Ebben a bejegyzésben részletesen bemutatjuk a vendég hozzáférést, valamint egy lépésről lépésre bemutatjuk a Cisco ISE és a FortiGate integrálását a FortiAP, a Fortinet hozzáférési pontjának konfigurálásához (általában minden olyan eszköz, amely támogatja a RADIUS CoA — Az engedély megváltoztatása).
MegjegyzésV: A Check Point SMB-eszközök nem támogatják a RADIUS CoA-t.
csodálatos vezetés angolul leírja, hogyan hozhat létre vendég hozzáférést a Cisco ISE használatával Cisco WLC-n (Wireless Controller). Találjuk ki!
1. Bevezetés
A vendég hozzáférés (portál) lehetővé teszi, hogy hozzáférést biztosítson az internethez vagy a belső erőforrásokhoz azoknak a vendégeknek és felhasználóknak, akiket nem szeretne beengedni a helyi hálózatba. Három előre meghatározott típusú vendégportál létezik (Vendégportál):
Hotspot Vendég portál - A hálózathoz való hozzáférést a vendégek bejelentkezési adatok nélkül biztosítják. A felhasználóknak általában el kell fogadniuk a vállalat „Használati és adatvédelmi szabályzatát”, mielőtt hozzáférnének a hálózathoz.
Szponzorált vendég portál – a hálózathoz való hozzáférést és a bejelentkezési adatokat a szponzornak kell kiadnia – a Cisco ISE vendégfiókok létrehozásáért felelős felhasználónak.
Önregisztrált vendég portál - ebben az esetben a vendégek a meglévő bejelentkezési adatokat használják, vagy létrehoznak maguknak egy fiókot a bejelentkezési adatokkal, de a hálózathoz való hozzáféréshez szponzor megerősítése szükséges.
Egyszerre több portál is telepíthető a Cisco ISE rendszeren. Alapértelmezés szerint a vendégportálon a felhasználó a Cisco logót és a szokásos gyakori kifejezéseket fogja látni. Mindez személyre szabható, sőt beállítható úgy is, hogy a hozzáférés előtt megtekintsék a kötelező hirdetéseket.
A vendég hozzáférés beállítása 4 fő lépésre bontható: FortiAP beállítása, Cisco ISE és FortiAP kapcsolat, vendégportál létrehozása és hozzáférési szabályzat beállítása.
2. A FortiAP konfigurálása a FortiGate-en
A FortiGate egy hozzáférési pont vezérlő, és minden beállítás rajta van. A FortiAP hozzáférési pontok támogatják a PoE-t, így miután Etherneten keresztül csatlakoztatta a hálózathoz, megkezdheti a konfigurációt.
1) A FortiGate-en lépjen a lapra WiFi és kapcsolóvezérlő > Felügyelt FortiAP-ok > Új létrehozása > Felügyelt hozzáférési pont. A hozzáférési pont egyedi sorozatszámával, amely magára a hozzáférési pontra van nyomtatva, adja hozzá objektumként. Vagy megmutathatja magát, majd megnyomja engedélyez a jobb egérgombbal.
2) A FortiAP beállításai lehetnek alapértelmezettek, például hagyja úgy, mint a képernyőképen. Erősen javaslom az 5 GHz-es mód bekapcsolását, mert egyes készülékek nem támogatják a 2.4 GHz-et.
3) Majd a lapon WiFi és kapcsolóvezérlő > FortiAP-profilok > Új létrehozása létrehozunk egy beállítási profilt a hozzáférési ponthoz (802.11 protokoll verzió, SSID mód, csatorna frekvencia és ezek száma).
FortiAP beállítási példa
4) A következő lépés az SSID létrehozása. Ugrás a lapra WiFi és kapcsolóvezérlő > SSID-k > Új létrehozása > SSID. Itt a fontosból kell beállítani:
címterület a vendég WLAN számára – IP/hálózati maszk
RADIUS Könyvelés és Secure Fabric Connection az Adminisztratív hozzáférés mezőben
Eszközészlelési lehetőség
SSID és Broadcast SSID opció
Biztonsági mód beállításai > Captive Portal
Hitelesítési portál – Külső, és a 20. lépéstől kezdve szúrjon be egy hivatkozást a Cisco ISE által létrehozott vendégportálra
Felhasználói csoport – Vendégcsoport – Külső – RADIUS hozzáadása a Cisco ISE-hez (6. oldaltól)
SSID beállítási példa
5) Ezután szabályokat kell létrehoznia a FortiGate hozzáférési szabályzatában. Ugrás a lapra Házirend és objektumok > Tűzfalszabályzat és hozz létre egy ilyen szabályt:
3. SUGÁR beállítás
6) Lépjen a Cisco ISE webes felületére a lapra Házirend > Irányelvelemek > Szótárak > Rendszer > Sugár > RADIUS-szállítók > Hozzáadás. Ezen a lapon felvesszük a Fortinet RADIUS-t a támogatott protokollok listájára, mivel szinte minden gyártónak megvannak a saját specifikus attribútumai - VSA (Vendor-Specific Attributes).
A Fortinet RADIUS attribútumok listája megtalálható itt. A VSA-kat egyedi szállítói azonosító számuk különbözteti meg. A Fortinet azonosítója = 12356... Teljes lista A VSA-t az IANA adta ki.
7) Állítsa be a szótár nevét, adja meg Vendor ID (12356) és nyomja meg Beküldés.
8) Miután elmentünk a Adminisztráció > Hálózati eszközprofilok > Hozzáadás és hozzon létre egy új eszközprofilt. A RADIUS szótárak mezőben válassza ki a korábban létrehozott Fortinet RADIUS szótárt, és válassza ki az ISE házirendben később használni kívánt CoA metódusokat. Kiválasztottam az RFC 5176-ot és a Port Bounce-t (leállítás/leállás nélküli hálózati interfész), valamint a megfelelő VSA-kat:
Fortinet-Access-Profile=olvasás-írás
Fortinet-Group-Name = fmg_faz_admins
9) Ezután adja hozzá a FortiGate-et az ISE-hez való kapcsolódáshoz. Ehhez lépjen a lapra Adminisztráció > Hálózati erőforrások > Hálózati eszközprofilok > Hozzáadás. Módosítandó mezők Név, szállító, RADIUS szótárak (Az IP-címet a FortiGate használja, nem a FortiAP).
Példa a RADIUS ISE oldalról történő konfigurálására
10) Ezt követően konfigurálja a RADIUS-t a FortiGate oldalon. A FortiGate webes felületén lépjen a következőre: Felhasználó és hitelesítés > RADIUS-kiszolgálók > Új létrehozása. Adja meg az előző bekezdésben szereplő nevet, IP-címet és megosztott titkot (jelszót). Következő kattintás Felhasználói hitelesítő adatok tesztelése és adja meg a RADIUS-on keresztül lehívható hitelesítő adatokat (például egy helyi felhasználó a Cisco ISE-n).
11) Adjon hozzá egy RADIUS-kiszolgálót a vendégcsoporthoz (ha nem létezik), valamint egy külső felhasználói forrást.
12) Ne felejtse el hozzáadni a vendégcsoportot a korábban, a 4. lépésben létrehozott SSID-hez.
4. Felhasználói hitelesítés beállítása
13) Opcionálisan importálhat egy tanúsítványt az ISE vendégportáljára, vagy létrehozhat egy önaláírt tanúsítványt a lapon Munkaközpontok > Vendég hozzáférés > Adminisztráció > Tanúsítvány > Rendszertanúsítványok.
14) After in tab Munkaközpontok > Vendég hozzáférés > Identitáscsoportok > Felhasználói azonosítócsoportok > Hozzáadás hozzon létre egy új felhasználói csoportot a vendég hozzáféréshez, vagy használja az alapértelmezetteket.
15) Tovább a lapon Adminisztráció > Identitások hozzon létre vendég felhasználókat, és adja hozzá őket az előző bekezdés csoportjaihoz. Ha harmadik féltől származó fiókokat szeretne használni, hagyja ki ezt a lépést.
16) Miután a beállításokhoz megyünk Munkaközpontok > Vendéghozzáférés > Identitások >Identitásforrás sorozat > Vendégportál sorozat — ez a vendég felhasználók alapértelmezett hitelesítési sorrendje. És a terepen Hitelesítési keresési lista válassza ki a felhasználói hitelesítési sorrendet.
17) A vendégek egyszeri jelszóval történő értesítéséhez SMS-szolgáltatókat vagy SMTP-szervert konfigurálhat erre a célra. Ugrás a lapra Munkaközpontok > Vendég hozzáférés > Adminisztráció > SMTP-kiszolgáló vagy SMS-átjáró szolgáltatók ezekhez a beállításokhoz. SMTP-kiszolgáló esetén létre kell hoznia egy fiókot az ISE számára, és meg kell adnia az adatokat ezen a lapon.
18) SMS-értesítésekhez használja a megfelelő lapot. Az ISE rendelkezik előre telepített profilokkal a népszerű SMS-szolgáltatóktól, de jobb, ha létrehoz egy saját profilt. Használja ezeket a profilokat példaként a beállításhoz SMS e-mail átjáróy vagy SMS HTTP API.
Példa egy SMTP-kiszolgáló és egy SMS-átjáró beállítására egyszeri jelszóhoz
5. Vendégportál beállítása
19) Ahogy az elején említettük, 3 féle előre telepített vendégportál létezik: Hotspot, Szponzorált, Önregisztrált. Javaslom a harmadik lehetőség kiválasztását, mivel ez a leggyakoribb. Akárhogy is, a beállítások nagyjából azonosak. Tehát menjünk a lapra. Munkaközpontok > Vendég hozzáférés > Portálok és összetevők > Vendégportálok > Önregisztrált vendégportál (alapértelmezett).
20) Ezután a Portáloldal testreszabása lapon válassza ki a lehetőséget „Nézet oroszul - oroszul”, hogy a portál oroszul jelenjen meg. Módosíthatja bármelyik lap szövegét, hozzáadhatja logóját stb. A jobb oldalon a sarokban a vendégportál előnézete látható a jobb kilátás érdekében.
Példa vendégportál konfigurálására önregisztrációval
A domain megjelenítéséhez fel kell töltenie a tanúsítványt a vendégportálra, lásd a 13. lépést.
22) Lépjen a lapra Munkaközpontok > Vendég hozzáférés > Házirendelemek > Eredmények > Engedélyezési profilok > Hozzáadás jogosultsági profil létrehozásához a korábban létrehozott profil alatt Hálózati eszközprofil.
23) A lapon Munkaközpontok > Vendég hozzáférés > Házirendkészletek módosítsa a WiFi-felhasználók hozzáférési szabályzatát.
24) Próbáljunk meg csatlakozni a vendég SSID-hez. Azonnal átirányít a bejelentkezési oldalra. Itt bejelentkezhet az ISE-n helyileg létrehozott vendégfiókkal, vagy regisztrálhat vendég felhasználóként.
25) Ha az önregisztrációs lehetőséget választotta, akkor az egyszeri bejelentkezési adatokat postai úton, SMS-ben vagy nyomtatva is elküldheti.
26) A Cisco ISE RADIUS > Élő naplók lapján láthatja a megfelelő bejelentkezési naplókat.
6. következtetés
Ebben a hosszú cikkben sikeresen konfiguráltuk a vendég hozzáférést a Cisco ISE rendszeren, ahol a FortiGate hozzáférési pont vezérlőként, a FortiAP pedig hozzáférési pontként működik. Ez egyfajta nem triviális integrációnak bizonyult, ami ismét bizonyítja az ISE széles körű elterjedését.