Cisco ISE: הגדרת גישה לאורחים ב-FortiAP. חלק 3

ברוכים הבאים לפוסט השלישי בסדרת Cisco ISE. להלן קישורים לכל המאמרים בסדרה:

1. Cisco ISE: מבוא, דרישות, התקנה. חלק 1

2. Cisco ISE: יצירת משתמשים, הוספת שרתי LDAP, שילוב עם AD. חלק 2

3. Cisco ISE: הגדרת גישה לאורחים ב-FortiAP. חלק 3

בפוסט הזה, תצללו לגישה לאורחים, כמו גם מדריך שלב אחר שלב לשילוב Cisco ISE ו-FortiGate כדי להגדיר את FortiAP, נקודת גישה מ-Fortinet (באופן כללי, כל מכשיר שתומך RADIUS CoA - שינוי הרשאה).

מצורפים המאמרים שלנו. Fortinet - מבחר חומרים שימושיים.

שים לבת: התקני Check Point SMB אינם תומכים ב-RADIUS CoA.

נִפלָא מַנהִיגוּת מתאר באנגלית כיצד ליצור גישת אורח באמצעות Cisco ISE ב-Cisco WLC (בקר אלחוטי). בואו נבין את זה!

1. מבוא

גישת אורח (פורטל) מאפשרת לך לספק גישה לאינטרנט או למשאבים פנימיים לאורחים ולמשתמשים שאינך רוצה להכניס לרשת המקומית שלך. ישנם 3 סוגים מוגדרים מראש של פורטל אורחים (פורטל אורחים):

1. פורטל אורח Hotspot - גישה לרשת ניתנת לאורחים ללא נתוני התחברות. משתמשים נדרשים בדרך כלל לקבל את "מדיניות השימוש והפרטיות" של החברה לפני הגישה לרשת.

2. פורטל אורח ממומן - גישה לרשת ונתוני התחברות חייבת להיות מונפקת על ידי נותן החסות - המשתמש האחראי ליצירת חשבונות אורחים ב-Cisco ISE.

3. פורטל אורחים רשום עצמי - במקרה זה, האורחים משתמשים בפרטי התחברות קיימים, או יוצרים לעצמם חשבון עם פרטי התחברות, אך נדרש אישור ספונסר כדי לקבל גישה לרשת.

ניתן לפרוס מספר פורטלים ב-Cisco ISE בו-זמנית. כברירת מחדל, בפורטל האורחים, המשתמש יראה את הלוגו של סיסקו וביטויים נפוצים סטנדרטיים. כל זה יכול להיות מותאם אישית ואפילו להגדיר להציג מודעות חובה לפני קבלת גישה.

ניתן לחלק את הגדרת הגישה לאורחים ל-4 שלבים עיקריים: הגדרת FortiAP, קישוריות Cisco ISE ו-FortiAP, יצירת פורטל אורחים והגדרת מדיניות גישה.

2. הגדרת FortiAP ב-FortiGate

FortiGate הוא בקר נקודת גישה וכל ההגדרות מתבצעות בו. נקודות גישה של FortiAP תומכות ב-PoE, כך לאחר שחיברת אותה לרשת באמצעות Ethernet, תוכל להתחיל את התצורה.

1) ב-FortiGate, עבור לכרטיסייה Wi-Fi ובקר מתג > FortiAPs מנוהלים > צור חדש > AP מנוהל. באמצעות המספר הסידורי הייחודי של נקודת הגישה, המודפס על נקודת הגישה עצמה, הוסף אותה כאובייקט. או שהוא יכול להראות את עצמו ואז ללחוץ לְאַשֵׁר באמצעות לחצן העכבר הימני.

2) הגדרות FortiAP יכולות להיות ברירת מחדל, למשל, השאר כמו בצילום המסך. אני ממליץ בחום להפעיל את מצב ה-5 GHz, מכיוון שחלק מהמכשירים אינם תומכים ב-2.4 GHz.

3) ואז בכרטיסייה Wi-Fi ובקר מתג > פרופילי FortiAP > צור חדש אנו יוצרים פרופיל הגדרות עבור נקודת הגישה (פרוטוקול גרסה 802.11, מצב SSID, תדר ערוץ ומספרם).

דוגמה להגדרות FortiAP

4) השלב הבא הוא יצירת SSID. עבור לכרטיסייה Wi-Fi ובקר מתג > SSIDs > Create New > SSID. כאן מהחשוב יש להגדיר:

• מרחב כתובת עבור WLAN אורח - IP/Netmask

• RADIUS Accounting ו-Secure Fabric Connection בשדה גישה מנהלתית

• אפשרות זיהוי התקנים

• אפשרות SSID ושידור SSID

• הגדרות מצב אבטחה > פורטל שבוי 

• פורטל אימות - חיצוני והכנס קישור לפורטל האורחים שנוצר מ-Cisco ISE משלב 20

• קבוצת משתמשים - קבוצת אורחים - חיצונית - הוסף RADIUS ל-Cisco ISE (עמ' 6 ואילך)

דוגמה להגדרת SSID

5) לאחר מכן עליך ליצור כללים במדיניות הגישה ב-FortiGate. עבור לכרטיסייה מדיניות ואובייקטים > מדיניות חומת אש וצור כלל כזה:

3. הגדרת RADIUS

6) עבור אל ממשק האינטרנט של Cisco ISE אל הכרטיסייה מדיניות > רכיבי מדיניות > מילונים > מערכת > רדיוס > ספקי RADIUS > הוסף. בלשונית זו, נוסיף את Fortinet RADIUS לרשימת הפרוטוקולים הנתמכים, מכיוון שכמעט לכל ספק יש תכונות ספציפיות משלו - VSA (תכונות ספציפיות לספק).

ניתן למצוא רשימה של תכונות Fortinet RADIUS כאן. VSAs נבדלים על ידי מספר זיהוי הספק הייחודי שלהם. לפורטינט יש את המזהה הזה = 12356... מלא список ה-VSA פורסם על ידי IANA.

7) הגדר את שם המילון, ציין מזהה ספק (12356) ולחץ שלח.

8) אחרי שנלך ל ניהול > פרופילי התקן רשת > הוסף וליצור פרופיל מכשיר חדש. בשדה RADIUS Dictionaries, בחר את מילון Fortinet RADIUS שנוצר בעבר ובחר את שיטות ה-CoA לשימוש מאוחר יותר במדיניות ISE. בחרתי ב-RFC 5176 וב-Port Bounce (כיבוי/ללא כיבוי ממשק רשת) וב-VSAs התואמים: 

Fortinet-Access-Profile=קריאה-כתיבה

Fortinet-Group-Name = fmg_faz_admins

9) לאחר מכן, הוסף את FortiGate לקישוריות עם ISE. כדי לעשות זאת, עבור אל הכרטיסייה ניהול > משאבי רשת > פרופילי התקן רשת > הוסף. שדות שיש לשנות שם, ספק, מילוני RADIUS (כתובת ה-IP משמשת את FortiGate, לא את FortiAP).

דוגמה להגדרת RADIUS מהצד של ISE

10) לאחר מכן, עליך להגדיר את RADIUS בצד FortiGate. בממשק האינטרנט של FortiGate, עבור אל משתמש ואימות > שרתי RADIUS > צור חדש. ציין את השם, כתובת ה-IP והסוד המשותף (סיסמה) מהפסקה הקודמת. הקליק הבא בדוק את אישורי המשתמש והזן את כל האישורים שניתן לשלוף דרך RADIUS (לדוגמה, משתמש מקומי ב-Cisco ISE).

11) הוסף שרת RADIUS ל-Guest-Group (אם הוא לא קיים) וכן מקור חיצוני של משתמשים.

12) אל תשכח להוסיף את קבוצת האורחים ל-SSID שיצרנו מוקדם יותר בשלב 4.

4. הגדרת אימות משתמש

13) לחלופין, ניתן לייבא אישור לפורטל האורחים של ISE או ליצור אישור בחתימה עצמית בכרטיסייה מרכזי עבודה > גישת אורחים > ניהול > הסמכה > אישורי מערכת.

14) לאחר בכרטיסייה מרכזי עבודה > גישת אורח > קבוצות זהות > קבוצות זהות משתמש > הוסף צור קבוצת משתמשים חדשה לגישה לאורחים, או השתמש בברירת המחדל.

15) בהמשך הכרטיסייה ניהול > זהויות צור משתמשים אורחים והוסף אותם לקבוצות מהפסקה הקודמת. אם ברצונך להשתמש בחשבונות של צד שלישי, דלג על שלב זה.

16) לאחר שנעבור להגדרות מרכזי עבודה > גישת אורח > זהויות > רצף מקור זהות > רצף פורטל אורח — זהו רצף האימות המוגדר כברירת מחדל עבור משתמשים אורחים. וגם בשטח רשימת חיפוש אימות בחר את סדר אימות המשתמש.

17) כדי להודיע ​​לאורחים עם סיסמה חד פעמית, ניתן להגדיר ספקי SMS או שרת SMTP למטרה זו. עבור לכרטיסייה מרכזי עבודה > גישת אורחים > ניהול > שרת SMTP או ספקי שער SMS עבור הגדרות אלו. במקרה של שרת SMTP, עליך ליצור חשבון עבור ISE ולציין את הנתונים בכרטיסייה זו.

18) עבור התראות SMS, השתמש בכרטיסייה המתאימה. ל-ISE יש פרופילים מותקנים מראש של ספקי SMS פופולריים, אבל עדיף ליצור פרופילים משלך. השתמש בפרופילים אלה כדוגמה להגדרה שער אימייל SMSy או SMS HTTP API.

דוגמה להגדרת שרת SMTP ושער SMS לסיסמה חד פעמית

5. הקמת פורטל האורחים

19) כפי שהוזכר בהתחלה, ישנם 3 סוגים של פורטלי אורחים מותקנים מראש: Hotspot, ממומן, Self-Registered. אני מציע לבחור באפשרות השלישית, מכיוון שהיא הנפוצה ביותר. כך או כך, ההגדרות זהות במידה רבה. אז בוא נלך לכרטיסייה. מרכזי עבודה > גישת אורח > פורטלים ורכיבים > פורטלים אורחים > פורטל אורח רשום עצמי (ברירת מחדל). 

20) לאחר מכן, בכרטיסייה התאמה אישית של דף פורטל, בחר "הצג ברוסית - רוסית", כך שהפורטל יוצג ברוסית. אתה יכול לשנות את הטקסט של כל כרטיסייה, להוסיף את הלוגו שלך ועוד. בצד ימין בפינה יש תצוגה מקדימה של פורטל האורחים לתצוגה טובה יותר.

דוגמה להגדרת פורטל אורח עם רישום עצמי

21) לחץ על ביטוי כתובת אתר לבדיקת פורטל והעתק את כתובת האתר של הפורטל ל-SSID ב-FortiGate בשלב 4. כתובת אתר לדוגמה https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

כדי להציג את הדומיין שלך, עליך להעלות את האישור לפורטל האורחים, ראה שלב 13.

22) עבור לכרטיסייה מרכזי עבודה > גישת אורח > רכיבי מדיניות > תוצאות > פרופילי הרשאה > הוסף כדי ליצור פרופיל הרשאה תחת הפרופיל שנוצר קודם לכן פרופיל מכשיר רשת.

23) בכרטיסייה מרכזי עבודה > גישת אורח > ערכות מדיניות ערוך את מדיניות הגישה עבור משתמשי WiFi.

24) בואו ננסה להתחבר ל-SSID האורח. זה מפנה אותי מיד לדף ההתחברות. כאן אתה יכול להיכנס עם חשבון האורח שנוצר באופן מקומי ב-ISE, או להירשם כמשתמש אורח.

25) אם בחרת באפשרות רישום עצמי, ניתן לשלוח נתוני כניסה חד-פעמיים בדואר, ב-SMS או להדפיס.

26) בכרטיסייה RADIUS > Live Logs ב- Cisco ISE, תראה את יומני ההתחברות המתאימים.

6. מסקנה

במאמר ארוך זה, הגדרנו בהצלחה גישת אורח ב-Cisco ISE, כאשר FortiGate משמש כבקר נקודת הגישה, ו-FortiAP פועל כנקודת הגישה. זה התברר סוג של אינטגרציה לא טריוויאלית, מה שמוכיח שוב את השימוש הנרחב ב-ISE.

כדי לבדוק את Cisco ISE, צור קשר קשרוגם הישארו מעודכנים בערוצים שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS, יאנדקס זן).

מקור: www.habr.com