Fàilte don treas post ann an sreath Cisco ISE. Tha ceanglaichean gu gach artaigil san t-sreath air an toirt seachad gu h-ìosal:
Anns an dreuchd seo, bidh thu a’ dàibheadh a-steach do ruigsinneachd aoighean, a bharrachd air stiùireadh ceum air cheum air amalachadh Cisco ISE agus FortiGate gus FortiAP a rèiteachadh, àite inntrigidh bho Fortinet (san fharsaingeachd, inneal sam bith a bheir taic do RADIUS CoA - Atharrachadh cead).
Ceangailte tha na h-artaigilean againn.
thuirtF: Chan eil innealan Check Point SMB a’ toirt taic do RADIUS CoA.
mìorbhaileach
1. Ro-ràdh
Leigidh ruigsinneachd aoighean (portal) dhut cothrom air an eadar-lìn no goireasan a-staigh a thoirt do aoighean is luchd-cleachdaidh nach eil thu airson a leigeil a-steach don lìonra ionadail agad. Tha 3 seòrsaichean ro-mhìnichte de portal aoighean (portal aoighean):
-
Hotspot Guest portal - Tha cothrom air an lìonra air a thoirt dha aoighean gun dàta logadh a-steach. San fharsaingeachd, feumaidh luchd-cleachdaidh gabhail ri “Poileasaidh Cleachdaidh is Dìomhaireachd” a’ chompanaidh mus faigh iad cothrom air an lìonra.
-
Portal Urrasach-Guest - feumaidh an neach-taic faighinn chun lìonra agus dàta logadh a-steach - an neach-cleachdaidh le uallach airson cunntasan aoighean a chruthachadh air Cisco ISE.
-
Portal aoigheachd fèin-chlàraichte - anns a’ chùis seo, bidh aoighean a’ cleachdadh mion-fhiosrachadh logaidh a-steach, no a’ cruthachadh cunntas dhaibh fhèin le mion-fhiosrachadh logaidh a-steach, ach tha feum air dearbhadh urrasair gus faighinn chun lìonra.
Faodar ioma portals a chuir a-steach air Cisco ISE aig an aon àm. Gu gnàthach, chì an neach-cleachdaidh suaicheantas Cisco agus abairtean cumanta àbhaisteach ann am portal nan aoighean. Faodar seo uile a ghnàthachadh agus eadhon a shuidheachadh gus sanasan èigneachail fhaicinn mus faigh thu cothrom air.
Faodar suidheachadh ruigsinneachd aoighean a bhriseadh sìos gu 4 prìomh cheumannan: stèidheachadh FortiAP, ceangal Cisco ISE agus FortiAP, cruthachadh portal aoighean, agus suidheachadh poileasaidh ruigsinneachd.
2. A' rèiteachadh FortiAP air FortiGate
Tha FortiGate na rianadair puing inntrigidh agus tha a h-uile suidheachadh air a dhèanamh air. Bidh puingean inntrigidh FortiAP a’ toirt taic do PoE, mar sin aon uair ‘s gu bheil thu air a cheangal ris an lìonra tro Ethernet, faodaidh tu tòiseachadh air stèidheachadh.
1) Air FortiGate, rachaibh chun taba Rianadair WiFi & Switch> FortiAPn air an riaghladh> Cruthaich Ùr> AP air a riaghladh. A’ cleachdadh àireamh sreathach sònraichte an àite inntrigidh, a tha air a chlò-bhualadh air a’ phuing-inntrigidh fhèin, cuir ris mar nì. No faodaidh e sealltainn e fhèin agus an uairsin brùth Ùghdarraich a’ cleachdadh putan deas na luchaige.
2) Faodaidh roghainnean FortiAP a bhith bunaiteach, mar eisimpleir, fàg mar a tha san ath-sgrìn. Tha mi a 'moladh gu mòr tionndadh air a' mhodh 5 GHz, oir chan eil cuid de dh'innealan a 'toirt taic do 2.4 GHz.
3) An uairsin ann an tab Rianadair WiFi & Switch > Pròifilean FortiAP > Cruthaich Ùr tha sinn a’ cruthachadh pròifil roghainnean airson an àite inntrigidh (dreach 802.11 protocol, modh SSID, tricead seanail agus an àireamh aca).
Eisimpleir roghainnean FortiAP
4) Is e an ath cheum SSID a chruthachadh. Rach gu tab Rianadair WiFi & Switch> SSIDs> Cruthaich Ùr> SSID. An seo bhon fhear chudromach bu chòir a bhith air a rèiteachadh:
-
àite seòlaidh airson aoigh WLAN - IP / Netmask
-
Cunntasachd RADIUS agus Ceangal Stuth tèarainte anns an raon Ruigsinneachd Rianachd
-
Roghainn lorg inneal
-
Roghainn SSID agus Broadcast SSID
-
Roghainnean modh tèarainteachd> Portal Captive
-
Portal Dearbhaidh - Taobh a-muigh agus cuir a-steach ceangal ris a’ phort-aoigheachd cruthaichte bho Cisco ISE bho cheum 20
-
Buidheann Luchd-cleachdaidh - Buidheann Aoi - Taobh a-muigh - cuir RADIUS ri Cisco ISE (td. 6 air adhart)
Eisimpleir suidheachadh SSID
5) An uairsin bu chòir dhut riaghailtean a chruthachadh sa phoileasaidh ruigsinneachd air FortiGate. Rach gu tab Poileasaidh & Rudan > Poileasaidh Balla-teine agus cruthaich riaghailt mar seo:
3. suidheachadh RADIUS
6) Rach gu eadar-aghaidh lìn Cisco ISE chun taba Poileasaidh > Eileamaidean Poileasaidh > Faclairean > Siostam > Radius > Luchd-reic RADIUS > Cuir ris. Anns an taba seo, cuiridh sinn Fortinet RADIUS ris an liosta de phròtacalan le taic, leis gu bheil na buadhan sònraichte fhèin aig cha mhòr a h-uile neach-reic - VSA (Buadhan Neach-reic Sònraichte).
Gheibhear liosta de bhuadhan Fortinet RADIUS
7) Suidhich ainm an fhaclair, sònraich ID an neach-reic (12356) agus brùth Cuir a-steach.
8) Às deidh dhuinn a dhol gu Rianachd> Pròifilean innealan lìonra> Cuir ris agus cruthaich ìomhaigh inneal ùr. Anns an raon Faclairean RADIUS, tagh am faclair Fortinet RADIUS a chaidh a chruthachadh roimhe seo agus tagh na dòighean CoA airson a chleachdadh nas fhaide air adhart ann am poileasaidh ISE. Thagh mi RFC 5176 agus Port Bounce (eadar-aghaidh lìonra dùnadh / gun dùnadh) agus na VSAn co-fhreagarrach:
Fortinet-Access-Profile=leugh-sgrìobh
Fortinet-Group-Name = fmg_faz_admins
9) An ath rud, cuir FortiGate airson ceangal le ISE. Gus seo a dhèanamh, rachaibh gu tab Rianachd > Goireasan Lìonra > Pròifil innealan lìonra > Cuir ris. Raointean ri atharrachadh Ainm, Neach-reic, Faclairean RADIUS (Tha seòladh IP air a chleachdadh le FortiGate, chan e FortiAP).
Eisimpleir de bhith a’ rèiteachadh RADIUS bhon taobh ISE
10) Às deidh sin, bu chòir dhut RADIUS a rèiteachadh air taobh FortiGate. Anns an eadar-aghaidh lìn FortiGate, rachaibh gu Cleachdaiche & Dearbhadh> Frithealaichean RADIUS> Cruthaich Ùr. Sònraich an t-ainm, an seòladh IP agus an dìomhaireachd co-roinnte (facal-faire) bhon pharagraf roimhe. An ath cliog Teisteanasan cleachdaiche deuchainn agus cuir a-steach teisteanasan sam bith a dh'fhaodar a tharraing suas tro RADIUS (mar eisimpleir, neach-cleachdaidh ionadail air an Cisco ISE).
11) Cuir frithealaiche RADIUS ris a’ Bhuidheann Aoigh (mura h-eil e ann) a bharrachd air stòr luchd-cleachdaidh bhon taobh a-muigh.
12) Na dìochuimhnich am Buidheann Aoigh a chuir ris an SSID a chruthaich sinn na bu thràithe ann an ceum 4.
4. Suidheachadh Dearbhaidh Cleachdaiche
13) Roghainneil, faodaidh tu teisteanas a thoirt a-steach gu portal aoighean ISE no cruthaich teisteanas fèin-shoidhnichte anns an taba Ionadan obrach > Ruigsinneachd aoighean > Rianachd > Teisteanas > Teisteanasan siostam.
14) Às deidh sin ann an tab Ionadan obrach > Ruigsinneachd aoighean > Buidhnean dearbh-aithne > Buidhnean dearbh-aithne luchd-cleachdaidh > Cuir ris cruthaich buidheann luchd-cleachdaidh ùr airson cothrom aoighean, no cleachd an fheadhainn àbhaisteach.
15) Nas fhaide air adhart anns an taba Rianachd > Dearbh-aithne cruthaich luchd-cleachdaidh aoigheachd agus cuir iad ris na buidhnean bhon pharagraf roimhe. Ma tha thu airson cunntasan treas-phàrtaidh a chleachdadh, leum air a’ cheum seo.
16) Às deidh dhuinn a dhol gu na roghainnean Ionadan-obrach > Ruigsinneachd aoighean > Dearbh-aithne > Seicheamh stòr dearbh-aithne > Seicheamh portal aoighean - is e seo an t-sreath dearbhaidh bunaiteach airson luchd-cleachdaidh aoighean. Agus anns an raon Liosta Rannsachadh Dearbhaidh tagh an òrdugh dearbhaidh cleachdaiche.
17) Gus fios a chuir gu aoighean le facal-faire aon-ùine, faodaidh tu solaraichean SMS no frithealaiche SMTP a rèiteachadh airson an adhbhair seo. Rach gu tab Ionadan obrach> Ruigsinneachd aoighean> Rianachd> Freiceadan SMTP no Solaraichean Gateway SMS airson na roghainnean seo. Ann an cùis frithealaiche SMTP, feumaidh tu cunntas a chruthachadh airson an ISE agus an dàta a shònrachadh anns an taba seo.
18) Airson brathan SMS, cleachd an taba iomchaidh. Tha pròifilean ro-stàlaichte aig ISE de sholaraichean SMS mòr-chòrdte, ach tha e nas fheàrr do chuid fhèin a chruthachadh. Cleachd na pròifilean sin mar eisimpleir de shuidheachadh Geata post-d SMSy or SMS HTTP API.
Eisimpleir de bhith a’ stèidheachadh frithealaiche SMTP agus geata SMS airson facal-faire aon-ùine
5. A 'stèidheachadh am portal aoighean
19) Mar a chaidh ainmeachadh aig an toiseach, tha 3 seòrsa de phuirt aoigheachd ro-stàlaichte: Hotspot, Sponsored, Self-registred. Tha mi a 'moladh an treas roghainn a thaghadh, oir is e seo an fheadhainn as cumanta. Co-dhiù, tha na roghainnean gu ìre mhòr co-ionann. Mar sin rachamaid chun an taba. Ionadan obrach > Ruigsinneachd aoighean > Portalan & co-phàirtean > Portan aoighean > Portal aoighean fèin-chlàraichte (àbhaisteach).
20) An ath rud, anns an taba Portal Page Customization, tagh "Sealladh ann an Ruisis - Ruiseanach", gus am bi am portal air a thaisbeanadh ann an Ruisis. Faodaidh tu teacsa tab sam bith atharrachadh, do shuaicheantas a chuir ris agus mòran a bharrachd. Air an taobh cheart san oisean tha ro-shealladh den portal aoighean airson sealladh nas fheàrr.
Eisimpleir de bhith a 'rèiteachadh portal aoighean le fèin-chlàradh
21) Cliog air abairt URL deuchainn portal agus dèan lethbhreac den URL portal chun SSID air an FortiGate ann an ceum 4. URL sampall
Gus an àrainn agad a thaisbeanadh, feumaidh tu an teisteanas a luchdachadh suas chun portal aoighean, faic ceum 13.
22) Rach gu tab Ionadan obrach > Ruigsinneachd aoighean > Eileamaidean poileasaidh > Toraidhean > Pròifil ùghdarrais > Cuir ris gus pròifil ceadachaidh a chruthachadh fon fhear a chaidh a chruthachadh roimhe Pròifil inneal lìonra.
23) Ann an tab Ionadan obrach> Ruigsinneachd aoighean> Seataichean poileasaidh deasaich am poileasaidh ruigsinneachd airson luchd-cleachdaidh WiFi.
24) Feuchaidh sinn ri ceangal ris an aoigh SSID. Bidh e gam ath-stiùireadh sa bhad chun duilleag logadh a-steach. An seo faodaidh tu logadh a-steach leis a’ chunntas aoigh a chaidh a chruthachadh gu h-ionadail air an ISE, no clàradh mar neach-aoigheachd.
25) Ma thagh thu an roghainn fèin-chlàraidh, faodar dàta logadh a-steach aon-ùine a chuir tron phost, tro SMS, no air a chlò-bhualadh.
26) Anns an RADIUS> Logaichean Beò tab air an Cisco ISE, chì thu na logaichean logaidh a-steach co-fhreagarrach.
6. Co-dhùnadh
San artaigil fhada seo, tha sinn air ruigsinneachd aoighean a rèiteachadh gu soirbheachail air Cisco ISE, far a bheil FortiGate ag obair mar rianadair an àite inntrigidh, agus FortiAP ag obair mar an t-àite inntrigidh. Thionndaidh e a-mach seòrsa de aonachadh neo-bheag, a tha a-rithist a’ dearbhadh cleachdadh farsaing ISE.
Gus deuchainn a dhèanamh air Cisco ISE, cuir fios gu
Source: www.habr.com