Selamat datang di pos ketiga dalam seri Cisco ISE. Tautan ke semua artikel dalam seri diberikan di bawah ini:
Dalam posting ini, Anda akan mempelajari akses tamu, serta panduan langkah demi langkah untuk mengintegrasikan Cisco ISE dan FortiGate untuk mengonfigurasi FortiAP, titik akses dari Fortinet (secara umum, perangkat apa pun yang mendukung RADIUS KoA β Perubahan Otorisasi).
Terlampir adalah artikel kami.
CatatanJ: Perangkat Check Point SMB tidak mendukung RADIUS CoA.
Hebat
1. Pendahuluan
Akses tamu (portal) memungkinkan Anda menyediakan akses ke Internet atau ke sumber daya internal untuk tamu dan pengguna yang tidak ingin Anda izinkan masuk ke jaringan lokal Anda. Ada 3 jenis portal tamu yang telah ditentukan sebelumnya (Portal tamu):
-
Portal Tamu Hotspot - Akses ke jaringan disediakan untuk tamu tanpa data login. Pengguna umumnya diminta untuk menerima "Kebijakan Penggunaan dan Privasi" perusahaan sebelum mengakses jaringan.
-
Portal Tamu Bersponsor - akses ke jaringan dan data login harus dikeluarkan oleh sponsor - pengguna yang bertanggung jawab untuk membuat akun tamu di Cisco ISE.
-
Portal Tamu Terdaftar Sendiri - dalam hal ini, tamu menggunakan detail login yang ada, atau membuat akun untuk diri mereka sendiri dengan detail login, tetapi konfirmasi sponsor diperlukan untuk mendapatkan akses ke jaringan.
Beberapa portal dapat digunakan di Cisco ISE secara bersamaan. Secara default, di portal tamu, pengguna akan melihat logo Cisco dan frasa umum standar. Semua ini dapat disesuaikan dan bahkan diatur untuk melihat iklan wajib sebelum mendapatkan akses.
Penyiapan akses tamu dapat dibagi menjadi 4 langkah utama: penyiapan FortiAP, konektivitas Cisco ISE dan FortiAP, pembuatan portal tamu, dan penyiapan kebijakan akses.
2. Konfigurasi FortiAP di FortiGate
FortiGate adalah pengontrol titik akses dan semua pengaturan dibuat di atasnya. Titik akses FortiAP mendukung PoE, jadi setelah Anda menghubungkannya ke jaringan melalui Ethernet, Anda dapat memulai konfigurasi.
1) Di FortiGate, buka tab Pengontrol WiFi & Sakelar > FortiAP Terkelola > Buat Baru > AP Terkelola. Menggunakan nomor seri unik titik akses, yang dicetak pada titik akses itu sendiri, tambahkan sebagai objek. Atau bisa muncul sendiri lalu tekan Mengizinkan menggunakan tombol kanan mouse.
2) Setting FortiAP bisa default, misal biarkan seperti di screenshot. Saya sangat menyarankan untuk mengaktifkan mode 5 GHz, karena beberapa perangkat tidak mendukung 2.4 GHz.
3) Kemudian di tab Pengontrol WiFi & Sakelar > Profil FortiAP > Buat Baru kami membuat profil pengaturan untuk titik akses (protokol versi 802.11, mode SSID, frekuensi saluran dan nomornya).
Contoh pengaturan FortiAP
4) Langkah selanjutnya adalah membuat SSID. Buka tab Pengontrol WiFi & Sakelar > SSID > Buat Baru > SSID. Di sini dari yang penting harus dikonfigurasi:
-
ruang alamat untuk WLAN tamu - IP/Netmask
-
Akuntansi RADIUS dan Koneksi Fabric Aman di bidang Akses Administratif
-
Opsi Deteksi Perangkat
-
Opsi SSID dan Siarkan SSID
-
Pengaturan Mode Keamanan > Captive Portal
-
Portal Otentikasi - Eksternal dan masukkan tautan ke portal tamu yang dibuat dari Cisco ISE dari langkah 20
-
Grup Pengguna - Grup Tamu - Eksternal - tambahkan RADIUS ke Cisco ISE (p. 6 dan seterusnya)
Contoh pengaturan SSID
5) Maka Anda harus membuat aturan dalam kebijakan akses di FortiGate. Buka tab Kebijakan & Objek > Kebijakan Firewall dan buat aturan seperti ini:
3. Pengaturan RADIUS
6) Buka antarmuka web Cisco ISE ke tab Kebijakan > Elemen Kebijakan > Kamus > Sistem > Radius > Vendor RADIUS > Tambah. Pada tab ini, kami akan menambahkan Fortinet RADIUS ke daftar protokol yang didukung, karena hampir setiap vendor memiliki atribut spesifiknya sendiri - VSA (Vendor-Specific Attributes).
Daftar atribut Fortinet RADIUS dapat ditemukan
7) Tetapkan nama kamus, tentukan Vendor ID (12356) dan tekan Kirimkan.
8) Setelah kita pergi ke Administrasi > Profil Perangkat Jaringan > Tambah dan buat profil perangkat baru. Di bidang Kamus RADIUS, pilih kamus Fortinet RADIUS yang dibuat sebelumnya dan pilih metode CoA untuk digunakan nanti dalam kebijakan ISE. Saya memilih RFC 5176 dan Port Bounce (shutdown/no shutdown network interface) dan VSA yang sesuai:
Fortinet-Access-Profile=baca-tulis
Nama-Grup Fortinet = fmg_faz_admins
9) Selanjutnya, tambahkan FortiGate untuk konektivitas dengan ISE. Untuk melakukan ini, buka tab Administrasi > Sumber Daya Jaringan > Profil Perangkat Jaringan > Tambah. Bidang yang akan diubah Nama, Vendor, Kamus RADIUS (Alamat IP digunakan oleh FortiGate, bukan FortiAP).
Contoh konfigurasi RADIUS dari sisi ISE
10) Setelah itu, Anda harus mengonfigurasi RADIUS di sisi FortiGate. Di antarmuka web FortiGate, buka Pengguna & Autentikasi > Server RADIUS > Buat Baru. Tentukan nama, alamat IP, dan Rahasia bersama (kata sandi) dari paragraf sebelumnya. klik berikutnya Uji Kredensial Pengguna dan masukkan kredensial apa pun yang dapat ditarik melalui RADIUS (misalnya, pengguna lokal di Cisco ISE).
11) Tambahkan server RADIUS ke Grup Tamu (jika tidak ada) serta sumber pengguna eksternal.
12) Jangan lupa untuk menambahkan Guest-Group pada SSID yang telah kita buat sebelumnya pada langkah 4.
4. Pengaturan Otentikasi Pengguna
13) Secara opsional, Anda dapat mengimpor sertifikat ke portal tamu ISE atau membuat sertifikat yang ditandatangani sendiri di tab Pusat Kerja > Akses Tamu > Administrasi > Sertifikasi > Sertifikat Sistem.
14) Setelah di tab Pusat Kerja > Akses Tamu > Grup Identitas > Grup Identitas Pengguna > Tambahkan buat grup pengguna baru untuk akses tamu, atau gunakan yang default.
15) Selanjutnya di tab Administrasi > Identitas buat pengguna tamu dan tambahkan mereka ke grup dari paragraf sebelumnya. Jika Anda ingin menggunakan akun pihak ketiga, lewati langkah ini.
16) Setelah kita masuk ke pengaturan Pusat Kerja > Akses Tamu > Identitas > Urutan Sumber Identitas > Urutan Portal Tamu β ini adalah urutan autentikasi default untuk pengguna tamu. Dan di lapangan Daftar Pencarian Otentikasi pilih urutan otentikasi pengguna.
17) Untuk memberi tahu tamu dengan kata sandi satu kali, Anda dapat mengonfigurasi penyedia SMS atau server SMTP untuk tujuan ini. Buka tab Pusat Kerja > Akses Tamu > Administrasi > Server SMTP ΠΈΠ»ΠΈ Penyedia SMS Gateway untuk pengaturan ini. Dalam kasus server SMTP, Anda perlu membuat akun untuk ISE dan menentukan datanya di tab ini.
18) Untuk notifikasi SMS, gunakan tab yang sesuai. ISE memiliki profil pra-instal dari penyedia SMS populer, tetapi lebih baik membuatnya sendiri. Gunakan profil ini sebagai contoh pengaturan Gerbang Email SMSy atau API HTTP SMS.
Contoh menyiapkan server SMTP dan gateway SMS untuk kata sandi satu kali
5. Menyiapkan portal tamu
19) Seperti disebutkan di awal, ada 3 jenis portal tamu pra-instal: Hotspot, Bersponsor, Terdaftar Sendiri. Saya sarankan memilih opsi ketiga, karena ini yang paling umum. Bagaimanapun, pengaturannya sebagian besar identik. Jadi mari kita pergi ke tab. Pusat Kerja > Akses Tamu > Portal & Komponen > Portal Tamu > Portal Tamu Terdaftar Sendiri (default).
20) Selanjutnya, pada tab Portal Page Customization, pilih βLihat dalam bahasa Rusia - Rusiaβ, sehingga portal ditampilkan dalam bahasa Rusia. Anda dapat mengubah teks tab apa pun, menambahkan logo Anda, dan lainnya. Di sudut kanan adalah pratinjau portal tamu untuk tampilan yang lebih baik.
Contoh mengonfigurasi portal tamu dengan pendaftaran mandiri
21) Klik pada frase URL uji portal dan salin URL portal ke SSID di FortiGate di langkah 4. Contoh URL
Untuk menampilkan domain Anda, Anda harus mengunggah sertifikat ke portal tamu, lihat langkah 13.
22) Buka tab Pusat Kerja > Akses Tamu > Elemen Kebijakan > Hasil > Profil Otorisasi > Tambahkan untuk membuat profil otorisasi di bawah yang dibuat sebelumnya Profil Perangkat Jaringan.
23) Di tab Pusat Kerja > Akses Tamu > Kumpulan Kebijakan edit kebijakan akses untuk pengguna WiFi.
24) Mari coba sambungkan ke SSID tamu. Itu segera mengarahkan saya ke halaman login. Di sini Anda dapat masuk dengan akun tamu yang dibuat secara lokal di ISE, atau mendaftar sebagai pengguna tamu.
25) Jika Anda telah memilih opsi pendaftaran mandiri, maka data login satu kali dapat dikirim melalui surat, melalui SMS, atau dicetak.
26) Di tab RADIUS > Live Logs di Cisco ISE, Anda akan melihat log masuk yang sesuai.
6. Kesimpulan
Dalam artikel panjang ini, kami telah berhasil mengonfigurasi akses tamu di Cisco ISE, di mana FortiGate bertindak sebagai pengontrol titik akses, dan FortiAP bertindak sebagai titik akses. Ternyata semacam integrasi non-sepele, yang sekali lagi membuktikan meluasnya penggunaan ISE.
Untuk menguji Cisco ISE, hubungi
Sumber: www.habr.com