Velkomin í þriðju færsluna í Cisco ISE seríunni. Tenglar á allar greinar í seríunni eru gefnar hér að neðan:
Í þessari færslu munt þú kafa í aðgang gesta, sem og skref-fyrir-skref leiðbeiningar um að samþætta Cisco ISE og FortiGate til að stilla FortiAP, aðgangsstað frá Fortinet (almennt séð hvaða tæki sem styður RADIUS CoA — Breyting á heimild).
Meðfylgjandi eru greinar okkar. .
AthugiðA: Check Point SMB tæki styðja ekki RADIUS CoA.
dásamlegt lýsir á ensku hvernig á að búa til gestaaðgang með því að nota Cisco ISE á Cisco WLC (Wireless Controller). Við skulum finna það út!
1. Inngangur
Gestaaðgangur (gátt) gerir þér kleift að veita aðgang að internetinu eða að innri auðlindum fyrir gesti og notendur sem þú vilt ekki hleypa inn á staðarnetið þitt. Það eru 3 fyrirfram skilgreindar gerðir gestagátta (gestagátt):
-
Hotspot gestagátt - Aðgangur að netinu er veittur gestum án innskráningargagna. Notendur þurfa almennt að samþykkja "Notunar- og persónuverndarstefnu" fyrirtækisins áður en þeir fara inn á netið.
-
Sponsored-Guest portal - aðgangur að netinu og innskráningargögn verða að vera gefin út af styrktaraðila - notandanum sem ber ábyrgð á að búa til gestareikninga á Cisco ISE.
-
Sjálfskráð gestagátt - í þessu tilviki nota gestir núverandi innskráningarupplýsingar eða stofna reikning fyrir sig með innskráningarupplýsingum, en staðfestingu styrktaraðila er krafist til að fá aðgang að netinu.
Hægt er að nota margar gáttir á Cisco ISE á sama tíma. Sjálfgefið, í gestagáttinni, mun notandinn sjá Cisco lógóið og venjulegar algengar setningar. Allt þetta er hægt að aðlaga og jafnvel stilla til að skoða lögboðnar auglýsingar áður en þú færð aðgang.
Uppsetningu gestaaðgangs er hægt að skipta niður í 4 meginþrep: FortiAP uppsetningu, Cisco ISE og FortiAP tengingu, stofnun gestagáttar og uppsetning aðgangsstefnu.
2. Stilling FortiAP á FortiGate
FortiGate er aðgangsstaðastýring og allar stillingar eru gerðar á honum. FortiAP aðgangsstaðir styðja PoE, þannig að þegar þú hefur tengt það við netið í gegnum Ethernet geturðu ræst uppsetninguna.
1) Á FortiGate, farðu í flipann WiFi og rofa stjórnandi > Stýrður FortiAPs > Búa til nýtt > Stýrt AP. Notaðu einstakt raðnúmer aðgangsstaðarins, sem er prentað á aðgangsstaðinn sjálfan, bættu því við sem hlut. Eða það getur sýnt sig og ýtt síðan á Leyfa með því að nota hægri músarhnappinn.
2) FortiAP stillingar geta verið sjálfgefnar, til dæmis, leyfið eins og á skjámyndinni. Ég mæli eindregið með því að kveikja á 5 GHz stillingunni því sum tæki styðja ekki 2.4 GHz.
3) Síðan í flipa WiFi og rofa stjórnandi > FortiAP snið > Búa til nýtt við erum að búa til stillingarsnið fyrir aðgangsstaðinn (útgáfa 802.11 samskiptareglur, SSID ham, rásartíðni og númer þeirra).
FortiAP stillingar dæmi
4) Næsta skref er að búa til SSID. Farðu í flipa WiFi & Switch Controller > SSID > Búa til nýtt > SSID. Hér frá mikilvægu ætti að vera stillt:
-
heimilisfangsrými fyrir WLAN gesta - IP/netmaska
-
RADIUS bókhald og örugg efnistenging í reitnum Stjórnunaraðgangur
-
Tækjaskynjun valkostur
-
SSID og Broadcast SSID valkostur
-
Öryggisstillingar > Fangagátt
-
Authentication Portal - Ytri og settu inn tengil á stofnaða gestagátt frá Cisco ISE frá skrefi 20
-
Notendahópur - Gestahópur - Ytri - bættu RADIUS við Cisco ISE (bls. 6 og áfram)
SSID stillingardæmi
5) Þá ættir þú að búa til reglur í aðgangsstefnunni á FortiGate. Farðu í flipa Stefna og hlutir > Eldveggsstefna og búðu til reglu eins og þessa:
3. RADIUS stilling
6) Farðu í Cisco ISE vefviðmótið í flipann Stefna > Stefna > Orðabækur > Kerfi > Radíus > RADIUS söluaðilar > Bæta við. Í þessum flipa munum við bæta Fortinet RADIUS við listann yfir studdar samskiptareglur, þar sem næstum hver söluaðili hefur sína sérstaka eiginleika - VSA (Vendor-Specific Attributes).
Lista yfir Fortinet RADIUS eiginleika má finna . VSAs eru aðgreindar með einstöku kennitölu lánardrottins. Fortinet hefur þetta auðkenni = 12356... Fullt VSA hefur verið gefið út af IANA.
7) Stilltu heiti orðabókarinnar, tilgreindu Auðkenni söluaðila (12356) og ýttu á Sendu inn.
8) Eftir að við förum til Stjórnun > Snið nettækja > Bæta við og búðu til nýtt tækjasnið. Í RADIUS Dictionaries reitnum skaltu velja áður stofnaða Fortinet RADIUS orðabók og velja CoA aðferðir til að nota síðar í ISE stefnunni. Ég valdi RFC 5176 og Port Bounce (lokun / engin lokun netviðmót) og samsvarandi VSA:
Fortinet-Access-Profile=lesa-skrifa
Fortinet-Group-Name = fmg_faz_admins
9) Næst skaltu bæta FortiGate við fyrir tengingu við ISE. Til að gera þetta, farðu í flipann Stjórnun > Netauðlindir > Snið nettækja > Bæta við. Reitum sem á að breyta Nafn, söluaðili, RADIUS Orðabækur (IP tölu er notuð af FortiGate, ekki FortiAP).
Dæmi um að stilla RADIUS frá ISE hlið
10) Eftir það ættir þú að stilla RADIUS á FortiGate hliðinni. Í FortiGate vefviðmótinu, farðu til Notandi og auðkenning > RADIUS Servers > Búa til nýtt. Tilgreindu nafn, IP tölu og Samnýtt leyndarmál (lykilorð) frá fyrri málsgrein. Næsti smellur Prófaðu notandaskilríki og sláðu inn öll skilríki sem hægt er að draga upp í gegnum RADIUS (til dæmis staðbundinn notanda á Cisco ISE).
11) Bættu RADIUS miðlara við gestahópinn (ef hann er ekki til) sem og utanaðkomandi notendauppsprettu.
12) Ekki gleyma að bæta gestahópnum við SSID sem við bjuggum til fyrr í skrefi 4.
4. Notendavottunarstilling
13) Valfrjálst geturðu flutt inn vottorð á ISE gestagáttina eða búið til sjálfundirritað vottorð í flipanum Vinnumiðstöðvar > Aðgangur gesta > Stjórnun > Vottun > Kerfisvottorð.
14) Eftir í flipa Vinnumiðstöðvar > Gestaaðgangur > Auðkennishópar > Auðkennishópar notenda > Bæta við búðu til nýjan notendahóp fyrir gestaaðgang, eða notaðu sjálfgefnu.
15) Nánar í flipanum Stjórnsýsla > Auðkenni búa til gestanotendur og bæta þeim við hópana frá fyrri málsgrein. Ef þú vilt nota þriðja aðila reikninga skaltu sleppa þessu skrefi.
16) Eftir að við förum í stillingarnar Vinnumiðstöðvar > Aðgangur gesta > Auðkenni > Auðkennisupprunaröð > Gestagáttaröð — þetta er sjálfgefin auðkenningaröð fyrir gestanotendur. Og á sviði Auðkenningarleitarlisti veldu notendavottunarpöntunina.
17) Til að tilkynna gestum með einu sinni lykilorði geturðu stillt SMS veitur eða SMTP netþjón í þessum tilgangi. Farðu í flipa Vinnumiðstöðvar > Gestaaðgangur > Stjórnun > SMTP þjónn eða SMS Gateway veitendur fyrir þessar stillingar. Ef um er að ræða SMTP netþjón þarftu að búa til reikning fyrir ISE og tilgreina gögnin í þessum flipa.
18) Fyrir SMS tilkynningar, notaðu viðeigandi flipa. ISE er með foruppsett snið af vinsælum SMS-veitum, en það er betra að búa til þitt eigið. Notaðu þessi snið sem dæmi um stillingu SMS tölvupóstgátty eða SMS HTTP API.
Dæmi um að setja upp SMTP-þjón og SMS-gátt fyrir eitt skipti lykilorð
5. Uppsetning gestagáttarinnar
19) Eins og fram kemur í upphafi eru 3 tegundir af fyrirfram uppsettum gestagáttum: Hotspot, Sponsored, Self-Registered. Ég legg til að þú veljir þriðja kostinn, þar sem hann er algengastur. Hvort heldur sem er, stillingarnar eru að mestu eins. Svo förum við í flipann. Vinnumiðstöðvar > Gestaaðgangur > Gáttir og íhlutir > Gestagáttir > Sjálfskráð gestagátt (sjálfgefið).
20) Næst skaltu velja á flipanum Portal Page Customization "Skoða á rússnesku - rússnesku", þannig að gáttin birtist á rússnesku. Þú getur breytt texta hvers flipa, bætt við lógóinu þínu og fleira. Hægra megin í horninu er sýnishorn af gestagáttinni til að fá betri sýn.
Dæmi um að stilla gestagátt með sjálfsskráningu
21) Smelltu á setningu Gáttarprófunarslóð og afritaðu vefslóð gáttarinnar yfir á SSID á FortiGate í skrefi 4. Dæmi um vefslóð
Til að sýna lénið þitt verður þú að hlaða upp vottorðinu á gestagáttina, sjá skref 13.
22) Farðu í flipa Vinnumiðstöðvar > Aðgangur gesta > Stefna > Niðurstöður > Heimildarsnið > Bæta við til að búa til heimildarsnið undir því sem áður var búið til Snið nettækis.
23) Í flipa Vinnumiðstöðvar > Gestaaðgangur > Reglusett breyta aðgangsstefnunni fyrir WiFi notendur.
24) Við skulum reyna að tengjast SSID gesta. Það vísar mér strax á innskráningarsíðuna. Hér getur þú skráð þig inn með gestareikningnum sem stofnaður var á staðnum á ISE, eða skráð þig sem gestanotanda.
25) Ef þú hefur valið valmöguleikann fyrir sjálfsskráningu, þá er hægt að senda innskráningargögn í eitt skipti með pósti, með SMS eða prenta út.
26) Í RADIUS > Live Logs flipanum á Cisco ISE muntu sjá samsvarandi innskráningarskrár.
6. Niðurstaða
Í þessari löngu grein höfum við stillt gestaaðgang á Cisco ISE, þar sem FortiGate gegnir hlutverki aðgangsstaðastýringar, og FortiAP virkar sem aðgangsstaður. Það reyndist eins konar óléttvæg samþætting, sem enn og aftur sannar víðtæka notkun ISE.
Til að prófa Cisco ISE, hafðu samband við og fylgstu líka með á rásunum okkar (, , , , ).
Heimild: www.habr.com