Cisco ISE. FortiAP-ում հյուրի մուտքի կարգավորում: Մաս 3

Բարի գալուստ Cisco ISE շարքի երրորդ գրառում: Շարքի բոլոր հոդվածների հղումները տրված են ստորև.

1. Cisco ISE. Ներածություն, պահանջներ, տեղադրում: Մաս 1

2. Cisco ISE. Օգտագործողների ստեղծում, LDAP սերվերների ավելացում, AD-ի հետ ինտեգրում: Մաս 2

3. Cisco ISE. FortiAP-ում հյուրի մուտքի կարգավորում: Մաս 3

Այս գրառման մեջ դուք կսկսեք ծանոթանալ հյուրերի մուտքին, ինչպես նաև քայլ առ քայլ ուղեցույց՝ Cisco ISE-ի և FortiGate-ի ինտեգրման համար՝ FortiAP-ը կարգավորելու համար, որը մուտքի կետ է Fortinet-ից (ընդհանուր առմամբ, ցանկացած սարք, որն աջակցում է RADIUS CoA — Լիազորման փոփոխություն):

Կից ներկայացնում ենք մեր հոդվածները։ Fortinet - օգտակար նյութերի ընտրություն.

ՆշումA. Check Point SMB սարքերը չեն աջակցում RADIUS CoA:

հրաշալի ղեկավարությունը անգլերենով նկարագրում է, թե ինչպես ստեղծել հյուրի մուտք՝ օգտագործելով Cisco ISE-ը Cisco WLC-ում (անլար վերահսկիչ): Եկեք պարզենք այն:

1. Ներածություն

Հյուրերի մուտքը (պորտալ) թույլ է տալիս մուտք գործել ինտերնետ կամ ներքին ռեսուրսներ հյուրերի և օգտատերերի համար, որոնք դուք չեք ցանկանում թույլ տալ ձեր տեղական ցանցին: Գոյություն ունեն հյուրի պորտալի 3 նախապես սահմանված տեսակ (Հյուրերի պորտալ).

1. Hotspot Guest պորտալ - Ցանց մուտքը հյուրերին տրամադրվում է առանց մուտքի տվյալների: Օգտատերերից, ընդհանուր առմամբ, պահանջվում է ընդունել ընկերության «Օգտագործման և գաղտնիության քաղաքականությունը» նախքան ցանց մուտք գործելը:

2. Sponsored-Guest պորտալ - ցանցի մուտքը և մուտքի տվյալները պետք է տրամադրվեն հովանավորի կողմից՝ Cisco ISE-ում հյուրերի հաշիվներ ստեղծելու համար պատասխանատու օգտատերը:

3. Ինքնագրանցված հյուրերի պորտալ. այս դեպքում հյուրերն օգտագործում են առկա մուտքի տվյալները կամ ստեղծում են իրենց համար հաշիվ մուտքի մանրամասներով, սակայն ցանց մուտք գործելու համար պահանջվում է հովանավորի հաստատում:

Մի քանի պորտալներ կարող են տեղադրվել Cisco ISE-ում միաժամանակ: Լռելյայնորեն, հյուրի պորտալում օգտատերը կտեսնի Cisco-ի պատկերանշանը և սովորական սովորական արտահայտությունները: Այս ամենը կարող է հարմարեցվել և նույնիսկ կարգավորվել, որպեսզի դիտի պարտադիր գովազդը, նախքան հասանելիություն ստանալը:

Հյուրերի մուտքի կարգավորումը կարելի է բաժանել 4 հիմնական փուլերի՝ FortiAP-ի կարգավորում, Cisco ISE և FortiAP միացում, հյուրերի պորտալի ստեղծում և մուտքի քաղաքականության կարգավորում:

2. FortiAP-ի կարգավորում FortiGate-ում

FortiGate-ը մուտքի կետի կարգավորիչ է, և բոլոր կարգավորումները կատարվում են դրա վրա: FortiAP մուտքի կետերը աջակցում են PoE-ին, այնպես որ, երբ այն միացնեք ցանցին Ethernet-ի միջոցով, կարող եք սկսել կազմաձևումը:

1) FortiGate-ում անցեք ներդիր WiFi & Switch Controller > Կառավարվող FortiAPs > Ստեղծել նոր > Կառավարվող AP. Օգտագործելով մուտքի կետի եզակի սերիական համարը, որը տպված է հենց մուտքի կետի վրա, ավելացրեք այն որպես օբյեկտ: Կամ կարող է իրեն ցույց տալ, հետո սեղմել Լիազոր օգտագործելով մկնիկի աջ կոճակը:

2) FortiAP-ի կարգավորումները կարող են լինել լռելյայն, օրինակ՝ թողնել ինչպես սքրինշոթում: Ես բարձր խորհուրդ եմ տալիս միացնել 5 ԳՀց ռեժիմը, քանի որ որոշ սարքեր չեն աջակցում 2.4 ԳՀց:

3) Այնուհետև ներդիրում WiFi & Switch Controller > FortiAP պրոֆիլներ > Ստեղծել նոր մենք ստեղծում ենք մուտքի կետի կարգավորումների պրոֆիլ (տարբերակ 802.11 արձանագրություն, SSID ռեժիմ, ալիքի հաճախականությունը և դրանց թիվը):

FortiAP կարգավորումների օրինակ

4) Հաջորդ քայլը SSID ստեղծելն է: Գնացեք ներդիր WiFi & Switch Controller > SSIDs > Create New > SSID: Այստեղ կարևորից պետք է կազմաձևել.

• հասցեի տարածք հյուրի WLAN-ի համար - IP/Netmask

• RADIUS Accounting և Secure Fabric Connection Administrative Access դաշտում

• Սարքի հայտնաբերման տարբերակ

• SSID և Broadcast SSID տարբերակ

• Անվտանգության ռեժիմի Կարգավորումներ > Գերի պորտալ 

• Նույնականացման պորտալ - Արտաքին և տեղադրեք հղում Cisco ISE-ից ստեղծված հյուրի պորտալին 20-րդ քայլից:

• Օգտատերերի խումբ - Հյուրերի խումբ - Արտաքին - ավելացնել RADIUS Cisco ISE-ին (էջ 6-ից սկսած)

SSID կարգաբերման օրինակ

5) Այնուհետև դուք պետք է ստեղծեք կանոններ FortiGate-ի մուտքի քաղաքականության մեջ: Գնացեք ներդիր Քաղաքականություն և օբյեկտներ > Firewall Policy և ստեղծեք այսպիսի կանոն.

3. RADIUS պարամետր

6) Գնացեք Cisco ISE վեբ ինտերֆեյսի ներդիրում Քաղաքականություն > Քաղաքականության տարրեր > Բառարաններ > Համակարգ > Շառավիղ > RADIUS վաճառողներ > Ավելացնել: Այս ներդիրում մենք կավելացնենք Fortinet RADIUS-ը աջակցվող արձանագրությունների ցանկում, քանի որ գրեթե յուրաքանչյուր վաճառող ունի իր հատուկ ատրիբուտները՝ VSA (Vendor-Specific Attributes):

Fortinet RADIUS ատրիբուտների ցանկը կարելի է գտնել այստեղ. VSA-ները տարբերվում են իրենց եզակի մատակարարի ID համարով: Fortinet-ն ունի այս ID = 12356. Լի ցանկ VSA-ն հրապարակվել է IANA-ի կողմից:

7) Սահմանեք բառարանի անվանումը, նշեք Վաճառողի ID (12356) եւ սեղմել Ներկայացնել.

8) Այն բանից հետո, երբ մենք գնում ենք Վարչություն > Ցանցային սարքի պրոֆիլներ > Ավելացնել և ստեղծել նոր սարքի պրոֆիլ: RADIUS Dictionaries դաշտում ընտրեք նախկինում ստեղծված Fortinet RADIUS բառարանը և ընտրեք CoA մեթոդները՝ հետագայում ISE քաղաքականության մեջ օգտագործելու համար: Ես ընտրեցի RFC 5176 և Port Bounce (անջատում/անջատում ցանցային ինտերֆեյս) և համապատասխան VSA-ները. 

Fortinet-Access-Profile=կարդալ-գրել

Fortinet-Group-Name = fmg_faz_admins

9) Հաջորդը, ավելացրեք FortiGate-ը ISE-ի հետ կապի համար: Դա անելու համար անցեք ներդիր Վարչություն > Ցանցային ռեսուրսներ > Ցանցային սարքի պրոֆիլներ > Ավելացնել: Փոխելու ենթակա դաշտեր Անուն, վաճառող, RADIUS բառարաններ (IP հասցեն օգտագործվում է FortiGate-ի, ոչ թե FortiAP-ի կողմից):

ISE-ի կողմից RADIUS-ի կազմաձևման օրինակ

10) Դրանից հետո դուք պետք է կարգավորեք RADIUS-ը FortiGate-ի կողմում: FortiGate վեբ ինտերֆեյսում անցեք Օգտագործող և նույնականացում > RADIUS սերվերներ > Ստեղծել նոր. Նշեք անունը, IP հասցեն և Համօգտագործվող գաղտնիքը (գաղտնաբառ) նախորդ պարբերությունից: Հաջորդ սեղմեք Փորձարկեք օգտվողի հավատարմագրերը և մուտքագրեք բոլոր հավատարմագրերը, որոնք կարող են վեր հանվել RADIUS-ի միջոցով (օրինակ՝ Cisco ISE-ի տեղական օգտատեր):

11) Հյուրերի խմբին ավելացրեք RADIUS սերվեր (եթե այն գոյություն չունի), ինչպես նաև օգտագործողների արտաքին աղբյուր:

12) Մի մոռացեք ավելացնել Հյուրերի խումբը SSID-ին, որը մենք ստեղծել ենք ավելի վաղ՝ 4-րդ քայլում:

4. Օգտագործողի վավերացման կարգավորում

13) Ընտրովի, դուք կարող եք վկայագիր ներմուծել ISE հյուրի պորտալ կամ ստեղծել ինքնաստորագրված վկայագիր ներդիրում Աշխատանքային կենտրոններ > Հյուրերի մուտք > Կառավարում > Հավաստագրում > Համակարգի վկայագրեր.

14) Ներդիրից հետո Աշխատանքային կենտրոններ > Հյուրերի մուտք > Ինքնության խմբեր > Օգտատիրոջ ինքնության խմբեր > Ավելացնել ստեղծել օգտատերերի նոր խումբ հյուրերի մուտքի համար կամ օգտագործել լռելյայնները:

15) Հետագա ներդիրում Կառավարում > Ինքնություններ ստեղծել հյուր օգտվողներ և դրանք ավելացնել նախորդ պարբերության խմբերին: Եթե ​​ցանկանում եք օգտագործել երրորդ կողմի հաշիվները, ապա բաց թողեք այս քայլը:

16) Այն բանից հետո, երբ մենք գնում ենք կարգավորումներ Աշխատանքային կենտրոններ > Հյուրերի մուտք > Ինքնություններ > Ինքնության աղբյուրի հաջորդականություն > Հյուրերի պորտալի հաջորդականություն — սա հյուր օգտատերերի համար նույնականացման լռելյայն հաջորդականությունն է: Եվ դաշտում Նույնականացման որոնման ցուցակ ընտրեք օգտվողի նույնականացման կարգը:

17) Հյուրերին մեկանգամյա գաղտնաբառով ծանուցելու համար կարող եք կարգավորել SMS մատակարարներին կամ SMTP սերվերին այդ նպատակով: Գնացեք ներդիր Աշխատանքային կենտրոններ > Հյուրերի մուտք > Կառավարում > SMTP սերվեր կամ SMS Gateway մատակարարներ այս պարամետրերի համար: SMTP սերվերի դեպքում դուք պետք է հաշիվ ստեղծեք ISE-ի համար և նշեք տվյալները այս ներդիրում:

18) SMS ծանուցումների համար օգտագործեք համապատասխան ներդիրը: ISE-ն ունի հանրաճանաչ SMS պրովայդերների նախապես տեղադրված պրոֆիլներ, բայց ավելի լավ է ստեղծել ձերը: Օգտագործեք այս պրոֆիլները որպես կարգավորումների օրինակ SMS էլփոստի դարպասy կամ SMS HTTP API.

Միանգամյա գաղտնաբառի համար SMTP սերվերի և SMS դարպասի ստեղծման օրինակ

5. Հյուրերի պորտալի կարգավորում

19) Ինչպես նշվեց սկզբում, կան նախապես տեղադրված հյուրերի պորտալների 3 տեսակ՝ Hotspot, Sponsored, Self-registered: Առաջարկում եմ ընտրել երրորդ տարբերակը, քանի որ այն ամենատարածվածն է։ Ամեն դեպքում, պարամետրերը հիմնականում նույնական են: Այսպիսով, եկեք գնանք ներդիրին: Աշխատանքային կենտրոններ > Հյուրերի մուտք > Պորտալներ և բաղադրիչներ > Հյուրերի պորտալներ > Ինքնագրանցված հյուրերի պորտալ (կանխադրված): 

20) Հաջորդը, Պորտալ էջի հարմարեցման ներդիրում ընտրեք «Դիտել ռուսերեն - ռուսերեն», որպեսզի պորտալը ցուցադրվի ռուսերենով։ Դուք կարող եք փոխել ցանկացած ներդիրի տեքստը, ավելացնել ձեր պատկերանշանը և այլն: Անկյունի աջ կողմում հյուրերի պորտալի նախադիտումն է՝ ավելի լավ տեսք ունենալու համար:

Հյուրերի պորտալի կազմաձևման օրինակ ինքնագրանցմամբ

21) Սեղմեք արտահայտության վրա Պորտալի փորձարկման URL և պատճենեք պորտալի URL-ը SSID-ին FortiGate-ում քայլ 4-ում: Նմուշ URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Ձեր տիրույթը ցուցադրելու համար դուք պետք է վերբեռնեք վկայագիրը հյուրի պորտալում, տես քայլ 13:

22) Գնացեք ներդիր Աշխատանքային կենտրոններ > Հյուրերի մուտք > Քաղաքականության տարրեր > Արդյունքներ > Թույլտվության պրոֆիլներ > Ավելացնել նախկինում ստեղծվածի տակ թույլտվության պրոֆիլ ստեղծելու համար Ցանցային սարքի պրոֆիլ:

23) Ներդիրում Աշխատանքային կենտրոններ > Հյուրերի մուտք > Քաղաքականության հավաքածուներ խմբագրել մուտքի քաղաքականությունը WiFi օգտվողների համար:

24) Փորձենք միանալ հյուրի SSID-ին: Այն անմիջապես վերահղում է ինձ մուտքի էջ: Այստեղ դուք կարող եք մուտք գործել ISE-ում տեղում ստեղծված հյուրի հաշվի միջոցով կամ գրանցվել որպես հյուր օգտատեր:

25) Եթե ընտրել եք ինքնագրանցման տարբերակը, ապա մուտքի մեկանգամյա տվյալները կարող են ուղարկվել փոստով, SMS-ի միջոցով կամ տպագրվել:

26) Cisco ISE-ի RADIUS > Live Logs ներդիրում դուք կտեսնեք համապատասխան մուտքի մատյանները:

6. Եզրակացություն

Այս երկար հոդվածում մենք հաջողությամբ կարգավորել ենք հյուրի մուտքը Cisco ISE-ում, որտեղ FortiGate-ը գործում է որպես մուտքի կետի վերահսկիչ, իսկ FortiAP-ը՝ որպես մուտքի կետ: Ստացվեց մի տեսակ ոչ տրիվիալ ինտեգրում, որը ևս մեկ անգամ ապացուցում է ISE-ի լայն կիրառումը։

Cisco ISE-ն փորձարկելու համար դիմեք ՈՒղեցույցև նաև հետևեք մեր ալիքներին (Telegram, facebook, VK, TS Solution բլոգ, Յանդեքս Զեն).

Source: www.habr.com