Cisco ISE: Konfigurasi Akses Tamu ing FortiAP. Bagean 3

Sugeng rawuh ing kirim katelu ing seri Cisco ISE. Link menyang kabeh artikel ing seri diwenehi ing ngisor iki:

1. Cisco ISE: Pambuka, syarat, instalasi. Bagean 1

2. Cisco ISE: Nggawe pangguna, nambah server LDAP, nggabungake karo AD. Bagean 2

3. Cisco ISE: Konfigurasi Akses Tamu ing FortiAP. Bagean 3

Ing kirim iki, sampeyan bakal nyilem menyang akses tamu, uga minangka pandhuan langkah-langkah kanggo nggabungake Cisco ISE lan FortiGate kanggo ngatur FortiAP, titik akses saka Fortinet (umum, piranti apa wae sing ndhukung RADIUS CoA - Ganti Wewenang).

Dilampirake artikel kita. Fortinet - pilihan saka bahan migunani.

komentarA: Piranti Check Point SMB ora ndhukung RADIUS CoA.

apik tenan nuntun njlèntrèhaké ing Inggris carane nggawe akses tamu nggunakake Cisco ISE ing Cisco WLC (Wireless Controller). Ayo dipikirake!

1. Pambuka

Akses tamu (portal) ngidini sampeyan nyedhiyakake akses menyang Internet utawa sumber daya internal kanggo tamu lan pangguna sing ora pengin dilebokake menyang jaringan lokal. Ana 3 jinis portal tamu sing wis ditemtokake (Portal tamu):

1. Warta tamu Hotspot - Akses menyang jaringan diwenehake kanggo tamu tanpa data login. Pangguna umume kudu nampa "Kabijakan Panggunaan lan Privasi" perusahaan sadurunge ngakses jaringan.

2. Warta Sponsored-Tamu - akses menyang jaringan lan data login kudu ditanggepi dening sponsor - pangguna sing tanggung jawab kanggo nggawe akun tamu ing Cisco ISE.

3. Portal Tamu Kadhaptar Mandhiri - ing kasus iki, tamu nggunakake rincian login sing ana, utawa nggawe akun kanggo awake dhewe kanthi rincian login, nanging konfirmasi sponsor dibutuhake kanggo entuk akses menyang jaringan.

Multiple portal bisa disebarake ing Cisco ISE ing wektu sing padha. Kanthi gawan, ing portal tamu, pangguna bakal weruh logo Cisco lan frase umum standar. Kabeh iki bisa disesuaikan lan malah disetel kanggo ndeleng iklan wajib sadurunge entuk akses.

Persiyapan akses tamu bisa dipérang dadi 4 langkah utama: persiyapan FortiAP, konektivitas Cisco ISE lan FortiAP, nggawe portal tamu, lan persiyapan kabijakan akses.

2. Konfigurasi FortiAP ing FortiGate

FortiGate minangka pengontrol titik akses lan kabeh setelan digawe. Titik akses FortiAP ndhukung PoE, dadi yen sampeyan wis nyambung menyang jaringan liwat Ethernet, sampeyan bisa miwiti konfigurasi.

1) Ing FortiGate, pindhah menyang tab Pengontrol WiFi & Ngalih > Ngatur FortiAPs > Gawe Anyar > Ngatur AP. Nggunakake nomer serial unik titik akses kang, kang dicithak ing jalur akses dhewe, nambah minangka obyek. Utawa bisa nuduhake dhewe banjur pencet Panguwasa nggunakake tombol mouse tengen.

2) Setelan FortiAP bisa dadi standar, contone, ninggalake kaya ing gambar. Aku banget nyaranake nguripake mode 5 GHz, amarga sawetara piranti ora ndhukung 2.4 GHz.

3) Banjur ing tab Pengontrol WiFi & Ngalih > Profil FortiAP > Gawe Anyar kita nggawe profil setelan kanggo jalur akses (versi 802.11 protokol, mode SSID, frekuensi saluran lan nomer).

Conto setelan FortiAP

4) Langkah sabanjure yaiku nggawe SSID. Pindhah menyang tab WiFi & Switch Controller > SSIDs > Create New > SSID. Kene saka sing penting kudu dikonfigurasi:

• papan alamat kanggo WLAN tamu - IP / Netmask

• Akuntansi RADIUS lan Sambungan Kain Aman ing kolom Akses Administratif

• Pilihan Deteksi piranti

• Pilihan SSID lan Broadcast SSID

• Setelan Mode Keamanan > Portal Captive 

• Portal Authentication - Eksternal lan lebokake link menyang portal tamu sing digawe saka Cisco ISE saka langkah 20

• Grup Panganggo - Grup Tamu - Eksternal - tambah RADIUS menyang Cisco ISE (p. 6 terus)

Tuladha setelan SSID

5) Banjur sampeyan kudu nggawe aturan ing kabijakan akses ing FortiGate. Pindhah menyang tab Kebijakan & Obyek > Kebijakan Firewall lan nggawe aturan kaya iki:

3. Setelan RADIUS

6) Pindhah menyang antarmuka web Cisco ISE menyang tab Kebijakan> Elemen Kebijakan> Kamus> Sistem> Radius> Vendor RADIUS> Tambah. Ing tab iki, kita bakal nambah Fortinet RADIUS menyang dhaptar protokol sing didhukung, amarga meh saben vendor duwe atribut khusus dhewe - VSA (Atribut Khusus Vendor).

Dhaptar atribut Fortinet RADIUS bisa ditemokake kene. VSA dibedakake kanthi nomer ID Vendor sing unik. Fortinet duwe ID iki = 12356... kebak dhaftar VSA wis diterbitake dening IANA.

7) Setel jeneng kamus, nemtokake ID vendor (12356) lan penet Kirim.

8) Sawise kita menyang Administrasi > Profil Piranti Jaringan > Tambah lan nggawe profil piranti anyar. Ing kolom Kamus RADIUS, pilih kamus Fortinet RADIUS sing wis digawe sadurunge lan pilih metode CoA sing bakal digunakake ing kebijakan ISE. Aku milih RFC 5176 lan Port Bounce (mati / ora ana antarmuka jaringan mati) lan VSA sing cocog: 

Fortinet-Access-Profile=waca-tulis

Fortinet-Group-Jeneng = fmg_faz_admins

9) Sabanjure, nambah FortiGate kanggo konektivitas karo ISE. Kanggo nindakake iki, pindhah menyang tab Administrasi> Sumber Daya Jaringan> Profil Piranti Jaringan> Tambah. Fields kanggo diganti Jeneng, Vendor, RADIUS Kamus (Alamat IP digunakake dening FortiGate, dudu FortiAP).

Conto konfigurasi RADIUS saka sisih ISE

10) Sawise iku, sampeyan kudu ngatur RADIUS ing sisih FortiGate. Ing antarmuka web FortiGate, pindhah menyang Pangguna & Otentikasi > Server RADIUS > Gawe Anyar. Nemtokake jeneng, alamat IP lan Rahasia sing dienggo bareng (sandi) saka paragraf sadurunge. Sabanjure klik Test Kredensial Panganggo lan ketik sembarang Diverifikasi sing bisa ditarik munggah liwat RADIUS (Contone, pangguna lokal ing Cisco ISE).

11) Tambah server RADIUS menyang Guest-Group (yen ora ana) uga sumber eksternal saka pangguna.

12) Aja lali nambah Guest-Group menyang SSID sing digawe sadurunge ing langkah 4.

4. Setelan Otentikasi pangguna

13) Opsional, sampeyan bisa ngimpor sertifikat menyang portal tamu ISE utawa nggawe sertifikat sing ditandatangani dhewe ing tab Pusat Kerja> Akses Tamu> Administrasi> Sertifikasi> Sertifikat Sistem.

14) Sawise ing tab Pusat Kerja > Akses Tamu > Grup Identitas > Grup Identitas Panganggo > Tambah nggawe grup panganggo anyar kanggo akses tamu, utawa nggunakake standar.

15) Luwih ing tab Administrasi > Identitas nggawe pangguna tamu lan tambahake menyang grup saka paragraf sadurunge. Yen sampeyan pengin nggunakake akun pihak katelu, lewati langkah iki.

16) Sawise kita pindhah menyang setelan Pusat Kerja > Akses Tamu > Identitas > Urutan Sumber Identitas > Urutan Portal Tamu — iki minangka urutan otentikasi standar kanggo pangguna tamu. Lan ing lapangan Dhaptar Panelusuran Otentikasi pilih pesenan otentikasi pangguna.

17) Kanggo menehi kabar marang tamu kanthi tembung sandhi sepisan, sampeyan bisa ngatur panyedhiya SMS utawa server SMTP kanggo tujuan iki. Pindhah menyang tab Pusat Kerja> Akses Tamu> Administrasi> Server SMTP utawa Panyedhiya SMS Gateway kanggo setelan kasebut. Ing kasus server SMTP, sampeyan kudu nggawe akun kanggo ISE lan nemtokake data ing tab iki.

18) Kanggo kabar SMS, gunakake tab sing cocog. ISE wis diinstal profil panyedhiya SMS populer, nanging luwih apik kanggo nggawe dhewe. Gunakake profil iki minangka conto setelan SMS Gateway Emaily utawa SMS HTTP API.

Conto nyetel server SMTP lan gateway SMS kanggo sandhi siji-wektu

5. Nyetel portal tamu

19) Kaya sing kasebut ing wiwitan, ana 3 jinis portal tamu sing wis diinstal: Hotspot, Sponsored, Self-Registered. Aku suggest milih opsi katelu, minangka sing paling umum. Ing kasus apa wae, setelan kasebut meh padha. Dadi ayo pindhah menyang tab. Pusat Kerja > Akses Tamu > Portal & Komponen > Portal Tamu > Portal Tamu Kadhaptar Mandiri (standar). 

20) Sabanjure, ing tab Kustomisasi Halaman Portal, pilih "Deleng ing Rusia - Rusian", supaya portal ditampilake ing basa Rusia. Sampeyan bisa ngganti teks tab apa wae, nambah logo, lan liya-liyane. Ing sisih tengen pojok ana pratinjau portal tamu kanggo tampilan sing luwih apik.

Conto konfigurasi portal tamu kanthi registrasi dhewe

21) Klik ing frasa URL tes portal lan nyalin URL portal menyang SSID ing FortiGate ing langkah 4. Sample URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Kanggo nampilake domain sampeyan, sampeyan kudu ngunggah sertifikat menyang portal tamu, deleng langkah 13.

22) Pindhah menyang tab Pusat Kerja> Akses Tamu> Elemen Kebijakan> Hasil> Profil Wewenang> Tambah kanggo nggawe profil wewenang miturut sing wis digawe sadurunge Profil Piranti Jaringan.

23) Ing tab Pusat Kerja> Akses Tamu> Set Kebijakan ngowahi kabijakan akses kanggo pangguna WiFi.

24) Ayo nyoba nyambung menyang SSID tamu. Iku langsung pangalihan kula menyang kaca login. Ing kene sampeyan bisa mlebu nganggo akun tamu sing digawe sacara lokal ing ISE, utawa ndhaptar minangka pangguna tamu.

25) Yen sampeyan wis milih opsi registrasi dhewe, banjur data login siji-wektu bisa dikirim liwat mail, liwat SMS, utawa dicithak.

26) Ing tab RADIUS> Live Log ing Cisco ISE, sampeyan bakal weruh log mlebu sing cocog.

6. Kesimpulan

Ing artikel dawa iki, kita wis kasil ngatur akses tamu ing Cisco ISE, ngendi FortiGate tumindak minangka controller titik akses, lan FortiAP tumindak minangka titik akses. Ternyata jenis integrasi sing ora pati penting, sing sepisan maneh mbuktekake panggunaan ISE sing nyebar.

Kanggo test Cisco ISE, hubungi linklan uga tetep dirungokake ing saluran kita (Telegram, Facebook, VK, Blog Solusi TS, Yandex Zen).

Source: www.habr.com