સિસ્કો ISE: FortiAP પર ગેસ્ટ એક્સેસ ગોઠવી રહ્યું છે. ભાગ 3

સિસ્કો ISE શ્રેણીની ત્રીજી પોસ્ટમાં આપનું સ્વાગત છે. શ્રેણીના તમામ લેખોની લિંક્સ નીચે આપેલ છે:

1. સિસ્કો ISE: પરિચય, જરૂરિયાતો, ઇન્સ્ટોલેશન. ભાગ 1

2. સિસ્કો ISE: વપરાશકર્તાઓ બનાવવા, LDAP સર્વર્સ ઉમેરવા, AD સાથે સંકલન. ભાગ 2

3. સિસ્કો ISE: FortiAP પર ગેસ્ટ એક્સેસ ગોઠવી રહ્યું છે. ભાગ 3

આ પોસ્ટમાં, તમે અતિથિ ઍક્સેસમાં ડાઇવ કરશો, તેમજ સિસ્કો ISE અને FortiGate ને એકીકૃત કરવા માટે એક પગલું-દર-પગલાની માર્ગદર્શિકા FortiAP ને ગોઠવવા માટે, Fortinet (સામાન્ય રીતે, કોઈપણ ઉપકરણ કે જે સપોર્ટ કરે છે) RADIUS CoA - અધિકૃતતામાં ફેરફાર).

અમારા લેખો સાથે જોડાયેલ છે. ફોર્ટીનેટ - ઉપયોગી સામગ્રીની પસંદગી.

નોંધણીA: ચેક પોઇન્ટ SMB ઉપકરણો RADIUS CoA ને સપોર્ટ કરતા નથી.

અદ્ભુત નેતૃત્વ સિસ્કો ડબલ્યુએલસી (વાયરલેસ કંટ્રોલર) પર સિસ્કો ISE નો ઉપયોગ કરીને ગેસ્ટ એક્સેસ કેવી રીતે બનાવવું તે અંગ્રેજીમાં વર્ણવે છે. ચાલો તે આકૃતિ કરીએ!

1. પરિચય

ગેસ્ટ એક્સેસ (પોર્ટલ) તમને ઈન્ટરનેટ અથવા અતિથિઓ અને વપરાશકર્તાઓ માટે આંતરિક સંસાધનોની ઍક્સેસ પ્રદાન કરવાની મંજૂરી આપે છે જેને તમે તમારા સ્થાનિક નેટવર્કમાં જવા દેવા માંગતા નથી. ગેસ્ટ પોર્ટલના 3 પૂર્વવ્યાખ્યાયિત પ્રકાર છે (ગેસ્ટ પોર્ટલ):

1. હોટસ્પોટ ગેસ્ટ પોર્ટલ - લોગિન ડેટા વિના મહેમાનોને નેટવર્કની ઍક્સેસ આપવામાં આવે છે. વપરાશકર્તાઓને નેટવર્ક ઍક્સેસ કરતા પહેલા સામાન્ય રીતે કંપનીની "ઉપયોગ અને ગોપનીયતા નીતિ" સ્વીકારવી જરૂરી છે.

2. પ્રાયોજિત-ગેસ્ટ પોર્ટલ - નેટવર્કની ઍક્સેસ અને લોગિન ડેટા પ્રાયોજક દ્વારા જારી કરવામાં આવવો જોઈએ - Cisco ISE પર ગેસ્ટ એકાઉન્ટ્સ બનાવવા માટે જવાબદાર વપરાશકર્તા.

3. સ્વ-રજિસ્ટર્ડ ગેસ્ટ પોર્ટલ - આ કિસ્સામાં, મહેમાનો હાલની લૉગિન વિગતોનો ઉપયોગ કરે છે, અથવા લૉગિન વિગતો સાથે પોતાના માટે એક એકાઉન્ટ બનાવે છે, પરંતુ નેટવર્કની ઍક્સેસ મેળવવા માટે પ્રાયોજક પુષ્ટિ જરૂરી છે.

સિસ્કો ISE પર એક જ સમયે બહુવિધ પોર્ટલ તૈનાત કરી શકાય છે. મૂળભૂત રીતે, ગેસ્ટ પોર્ટલમાં, વપરાશકર્તા સિસ્કો લોગો અને પ્રમાણભૂત સામાન્ય શબ્દસમૂહો જોશે. આ બધું કસ્ટમાઇઝ કરી શકાય છે અને ઍક્સેસ મેળવતા પહેલા ફરજિયાત જાહેરાતો જોવા માટે પણ સેટ કરી શકાય છે.

ગેસ્ટ એક્સેસ સેટઅપને 4 મુખ્ય સ્ટેપ્સમાં વિભાજિત કરી શકાય છે: FortiAP સેટઅપ, સિસ્કો ISE અને FortiAP કનેક્ટિવિટી, ગેસ્ટ પોર્ટલ બનાવટ અને એક્સેસ પોલિસી સેટઅપ.

2. FortiGate પર FortiAP ની ગોઠવણી

ફોર્ટિગેટ એ એક્સેસ પોઈન્ટ કંટ્રોલર છે અને તેના પર તમામ સેટિંગ્સ કરવામાં આવે છે. FortiAP એક્સેસ પોઈન્ટ PoE ને સપોર્ટ કરે છે, તેથી એકવાર તમે તેને ઈથરનેટ દ્વારા નેટવર્ક સાથે કનેક્ટ કરી લો, પછી તમે રૂપરેખાંકન શરૂ કરી શકો છો.

1) FortiGate પર, ટેબ પર જાઓ WiFi અને સ્વિચ કંટ્રોલર > મેનેજ્ડ FortiAPs > Create New > Managed AP. એક્સેસ પોઈન્ટના યુનિક સીરીયલ નંબરનો ઉપયોગ કરીને, જે એક્સેસ પોઈન્ટ પર જ પ્રિન્ટ થાય છે, તેને ઓબ્જેક્ટ તરીકે ઉમેરો. અથવા તે પોતાને બતાવી શકે છે અને પછી દબાવી શકે છે અધિકૃત કરો જમણા માઉસ બટનનો ઉપયોગ કરીને.

2) FortiAP સેટિંગ્સ ડિફોલ્ટ હોઈ શકે છે, ઉદાહરણ તરીકે, સ્ક્રીનશૉટની જેમ છોડી દો. હું 5 GHz મોડને ચાલુ કરવાની ખૂબ ભલામણ કરું છું, કારણ કે કેટલાક ઉપકરણો 2.4 GHz ને સપોર્ટ કરતા નથી.

3) પછી ટેબમાં WiFi અને સ્વિચ કંટ્રોલર > FortiAP પ્રોફાઇલ્સ > નવું બનાવો અમે એક્સેસ પોઈન્ટ (સંસ્કરણ 802.11 પ્રોટોકોલ, SSID મોડ, ચેનલ ફ્રીક્વન્સી અને તેમની સંખ્યા) માટે સેટિંગ્સ પ્રોફાઇલ બનાવી રહ્યા છીએ.

FortiAP સેટિંગ્સનું ઉદાહરણ

4) આગળનું પગલું એ SSID બનાવવાનું છે. ટેબ પર જાઓ વાઇફાઇ અને સ્વિચ કંટ્રોલર > SSID > નવું બનાવો > SSID. અહીં મહત્વપૂર્ણમાંથી રૂપરેખાંકિત થવું જોઈએ:

• મહેમાન WLAN - IP/Netmask માટે સરનામાંની જગ્યા

• એડમિનિસ્ટ્રેટિવ એક્સેસ ફીલ્ડમાં રેડિયસ એકાઉન્ટિંગ અને સિક્યોર ફેબ્રિક કનેક્શન

• ઉપકરણ શોધ વિકલ્પ

• SSID અને બ્રોડકાસ્ટ SSID વિકલ્પ

• સુરક્ષા મોડ સેટિંગ્સ > કેપ્ટિવ પોર્ટલ 

• પ્રમાણીકરણ પોર્ટલ - બાહ્ય અને પગલું 20 થી સિસ્કો ISE માંથી બનાવેલ ગેસ્ટ પોર્ટલની લિંક દાખલ કરો

• વપરાશકર્તા જૂથ - અતિથિ જૂથ - બાહ્ય - સિસ્કો ISE માં RADIUS ઉમેરો (p. 6 આગળ)

SSID સેટિંગ ઉદાહરણ

5) પછી તમારે ફોર્ટિગેટ પર એક્સેસ પોલિસીમાં નિયમો બનાવવા જોઈએ. ટેબ પર જાઓ નીતિ અને વસ્તુઓ > ફાયરવોલ નીતિ અને આના જેવો નિયમ બનાવો:

3. RADIUS સેટિંગ

6) સિસ્કો ISE વેબ ઇન્ટરફેસ પર ટેબ પર જાઓ નીતિ > નીતિ તત્વો > શબ્દકોશો > સિસ્ટમ > ત્રિજ્યા > RADIUS વિક્રેતાઓ > ઉમેરો. આ ટેબમાં, અમે સપોર્ટેડ પ્રોટોકોલ્સની સૂચિમાં ફોર્ટીનેટ રેડિયસ ઉમેરીશું, કારણ કે લગભગ દરેક વિક્રેતા પાસે તેની પોતાની વિશિષ્ટ વિશેષતાઓ છે - VSA (વેન્ડર-સ્પેસિફિક એટ્રિબ્યુટ્સ).

Fortinet RADIUS લક્ષણોની સૂચિ મળી શકે છે અહીં. VSA ને તેમના અનન્ય વિક્રેતા ID નંબર દ્વારા અલગ પાડવામાં આવે છે. Fortinet પાસે આ ID = છે 12356... સંપૂર્ણ યાદી IANA દ્વારા VSA પ્રકાશિત કરવામાં આવ્યું છે.

7) શબ્દકોશનું નામ સેટ કરો, સ્પષ્ટ કરો વિક્રેતા ID (12356) અને દબાવો સબમિટ કરો.

8) અમે ગયા પછી એડમિનિસ્ટ્રેશન > નેટવર્ક ઉપકરણ પ્રોફાઇલ્સ > ઉમેરો અને નવી ઉપકરણ પ્રોફાઇલ બનાવો. RADIUS Dictionaries ફીલ્ડમાં, અગાઉ બનાવેલ Fortinet RADIUS શબ્દકોશ પસંદ કરો અને ISE નીતિમાં પછીથી ઉપયોગમાં લેવા માટે CoA પદ્ધતિઓ પસંદ કરો. મેં RFC 5176 અને પોર્ટ બાઉન્સ (શટડાઉન/કોઈ શટડાઉન નેટવર્ક ઈન્ટરફેસ) અને અનુરૂપ VSA પસંદ કર્યા છે: 

ફોર્ટીનેટ-એક્સેસ-પ્રોફાઇલ=વાંચો-લખો

ફોર્ટીનેટ-ગ્રુપ-નામ = fmg_faz_admins

9) આગળ, ISE સાથે કનેક્ટિવિટી માટે FortiGate ઉમેરો. આ કરવા માટે, ટેબ પર જાઓ વહીવટ > નેટવર્ક સંસાધનો > નેટવર્ક ઉપકરણ પ્રોફાઇલ્સ > ઉમેરો. ક્ષેત્રો બદલવાના છે નામ, વિક્રેતા, RADIUS શબ્દકોશો (IP એડ્રેસનો ઉપયોગ FortiGate દ્વારા કરવામાં આવે છે, FortiAP દ્વારા નહીં).

ISE બાજુથી RADIUS ને ગોઠવવાનું ઉદાહરણ

10) તે પછી, તમારે FortiGate બાજુએ RADIUS રૂપરેખાંકિત કરવું જોઈએ. FortiGate વેબ ઈન્ટરફેસમાં, પર જાઓ વપરાશકર્તા અને પ્રમાણીકરણ > RADIUS સર્વર્સ > નવું બનાવો. પાછલા ફકરામાંથી નામ, IP સરનામું અને વહેંચાયેલ ગુપ્ત (પાસવર્ડ) સ્પષ્ટ કરો. આગળ ક્લિક કરો ટેસ્ટ યુઝર ઓળખપત્રો અને કોઈપણ ઓળખપત્ર દાખલ કરો જે RADIUS દ્વારા ખેંચી શકાય છે (ઉદાહરણ તરીકે, Cisco ISE પર સ્થાનિક વપરાશકર્તા).

11) ગેસ્ટ-ગ્રુપ (જો તે અસ્તિત્વમાં ન હોય તો) તેમજ વપરાશકર્તાઓના બાહ્ય સ્ત્રોતમાં RADIUS સર્વર ઉમેરો.

12) અમે પહેલા પગલા 4 માં બનાવેલ SSID માં ગેસ્ટ-ગ્રૂપ ઉમેરવાનું ભૂલશો નહીં.

4. વપરાશકર્તા પ્રમાણીકરણ સેટિંગ

13) વૈકલ્પિક રીતે, તમે ISE ગેસ્ટ પોર્ટલ પર પ્રમાણપત્ર આયાત કરી શકો છો અથવા ટેબમાં સ્વ-હસ્તાક્ષરિત પ્રમાણપત્ર બનાવી શકો છો કાર્ય કેન્દ્રો > અતિથિ ઍક્સેસ > વહીવટ > પ્રમાણપત્ર > સિસ્ટમ પ્રમાણપત્રો.

14) ટેબમાં પછી કાર્ય કેન્દ્રો > અતિથિ ઍક્સેસ > ઓળખ જૂથો > વપરાશકર્તા ઓળખ જૂથો > ઉમેરો ગેસ્ટ એક્સેસ માટે નવું યુઝર ગ્રુપ બનાવો, અથવા ડિફોલ્ટનો ઉપયોગ કરો.

15) આગળ ટેબમાં વહીવટ > ઓળખ મહેમાન વપરાશકર્તાઓ બનાવો અને તેમને પાછલા ફકરામાંથી જૂથોમાં ઉમેરો. જો તમે તૃતીય-પક્ષ એકાઉન્ટ્સનો ઉપયોગ કરવા માંગો છો, તો પછી આ પગલું અવગણો.

16) પછી આપણે સેટિંગ્સમાં જઈએ કાર્ય કેન્દ્રો > અતિથિ ઍક્સેસ > ઓળખ > ઓળખ સ્ત્રોત ક્રમ > ગેસ્ટ પોર્ટલ ક્રમ — મહેમાન વપરાશકર્તાઓ માટે આ મૂળભૂત પ્રમાણીકરણ ક્રમ છે. અને ક્ષેત્રમાં પ્રમાણીકરણ શોધ સૂચિ વપરાશકર્તા પ્રમાણીકરણ ઓર્ડર પસંદ કરો.

17) મહેમાનોને વન-ટાઇમ પાસવર્ડ સાથે સૂચિત કરવા માટે, તમે આ હેતુ માટે SMS પ્રદાતાઓ અથવા SMTP સર્વરને ગોઠવી શકો છો. ટેબ પર જાઓ કાર્ય કેન્દ્રો > ગેસ્ટ એક્સેસ > એડમિનિસ્ટ્રેશન > SMTP સર્વર અથવા SMS ગેટવે પ્રદાતાઓ આ સેટિંગ્સ માટે. SMTP સર્વરના કિસ્સામાં, તમારે ISE માટે એકાઉન્ટ બનાવવાની અને આ ટેબમાં ડેટાનો ઉલ્લેખ કરવાની જરૂર છે.

18) SMS સૂચનાઓ માટે, યોગ્ય ટેબનો ઉપયોગ કરો. ISE પાસે લોકપ્રિય SMS પ્રદાતાઓની પૂર્વ-ઇન્સ્ટોલ કરેલી પ્રોફાઇલ છે, પરંતુ તમારી પોતાની બનાવવી વધુ સારી છે. સેટિંગના ઉદાહરણ તરીકે આ પ્રોફાઇલ્સનો ઉપયોગ કરો SMS ઇમેઇલ ગેટવેy અથવા SMS HTTP API.

વન-ટાઇમ પાસવર્ડ માટે SMTP સર્વર અને SMS ગેટવે સેટ કરવાનું ઉદાહરણ

5. ગેસ્ટ પોર્ટલ સેટ કરી રહ્યું છે

19) શરૂઆતમાં ઉલ્લેખ કર્યા મુજબ, ત્યાં 3 પ્રકારનાં પૂર્વ-ઇન્સ્ટોલ કરેલ ગેસ્ટ પોર્ટલ છે: હોટસ્પોટ, પ્રાયોજિત, સ્વ-રજિસ્ટર્ડ. હું ત્રીજો વિકલ્પ પસંદ કરવાનું સૂચન કરું છું, કારણ કે તે સૌથી સામાન્ય છે. કોઈપણ રીતે, સેટિંગ્સ મોટે ભાગે સમાન છે. તો ચાલો ટેબ પર જઈએ. કાર્ય કેન્દ્રો > ગેસ્ટ એક્સેસ > પોર્ટલ અને ઘટકો > ગેસ્ટ પોર્ટલ > સેલ્ફ-રજિસ્ટર્ડ ગેસ્ટ પોર્ટલ (ડિફોલ્ટ). 

20) આગળ, પોર્ટલ પેજ કસ્ટમાઇઝેશન ટેબમાં, પસંદ કરો "રશિયનમાં જુઓ - રશિયન", જેથી પોર્ટલ રશિયનમાં પ્રદર્શિત થાય. તમે કોઈપણ ટેબનું ટેક્સ્ટ બદલી શકો છો, તમારો લોગો ઉમેરી શકો છો અને વધુ. ખૂણામાં જમણી બાજુએ વધુ સારા દૃશ્ય માટે અતિથિ પોર્ટલનું પૂર્વાવલોકન છે.

સ્વ-નોંધણી સાથે અતિથિ પોર્ટલને ગોઠવવાનું ઉદાહરણ

21) શબ્દસમૂહ પર ક્લિક કરો પોર્ટલ પરીક્ષણ URL અને સ્ટેપ 4 માં ફોર્ટિગેટ પરના પોર્ટલ URL ને SSID પર કૉપિ કરો. નમૂના URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

તમારું ડોમેન પ્રદર્શિત કરવા માટે, તમારે અતિથિ પોર્ટલ પર પ્રમાણપત્ર અપલોડ કરવું આવશ્યક છે, પગલું 13 જુઓ.

22) ટેબ પર જાઓ કાર્ય કેન્દ્રો > અતિથિ ઍક્સેસ > નીતિ તત્વો > પરિણામો > અધિકૃતતા પ્રોફાઇલ્સ > ઉમેરો અગાઉ બનાવેલ એક હેઠળ અધિકૃતતા પ્રોફાઇલ બનાવવા માટે નેટવર્ક ઉપકરણ પ્રોફાઇલ.

23) ટેબમાં કાર્ય કેન્દ્રો > અતિથિ ઍક્સેસ > નીતિ સેટ WiFi વપરાશકર્તાઓ માટે ઍક્સેસ નીતિમાં ફેરફાર કરો.

24) ચાલો ગેસ્ટ SSID સાથે કનેક્ટ કરવાનો પ્રયાસ કરીએ. તે તરત જ મને લોગિન પૃષ્ઠ પર રીડાયરેક્ટ કરે છે. અહીં તમે ISE પર સ્થાનિક રીતે બનાવેલ ગેસ્ટ એકાઉન્ટ વડે લૉગ ઇન કરી શકો છો અથવા અતિથિ વપરાશકર્તા તરીકે નોંધણી કરાવી શકો છો.

25) જો તમે સ્વ-નોંધણીનો વિકલ્પ પસંદ કર્યો હોય, તો વન-ટાઇમ લોગિન ડેટા મેઇલ દ્વારા, SMS દ્વારા અથવા પ્રિન્ટ કરીને મોકલી શકાય છે.

26) Cisco ISE પર RADIUS > Live Logs ટૅબમાં, તમે અનુરૂપ લૉગિન લૉગ્સ જોશો.

6. નિષ્કર્ષ

આ લાંબા લેખમાં, અમે સિસ્કો ISE પર ગેસ્ટ એક્સેસને સફળતાપૂર્વક રૂપરેખાંકિત કર્યું છે, જ્યાં FortiGate એક્સેસ પોઈન્ટ કંટ્રોલર તરીકે કામ કરે છે, અને FortiAP એક્સેસ પોઈન્ટ તરીકે કામ કરે છે. તે એક પ્રકારનું બિન-તુચ્છ એકીકરણ બહાર આવ્યું છે, જે ફરી એકવાર ISE ના વ્યાપક ઉપયોગને સાબિત કરે છે.

સિસ્કો ISE નું પરીક્ષણ કરવા માટે, સંપર્ક કરો કડીઅને અમારી ચેનલોમાં પણ જોડાયેલા રહો (Telegram, ફેસબુક, VK, ટીએસ સોલ્યુશન બ્લોગ, યાન્ડેક્ષ ઝેન).

સોર્સ: www.habr.com