Бұл жазбада сіз қонақтарға қолжетімділікке, сондай-ақ Fortinet кіру нүктесін (жалпы алғанда, қолдау көрсететін кез келген құрылғы) FortiAP конфигурациялау үшін Cisco ISE және FortiGate біріктіру бойынша қадамдық нұсқаулықпен танысасыз. RADIUS CoA — рұқсатты өзгерту).
ескертуA: Check Point SMB құрылғылары RADIUS CoA қолдамайды.
Керемет көшбасшылық ағылшын тілінде Cisco WLC (сымсыз контроллер) құрылғысында Cisco ISE көмегімен қонаққа кіру рұқсатын жасау жолын сипаттайды. Оны анықтап алайық!
1. Кіріспе
Қонақ қатынасы (портал) жергілікті желіге рұқсат еткіңіз келмейтін қонақтар мен пайдаланушылар үшін Интернетке немесе ішкі ресурстарға кіруді қамтамасыз етуге мүмкіндік береді. Қонақ порталының алдын ала анықталған 3 түрі бар (Қонақ порталы):
Hotspot Қонақ порталы - Желіге кіру қонақтарға кіру деректерінсіз беріледі. Пайдаланушылар әдетте желіге кірмес бұрын компанияның «Пайдалану және құпиялылық саясатын» қабылдауы қажет.
Sponsored-Guest порталы - желіге кіру және кіру деректерін демеуші - Cisco ISE-де қонақ тіркелгілерін жасауға жауапты пайдаланушы беруі керек.
Өзін-өзі тіркелген Қонақ порталы - бұл жағдайда қонақтар бар кіру мәліметтерін пайдаланады немесе кіру мәліметтерімен өздері үшін тіркелгі жасайды, бірақ желіге кіру үшін демеуші растау қажет.
Cisco ISE жүйесінде бір уақытта бірнеше порталды орналастыруға болады. Әдепкі бойынша, қонақ порталында пайдаланушы Cisco логотипін және стандартты жалпы сөз тіркестерін көреді. Мұның бәрін теңшеуге және тіпті рұқсат алудан бұрын міндетті жарнамаларды көруге орнатуға болады.
Қонақтарға кіруді орнатуды 4 негізгі қадамға бөлуге болады: FortiAP орнату, Cisco ISE және FortiAP қосылымы, қонақ порталын жасау және қатынас саясатын орнату.
2. FortiGate жүйесінде FortiAP конфигурациялау
FortiGate – кіру нүктесі контроллері және оған барлық параметрлер жасалған. FortiAP кіру нүктелері PoE протоколын қолдайды, сондықтан оны желіге Ethernet арқылы қосқаннан кейін конфигурацияны бастауға болады.
1) FortiGate қолданбасында қойындыға өтіңіз WiFi және коммутатор контроллері > Басқарылатын FortiAPs > Жаңасын жасау > Басқарылатын кіру нүктесі. Кіру нүктесінің өзінде басып шығарылатын кіру нүктесінің бірегей сериялық нөмірін пайдаланып, оны нысан ретінде қосыңыз. Немесе ол өзін көрсетіп, содан кейін басуы мүмкін Рұқсат ету тінтуірдің оң жақ батырмасы арқылы.
2) FortiAP параметрлері әдепкі болуы мүмкін, мысалы, скриншоттағыдай қалдырыңыз. Мен 5 ГГц режимін қосуды ұсынамын, себебі кейбір құрылғылар 2.4 ГГц қолдамайды.
3) Содан кейін қойындыда WiFi және коммутатор контроллері > FortiAP профильдері > Жаңасын жасау біз кіру нүктесі үшін параметрлер профилін жасаймыз (802.11 протоколының нұсқасы, SSID режимі, арна жиілігі және олардың саны).
FortiAP параметрлерінің мысалы
4) Келесі қадам - SSID жасау. Қойындыға өтіңіз WiFi және коммутатор контроллері > SSIDs > Жаңасын жасау > SSID. Мұнда ең маңыздысын конфигурациялау керек:
қонақ WLAN үшін мекенжай кеңістігі - IP/Желі маскасы
Әкімшілік қатынас өрісіндегі RADIUS есепке алу және қауіпсіз құрылымды қосу
Құрылғыны анықтау опциясы
SSID және Broadcast SSID опциясы
Қауіпсіздік режимінің параметрлері > Қауіпсіздік порталы
Аутентификация порталы - Сыртқы және 20-қадамнан Cisco ISE-ден жасалған қонақ порталына сілтемені кірістіріңіз
Пайдаланушы тобы - Қонақ тобы - Сыртқы - Cisco ISE-ге RADIUS қосыңыз (6-беттен кейін)
SSID параметрінің мысалы
5) Содан кейін FortiGate жүйесіндегі қатынас саясатында ережелер жасау керек. Қойындыға өтіңіз Саясат және нысандар > Брандмауэр саясаты және келесідей ереже жасаңыз:
3. RADIUS параметрі
6) Cisco ISE веб-интерфейсіне қойындыға өтіңіз Саясат > Саясат элементтері > Сөздіктер > Жүйе > Радиус > RADIUS жеткізушілері > Қосу. Бұл қойындыда біз Fortinet RADIUS-ты қолдау көрсетілетін протоколдар тізіміне қосамыз, өйткені әрбір дерлік жеткізушінің өзіндік атрибуттары бар - VSA (Vendor-Specific Attributes).
Fortinet RADIUS атрибуттарының тізімін табуға болады осында. VSAs бірегей Жеткізуші ID нөмірімен ерекшеленеді. Fortinet идентификаторына ие = 12356... Толық тізім VSA IANA жариялады.
7) Сөздіктің атын белгілеңіз, көрсетіңіз Сатушы идентификаторы (12356) және түймесін басыңыз Жіберу.
8) Біз барғаннан кейін Әкімшілік > Желілік құрылғы профильдері > Қосу және жаңа құрылғы профилін жасаңыз. RADIUS сөздіктері өрісінде бұрын жасалған Fortinet RADIUS сөздігін таңдаңыз және кейінірек ISE саясатында қолданылатын CoA әдістерін таңдаңыз. Мен RFC 5176 және Port Bounce (желі интерфейсін өшіру/өшіру жоқ) және сәйкес VSA таңдадым:
Fortinet-Access-Profile=оқу-жазу
Fortinet тобының атауы = fmg_faz_admins
9) Содан кейін ISE-мен қосылу үшін FortiGate қосыңыз. Мұны істеу үшін қойындыға өтіңіз Әкімшілік > Желілік ресурстар > Желілік құрылғы профильдері > Қосу. Өзгертілетін өрістер Аты, жеткізуші, RADIUS сөздіктері (IP мекенжайын FortiAP емес, FortiGate пайдаланады).
ISE жағынан RADIUS конфигурациялау мысалы
10) Осыдан кейін сіз FortiGate жағында RADIUS конфигурациялауыңыз керек. FortiGate веб-интерфейсінде мына мекенжайға өтіңіз Пайдаланушы және аутентификация > RADIUS серверлері > Жаңасын жасау. Алдыңғы абзацтағы атын, IP мекенжайын және ортақ құпияны (құпия сөз) көрсетіңіз. Келесі басыңыз Пайдаланушының тіркелгі деректерін тексеріңіз және RADIUS арқылы алуға болатын кез келген тіркелгі деректерін енгізіңіз (мысалы, Cisco ISE жүйесіндегі жергілікті пайдаланушы).
11) Қонақ тобына RADIUS серверін (егер ол жоқ болса), сондай-ақ пайдаланушылардың сыртқы көзін қосыңыз.
12) Қонақ тобын біз 4-қадамда бұрын жасаған SSID-ге қосуды ұмытпаңыз.
4. Пайдаланушы аутентификация параметрі
13) Таңдау бойынша сертификатты ISE қонақ порталына импорттай аласыз немесе қойындыда өздігінен қол қойылған куәлікті жасай аласыз Жұмыс орталықтары > Қонақ қатынасы > Әкімшілік > Сертификаттау > Жүйе сертификаттары.
14) Қойындыда кейін Жұмыс орталықтары > Қонақ қатынасы > Сәйкестік топтары > Пайдаланушы идентификациялық топтары > Қосу қонақтарға кіру үшін жаңа пайдаланушылар тобын жасаңыз немесе әдепкілерді пайдаланыңыз.
15) Одан әрі қойындыда Әкімшілік > Идентификаторлар қонақ пайдаланушыларды жасаңыз және оларды алдыңғы абзацтағы топтарға қосыңыз. Үшінші тарап тіркелгілерін пайдаланғыңыз келсе, бұл қадамды өткізіп жіберіңіз.
16) Параметрлерге өткеннен кейін Жұмыс орталықтары > Қонақ қатынасы > Идентификаторлар >Сәйкестендіру көзі реті > Қонақ порталының реті — бұл қонақ пайдаланушылар үшін әдепкі аутентификация реті. Және далада Аутентификация іздеу тізімі пайдаланушы аутентификация тәртібін таңдаңыз.
17) Қонақтарды бір реттік құпия сөзбен хабардар ету үшін осы мақсат үшін SMS провайдерлерін немесе SMTP серверін конфигурациялауға болады. Қойындыға өтіңіз Жұмыс орталықтары > Қонақ қатынасы > Басқару > SMTP сервері немесе SMS шлюз провайдерлері осы параметрлер үшін. SMTP сервері жағдайында ISE үшін тіркелгі жасау және осы қойындыда деректерді көрсету қажет.
18) SMS хабарламалары үшін сәйкес қойындыны пайдаланыңыз. ISE-де танымал SMS провайдерлерінің алдын ала орнатылған профильдері бар, бірақ оны өзіңіз жасаған дұрыс. Бұл профильдерді орнату үлгісі ретінде пайдаланыңыз SMS электрондық пошта шлюзіy немесе SMS HTTP API.
SMTP серверін және бір реттік құпия сөзге SMS шлюзін орнату мысалы
5. Қонақ порталын орнату
19) Бастапқыда айтылғандай, алдын ала орнатылған қонақ порталдарының 3 түрі бар: Hotspot, Sponsored, Self Registered. Мен үшінші нұсқаны таңдауды ұсынамын, себебі бұл ең көп таралған. Қалай болғанда да, параметрлер негізінен бірдей. Сонымен, қойындыға көшейік. Жұмыс орталықтары > Қонақ қатынасы > Порталдар және құрамдас бөліктер > Қонақ порталдары > Өздігінен тіркелген қонақ порталы (әдепкі).
20) Әрі қарай, Портал бетін теңшеу қойындысында таңдаңыз «Орыс - орыс тілінде қарау», осылайша портал орыс тілінде көрсетіледі. Кез келген қойындының мәтінін өзгертуге, логотипті қосуға және т.б. болады. Оң жақта бұрышта жақсырақ көру үшін қонақ порталының алдын ала қарауы бар.
Қонақ порталын өзін-өзі тіркеу арқылы теңшеу мысалы
Доменді көрсету үшін сертификатты қонақ порталына жүктеп салу керек, 13-қадамды қараңыз.
22) Қойындыға өтіңіз Жұмыс орталықтары > Қонақ қатынасы > Саясат элементтері > Нәтижелер > Авторизация профильдері > Қосу бұрын жасалған профильдің астында авторизация профилін жасау Желілік құрылғы профилі.
23) қойындыда Жұмыс орталықтары > Қонақ қатынасы > Саясат жиындары WiFi пайдаланушылары үшін кіру саясатын өңдеңіз.
24) Қонақ SSID-ге қосылуға тырысайық. Ол мені бірден кіру бетіне бағыттайды. Мұнда ISE-де жергілікті түрде жасалған қонақ тіркелгісімен кіруге немесе қонақ пайдаланушы ретінде тіркелуге болады.
25) Егер сіз өзін-өзі тіркеу опциясын таңдаған болсаңыз, онда бір реттік кіру деректерін пошта арқылы, SMS арқылы жіберуге немесе басып шығаруға болады.
26) Cisco ISE жүйесіндегі RADIUS > Live Logs қойындысында сәйкес кіру журналдарын көресіз.
6. Қорытынды
Осы ұзақ мақалада біз Cisco ISE жүйесінде қонаққа кіру мүмкіндігін сәтті конфигурацияладық, мұнда FortiGate кіру нүктесі контроллері, ал FortiAP кіру нүктесі ретінде әрекет етеді. Бұл тривиальды емес интеграцияның бір түрі болды, бұл ISE кең таралғанын тағы бір рет дәлелдейді.