Benvido á terceira publicación da serie Cisco ISE. A continuación móstranse as ligazóns a todos os artigos da serie:
Nesta publicación, mergullarase no acceso para convidados, así como unha guía paso a paso para integrar Cisco ISE e FortiGate para configurar FortiAP, un punto de acceso de Fortinet (en xeral, calquera dispositivo que admita RADIO CoA — Cambio de autorización).
Adxuntos os nosos artigos. .
NotaR: Os dispositivos Check Point SMB non admiten RADIUS CoA.
marabilloso describe en inglés como crear un acceso de convidado usando Cisco ISE nun Cisco WLC (controlador sen fíos). Imos descubrir!
1. Introdución
O acceso para convidados (portal) permítelle proporcionar acceso a Internet ou a recursos internos para hóspedes e usuarios que non quere deixar entrar na súa rede local. Hai 3 tipos predefinidos de portal de invitados (portal de invitados):
-
Portal de invitados de Hotspot: o acceso á rede ofrécese aos hóspedes sen datos de inicio de sesión. Os usuarios xeralmente están obrigados a aceptar a "Política de uso e privacidade" da empresa antes de acceder á rede.
-
Portal patrocinado-Guest - o acceso á rede e os datos de inicio de sesión deben ser emitidos polo patrocinador - o usuario responsable de crear contas de convidado en Cisco ISE.
-
Portal de invitados rexistrados por si mesmo: neste caso, os hóspedes usan os datos de inicio de sesión existentes ou crean unha conta para eles mesmos con detalles de acceso, pero é necesaria a confirmación do patrocinador para acceder á rede.
Pódense implementar varios portais en Cisco ISE ao mesmo tempo. Por defecto, no portal de invitados, o usuario verá o logotipo de Cisco e as frases comúns estándar. Todo isto pódese personalizar e mesmo configurar para ver anuncios obrigatorios antes de acceder.
A configuración do acceso para hóspedes pódese dividir en catro pasos principais: configuración de FortiAP, conectividade de Cisco ISE e FortiAP, creación do portal de hóspedes e configuración da política de acceso.
2. Configuración de FortiAP en FortiGate
FortiGate é un controlador de punto de acceso e todos os axustes están feitos nel. Os puntos de acceso FortiAP admiten PoE, polo que unha vez que o teñas conectado á rede mediante Ethernet, podes iniciar a configuración.
1) En FortiGate, vai á pestana Controlador WiFi e Switch > FortiAP xestionados > Crear novo > AP xestionado. Usando o número de serie único do punto de acceso, que está impreso no propio punto de acceso, engádeo como obxecto. Ou pode mostrarse e despois premer Autorizar usando o botón dereito do rato.
2) A configuración de FortiAP pode ser predeterminada, por exemplo, deixar como na captura de pantalla. Recomendo encarecidamente activar o modo de 5 GHz, porque algúns dispositivos non admiten 2.4 GHz.
3) Despois na pestana Controlador WiFi e Switch > Perfís FortiAP > Crear novo estamos a crear un perfil de configuración para o punto de acceso (protocolo versión 802.11, modo SSID, frecuencia da canle e o seu número).
Exemplo de configuración de FortiAP
4) O seguinte paso é crear un SSID. Vaia á pestana Controlador WiFi e Switch > SSID > Crear novo > SSID. Aquí desde o importante debe configurarse:
-
espazo de enderezos para WLAN invitado - IP/Máscara de rede
-
RADIUS Accounting and Secure Fabric Connection no campo Acceso administrativo
-
Opción de detección de dispositivos
-
Opción SSID e SSID de difusión
-
Configuración do modo de seguranza > Portal cativo
-
Portal de autenticación: externo e insira unha ligazón ao portal de invitados creado desde Cisco ISE desde o paso 20
-
Grupo de usuarios - Grupo de invitados - Externo - engade RADIUS a Cisco ISE (páx. 6 en diante)
Exemplo de configuración de SSID
5) Despois debes crear regras na política de acceso en FortiGate. Vaia á pestana Política e obxectos > Política de firewall e crea unha regra como esta:
3. Configuración do RADIO
6) Vaia á interface web de Cisco ISE á pestana Política > Elementos da política > Dicionarios > Sistema > Radius > Vendedores RADIUS > Engadir. Nesta pestana, engadiremos Fortinet RADIUS á lista de protocolos admitidos, xa que case todos os provedores teñen os seus propios atributos específicos: VSA (atributos específicos do provedor).
Pódese atopar unha lista de atributos de Fortinet RADIUS . Os VSA distínguense polo seu número de ID de provedor único. Fortinet ten este ID = 12356... Cheo O VSA foi publicado pola IANA.
7) Establece o nome do dicionario, especifica ID do vendedor (12356) e prensa Envía.
8) Despois de ir a Administración > Perfís de dispositivos de rede > Engadir e cree un novo perfil de dispositivo. No campo Dicionarios RADIUS, seleccione o dicionario Fortinet RADIUS creado anteriormente e seleccione os métodos CoA para usar máis tarde na política ISE. Escollín RFC 5176 e Port Bounce (apagar/sen apagar interface de rede) e os VSA correspondentes:
Fortinet-Access-Profile=lectura-escritura
Fortinet-Group-Name = fmg_faz_admins
9) A continuación, engade FortiGate para a conectividade con ISE. Para facelo, vai á pestana Administración > Recursos de rede > Perfís de dispositivos de rede > Engadir. Campos a modificar Nome, provedor, dicionarios RADIUS (FortiGate usa o enderezo IP, non FortiAP).
Exemplo de configuración de RADIUS desde o lado ISE
10) Despois diso, debes configurar RADIUS no lado de FortiGate. Na interface web de FortiGate, vai a Usuario e autenticación > Servidores RADIUS > Crear novo. Especifique o nome, o enderezo IP e o segredo compartido (contrasinal) do parágrafo anterior. A continuación fai clic Proba as credenciais do usuario e introduza as credenciais que se poidan obter mediante RADIUS (por exemplo, un usuario local no Cisco ISE).
11) Engade un servidor RADIUS ao grupo de invitados (se non existe) así como unha fonte externa de usuarios.
12) Non esquezas engadir o grupo de invitados ao SSID que creamos anteriormente no paso 4.
4. Configuración de autenticación de usuario
13) Opcionalmente, pode importar un certificado ao portal de convidados ISE ou crear un certificado autoasinado na pestana Centros de traballo > Acceso para invitados > Administración > Certificación > Certificados do sistema.
14) Despois na pestana Centros de traballo > Acceso para invitados > Grupos de identidade > Grupos de identidade de usuario > Engadir cree un novo grupo de usuarios para o acceso de convidados ou use os predeterminados.
15) Máis na pestana Administración > Identidades crea usuarios convidados e engádeos aos grupos do parágrafo anterior. Se queres utilizar contas de terceiros, omite este paso.
16) Despois de ir á configuración Centros de traballo > Acceso para invitados > Identidades > Secuencia de orixe de identidade > Secuencia de portal de invitados — esta é a secuencia de autenticación predeterminada para os usuarios convidados. E no campo Lista de busca de autenticación seleccione a orde de autenticación do usuario.
17) Para notificar aos hóspedes cun contrasinal único, pode configurar provedores de SMS ou un servidor SMTP para este fin. Vaia á pestana Centros de traballo > Acceso para invitados > Administración > Servidor SMTP ou Provedores de pasarelas de SMS para estas configuracións. No caso dun servidor SMTP, cómpre crear unha conta para o ISE e especificar os datos nesta pestana.
18) Para notificacións por SMS, use a pestana adecuada. ISE ten perfís preinstalados de provedores de SMS populares, pero é mellor crear o teu propio. Use estes perfís como exemplo de configuración Pasarela de correo electrónico SMSe ou SMS HTTP API.
Un exemplo de configuración dun servidor SMTP e unha pasarela de SMS para un contrasinal único
5. Configurar o portal de convidados
19) Como se mencionou ao principio, hai 3 tipos de portais de invitados preinstalados: Hotspot, Sponsored, Self-Registered. Suxiro escoller a terceira opción, xa que é a máis común. De calquera xeito, a configuración é en gran parte idéntica. Entón, imos á pestana. Centros de traballo > Acceso para convidados > Portais e compoñentes > Portais para invitados > Portal de invitados rexistrado automaticamente (predeterminado).
20) A continuación, na pestana Personalización da páxina do portal, seleccione "Ver en ruso - ruso", para que o portal se amose en ruso. Podes cambiar o texto de calquera pestana, engadir o teu logotipo e moito máis. Na esquina dereita hai unha vista previa do portal de convidados para unha mellor vista.
Exemplo de configuración dun portal de invitados con auto-rexistro
21) Fai clic nunha frase URL da proba do portal e copie o URL do portal no SSID no FortiGate no paso 4. URL de mostra
Para mostrar o teu dominio, debes cargar o certificado no portal de convidados, consulta o paso 13.
22) Vaia á pestana Centros de traballo > Acceso para invitados > Elementos da política > Resultados > Perfís de autorización > Engadir para crear un perfil de autorización baixo o creado anteriormente Perfil do dispositivo de rede.
23) Nunha pestana Centros de traballo > Acceso para invitados > Conxuntos de políticas editar a política de acceso para usuarios de WiFi.
24) Tentemos conectarnos ao SSID invitado. Inmediatamente redirixeme á páxina de inicio de sesión. Aquí pode iniciar sesión coa conta de convidado creada localmente no ISE ou rexistrarse como usuario convidado.
25) Se escolleu a opción de auto-rexistro, os datos de inicio de sesión únicos pódense enviar por correo, SMS ou imprimirse.
26) Na pestana RADIUS > Live Logs de Cisco ISE, verá os rexistros de inicio de sesión correspondentes.
6. Conclusión
Neste longo artigo, configuramos con éxito o acceso de invitados en Cisco ISE, onde FortiGate actúa como controlador de punto de acceso e FortiAP actúa como punto de acceso. Resultou unha especie de integración non trivial, que demostra unha vez máis o uso xeneralizado do ISE.
Para probar Cisco ISE, contacte e tamén estade atentos ás nosas canles (, , , , ).
Fonte: www.habr.com