Cisco ISE シリーズの XNUMX 番目の投稿へようこそ。 シリーズのすべての記事へのリンクを以下に示します。
この投稿では、ゲスト アクセスについて詳しく説明します。また、Cisco ISE と FortiGate を統合して、フォーティネットのアクセス ポイントである FortiAP(一般的には、 RADIUS CoA — 認可の変更)。
私たちの記事を添付します。 .
注意A: Check Point SMB デバイスは RADIUS CoA をサポートしていません。
素晴らしい Cisco WLC(ワイヤレス コントローラ)上で Cisco ISE を使用してゲスト アクセスを作成する方法を英語で説明しています。 考えてみましょう!
1.はじめに
ゲスト アクセス (ポータル) を使用すると、ローカル ネットワークにアクセスさせたくないゲストやユーザーに、インターネットまたは内部リソースへのアクセスを提供できます。 ゲスト ポータル (ゲスト ポータル) には 3 つの事前定義されたタイプがあります。
-
ホットスポット ゲスト ポータル - ログイン データなしでゲストにネットワークへのアクセスが提供されます。 ユーザーは通常、ネットワークにアクセスする前に、会社の「使用およびプライバシーに関するポリシー」に同意する必要があります。
-
スポンサー付きゲスト ポータル - ネットワークへのアクセスとログイン データはスポンサー、つまり Cisco ISE でのゲスト アカウントの作成を担当するユーザによって発行される必要があります。
-
自己登録ゲスト ポータル - この場合、ゲストは既存のログイン詳細を使用するか、ログイン詳細を使用して自分用のアカウントを作成しますが、ネットワークにアクセスするにはスポンサーの確認が必要です。
複数のポータルを Cisco ISE に同時に展開できます。 デフォルトでは、ゲスト ポータルでは、Cisco ロゴと標準の一般的なフレーズがユーザに表示されます。 これらはすべてカスタマイズでき、アクセスする前に必須の広告を表示するように設定することもできます。
ゲスト アクセスのセットアップは、FortiAP のセットアップ、Cisco ISE と FortiAP の接続、ゲスト ポータルの作成、およびアクセス ポリシーのセットアップの 4 つの主要な手順に分類できます。
2. FortiGate での FortiAP の構成
FortiGate はアクセス ポイント コントローラーであり、すべての設定はそれ上で行われます。 FortiAP アクセス ポイントは PoE をサポートしているため、イーサネット経由でネットワークに接続したら、設定を開始できます。
1) FortiGate で、タブに移動します WiFi とスイッチ コントローラー > マネージド FortiAP > 新規作成 > マネージド AP。 アクセス ポイント自体に印刷されているアクセス ポイントの一意のシリアル番号を使用して、アクセス ポイントをオブジェクトとして追加します。 または、それ自体が表示されてから押すこともできます 承認する マウスの右ボタンを使用します。
2) FortiAP 設定はデフォルトのままにすることができます。たとえば、スクリーンショットのように残します。 一部のデバイスは 5 GHz をサポートしていないため、2.4 GHz モードをオンにすることを強くお勧めします。
3) 次にタブで WiFi とスイッチ コントローラー > FortiAP プロファイル > 新規作成 アクセス ポイントの設定プロファイル (バージョン 802.11 プロトコル、SSID モード、チャネル周波数とその番号) を作成しています。
FortiAPの設定例
4) 次のステップは SSID を作成することです。 タブに移動 WiFi とスイッチ コントローラー > SSID > 新規作成 > SSID。 ここで重要なものを設定する必要があります。
-
ゲスト WLAN のアドレス空間 - IP/ネットマスク
-
「管理アクセス」フィールドの「RADIUS アカウンティングとセキュア ファブリック接続」
-
デバイス検出オプション
-
SSID とブロードキャスト SSID オプション
-
セキュリティモード設定 > キャプティブポータル
-
認証ポータル - 外部。ステップ 20 で Cisco ISE から作成したゲスト ポータルへのリンクを挿入します。
-
ユーザ グループ - ゲスト グループ - 外部 - Cisco ISE への RADIUS の追加 (p. 6 以降)
SSID設定例
5) 次に、FortiGate のアクセス ポリシーにルールを作成する必要があります。 タブに移動 ポリシーとオブジェクト > ファイアウォール ポリシー 次のようなルールを作成します。
3. RADIUS設定
6) Cisco ISE Web インターフェイスのタブに移動します。 [ポリシー] > [ポリシー要素] > [ディクショナリ] > [システム] > [RADIUS] > [RADIUS ベンダー] > [追加] ほぼすべてのベンダーが独自の属性である VSA (ベンダー固有属性) を持っているため、このタブでは、サポートされるプロトコルのリストに Fortinet RADIUS を追加します。
Fortinet RADIUS 属性のリストを参照してください。 。 VSA は、固有のベンダー ID 番号によって区別されます。 フォーティネットの ID は次のとおりです = 12356。 満杯 VSA は IANA によって公開されています。
7) 辞書の名前を設定し、指定します ベンダーID (12356) を押してください 送信します。
8) 行った後は [管理] > [ネットワーク デバイス プロファイル] > [追加] 新しいデバイス プロファイルを作成します。 [RADIUS Dictionaries] フィールドで、以前に作成した Fortinet RADIUS ディクショナリを選択し、後で ISE ポリシーで使用する CoA 方式を選択します。 RFC 5176 とポート バウンス (シャットダウン/シャットダウンなしネットワーク インターフェイス)、および対応する VSA を選択しました。
フォーティネットアクセスプロファイル=読み取り/書き込み
フォーティネットグループ名 = fmg_faz_admins
9) 次に、ISE と接続するために FortiGate を追加します。 これを行うには、タブに移動します [管理] > [ネットワーク リソース] > [ネットワーク デバイス プロファイル] > [追加]。 変更するフィールド 名前、ベンダー、RADIUS 辞書 (IP アドレスは FortiAP ではなく FortiGate によって使用されます)。
ISE 側からの RADIUS の設定例
10) その後、FortiGate 側で RADIUS を設定する必要があります。 FortiGate Web インターフェイスで、次の場所に移動します。 ユーザーと認証 > RADIUS サーバー > 新規作成。 前の段落で説明した名前、IP アドレス、および共有シークレット (パスワード) を指定します。 次のクリック ユーザー認証情報のテスト RADIUS 経由で取得できる資格情報(Cisco ISE のローカル ユーザなど)を入力します。
11) RADIUS サーバーをゲスト グループ (存在しない場合) および外部ユーザー ソースに追加します。
12) 手順 4 で作成した SSID にゲスト グループを忘れずに追加してください。
4. ユーザー認証設定
13) オプションで、証明書を ISE ゲスト ポータルにインポートするか、タブで自己署名証明書を作成できます。 [ワーク センター] > [ゲスト アクセス] > [管理] > [証明書] > [システム証明書].
14) タブの後 「ワークセンター」>「ゲストアクセス」>「アイデンティティグループ」>「ユーザーアイデンティティグループ」>「追加」 ゲスト アクセス用に新しいユーザー グループを作成するか、デフォルトのユーザー グループを使用します。
15) さらにタブ内 「管理」>「アイデンティティ」 ゲスト ユーザーを作成し、前の段落のグループに追加します。 サードパーティのアカウントを使用する場合は、この手順をスキップしてください。
16) 設定に移動したら ワークセンター > ゲストアクセス > ID > ID ソース シーケンス > ゲスト ポータル シーケンス — これは、ゲスト ユーザーのデフォルトの認証シーケンスです。 そしてフィールドでは 認証検索リスト ユーザー認証の順番を選択します。
17) ワンタイム パスワードをゲストに通知するには、この目的のために SMS プロバイダーまたは SMTP サーバーを構成できます。 タブに移動 「ワークセンター」>「ゲストアクセス」>「管理」>「SMTPサーバー」 または SMS ゲートウェイ プロバイダー これらの設定については。 SMTP サーバーの場合は、ISE のアカウントを作成し、このタブでデータを指定する必要があります。
18) SMS 通知の場合は、適切なタブを使用します。 ISE には、一般的な SMS プロバイダーのプロファイルがプリインストールされていますが、独自のプロファイルを作成することをお勧めします。 これらのプロファイルは設定例として使用してください SMS電子メールゲートウェイy または SMS HTTP API.
ワンタイムパスワード用のSMTPサーバーとSMSゲートウェイの設定例
5. ゲストポータルのセットアップ
19) 冒頭で述べたように、プリインストールされたゲスト ポータルには、ホットスポット、スポンサー、自己登録の 3 種類があります。 最も一般的な XNUMX 番目のオプションを選択することをお勧めします。 いずれにしても、設定はほとんど同じです。 それでは、タブに移動しましょう。 [ワーク センター] > [ゲスト アクセス] > [ポータルとコンポーネント] > [ゲスト ポータル] > [自己登録ゲスト ポータル] (デフォルト)。
20) 次に、[ポータル ページのカスタマイズ] タブで、[ポータル ページのカスタマイズ] を選択します。 「ロシア語で表示 - ロシア語」、 ポータルがロシア語で表示されるようにします。 タブのテキストを変更したり、ロゴを追加したりできます。 右側の隅には、ゲスト ポータルのプレビューが表示され、見やすくなっています。
自己登録を使用したゲスト ポータルの構成例
21) フレーズをクリックします ポータルのテスト URL ステップ 4 で、ポータル URL を FortiGate 上の SSID にコピーします。 サンプル URL
ドメインを表示するには、証明書をゲスト ポータルにアップロードする必要があります。ステップ 13 を参照してください。
22) タブに移動します [ワーク センター] > [ゲスト アクセス] > [ポリシー要素] > [結果] > [認可プロファイル] > [追加] 以前に作成した認証プロファイルの下に認証プロファイルを作成します ネットワークデバイスプロファイル。
23) タブ内 ワークセンター > ゲストアクセス > ポリシーセット WiFi ユーザーのアクセス ポリシーを編集します。
24) ゲストSSIDに接続してみます。 すぐにログインページにリダイレクトされます。 ここでは、ISE 上でローカルに作成されたゲスト アカウントを使用してログインするか、ゲスト ユーザーとして登録できます。
25) 自己登録オプションを選択した場合は、ワンタイム ログイン データをメール、SMS、または印刷で送信できます。
26) Cisco ISE の [RADIUS] > [ライブ ログ] タブに、対応するログイン ログが表示されます。
6。 結論
この長い記事では、FortiGate がアクセス ポイント コントローラとして機能し、FortiAP がアクセス ポイントとして機能する Cisco ISE でのゲスト アクセスを正常に設定しました。 これは一種の重要な統合であることが判明し、ISE が広く使用されていることを改めて証明しました。
Cisco ISE をテストするには、お問い合わせください。 私たちのチャンネルにも注目してください(, , , , ).
出所: habr.com