Բարի գալուստ Cisco ISE շարքի երրորդ գրառում: Շարքի բոլոր հոդվածների հղումները տրված են ստորև.
Այս գրառման մեջ դուք կսկսեք ծանոթանալ հյուրերի մուտքին, ինչպես նաև քայլ առ քայլ ուղեցույց՝ Cisco ISE-ի և FortiGate-ի ինտեգրման համար՝ FortiAP-ը կարգավորելու համար, որը մուտքի կետ է Fortinet-ից (ընդհանուր առմամբ, ցանկացած սարք, որն աջակցում է RADIUS CoA — Լիազորման փոփոխություն):
Կից ներկայացնում ենք մեր հոդվածները։
ՆշումA. Check Point SMB սարքերը չեն աջակցում RADIUS CoA:
հրաշալի
1. Ներածություն
Հյուրերի մուտքը (պորտալ) թույլ է տալիս մուտք գործել ինտերնետ կամ ներքին ռեսուրսներ հյուրերի և օգտատերերի համար, որոնք դուք չեք ցանկանում թույլ տալ ձեր տեղական ցանցին: Գոյություն ունեն հյուրի պորտալի 3 նախապես սահմանված տեսակ (Հյուրերի պորտալ).
-
Hotspot Guest պորտալ - Ցանց մուտքը հյուրերին տրամադրվում է առանց մուտքի տվյալների: Օգտատերերից, ընդհանուր առմամբ, պահանջվում է ընդունել ընկերության «Օգտագործման և գաղտնիության քաղաքականությունը» նախքան ցանց մուտք գործելը:
-
Sponsored-Guest պորտալ - ցանցի մուտքը և մուտքի տվյալները պետք է տրամադրվեն հովանավորի կողմից՝ Cisco ISE-ում հյուրերի հաշիվներ ստեղծելու համար պատասխանատու օգտատերը:
-
Ինքնագրանցված հյուրերի պորտալ. այս դեպքում հյուրերն օգտագործում են առկա մուտքի տվյալները կամ ստեղծում են իրենց համար հաշիվ մուտքի մանրամասներով, սակայն ցանց մուտք գործելու համար պահանջվում է հովանավորի հաստատում:
Մի քանի պորտալներ կարող են տեղադրվել Cisco ISE-ում միաժամանակ: Լռելյայնորեն, հյուրի պորտալում օգտատերը կտեսնի Cisco-ի պատկերանշանը և սովորական սովորական արտահայտությունները: Այս ամենը կարող է հարմարեցվել և նույնիսկ կարգավորվել, որպեսզի դիտի պարտադիր գովազդը, նախքան հասանելիություն ստանալը:
Հյուրերի մուտքի կարգավորումը կարելի է բաժանել 4 հիմնական փուլերի՝ FortiAP-ի կարգավորում, Cisco ISE և FortiAP միացում, հյուրերի պորտալի ստեղծում և մուտքի քաղաքականության կարգավորում:
2. FortiAP-ի կարգավորում FortiGate-ում
FortiGate-ը մուտքի կետի կարգավորիչ է, և բոլոր կարգավորումները կատարվում են դրա վրա: FortiAP մուտքի կետերը աջակցում են PoE-ին, այնպես որ, երբ այն միացնեք ցանցին Ethernet-ի միջոցով, կարող եք սկսել կազմաձևումը:
1) FortiGate-ում անցեք ներդիր WiFi & Switch Controller > Կառավարվող FortiAPs > Ստեղծել նոր > Կառավարվող AP. Օգտագործելով մուտքի կետի եզակի սերիական համարը, որը տպված է հենց մուտքի կետի վրա, ավելացրեք այն որպես օբյեկտ: Կամ կարող է իրեն ցույց տալ, հետո սեղմել Լիազոր օգտագործելով մկնիկի աջ կոճակը:
2) FortiAP-ի կարգավորումները կարող են լինել լռելյայն, օրինակ՝ թողնել ինչպես սքրինշոթում: Ես բարձր խորհուրդ եմ տալիս միացնել 5 ԳՀց ռեժիմը, քանի որ որոշ սարքեր չեն աջակցում 2.4 ԳՀց:
3) Այնուհետև ներդիրում WiFi & Switch Controller > FortiAP պրոֆիլներ > Ստեղծել նոր մենք ստեղծում ենք մուտքի կետի կարգավորումների պրոֆիլ (տարբերակ 802.11 արձանագրություն, SSID ռեժիմ, ալիքի հաճախականությունը և դրանց թիվը):
FortiAP կարգավորումների օրինակ
4) Հաջորդ քայլը SSID ստեղծելն է: Գնացեք ներդիր WiFi & Switch Controller > SSIDs > Create New > SSID: Այստեղ կարևորից պետք է կազմաձևել.
-
հասցեի տարածք հյուրի WLAN-ի համար - IP/Netmask
-
RADIUS Accounting և Secure Fabric Connection Administrative Access դաշտում
-
Սարքի հայտնաբերման տարբերակ
-
SSID և Broadcast SSID տարբերակ
-
Անվտանգության ռեժիմի Կարգավորումներ > Գերի պորտալ
-
Նույնականացման պորտալ - Արտաքին և տեղադրեք հղում Cisco ISE-ից ստեղծված հյուրի պորտալին 20-րդ քայլից:
-
Օգտատերերի խումբ - Հյուրերի խումբ - Արտաքին - ավելացնել RADIUS Cisco ISE-ին (էջ 6-ից սկսած)
SSID կարգաբերման օրինակ
5) Այնուհետև դուք պետք է ստեղծեք կանոններ FortiGate-ի մուտքի քաղաքականության մեջ: Գնացեք ներդիր Քաղաքականություն և օբյեկտներ > Firewall Policy և ստեղծեք այսպիսի կանոն.
3. RADIUS պարամետր
6) Գնացեք Cisco ISE վեբ ինտերֆեյսի ներդիրում Քաղաքականություն > Քաղաքականության տարրեր > Բառարաններ > Համակարգ > Շառավիղ > RADIUS վաճառողներ > Ավելացնել: Այս ներդիրում մենք կավելացնենք Fortinet RADIUS-ը աջակցվող արձանագրությունների ցանկում, քանի որ գրեթե յուրաքանչյուր վաճառող ունի իր հատուկ ատրիբուտները՝ VSA (Vendor-Specific Attributes):
Fortinet RADIUS ատրիբուտների ցանկը կարելի է գտնել
7) Սահմանեք բառարանի անվանումը, նշեք Վաճառողի ID (12356) եւ սեղմել Ներկայացնել.
8) Այն բանից հետո, երբ մենք գնում ենք Վարչություն > Ցանցային սարքի պրոֆիլներ > Ավելացնել և ստեղծել նոր սարքի պրոֆիլ: RADIUS Dictionaries դաշտում ընտրեք նախկինում ստեղծված Fortinet RADIUS բառարանը և ընտրեք CoA մեթոդները՝ հետագայում ISE քաղաքականության մեջ օգտագործելու համար: Ես ընտրեցի RFC 5176 և Port Bounce (անջատում/անջատում ցանցային ինտերֆեյս) և համապատասխան VSA-ները.
Fortinet-Access-Profile=կարդալ-գրել
Fortinet-Group-Name = fmg_faz_admins
9) Հաջորդը, ավելացրեք FortiGate-ը ISE-ի հետ կապի համար: Դա անելու համար անցեք ներդիր Վարչություն > Ցանցային ռեսուրսներ > Ցանցային սարքի պրոֆիլներ > Ավելացնել: Փոխելու ենթակա դաշտեր Անուն, վաճառող, RADIUS բառարաններ (IP հասցեն օգտագործվում է FortiGate-ի, ոչ թե FortiAP-ի կողմից):
ISE-ի կողմից RADIUS-ի կազմաձևման օրինակ
10) Դրանից հետո դուք պետք է կարգավորեք RADIUS-ը FortiGate-ի կողմում: FortiGate վեբ ինտերֆեյսում անցեք Օգտագործող և նույնականացում > RADIUS սերվերներ > Ստեղծել նոր. Նշեք անունը, IP հասցեն և Համօգտագործվող գաղտնիքը (գաղտնաբառ) նախորդ պարբերությունից: Հաջորդ սեղմեք Փորձարկեք օգտվողի հավատարմագրերը և մուտքագրեք բոլոր հավատարմագրերը, որոնք կարող են վեր հանվել RADIUS-ի միջոցով (օրինակ՝ Cisco ISE-ի տեղական օգտատեր):
11) Հյուրերի խմբին ավելացրեք RADIUS սերվեր (եթե այն գոյություն չունի), ինչպես նաև օգտագործողների արտաքին աղբյուր:
12) Մի մոռացեք ավելացնել Հյուրերի խումբը SSID-ին, որը մենք ստեղծել ենք ավելի վաղ՝ 4-րդ քայլում:
4. Օգտագործողի վավերացման կարգավորում
13) Ընտրովի, դուք կարող եք վկայագիր ներմուծել ISE հյուրի պորտալ կամ ստեղծել ինքնաստորագրված վկայագիր ներդիրում Աշխատանքային կենտրոններ > Հյուրերի մուտք > Կառավարում > Հավաստագրում > Համակարգի վկայագրեր.
14) Ներդիրից հետո Աշխատանքային կենտրոններ > Հյուրերի մուտք > Ինքնության խմբեր > Օգտատիրոջ ինքնության խմբեր > Ավելացնել ստեղծել օգտատերերի նոր խումբ հյուրերի մուտքի համար կամ օգտագործել լռելյայնները:
15) Հետագա ներդիրում Կառավարում > Ինքնություններ ստեղծել հյուր օգտվողներ և դրանք ավելացնել նախորդ պարբերության խմբերին: Եթե ցանկանում եք օգտագործել երրորդ կողմի հաշիվները, ապա բաց թողեք այս քայլը:
16) Այն բանից հետո, երբ մենք գնում ենք կարգավորումներ Աշխատանքային կենտրոններ > Հյուրերի մուտք > Ինքնություններ > Ինքնության աղբյուրի հաջորդականություն > Հյուրերի պորտալի հաջորդականություն — սա հյուր օգտատերերի համար նույնականացման լռելյայն հաջորդականությունն է: Եվ դաշտում Նույնականացման որոնման ցուցակ ընտրեք օգտվողի նույնականացման կարգը:
17) Հյուրերին մեկանգամյա գաղտնաբառով ծանուցելու համար կարող եք կարգավորել SMS մատակարարներին կամ SMTP սերվերին այդ նպատակով: Գնացեք ներդիր Աշխատանքային կենտրոններ > Հյուրերի մուտք > Կառավարում > SMTP սերվեր կամ SMS Gateway մատակարարներ այս պարամետրերի համար: SMTP սերվերի դեպքում դուք պետք է հաշիվ ստեղծեք ISE-ի համար և նշեք տվյալները այս ներդիրում:
18) SMS ծանուցումների համար օգտագործեք համապատասխան ներդիրը: ISE-ն ունի հանրաճանաչ SMS պրովայդերների նախապես տեղադրված պրոֆիլներ, բայց ավելի լավ է ստեղծել ձերը: Օգտագործեք այս պրոֆիլները որպես կարգավորումների օրինակ SMS էլփոստի դարպասy կամ SMS HTTP API.
Միանգամյա գաղտնաբառի համար SMTP սերվերի և SMS դարպասի ստեղծման օրինակ
5. Հյուրերի պորտալի կարգավորում
19) Ինչպես նշվեց սկզբում, կան նախապես տեղադրված հյուրերի պորտալների 3 տեսակ՝ Hotspot, Sponsored, Self-registered: Առաջարկում եմ ընտրել երրորդ տարբերակը, քանի որ այն ամենատարածվածն է։ Ամեն դեպքում, պարամետրերը հիմնականում նույնական են: Այսպիսով, եկեք գնանք ներդիրին: Աշխատանքային կենտրոններ > Հյուրերի մուտք > Պորտալներ և բաղադրիչներ > Հյուրերի պորտալներ > Ինքնագրանցված հյուրերի պորտալ (կանխադրված):
20) Հաջորդը, Պորտալ էջի հարմարեցման ներդիրում ընտրեք «Դիտել ռուսերեն - ռուսերեն», որպեսզի պորտալը ցուցադրվի ռուսերենով։ Դուք կարող եք փոխել ցանկացած ներդիրի տեքստը, ավելացնել ձեր պատկերանշանը և այլն: Անկյունի աջ կողմում հյուրերի պորտալի նախադիտումն է՝ ավելի լավ տեսք ունենալու համար:
Հյուրերի պորտալի կազմաձևման օրինակ ինքնագրանցմամբ
21) Սեղմեք արտահայտության վրա Պորտալի փորձարկման URL և պատճենեք պորտալի URL-ը SSID-ին FortiGate-ում քայլ 4-ում: Նմուշ URL
Ձեր տիրույթը ցուցադրելու համար դուք պետք է վերբեռնեք վկայագիրը հյուրի պորտալում, տես քայլ 13:
22) Գնացեք ներդիր Աշխատանքային կենտրոններ > Հյուրերի մուտք > Քաղաքականության տարրեր > Արդյունքներ > Թույլտվության պրոֆիլներ > Ավելացնել նախկինում ստեղծվածի տակ թույլտվության պրոֆիլ ստեղծելու համար Ցանցային սարքի պրոֆիլ:
23) Ներդիրում Աշխատանքային կենտրոններ > Հյուրերի մուտք > Քաղաքականության հավաքածուներ խմբագրել մուտքի քաղաքականությունը WiFi օգտվողների համար:
24) Փորձենք միանալ հյուրի SSID-ին: Այն անմիջապես վերահղում է ինձ մուտքի էջ: Այստեղ դուք կարող եք մուտք գործել ISE-ում տեղում ստեղծված հյուրի հաշվի միջոցով կամ գրանցվել որպես հյուր օգտատեր:
25) Եթե ընտրել եք ինքնագրանցման տարբերակը, ապա մուտքի մեկանգամյա տվյալները կարող են ուղարկվել փոստով, SMS-ի միջոցով կամ տպագրվել:
26) Cisco ISE-ի RADIUS > Live Logs ներդիրում դուք կտեսնեք համապատասխան մուտքի մատյանները:
6. Եզրակացություն
Այս երկար հոդվածում մենք հաջողությամբ կարգավորել ենք հյուրի մուտքը Cisco ISE-ում, որտեղ FortiGate-ը գործում է որպես մուտքի կետի վերահսկիչ, իսկ FortiAP-ը՝ որպես մուտքի կետ: Ստացվեց մի տեսակ ոչ տրիվիալ ինտեգրում, որը ևս մեկ անգամ ապացուցում է ISE-ի լայն կիրառումը։
Cisco ISE-ն փորձարկելու համար դիմեք
Source: www.habr.com