Cisco ISE: FortiAP боюнча коноктордун мүмкүнчүлүгүн конфигурациялоо. 3-бөлүк

Cisco ISE сериясындагы үчүнчү постко кош келиңиз. Сериядагы бардык макалаларга шилтемелер төмөндө келтирилген:

1. Cisco ISE: Киришүү, талаптар, орнотуу. 1-бөлүк

2. Cisco ISE: Колдонуучуларды түзүү, LDAP серверлерин кошуу, AD менен интеграциялоо. 2 бөлүк

3. Cisco ISE: FortiAP боюнча коноктордун мүмкүнчүлүгүн конфигурациялоо. 3-бөлүк

Бул постто сиз конокторго кирүү мүмкүнчүлүгүнө, ошондой эле Cisco ISE жана FortiGate интеграциялоочу FortiAP, Fortinet кирүү чекити (жалпысынан, колдогон бардык түзмөктөрдү) конфигурациялоо боюнча этап-этабы менен көрсөтмө аласыз. RADIUS CoA — ыйгарым укуктарды өзгөртүү).

Биздин макалалар тиркелет. Fortinet - пайдалуу материалдарды тандоо.

пикирA: Check Point SMB түзмөктөрү RADIUS CoA колдоого албайт.

сонун жетекчилик англис тилинде Cisco WLC (Зымсыз контроллер) боюнча Cisco ISE аркылуу конок мүмкүнчүлүгүн кантип түзүүнү сүрөттөйт. Келгиле, аны аныктайлы!

1. тааныштыруу

Конокторго кирүү (портал) сиз локалдык тармагыңызга киргиси келбеген коноктор жана колдонуучулар үчүн Интернетке же ички ресурстарга кирүү мүмкүнчүлүгүн берет. Конок порталынын алдын ала аныкталган 3 түрү бар (Конок порталы):

1. Hotspot Конок порталы - Тармакка кирүү конокторго кирүү маалыматтары жок берилет. Колдонуучулар жалпысынан тармакка кирүү алдында компаниянын "Колдонуу жана Купуялык саясатын" кабыл алышы керек.

2. Sponsored-Guest порталы - тармакка кирүү жана кирүү маалыматтары Cisco ISEде конок эсептерин түзүүгө жооптуу демөөрчү - колдонуучу тарабынан берилиши керек.

3. Өзүн-өзү катталган конок порталы - бул учурда коноктор логиндин учурдагы маалыматтарын колдонушат, же логин деталдары менен өздөрү үчүн аккаунт түзүшөт, бирок тармакка кирүү үчүн демөөрчүлүк ырастоо талап кылынат.

Cisco ISEде бир эле учурда бир нече порталдарды жайгаштырса болот. Демейки боюнча, конок порталында колдонуучу Cisco логотибин жана стандарттуу жалпы сөз айкаштарын көрөт. Мунун баарын ыңгайлаштырса болот, атүгүл кирүү мүмкүнчүлүгүнө ээ болгонго чейин милдеттүү жарнамаларды көрүү үчүн орнотсо болот.

Конок мүмкүнчүлүгүн орнотуу 4 негизги кадамга бөлүнөт: FortiAP орнотуу, Cisco ISE жана FortiAP байланышы, конок порталын түзүү жана кирүү саясатын орнотуу.

2. FortiGate боюнча FortiAP конфигурациялоо

FortiGate - бул кирүү чекитинин контроллери жана бардык орнотуулар анда жасалган. FortiAP кирүү пункттары PoEди колдойт, андыктан аны Ethernet аркылуу тармакка туташтыргандан кийин, конфигурацияны баштасаңыз болот.

1) FortiGate боюнча, өтмөккө өтүңүз WiFi & Switch Controller > Башкарылган FortiAPs > Жаңы түзүү > Башкарылган AP. Кирүү чекитинин өзүндө басылып чыккан уникалдуу сериялык номерин колдонуп, аны объект катары кошуңуз. Же өзүн көрсөтүп, анан басышы мүмкүн уруксат чычкандын оң баскычын колдонуу.

2) FortiAP орнотуулары демейки болушу мүмкүн, мисалы, скриншоттогудай калтырыңыз. Мен 5 ГГц режимин күйгүзүүнү сунуштайм, анткени кээ бир түзмөктөр 2.4 ГГц колдобойт.

3) Андан кийин өтмөктө WiFi & Switch Controller > FortiAP Profiles > Жаңы түзүү биз кирүү чекити үчүн орнотуу профилин түзүп жатабыз (802.11 протоколунун версиясы, SSID режими, каналдын жыштыгы жана алардын саны).

FortiAP жөндөөлөрүнүн мисалы

4) Кийинки кадам SSID түзүү болуп саналат. Өтмөккө өтүңүз WiFi & Switch Controller > SSIDs > Жаңысын түзүү > SSID. Бул жерде маанилүү конфигурациялоо керек:

• конок WLAN үчүн дарек мейкиндиги - IP/Netmask

• Административдик мүмкүндүк талаасында RADIUS эсепке алуу жана коопсуз кездеме туташуу

• Түзмөктү аныктоо опциясы

• SSID жана Broadcast SSID опциясы

• Коопсуздук режиминин Орнотуулары > Кармалган портал 

• Аутентификация порталы - 20-кадамдан баштап Cisco ISEден түзүлгөн конок порталына тышкы жана шилтемени киргизиңиз

• Колдонуучу тобу - Конок тобу - Тышкы - Cisco ISEге RADIUS кошуу (6-беттен кийин)

SSID орнотуу үлгүсү

5) Андан кийин FortiGate боюнча кирүү саясатында эрежелерди түзүшүңүз керек. Өтмөккө өтүңүз Саясат жана объекттер > Firewall саясаты жана бул сыяктуу эреже түзүү:

3. RADIUS орнотуу

6) Cisco ISE веб интерфейсине өтмөккө өтүңүз Саясат > Саясат элементтери > Сөздүктөр > Система > Радиус > RADIUS Сатуучулар > Кош. Бул өтмөктө биз Fortinet RADIUSти колдоого алынган протоколдордун тизмесине кошобуз, анткени дээрлик ар бир сатуучунун өзүнүн өзгөчө атрибуттары бар - VSA (Vendor-Specific Attributes).

Fortinet RADIUS атрибуттарынын тизмесин тапса болот бул жерде. VSAлар уникалдуу Сатуучу ID номери менен айырмаланат. Fortinet бул ID = бар 12356... Толук тизме VSA IANA тарабынан жарыяланган.

7) Сөздүктүн атын коюңуз, тактаңыз Сатуучу ID (12356) жана басыңыз Тапшыруу.

8) Биз баргандан кийин Администрация > Тармак түзмөк профилдери > Кош жана жаңы түзмөк профилин түзүңүз. RADIUS сөздүктөр талаасында, мурда түзүлгөн Fortinet RADIUS сөздүгүн тандап, кийинчерээк ISE саясатында колдонуу үчүн CoA ыкмаларын тандаңыз. Мен RFC 5176 жана Port Bounce (өчүрүү/өчүрүү жок тармак интерфейсин) жана тиешелүү VSAларды тандадым: 

Fortinet-Access-Profile=окуу-жазуу

Fortinet-Группа-Аты = fmg_faz_admins

9) Андан кийин, ISE менен туташуу үчүн FortiGate кошуңуз. Бул үчүн, өтмөккө өтүңүз Администрация > Тармак ресурстары > Тармак түзмөгүнүн профилдери > Кош. Өзгөртүлө турган талаалар Аты, сатуучу, RADIUS сөздүктөр (IP дареги FortiAP эмес, FortiGate тарабынан колдонулат).

ISE тараптан RADIUS конфигурациялоонун мисалы

10) Андан кийин, сиз FortiGate тарабында RADIUS конфигурациялашыңыз керек. FortiGate веб-интерфейсинде, өтүңүз Колдонуучу жана аныктыгын текшерүү > RADIUS серверлери > Жаңысын түзүү. Мурунку абзацтан атын, IP дарегин жана Бөлүшүлгөн сырды (паролду) көрсөтүңүз. Кийинки чыкылдатыңыз Колдонуучунун эсептик дайындарын сыноо жана RADIUS (мисалы, Cisco ISEдеги жергиликтүү колдонуучу) аркылуу алынуучу ар кандай эсептик дайындарды киргизиңиз.

11) Конок тобуна RADIUS серверин (эгер ал жок болсо), ошондой эле колдонуучулардын тышкы булагын кошуңуз.

12) Конок тобун биз 4-кадамда мурда түзгөн SSIDге кошууну унутпаңыз.

4. Колдонуучунун аныктыгын текшерүү жөндөөлөрү

13) Кошумча, сиз ISE конок порталына сертификат импорттой аласыз же өтмөктө өз алдынча кол коюлган сертификат түзө аласыз Жумуш борборлору > Конок мүмкүнчүлүгү > Башкаруу > Тастыктоо > Системалык сертификаттар.

14) Кыстырмада кийин Жумуш борборлору > Конок мүмкүнчүлүгү > Идентификациялык топтор > Колдонуучунун идентификациялык топтору > Кош конок жетүү үчүн жаңы колдонуучу тобун түзүү, же демейки колдонуу.

15) Андан ары өтмөктө Администрация > Идентификаторлор конок колдонуучуларды түзүү жана аларды мурунку абзацтагы топторго кошуу. Эгер сиз үчүнчү тараптын аккаунттарын колдонгуңуз келсе, анда бул кадамды өткөрүп жибериңиз.

16) Биз жөндөөлөргө өткөндөн кийин Жумуш борборлору > Конок мүмкүнчүлүгү > Идентификаторлор > Идентификация булагы ырааттуулугу > Конок порталынын ырааттуулугу — бул конок колдонуучулар үчүн демейки аутентификация ырааттуулугу. Жана талаада Аутентификация издөө тизмеси колдонуучунун аныктыгын текшерүү тартибин тандоо.

17) Конокторду бир жолку сырсөз менен кабарлоо үчүн, сиз бул максат үчүн SMS провайдерлерин же SMTP серверин конфигурациялай аласыз. Өтмөккө өтүңүз Жумуш борборлору > Конок мүмкүнчүлүгү > Башкаруу > SMTP сервери же SMS Gateway Провайдерлери бул орнотуулар үчүн. SMTP сервери болгон учурда, сиз ISE үчүн каттоо эсебин түзүп, бул өтмөктө маалыматтарды көрсөтүшүңүз керек.

18) SMS-билдирүүлөрдү алуу үчүн, тиешелүү өтмөктү колдонуңуз. ISE популярдуу SMS провайдерлеринин алдын ала орнотулган профилдерин камтыйт, бирок өзүңүздүн профилиңизди түзгөнүңүз жакшы. Бул профилдерди орнотуунун мисалы катары колдонуңуз SMS Email Gatewayж же SMS HTTP API.

SMTP серверин жана бир жолку сырсөз үчүн SMS шлюзун орнотуунун мисалы

5. Конок порталын орнотуу

19) Башында айтылгандай, алдын ала орнотулган конок порталынын 3 түрү бар: Hotspot, Sponsored, Self-Registered. Мен үчүнчү вариантты тандоону сунуштайм, анткени ал эң кеңири таралган. Кандай болбосун, жөндөөлөр негизинен окшош. Ошентип, өтмөккө баралы. Жумуш борборлору > Конок мүмкүнчүлүгү > Порталдар жана компоненттер > Конок порталдары > Өзүн-өзү катталган конок порталы (демейки). 

20) Андан кийин, Порталдын барагын ыңгайлаштыруу өтмөгүнөн тандаңыз “Орусча – орусча көрүү”, портал орус тилинде көрсөтүлүшү үчүн. Сиз каалаган өтмөктүн текстин өзгөртө аласыз, логотипиңизди кошо аласыз жана башкалар. Оң жакта бурчта жакшыраак көрүү үчүн конок порталынын алдын ала кароосу.

Өзүн-өзү каттоо менен конок порталын конфигурациялоонун мисалы

21) Фразаны басыңыз Порталдык сыноо URL жана 4-кадамда FortiGate боюнча SSID порталынын URL көчүрүү. Үлгү URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Домениңизди көрсөтүү үчүн сертификатты конок порталына жүктөшүңүз керек, 13-кадамды караңыз.

22) Өтмөккө өтүңүз Жумуш борборлору > Конок мүмкүнчүлүгү > Саясат элементтери > Жыйынтыктар > Авторизация профилдери > Кош мурда түзүлгөн профилдин астында авторизация профилин түзүүгө Тармак түзмөк профили.

23) Өтмөктө Жумуш борборлору > Конок мүмкүнчүлүгү > Саясат топтомдору WiFi колдонуучулары үчүн кирүү саясатын түзөтүңүз.

24) Келгиле, конок SSIDге туташууга аракет кылалы. Ал дароо мени кирүү баракчасына багыттайт. Бул жерде сиз ISEде жергиликтүү түрдө түзүлгөн конок каттоо эсеби менен кире аласыз же конок колдонуучу катары каттала аласыз.

25) Эгерде сиз өзүн-өзү каттоо опциясын тандаган болсоңуз, анда бир жолку кирүү маалыматтарын почта аркылуу, SMS аркылуу же басып чыгарууга болот.

26) Cisco ISEдеги RADIUS > Live Logs өтмөгүндө сиз тиешелүү кирүү журналдарын көрөсүз.

6. жыйынтыктоо

Бул узун макалада биз Cisco ISEде конок мүмкүнчүлүгүн ийгиликтүү конфигурацияладык, мында FortiGate кирүү чекитинин контроллери, ал эми FortiAP кирүү чекити катары иштейт. Бул ISEнин кеңири таралганын дагы бир жолу далилдеген кандайдыр бир тривиалдуу эмес интеграция болуп чыкты.

Cisco ISE сынап көрүү үчүн байланышыңыз байланышошондой эле биздин каналдарыбыздан кабардар болуңуз (телеграмма, Facebook, VK, TS Solution блогу, Yandeks.Dzen).

Source: www.habr.com