Cisco ISE: FortiAP에서 게스트 액세스 구성. 파트 3

Cisco ISE 시리즈의 세 번째 게시물에 오신 것을 환영합니다. 시리즈의 모든 기사에 대한 링크는 다음과 같습니다.

1. Cisco ISE: 소개, 요구 사항, 설치. 1 부

2. Cisco ISE: 사용자 생성, LDAP 서버 추가, AD 통합. 2 부

3. Cisco ISE: FortiAP에서 게스트 액세스 구성. 파트 3

이 게시물에서는 게스트 액세스에 대해 자세히 살펴보고 Cisco ISE와 FortiGate를 통합하여 Fortinet의 액세스 포인트인 FortiAP(일반적으로 지원하는 모든 장치 반경 CoA — 허가 변경).

우리 기사가 첨부되어 있습니다. Fortinet - 유용한 자료 모음.

주의A: Check Point SMB 장치는 RADIUS CoA를 지원하지 않습니다.

훌륭한 지도력 Cisco WLC(무선 컨트롤러)에서 Cisco ISE를 사용하여 게스트 액세스를 생성하는 방법을 영어로 설명합니다. 알아내자!

1. 소개

게스트 액세스(포털)를 사용하면 로컬 네트워크에 허용하지 않으려는 게스트 및 사용자에게 인터넷 또는 내부 리소스에 대한 액세스를 제공할 수 있습니다. 게스트 포털(게스트 포털)에는 미리 정의된 3가지 유형이 있습니다.

1. 핫스팟 게스트 포털 - 로그인 데이터 없이 게스트에게 네트워크 액세스가 제공됩니다. 사용자는 일반적으로 네트워크에 액세스하기 전에 회사의 "이용 및 개인 정보 보호 정책"에 동의해야 합니다.

2. Sponsored-Guest 포털 - Cisco ISE에서 게스트 계정 생성을 담당하는 사용자인 스폰서가 네트워크 및 로그인 데이터에 대한 액세스 권한을 발급해야 합니다.

3. 자가 등록 게스트 포털 - 이 경우 게스트는 기존 로그인 세부 정보를 사용하거나 로그인 세부 정보로 계정을 생성하지만 네트워크에 액세스하려면 스폰서 확인이 필요합니다.

여러 포털을 Cisco ISE에 동시에 구축할 수 있습니다. 기본적으로 게스트 포털에서 사용자는 Cisco 로고와 일반적인 표준 문구를 보게 됩니다. 이 모든 것은 사용자 정의할 수 있으며 액세스 권한을 얻기 전에 필수 광고를 보도록 설정할 수도 있습니다.

게스트 액세스 설정은 FortiAP 설정, Cisco ISE 및 FortiAP 연결, 게스트 포털 생성 및 액세스 정책 설정의 4가지 주요 단계로 나눌 수 있습니다.

2. FortiGate에서 FortiAP 구성

FortiGate는 액세스 포인트 컨트롤러이며 모든 설정이 여기에서 이루어집니다. FortiAP 액세스 포인트는 PoE를 지원하므로 이더넷을 통해 네트워크에 연결하면 구성을 시작할 수 있습니다.

1) FortiGate에서 탭으로 이동합니다. WiFi 및 스위치 컨트롤러 > 관리형 FortiAP > 새로 만들기 > 관리형 AP. 액세스 포인트 자체에 인쇄된 액세스 포인트의 고유 일련 번호를 사용하여 개체로 추가합니다. 또는 스스로 표시한 다음 을 누를 수 있습니다. 권한 부여 마우스 오른쪽 버튼을 사용하여.

2) FortiAP 설정은 기본값으로 설정할 수 있습니다. 예를 들어 스크린샷과 같이 둡니다. 일부 장치는 5GHz를 지원하지 않기 때문에 2.4GHz 모드를 켜는 것이 좋습니다.

3) 그런 다음 탭에서 WiFi 및 스위치 컨트롤러 > FortiAP 프로필 > 새로 만들기 액세스 포인트에 대한 설정 프로필(버전 802.11 프로토콜, SSID 모드, 채널 주파수 및 해당 번호)을 생성하고 있습니다.

FortiAP 설정 예시

4) 다음 단계는 SSID를 생성하는 것입니다. 탭으로 이동 WiFi 및 스위치 컨트롤러 > SSID > 새로 만들기 > SSID. 여기에서 중요한 것을 구성해야 합니다.

• 게스트 WLAN의 주소 공간 - IP/넷마스크

• 관리 액세스 필드의 RADIUS 계정 및 보안 패브릭 연결

• 장치 감지 옵션

• SSID 및 브로드캐스트 SSID 옵션

• 보안 모드 설정 > 종속 포털 

• 인증 포털 - 외부 및 20단계에서 Cisco ISE에서 생성된 게스트 포털에 대한 링크 삽입

• 사용자 그룹 - 게스트 그룹 - 외부 - Cisco ISE에 RADIUS 추가(p. 6 이후)

SSID 설정 예

5) 그런 다음 FortiGate의 액세스 정책에 규칙을 만들어야 합니다. 탭으로 이동 정책 및 개체 > 방화벽 정책 다음과 같은 규칙을 만듭니다.

3. 반경 설정

6) Cisco ISE 웹 인터페이스의 탭으로 이동합니다. 정책 > 정책 요소 > 사전 > 시스템 > Radius > RADIUS 공급업체 > 추가. 이 탭에서는 지원되는 프로토콜 목록에 Fortinet RADIUS를 추가합니다. 거의 모든 벤더가 VSA(Vendor-Specific Attributes)라는 고유한 특성을 가지고 있기 때문입니다.

Fortinet RADIUS 속성 목록을 찾을 수 있습니다. 여기에. VSA는 고유한 공급업체 ID 번호로 구별됩니다. Fortinet의 ID = 12356. 가득한 명부 VSA는 IANA에서 발행했습니다.

7) 사전 이름 설정, 지정 공급 업체 ID (12356)을 누르고 제출하십시오.

8) 다녀온 후 관리 > 네트워크 장치 프로필 > 추가 새 장치 프로필을 만듭니다. RADIUS Dictionaries 필드에서 이전에 생성된 Fortinet RADIUS 사전을 선택하고 나중에 ISE 정책에서 사용할 CoA 방법을 선택합니다. RFC 5176 및 Port Bounce(종료/종료 네트워크 인터페이스 없음) 및 해당 VSA를 선택했습니다. 

Fortinet-Access-Profile=읽기-쓰기

Fortinet-그룹-이름 = fmg_faz_admins

9) 다음으로 ISE와의 연결을 위해 FortiGate를 추가합니다. 이렇게 하려면 탭으로 이동하세요. 관리 > 네트워크 리소스 > 네트워크 장치 프로필 > 추가. 변경할 필드 이름, 공급업체, RADIUS 사전 (IP 주소는 FortiAP가 아니라 FortiGate에서 사용합니다.)

ISE 측에서 RADIUS를 구성하는 예

10) 그런 다음 FortiGate 측에서 RADIUS를 구성해야 합니다. FortiGate 웹 인터페이스에서 다음으로 이동합니다. 사용자 및 인증 > RADIUS 서버 > 새로 만들기. 이전 단락에서 이름, IP 주소 및 공유 암호(비밀번호)를 지정합니다. 다음 클릭 사용자 자격 증명 테스트 RADIUS를 통해 가져올 수 있는 자격 증명을 입력합니다(예: Cisco ISE의 ​​로컬 사용자).

11) 게스트 그룹(존재하지 않는 경우)과 외부 사용자 소스에 RADIUS 서버를 추가합니다.

12) 이전 4단계에서 생성한 SSID에 Guest-Group을 추가하는 것을 잊지 마십시오.

4. 사용자 인증 설정

13) 선택적으로 인증서를 ISE 게스트 포털로 가져오거나 탭에서 자체 서명된 인증서를 생성할 수 있습니다. 작업 센터 > 게스트 액세스 > 관리 > 인증 > 시스템 인증서.

14) 탭 후 작업 센터 > 게스트 액세스 > ID 그룹 > 사용자 ID 그룹 > 추가 게스트 액세스를 위한 새 사용자 그룹을 만들거나 기본 그룹을 사용하십시오.

15) 탭에서 추가로 관리 > ID 게스트 사용자를 생성하고 이전 단락의 그룹에 추가합니다. 타사 계정을 사용하려면 이 단계를 건너뜁니다.

16) 설정으로 이동한 후 작업 센터 > 게스트 액세스 > ID > ID 소스 시퀀스 > 게스트 포털 시퀀스 — 이는 게스트 사용자에 대한 기본 인증 순서입니다. 그리고 현장에서 인증 검색 목록 사용자 인증 순서를 선택합니다.

17) 게스트에게 일회용 비밀번호를 알리기 위해 SMS 공급자 또는 SMTP 서버를 이 목적으로 구성할 수 있습니다. 탭으로 이동 작업 센터 > 게스트 액세스 > 관리 > SMTP 서버 또는 SMS 게이트웨이 공급자 이러한 설정을 위해. SMTP 서버의 경우 ISE에 대한 계정을 생성하고 이 탭에서 데이터를 지정해야 합니다.

18) SMS 알림의 경우 해당 탭을 사용하십시오. ISE에는 인기 있는 SMS 공급자의 사전 설치된 프로필이 있지만 직접 만드는 것이 좋습니다. 이 프로파일을 설정의 예로 사용하십시오. SMS 이메일 게이트웨이y 또는 SMS HTTP API.

일회용 비밀번호를 위한 SMTP 서버 및 SMS 게이트웨이 설정 예

5. 게스트 포털 설정

19) 처음에 언급했듯이 미리 설치된 게스트 포털에는 Hotspot, Sponsored, Self-Registered의 3가지 유형이 있습니다. 가장 일반적인 세 ​​번째 옵션을 선택하는 것이 좋습니다. 어느 쪽이든 설정은 거의 동일합니다. 그럼 탭으로 가보겠습니다. 작업 센터 > 게스트 액세스 > 포털 및 구성 요소 > 게스트 포털 > 자체 등록된 게스트 포털(기본값). 

20) 그런 다음 포털 페이지 사용자 지정 탭에서 다음을 선택합니다. "러시아어로 보기 - 러시아어", 포털이 러시아어로 표시되도록 합니다. 모든 탭의 텍스트를 변경하고 로고를 추가하는 등의 작업을 할 수 있습니다. 모서리의 오른쪽에는 더 나은 보기를 위한 게스트 포털의 미리보기가 있습니다.

자체 등록으로 게스트 포털을 구성하는 예

21) 구를 클릭하십시오 포털 테스트 URL 4단계에서 FortiGate의 SSID에 포털 URL을 복사합니다. 샘플 URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

도메인을 표시하려면 게스트 포털에 인증서를 업로드해야 합니다. 13단계를 참조하십시오.

22) 탭으로 이동 작업 센터 > 게스트 액세스 > 정책 요소 > 결과 > 인증 프로필 > 추가 이전에 생성한 인증 프로필 아래에 인증 프로필을 생성하려면 네트워크 장치 프로필.

23) 탭에서 작업 센터 > 게스트 액세스 > 정책 세트 WiFi 사용자에 대한 액세스 정책을 편집합니다.

24) 게스트 SSID에 연결해 봅시다. 즉시 로그인 페이지로 리디렉션됩니다. 여기에서 ISE에서 로컬로 생성된 게스트 계정으로 로그인하거나 게스트 사용자로 등록할 수 있습니다.

25) 자가 등록 옵션을 선택한 경우 일회성 로그인 데이터를 우편, SMS 또는 인쇄로 보낼 수 있습니다.

26) Cisco ISE의 ​​RADIUS > 라이브 로그 탭에 해당 로그인 로그가 표시됩니다.

6. 결론

이 긴 기사에서는 FortiGate가 액세스 포인트 컨트롤러 역할을 하고 FortiAP가 액세스 포인트 역할을 하는 Cisco ISE에서 게스트 액세스를 성공적으로 구성했습니다. ISE의 광범위한 사용을 다시 한 번 증명하는 일종의 사소하지 않은 통합으로 나타났습니다.

Cisco ISE를 테스트하려면 다음으로 문의하십시오. 링크채널을 계속 지켜봐 주시기 바랍니다(텔레그램, 페이스북, VK, TS 솔루션 블로그, Yandex.Dzena).

출처 : habr.com