Benvenuti alla terza pubblicazione di una serie di articoli dedicati a Cisco ISE. Di seguito sono riportati i collegamenti a tutti gli articoli della serie:
In questa pubblicazione, approfondirai l'accesso ospite e fornirai una guida passo passo per integrare Cisco ISE e FortiGate per configurare FortiAP, un punto di accesso di Fortinet (in generale, qualsiasi dispositivo che supporti RAGGIO CoA — Modifica dell'autorizzazione).
Inoltre, allego i nostri articoli .
Nota: I dispositivi Check Point SMB non supportano RADIUS CoA.
notevole descrive in inglese come creare l'accesso ospite utilizzando Cisco ISE su un Cisco WLC (Wireless Controller). Scopriamolo!
1. introduzione
L'accesso ospite (portale) consente di fornire l'accesso a Internet o alle risorse interne agli ospiti e agli utenti che non si desidera consentire l'accesso alla rete locale. Esistono 3 tipi di Portale Ospite preinstallati:
-
Portale Hotspot Guest: l'accesso alla rete viene fornito agli ospiti senza informazioni di accesso. In genere, agli utenti viene richiesto di accettare la "Politica sull'utilizzo e sulla privacy" dell'azienda prima di accedere alla rete.
-
Portale ospite sponsorizzato: l'accesso alla rete e i dati di accesso devono essere forniti dallo sponsor, l'utente responsabile della creazione degli account ospite su Cisco ISE.
-
Portale ospiti autoregistrati: in questo caso, gli ospiti utilizzano i dati di accesso esistenti o creano un account per se stessi con i dati di accesso, ma è necessaria la conferma dello sponsor per ottenere l'accesso alla rete.
Puoi distribuire più portali contemporaneamente su Cisco ISE. Per impostazione predefinita, l'utente vedrà il logo Cisco e le frasi comuni standard nel portale ospiti. Tutto questo è personalizzabile e puoi anche impostare la visualizzazione della pubblicità obbligatoria prima di poter accedere.
La configurazione dell'accesso ospite può essere suddivisa in 4 passaggi principali: configurazione di FortiAP, definizione della connettività Cisco ISE e FortiAP, creazione di un portale ospiti e impostazione di una policy di accesso.
2. Configurazione di FortiAP su FortiGate
FortiGate è un controller del punto di accesso e tutte le impostazioni vengono eseguite su di esso. I punti di accesso FortiAP supportano PoE, quindi una volta collegato alla rete tramite Ethernet, puoi iniziare la configurazione.
1) Su FortiGate, vai alla scheda Controller WiFi e switch > FortiAP gestiti > Crea nuovo > AP gestito. Utilizzando il numero di serie univoco del punto di accesso, che si trova sul punto di accesso stesso, aggiungilo come oggetto. Oppure potrebbe apparire da solo e quindi fare clic Autorizzare utilizzando il pulsante destro del mouse.
2) Le impostazioni FortiAP potrebbero essere predefinite; ad esempio, lasciarle come nello screenshot. Consiglio vivamente di attivare la modalità 5 GHz, perché alcuni dispositivi non supportano 2.4 GHz.
3) Quindi nella scheda Controller WiFi e switch > Profili FortiAP > Crea nuovo creiamo un profilo di impostazioni per il punto di accesso (versione del protocollo 802.11, modalità SSID, frequenza del canale e numero di canali).
Esempio di impostazioni FortiAP
4) Il passo successivo è creare un SSID. Vai alla scheda Controller WiFi e switch > SSID > Crea nuovo > SSID. Ecco le cose importanti da configurare:
-
spazio indirizzi per WLAN ospite - IP/Netmask
-
RADIUS Accounting e Secure Fabric Connection nel campo Accesso amministrativo
-
Opzione di rilevamento del dispositivo
-
Opzione SSID e SSID trasmissione
-
Impostazioni modalità di sicurezza > Captive Portal
-
Portale di autenticazione - Esterno e incolla il collegamento al portale ospite creato da Cisco ISE dal passaggio 20
-
Gruppo utenti - Gruppo ospiti - Esterno - aggiungi RADIUS a Cisco ISE (sezione 6 e seguenti)
Esempio di configurazione SSID
5) Successivamente, dovresti creare regole nella politica di accesso su FortiGate. Vai alla scheda Policy e oggetti > Policy firewall e crea una regola come questa:
3. Impostazione RAGGIO
6) Andare all'interfaccia web Cisco ISE alla scheda Policy > Elementi policy > Dizionari > Sistema > Radius > Fornitori RADIUS > Aggiungi. In questa scheda aggiungeremo RADIUS di Fortinet all'elenco dei protocolli supportati, poiché quasi ogni fornitore ha i propri attributi specifici: VSA (Vendor-Specific Attributes).
È disponibile un elenco di attributi RADIUS Fortinet . I VSA si distinguono per un numero ID fornitore univoco. Fortinet ha questo ID = 12356... Pieno Il VSA è stato pubblicato dall'organizzazione IANA.
7) Imposta un nome per il dizionario, indica ID fornitore (12356) e premere Sottoscrivi.
8) Successivamente andiamo a Amministrazione > Profili dispositivo di rete > Aggiungi e creare un nuovo profilo del dispositivo. Nel campo Dizionari RADIUS, è necessario selezionare il dizionario RADIUS Fortinet creato in precedenza e selezionare i metodi CoA per utilizzarli successivamente nella policy ISE. Ho scelto RFC 5176 e Port Bounce (spegnimento/nessun arresto dell'interfaccia di rete) e il corrispondente VSA:
Profilo di accesso Fortinet = lettura-scrittura
Nome-gruppo-Fortinet = fmg_faz_admins
9) Successivamente dovresti aggiungere FortiGate per la connettività con ISE. Per fare ciò, vai alla scheda Amministrazione > Risorse di rete > Profili dispositivi di rete > Aggiungi. I campi dovrebbero essere modificati Nome, fornitore, dizionari RADIUS (L'indirizzo IP è utilizzato da FortiGate, non da FortiAP).
Esempio di configurazione RADIUS dal lato ISE
10) Successivamente, dovresti configurare RADIUS sul lato FortiGate. Nell'interfaccia web di FortiGate, vai a Utente e autenticazione > Server RADIUS > Crea nuovo. Specificare il nome, l'indirizzo IP e il segreto condiviso (password) del paragrafo precedente. Clic successivo Testare le credenziali dell'utente e immettere eventuali credenziali che possono essere recuperate tramite RADIUS (ad esempio, utente locale su Cisco ISE).
11) Aggiungi un server RADIUS al gruppo ospite (se non esiste, creane uno), così come gli utenti di origine esterni.
12) Non dimenticare di aggiungere il gruppo ospite all'SSID che abbiamo creato in precedenza nel passaggio 4.
4. Impostazione degli utenti di autenticazione
13) Facoltativamente, è possibile importare un certificato nel portale ospiti ISE o creare un certificato autofirmato nella scheda Centri di lavoro > Accesso ospite > Amministrazione > Certificazione > Certificati di sistema.
14) Dopo nella tab Centri di lavoro > Accesso ospite > Gruppi di identità > Gruppi di identità utente > Aggiungi creare un nuovo gruppo utenti per l'accesso ospite oppure utilizzare quelli predefiniti.
15) Successivamente nella scheda Amministrazione > Identità creare utenti ospiti e aggiungerli ai gruppi del paragrafo precedente. Se desideri utilizzare account di terze parti, salta questo passaggio.
16) Quindi vai alle impostazioni Centri di lavoro > Accesso ospite > Identità > Sequenza origine identità > Sequenza portale ospite - Questa è una sequenza di autenticazione predefinita per gli utenti ospiti. E sul campo Elenco di ricerca per l'autenticazione selezionare l'ordine di autenticazione dell'utente.
17) Per avvisare gli ospiti con una password monouso, è possibile configurare a questo scopo i provider SMS o il server SMTP. Vai alla scheda Centri di lavoro > Accesso ospite > Amministrazione > Server SMTP o Fornitori di gateway SMS per queste impostazioni. Nel caso di un server SMTP, è necessario creare un account per ISE e specificare i dati in questa scheda.
18) Per le notifiche SMS utilizzare l'apposita scheda. ISE ha profili preinstallati dei più diffusi provider SMS, ma è meglio crearne di propri. Utilizzare questi profili come esempio di impostazioni Gateway e-mail SMSy o API HTTP SMS.
Esempio di configurazione di un server SMTP e di un gateway SMS per una password monouso
5. Impostazione del portale ospiti
19) Come accennato in apertura, ci sono 3 tipologie di portali guest preinstallati: Hotspot, Sponsorizzato, Autoregistrato. Suggerisco di scegliere la terza opzione, poiché è la più comune. In ogni caso, le impostazioni sono in gran parte identiche. Andiamo quindi alla scheda Centri di lavoro > Accesso Guest > Portali e componenti > Portali Guest > Portale Guest autoregistrato (impostazione predefinita).
20) Successivamente, nella scheda Personalizzazione della pagina del portale, selezionare “Visualizza in russo - russo”, in modo che il portale inizi ad essere visualizzato in russo. Puoi modificare il testo di qualsiasi scheda, aggiungere il tuo logo e molto altro. Nell'angolo destro c'è un'anteprima del portale ospiti per una presentazione più comoda.
Esempio di creazione di un portale ospiti con autoregistrazione
21) Clicca sulla frase "URL di prova del portale" e copiare l'URL del portale nell'SSID sul FortiGate nel passaggio 4. URL di esempio
Affinché il tuo dominio venga visualizzato, devi caricare il certificato sul portale ospiti, vedi passaggio 13.
22) Vai alla scheda Centri di lavoro > Accesso ospite > Elementi politica > Risultati > Profili di autorizzazione > Aggiungi per creare un profilo di autorizzazione per uno creato in precedenza Profilo del dispositivo di rete.
23) Nella tab Centri di lavoro > Accesso ospite > Set di politiche modificare la politica di accesso per gli utenti WiFi.
24) Proviamo a connetterci al SSID ospite. Vengo immediatamente reindirizzato alla pagina di accesso. Qui puoi accedere con l'account ospite creato localmente su ISE o registrarti come utente ospite.
25) Se si sceglie l'opzione di autoregistrazione, i dati di accesso una tantum possono essere inviati via e-mail, via SMS o stampati.
26) Nella scheda RADIUS > Live Logs su Cisco ISE verranno visualizzati i registri di accesso corrispondenti.
6. Заключение
In questo lungo articolo, abbiamo configurato con successo l'accesso ospite su Cisco ISE, dove FortiGate funge da controller del punto di accesso e FortiAP come punto di accesso. Il risultato è una sorta di integrazione non banale, che dimostra ancora una volta la diffusione dell’ISE.
Per testare Cisco ISE, contattare , e segui anche gli aggiornamenti nei nostri canali (, , , , ).
Fonte: habr.com