruthaigh próifíl ghléis nua. I réimse an Fhoclóirí RADIUS, roghnaigh an foclóir Fortinet RADIUS a cruthaíodh roimhe seo agus roghnaigh na modhanna CoA le húsáid níos déanaí sa bheartas ISE. Roghnaigh mé RFC 5176 agus Port Preab (comhéadan líonra múchadh/gan aon múchadh) agus na VSAanna comhfhreagracha:
Fortinet-Access-Profile=léigh-scríobh
Fortinet-Group-Name = fmg_faz_admins
9) Ar Aghaidh, cuir FortiGate le haghaidh nascachta le ISE. Chun seo a dhéanamh, téigh go dtí an cluaisín Riarachán > Acmhainní Líonra > Próifílí Gléas Líonra > Cuir leis. Ba chóir réimsí a athrú Ainm, Díoltóir, Foclóirí RADIUS (Úsáideann FortiGate, ní FortiAP) Seoladh IP).
Sampla de RADIUS a chumrú ón taobh ISE
10) Tar éis sin, ba cheart duit RADIUS a chumrú ar an taobh FortiGate. I gcomhéadan gréasáin FortiGate, téigh go dtí Úsáideoir & Fíordheimhniú > Freastalaithe RADIUS > Cruthaigh Nua. Sonraigh an t-ainm, an seoladh IP agus an Rún Comhroinnte (focal faire) ón alt roimhe seo. Ar aghaidh cliceáil Dintiúir Úsáideora a Thástáil agus cuir isteach aon dintiúir is féidir a tharraingt suas trí RADIUS (mar shampla, úsáideoir áitiúil ar an Cisco ISE).
11) Cuir freastalaí RADIUS leis an Aoi-Ghrúpa (mura bhfuil sé ann) chomh maith le foinse sheachtrach úsáideoirí.
12) Ná déan dearmad an Aoi-Ghrúpa a chur leis an SSID a chruthaigh muid níos luaithe i gcéim 4.
4. Socrú Fíordheimhnithe Úsáideora
13) De rogha air sin, is féidir leat teastas a allmhairiú chuig tairseach aoi ISE nó teastas féinsínithe a chruthú sa chluaisín Ionaid Oibre > Rochtain Aoi > Riarachán > Deimhniú > Deimhnithe Córais.
14) Tar éis i gcluaisín Ionaid Oibre > Rochtain Aoi > Grúpaí Aitheantais > Grúpaí Aitheantais Úsáideora > Cuir leis cruthaigh grúpa úsáideoirí nua le haghaidh rochtain aíonna, nó bain úsáid as na cinn réamhshocraithe.
15) Níos faide sa chluaisín Riarachán > Aitheantas aoi-úsáideoirí a chruthú agus iad a chur leis na grúpaí ón alt roimhe seo. Más mian leat cuntais tríú páirtí a úsáid, scipeáil an chéim seo.
16) Tar éis dúinn dul go dtí na socruithe Ionaid Oibre > Rochtain Aoi > Aitheantais > Seicheamh Foinse Aitheantais > Seicheamh Tairseach Aoi — is é seo an t-ord fíordheimhnithe réamhshocraithe le haghaidh úsáideoirí aoi. Agus sa réimse Liosta Cuardaigh Fíordheimhnithe roghnaigh an t-ordú fíordheimhnithe úsáideora.
17) Chun aíonna a chur ar an eolas le pasfhocal aonuaire, is féidir leat soláthraithe SMS nó freastalaí SMTP a chumrú chun na críche seo. Téigh go dtí an cluaisín Ionaid Oibre > Rochtain Aoi > Riarachán > Freastalaí SMTP nó Soláthraithe Geata SMS do na socruithe seo. I gcás freastalaí SMTP, ní mór duit cuntas a chruthú don ISE agus na sonraí sa chluaisín seo a shonrú.
18) Le haghaidh fógraí SMS, bain úsáid as an táb cuí. Tá próifílí soláthraithe SMS tóir réamhshuiteáilte ag ISE, ach is fearr do chuid féin a chruthú. Bain úsáid as na próifílí seo mar shampla de shocrú Geata Ríomhphost SMSy nó SMS HTTP API.
Sampla de fhreastalaí SMTP agus geata SMS a bhunú le haghaidh pasfhocal aonuaire
5. An tairseach aoi a shocrú
19) Mar a luadh ag an tús, tá 3 chineál tairseacha aoi réamhshuiteáilte: Hotspot, Urraithe, Féin-Chláraithe. Molaim an tríú rogha a roghnú, toisc gurb é an ceann is coitianta é. Slí amháin nó slí, is ionann na socruithe den chuid is mó. Mar sin a ligean ar dul go dtí an táb. Ionaid Oibre > Rochtain Aoi > Tairseacha & Comhpháirteanna > Tairseacha Aoi > Tairseach Aoi Féinchláraithe (réamhshocraithe).
20) Ar aghaidh, sa chluaisín Saincheapadh Leathanach Tairseach, roghnaigh "Amharc i Rúisis - Rúisis", ionas go mbeidh an tairseach ar taispeáint i Rúisis. Is féidir leat téacs aon chluaisín a athrú, do lógó a chur leis, agus tuilleadh. Ar dheis sa chúinne tá réamhamharc ar an tairseach aoi le haghaidh radharc níos fearr.
Sampla de thairseach aoi a chumrú le féinchlárú
21) Cliceáil ar frása URL tástála tairseach agus cóip an URL tairsí chuig an SSID ar an FortiGate i gcéim 4. URL samplach
Chun d’fhearann a thaispeáint, ní mór duit an deimhniú a uaslódáil chuig an tairseach aoi, féach céim 13.
22) Téigh go dtí an táb Ionaid Oibre > Rochtain Aoi > Eilimintí Beartais > Torthaí > Próifílí Údaraithe > Cuir leis chun próifíl údaraithe a chruthú faoin gceann a cruthaíodh roimhe seo Próifíl Gléas Líonra.
23) Sa chluaisín Ionaid Oibre > Rochtain Aoi > Tacar Beartais an polasaí rochtana d’úsáideoirí wifi a chur in eagar.
24) Déanaimis iarracht nascadh leis an aoi SSID. Atreoraítear mé láithreach chuig an leathanach logála isteach. Anseo is féidir leat logáil isteach faoin gcuntas aoi a cruthaíodh go háitiúil ar ISE, nó clárú mar aoi-úsáideoir.
25) Má roghnaigh tú an rogha féinchláraithe, is féidir sonraí logáil isteach aonuaire a sheoladh trí ríomhphost, trí SMS, nó a phriontáil.
26) Sa chluaisín RADIUS > Logchomhaid Bheo ar an Cisco ISE, feicfidh tú na logaí logáil isteach comhfhreagracha.
6. Conclúid
San alt fada seo, d'éirigh linn rochtain aoi a chumrú ar Cisco ISE, áit a bhfeidhmíonn FortiGate mar rialtóir an phointe rochtana agus FortiAP mar an pointe rochtana. Is é an toradh ar chineál an comhtháthú neamh-fánach, a gcruthóidh arís úsáid fhorleathan ISE.
Chun Cisco ISE a thástáil, déan teagmháil agus fanaigí ar ár gcainéal freisin (, , , , ).
Foinse: will.com