Cisco ISE: Konfiguriranje pristupa za goste na FortiAP-u. dio 3

Dobrodošli u treći post u seriji Cisco ISE. Veze na sve članke u nizu dane su u nastavku:

1. Cisco ISE: Uvod, zahtjevi, instalacija. 1. dio

2. Cisco ISE: Stvaranje korisnika, dodavanje LDAP poslužitelja, integracija s AD. 2. dio

3. Cisco ISE: Konfiguriranje pristupa za goste na FortiAP-u. dio 3

U ovom ćete postu zaroniti u pristup za goste, kao i vodič korak po korak za integraciju Cisco ISE i FortiGate za konfiguriranje FortiAP-a, pristupne točke iz Fortineta (općenito, bilo koji uređaj koji podržava RADIUS CoA — Promjena ovlaštenja).

U prilogu su naši članci. Fortinet - izbor korisnih materijala.

PrimijetitiO: Check Point SMB uređaji ne podržavaju RADIUS CoA.

predivno rukovodstvo opisuje na engleskom kako stvoriti pristup gosta koristeći Cisco ISE na Cisco WLC (bežični kontroler). Idemo to shvatiti!

1. uvod

Pristup gostima (portal) omogućuje vam da omogućite pristup Internetu ili internim resursima za goste i korisnike koje ne želite pustiti u svoju lokalnu mrežu. Postoje 3 unaprijed definirane vrste portala za goste (Portal za goste):

1. Hotspot Portal za goste - Pristup mreži omogućen je gostima bez podataka za prijavu. Korisnici općenito moraju prihvatiti "Pravila korištenja i privatnosti" tvrtke prije pristupa mreži.

2. Sponzorirani portal za goste - pristup mreži i podatke za prijavu mora izdati sponzor - korisnik odgovoran za kreiranje računa za goste na Cisco ISE.

3. Portal za samoregistrirane goste - u ovom slučaju gosti koriste postojeće podatke za prijavu ili kreiraju račun za sebe s podacima za prijavu, ali za pristup mreži potrebna je potvrda sponzora.

Višestruki portali mogu se postaviti na Cisco ISE u isto vrijeme. Prema zadanim postavkama, na portalu za goste, korisnik će vidjeti Cisco logo i standardne uobičajene fraze. Sve se to može prilagoditi, pa čak i postaviti za pregled obaveznih oglasa prije dobivanja pristupa.

Postavljanje pristupa za goste može se podijeliti u 4 glavna koraka: postavljanje FortiAP-a, Cisco ISE i FortiAP povezivost, stvaranje portala za goste i postavljanje pravila pristupa.

2. Konfiguriranje FortiAP-a na FortiGate-u

FortiGate je kontroler pristupne točke i sve postavke se vrše na njemu. FortiAP pristupne točke podržavaju PoE, pa nakon što ga spojite na mrežu putem Etherneta, možete započeti konfiguraciju.

1) Na FortiGateu idite na karticu WiFi & Switch Controller > Upravljani FortiAP-ovi > Stvori novi > Upravljani AP. Koristeći jedinstveni serijski broj pristupne točke, koji je ispisan na samoj pristupnoj točki, dodajte je kao objekt. Ili se može pokazati i zatim pritisnuti Odobriti pomoću desne tipke miša.

2) FortiAP postavke mogu biti zadane, na primjer, ostavite kao na snimci zaslona. Toplo preporučujem da uključite način rada od 5 GHz, jer neki uređaji ne podržavaju 2.4 GHz.

3) Zatim u tab WiFi & Switch Controller > FortiAP Profili > Stvori novi izrađujemo profil postavki za pristupnu točku (verzija 802.11 protokola, SSID način rada, frekvencija kanala i njihov broj).

Primjer FortiAP postavki

4) Sljedeći korak je stvaranje SSID-a. Idi na karticu WiFi & Switch Controller > SSIDs > Create New > SSID. Ovdje od važnih treba konfigurirati:

• adresni prostor za WLAN za goste - IP/mrežna maska

• RADIUS Accounting i Secure Fabric Connection u polju Administrative Access

• Opcija detekcije uređaja

• SSID i Broadcast SSID opcija

• Postavke sigurnosnog načina > Captive Portal 

• Portal za provjeru autentičnosti - vanjski i umetnite vezu na kreirani portal za goste iz Cisco ISE iz koraka 20

• Grupa korisnika - Grupa gostiju - Vanjski - dodajte RADIUS u Cisco ISE (str. 6 nadalje)

Primjer postavljanja SSID-a

5) Zatim biste trebali stvoriti pravila u politici pristupa na FortiGateu. Idi na karticu Pravila i objekti > Pravila vatrozida i stvorite ovakvo pravilo:

3. Postavka RADIJUSA

6) Idite na Cisco ISE web sučelje na karticu Politika > Elementi politike > Rječnici > Sustav > Radijus > RADIUS dobavljači > Dodaj. U ovoj kartici ćemo dodati Fortinet RADIUS na popis podržanih protokola, jer gotovo svaki dobavljač ima svoje specifične atribute - VSA (Vendor-Specific Attributes).

Možete pronaći popis Fortinet RADIUS atributa здесь. VSA se razlikuju po jedinstvenom ID broju dobavljača. Fortinet ima ovaj ID = 12356... Pun список VSA je objavila IANA.

7) Postavite naziv rječnika, navedite Vendor ID (12356) i pritisnite Podnijeti.

8) Nakon što odemo na Administracija > Profili mrežnih uređaja > Dodaj i izradite novi profil uređaja. U polju RADIUS Rječnici odaberite prethodno stvoreni Fortinet RADIUS rječnik i odaberite CoA metode koje ćete kasnije koristiti u ISE politici. Odabrao sam RFC 5176 i Port Bounce (gašenje/bez isključivanja mrežnog sučelja) i odgovarajuće VSA: 

Fortinet-Access-Profile=čitanje-pisanje

Fortinet-Group-Name = fmg_faz_admins

9) Zatim dodajte FortiGate za povezivanje s ISE. Da biste to učinili, idite na karticu Administracija > Mrežni resursi > Profili mrežnih uređaja > Dodaj. Polja koja se mijenjaju Ime, dobavljač, RADIUS rječnici (IP adresu koristi FortiGate, a ne FortiAP).

Primjer konfiguracije RADIUS-a sa ISE strane

10) Nakon toga trebate konfigurirati RADIUS na strani FortiGate-a. U web sučelju FortiGate idite na Korisnik i autentifikacija > RADIUS poslužitelji > Stvori novi. Navedite ime, IP adresu i Shared secret (lozinku) iz prethodnog paragrafa. Sljedeći klik Testirajte korisničke vjerodajnice i unesite sve vjerodajnice koje se mogu povući putem RADIUS-a (na primjer, lokalni korisnik na Cisco ISE).

11) Dodajte RADIUS server u Guest-Group (ako ne postoji) kao i vanjski izvor korisnika.

12) Ne zaboravite dodati Grupu gostiju SSID-u koji smo stvorili ranije u koraku 4.

4. Postavka provjere autentičnosti korisnika

13) Po želji, možete uvesti certifikat na ISE gostujući portal ili stvoriti samopotpisani certifikat u kartici Radni centri > Pristup gosta > Administracija > Certifikacija > Certifikati sustava.

14) Nakon u tab Radni centri > Pristup za goste > Grupe identiteta > Grupe identiteta korisnika > Dodaj stvoriti novu korisničku grupu za pristup gosta ili koristiti zadane.

15) Dalje u tab Administracija > Identiteti kreirati goste goste i dodati ih u grupe iz prethodnog paragrafa. Ako želite koristiti račune trećih strana, preskočite ovaj korak.

16) Nakon što idemo na postavke Radni centri > Pristup gosta > Identiteti > Sekvenca izvora identiteta > Sekvenca portala za goste — ovo je zadana sekvenca provjere autentičnosti za gostujuće korisnike. I na terenu Popis traženja provjere autentičnosti odaberite redoslijed provjere autentičnosti korisnika.

17) Da biste obavijestili goste jednokratnom lozinkom, možete konfigurirati pružatelje usluga SMS-a ili SMTP poslužitelj u tu svrhu. Idi na karticu Radni centri > Pristup gosta > Administracija > SMTP poslužitelj ili Pružatelji SMS pristupnika za ove postavke. U slučaju SMTP poslužitelja, trebate kreirati račun za ISE i navesti podatke u ovoj kartici.

18) Za SMS obavijesti koristite odgovarajuću karticu. ISE ima unaprijed instalirane profile popularnih pružatelja usluga SMS-a, ali bolje je izraditi vlastiti. Koristite ove profile kao primjer postavke Pristupnik SMS e-poštey ili SMS HTTP API.

Primjer postavljanja SMTP poslužitelja i SMS pristupnika za jednokratnu lozinku

5. Postavljanje portala za goste

19) Kao što je spomenuto na početku, postoje 3 vrste unaprijed instaliranih portala za goste: Hotspot, Sponzorirani, Samoregistrirani. Predlažem da odaberete treću opciju, jer je najčešća. U svakom slučaju, postavke su uglavnom identične. Pa idemo na karticu. Radni centri > Pristup za goste > Portali i komponente > Portali za goste > Samoregistrirani portal za goste (zadano). 

20) Zatim, u kartici Prilagodba stranice portala odaberite “Prikaz na ruskom - ruski”, tako da je portal prikazan na ruskom jeziku. Možete promijeniti tekst bilo koje kartice, dodati svoj logotip i još mnogo toga. Desno u kutu je pregled portala za goste za bolji pregled.

Primjer konfiguracije portala za goste sa samostalnom registracijom

21) Kliknite na frazu Testni URL portala i kopirajte URL portala u SSID na FortiGateu u koraku 4. Uzorak URL-a https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Da biste prikazali svoju domenu, morate prenijeti certifikat na portal za goste, pogledajte korak 13.

22) Idite na karticu Radni centri > Pristup gosta > Elementi pravila > Rezultati > Profili autorizacije > Dodaj za izradu autorizacijskog profila pod prethodno kreiranim Profil mrežnog uređaja.

23) U tab Radni centri > Pristup gosta > Skupovi pravila urediti politiku pristupa za WiFi korisnike.

24) Pokušajmo se spojiti na gostujući SSID. Odmah me preusmjerava na stranicu za prijavu. Ovdje se možete prijaviti s računom gosta kreiranim lokalno na ISE-u ili se registrirati kao korisnik gost.

25) Ako ste odabrali opciju samoregistracije, tada jednokratne podatke za prijavu možete poslati poštom, putem SMS-a ili ispisati.

26) Na kartici RADIUS > Live Logs na Cisco ISE, vidjet ćete odgovarajuće zapisnike prijave.

6. zaključak

U ovom dugačkom članku uspješno smo konfigurirali pristup za goste na Cisco ISE, gdje FortiGate djeluje kao kontroler pristupne točke, a FortiAP kao pristupna točka. Ispostavilo se da je to neka vrsta ne-trivijalne integracije, što još jednom dokazuje široku upotrebu ISE-a.

Za testiranje Cisco ISE kontaktirajte linka također ostanite s nama na našim kanalima (Telegram, Facebook, VK, Blog o TS rješenjima, Yandex Zen).

Izvor: www.habr.com