Byenveni nan twazyèm pòs nan seri a Cisco ISE. Lyen ki mennen nan tout atik nan seri a yo bay anba a:
Nan pòs sa a, ou pral plonje nan aksè envite, osi byen ke yon gid etap-pa-etap nan entegre Cisco ISE ak FortiGate konfigirasyon FortiAP, yon pwen aksè soti nan Fortinet (an jeneral, nenpòt aparèy ki sipòte RADIUS CoA — Chanjman otorizasyon).
Yo tache atik nou yo. .
NoteA: Aparèy Check Point SMB pa sipòte RADIUS CoA.
bèl bagay dekri an Angle ki jan yo kreye yon aksè envite lè l sèvi avèk Cisco ISE sou yon Cisco WLC (Wireless Controller). Ann kalkile li!
NAN. Entwodiksyon
Aksè envite (portal) pèmèt ou bay aksè a Entènèt oswa resous entèn pou envite ak itilizatè ke ou pa vle kite nan rezo lokal ou a. Gen 3 kalite pòtal envite predefini (pòtal envite):
-
Portal Guest Hotspot - Yo bay envite yo aksè nan rezo a san done koneksyon. Itilizatè yo jeneralman oblije aksepte "Itilizasyon ak Règ sou Konfidansyalite" konpayi an anvan yo jwenn aksè nan rezo a.
-
Sponsored-Guest Portal - aksè nan rezo a ak done koneksyon yo dwe bay pa sipòtè a - itilizatè a responsab pou kreye kont envite sou Cisco ISE.
-
Pòtal Guest Enskri pwòp tèt ou - nan ka sa a, envite yo sèvi ak detay login ki deja egziste, oswa kreye yon kont pou tèt yo ak detay login, men konfimasyon patwone yo oblije jwenn aksè nan rezo a.
Pòtal miltip yo ka deplwaye sou Cisco ISE an menm tan an. Pa default, nan pòtal la envite, itilizatè a pral wè logo Cisco a ak fraz komen estanda. Tout bagay sa a ka Customized e menm mete yo wè anons obligatwa anvan ou jwenn aksè.
Konfigirasyon aksè envite ka divize an 4 etap prensipal: konfigirasyon FortiAP, koneksyon Cisco ISE ak FortiAP, kreyasyon pòtal envite, ak konfigirasyon règleman aksè.
2. Konfigirasyon FortiAP sou FortiGate
FortiGate se yon kontwolè pwen aksè ak tout paramèt yo fèt sou li. Pwen aksè FortiAP sipòte PoE, kidonk yon fwa ou konekte li nan rezo a atravè Ethernet, ou ka kòmanse konfigirasyon an.
1) Sou FortiGate, ale nan tab la WiFi & Switch Controller > Managed FortiAPs > Kreye Nouvo > Managed AP. Sèvi ak nimewo seri inik pwen aksè a, ki enprime sou pwen aksè nan tèt li, ajoute li kòm yon objè. Oswa li ka montre tèt li ak Lè sa a, peze Otorize lè l sèvi avèk bouton an sourit dwat.
2) Anviwònman FortiAP yo ka default, pou egzanp, kite tankou nan ekran an. Mwen rekòmande anpil vire sou mòd nan 5 GHz, paske kèk aparèy pa sipòte 2.4 GHz.
3) Lè sa a, nan tab WiFi & Switch Controller > FortiAP Profiles > Kreye Nouvo n ap kreye yon pwofil anviwònman pou pwen aksè (vèsyon 802.11 pwotokòl, mòd SSID, frekans chanèl ak nimewo yo).
Egzanp anviwònman FortiAP
4) Pwochen etap la se kreye yon SSID. Ale nan tab WiFi & Switch Controller > SSIDs > Kreye Nouvo > SSID. Isit la soti nan youn nan enpòtan yo ta dwe configuré:
-
espas adrès pou WLAN envite - IP/Netmask
-
RADIUS Kontablite ak Koneksyon Twal Sekirize nan jaden Aksè Administratif la
-
Opsyon Deteksyon Aparèy
-
SSID ak Broadcast SSID opsyon
-
Anviwònman Mode Sekirite > Pòtal Captive
-
Pòtal Otantifikasyon - Ekstèn epi mete yon lyen nan pòtal envite kreye soti nan Cisco ISE soti nan etap 20
-
Gwoup Itilizatè - Gwoup Envite - Ekstèn - ajoute RADIUS nan Cisco ISE (p. 6 ivè)
SSID anviwònman egzanp
5) Lè sa a, ou ta dwe kreye règ nan règleman aksè sou FortiGate. Ale nan tab Policy & Objects > Firewall Policy epi kreye yon règ tankou sa a:
3. Anviwònman RADIUS
6) Ale nan koòdone wèb Cisco ISE nan tab la Règleman > Eleman Règleman > Diksyonè > Sistèm > Reyon > Fournisseurs RADIUS > Ajoute. Nan onglet sa a, nou pral ajoute Fortinet RADIUS nan lis pwotokòl sipòte yo, paske prèske chak machann gen pwòp atribi espesifik li yo - VSA (Vendor-Specific Atributes).
Ou ka jwenn yon lis atribi Fortinet RADIUS . VSA yo distenge pa nimewo ID inik Vandè yo. Fortinet gen ID sa a = 12356... Plen VSA a te pibliye pa IANA a.
7) Mete non diksyonè a, presize ID vandè (12356) ak laprès Soumèt.
8) Apre nou ale nan Administrasyon > Des aparèy rezo > Ajoute epi kreye yon nouvo pwofil aparèy. Nan jaden Dictionaries RADIUS, chwazi diksyonè Fortinet RADIUS ki te kreye deja epi chwazi metòd CoA pou itilize pita nan règleman ISE. Mwen te chwazi RFC 5176 ak Port Bounce (fèr / pa gen koòdone rezo fèmen) ak VSA korespondan yo:
Fortinet-Access-Profile=li-ekri
Fortinet-Group-Name = fmg_faz_admins
9) Apre sa, ajoute FortiGate pou koneksyon ak ISE. Pou fè sa, ale nan tab la Administrasyon > Resous Rezo > Pwofil Aparèy Rezo > Ajoute. Jaden yo dwe chanje Non, machann, diksyonè RADIUS (FortiGate itilize adrès IP, pa FortiAP).
Egzanp konfigirasyon RADIUS soti nan bò ISE
10) Apre sa, ou ta dwe configured RADIUS sou bò FortiGate. Nan koòdone entènèt FortiGate, ale nan Itilizatè & Otantifikasyon > Sèvè RADIUS > Kreye Nouvo. Espesifye non an, adrès IP ak sekrè pataje (modpas) nan paragraf anvan an. Next klike sou Teste kalifikasyon itilizatè yo epi antre nenpòt kalifikasyon ki ka rale moute atravè RADIUS (pa egzanp, yon itilizatè lokal sou Cisco ISE).
11) Ajoute yon sèvè RADIUS nan Guest-Group la (si li pa egziste) ansanm ak yon sous ekstèn itilizatè yo.
12) Pa bliye ajoute Guest-Group la nan SSID nou te kreye pi bonè nan etap 4 la.
4. Anviwònman Otantifikasyon itilizatè
13) Opsyonèlman, ou ka enpòte yon sètifika nan pòtal envite ISE a oswa kreye yon sètifika oto-siyen nan tab la. Sant Travay > Aksè Envite > Administrasyon > Sètifikasyon > Sètifika Sistèm.
14) Apre nan tab Sant travay > Aksè envite > Gwoup idantite > Gwoup idantite itilizatè > Ajoute kreye yon nouvo gwoup itilizatè pou aksè envite, oswa itilize sa yo default.
15) Pli lwen nan tab la Administrasyon > Idantite kreye itilizatè envite epi ajoute yo nan gwoup yo nan paragraf anvan an. Si ou vle sèvi ak kont twazyèm pati, Lè sa a, sote etap sa a.
16) Apre nou ale nan anviwònman yo Work Centers > Guest Access > Idantite > Sekans sous idantite > Sekans pòtal envite — sa a se sekans otantifikasyon default pou itilizatè envite. Ak nan jaden an Lis rechèch otantifikasyon chwazi lòd otantifikasyon itilizatè a.
17) Pou notifye envite yo ak yon modpas yon sèl fwa, ou ka configured founisè SMS oswa yon sèvè SMTP pou objektif sa a. Ale nan tab Sant Travay > Aksè envite > Administrasyon > Sèvè SMTP oswa Founisè Gateway SMS pou paramèt sa yo. Nan ka yon sèvè SMTP, ou bezwen kreye yon kont pou ISE a epi presize done yo nan tab sa a.
18) Pou notifikasyon SMS, sèvi ak tab ki apwopriye a. ISE gen pre-enstale pwofil founisè SMS popilè, men li pi bon yo kreye pwòp ou a. Sèvi ak pwofil sa yo kòm yon egzanp anviwònman SMS Imèl Gatewayy oswa SMS HTTP API.
Yon egzanp mete kanpe yon sèvè SMTP ak yon pòtay SMS pou yon modpas yon sèl fwa
5. Mete kanpe pòtal envite a
19) Kòm mansyone nan kòmansman an, gen 3 kalite pòtal envite pre-enstale: Hotspot, Sponsored, Self-Registered. Mwen sijere w chwazi twazyèm opsyon a, paske li se pi komen an. Nenpòt fason, anviwònman yo se lajman ki idantik. Se konsa, ann ale nan tab la. Sant Travay > Aksè Envite > Pòtal & Konpozan > Pòtal Envite > Pòtal Envite Oto-anrejistre (default).
20) Apre sa, nan tab la Pèsonalizasyon paj Portal, chwazi "Wè nan Ris - Ris", se konsa ke pòtal la parèt an Ris. Ou ka chanje tèks nenpòt tab, ajoute logo ou, ak plis ankò. Sou bò dwat la nan kwen an se yon aperçu nan pòtal la envite pou yon View pi bon.
Egzanp konfigirasyon yon pòtal envite ak oto-enskripsyon
21) Klike sou yon fraz URL tès Portal epi kopye URL pòtal la nan SSID sou FortiGate nan etap 4. Egzanp URL
Pou montre domèn ou a, ou dwe telechaje sètifika a sou pòtal envite a, gade etap 13.
22) Ale nan tab Sant Travay > Aksè Envite > Eleman Règleman > Rezilta > Pwofil Otorizasyon > Ajoute pou kreye yon pwofil otorizasyon anba yon sèl ki te kreye anvan an Pwofil Aparèy Rezo.
23) Nan tab Sant Travay > Aksè Envite > Ansanm Règleman modifye règleman aksè pou itilizatè WiFi yo.
24) Ann eseye konekte ak SSID envite. Li imedyatman redireksyon m 'nan paj la konekte. Isit la ou ka konekte ak kont envite ki te kreye lokalman sou ISE a, oswa enskri kòm yon itilizatè envite.
25) Si ou te chwazi opsyon oto-enskripsyon an, Lè sa a, done koneksyon yon sèl fwa yo ka voye pa lapòs, via SMS, oswa enprime.
26) Nan RADIUS > Live Logs tab sou Cisco ISE a, ou pral wè korespondan login mòso bwa yo.
6. Konklizyon
Nan atik sa a long, nou te avèk siksè configuré aksè envite sou Cisco ISE, kote FortiGate aji kòm kontwolè nan pwen aksè, ak FortiAP aji kòm pwen an aksè. Li te tounen soti yon kalite entegrasyon ki pa trivial, ki yon lòt fwa ankò pwouve itilizasyon toupatou nan ISE.
Pou teste Cisco ISE, kontakte epi tou rete branche nan chanèl nou yo (, , , , ).
Sous: www.habr.com