Welcome to the third post in the Cisco ISE series. Vincula ad omnes articulos in serie infra dantur:
In hoc poste, in hospitem accessum dabis, ac gradatim ducem ad Cisco ISE et FortiGate integrandum ad configurandum FortiAP, punctum accessum a Fortinet (in genere, quodlibet machinamentum sustentans. RADIUS CoA - Mutationem concessionis).
Articuli nostri adnexi sunt.
illudA: Perscriptio Point SMB machinas non sustinent RADIUS CoA.
Mirabilis
1. introduction
Hospes accessum (portal) permittit tibi aditum ad Interreti vel ad facultates internas pro hospitibus et usoribus praebere ut in retiacula localia mittere non vis. Sunt 3 figurae praedefinitae portae hospitis (Guest porta);
-
Hotspot Hospes portae - Accessus ad retiaculum praebetur hospitibus sine data login. Usores plerumque requiri debent accipere societatis "usum et consilium secreti" antequam retiaculis accedere.
-
Sponsored-Hospes portae - accessus ad retiaculum et data aperienda edenda est a patrino - utentis responsales ad rationes hospites in Cisco ISE creandas.
-
Hospes portalis sui inscriptus - hoc in casu, hospites in singulis login utere, vel rationem sibi cum singulis login creare, sed confirmatio sponsor ad retiaculum accedere requiritur.
Portae multiplices simul Cisco ISE explicari possunt. Defalta, in porta hospitatoris, user logo Cisco videbunt et communes phrases vexillum. Haec omnia nativus fieri possunt et etiam praeconia facienda ante conspectum accessum accedere.
Hospes accessus setup potest rescindi in 4 principales gradus: FortiAP setup, Cisco ISE et FortiAP connectivity, hospitem portae creationis et consilium accessum habeat.
2. Configurans FortiAP in FortiGate
FortiGate accessus ad punctum moderatoris et omnes occasus in ea fiunt. Accessus fortiAP puncta subsidii PoE, cum per Aernet network reticulum conexis, figuram incipere potes.
1) Die FortiGate, ad tab WiFi & Switch Controller> Managed FortiAPs> Novam> Accurantur AP. Aditus accessus numeri singularis Vide numeri, qui in ipso accessu punctus impressus est, illud ut obiectum adde. Vel potest se ostendere et postea premere Auctor ius mus deprimendo.
2) Occasus FortiAP deficere potest, exempli gratia, relinquere ut in screenshot. Tractet tractet in modum 5 GHz, quia nonnullae cogitationes 2.4 GHz non sustinent.
III) deinde in tab WiFi & SWITCH Controller> FortiAP profiles> Novae occasus profile pro accessu punctum creamus (protocollum versionis 802.11, modus SSID, frequentiam canalis eorumque numerum).
FortiAP occasus exemplum
4) Proximus gradus est creare SSID. Vade ad tab WiFi & SWITCH Controller> SSIDs> Novam> SSID. Hic a magna quis felis.
-
inscriptio spatii hospitii WLAN - IP/Netmask
-
RADIUS Accounting and Secure Fabric Connection in Administrativus Access agri
-
Deprehensio optio fabrica
-
SSID et Iaci SSID optionem
-
Securitatis Modus Occasus> Captivi Portal
-
Authenticatio Portal - Externa et nexum cum portae hospite creato e Cisco ISE a gradu XX inserto.
-
Group User - Hospes - Externus - RADIUS ad Cisco ISE adde (p. 6 deinceps)
SSID occasum exemplum
5) Dein praecepta in accessu consilii de FortiGate creare debes. Vade ad tab Policy & Objects > Firewall Policy et sic regulam crea;
3. RADIUS occasum
6) Vade ad ciscum ISE interfaciei telae tab Policy > Policy Elements > Dictionaries > System > Radius > RADIUS Vendors > Add. In hac tab, Fortinet RADIUS adibimus indicem protocollarum fultorum, cum omnis fere venditor proprias proprietates habeat - VSA (Vendor-Specifica attributa).
Enumeratio attributorum Fortinet RADII inveniri potest
7) Dic nomen dictionary, specificare Vendor ID (12356) et press Submittere.
VIII) Post itur to Administration> Network Fabrica Profile> Add et novam machinam profile. In Dictionariis RADIUS campum, Fortinet RADIUS dictionarium antea creatum elige et methodos CoA selige ut postea in ISE consilio utaris. RFC 5176 delegi et Portum REPENTE (shutdown/no shutdown network interface) et correspondentes VSAs:
Fortinet-Access-Profile = legere-scribere
Fortinet-Name = fmg_faz_admins
9) Deinde adde FortiGate pro connectivity cum ISE. Hoc facere, ad tab Administration> Resources Resources> Network Fabrica Profiles> Add. Agri mutandum Name, Vendor, RADIUS Dictionaries (IP Oratio adhibetur a FortiGate, non FortiAP).
Exemplum configurandi RADIUS ex ISE parte
10) Deinde configurare debes RADIUS in FortiGate parte. In interface telae fortiGatae, vade ad User & authenticitate > RADIUS Servers > Novam crea. Nomen, IP, inscriptionem designatam et secretum (password) communicavit ex paragrapho praecedenti. Next click Test User Credentials et quaelibet documentorum, quae per RADIUS evelli possunt (exempli gratia, usor localis in Cisco ISE).
11) RADIUS ministratorem Adde Guest-Group (si non est) ac fontem externum utentium.
12) Noli oblivisci ut Hospes-Group SSID primo in gradu 4 creavimus.
4. User authenticitate Profecti
13) Optionally, libellum in ISE hospitis portae importare potes vel libellum auto-signatum in tab Opus Centra> Hospes Access> Administration> Certification> Ratio Testimonia.
XIV) deinde in tab Opus Centra> Hospes Access> Identity Groups> User Identity Groups> Add creare novum usoris globum pro hospitio accessum, vel defectus suos utere.
15) Praeterea in tab Administration> Identities utentes hospites creare et eos ad circulos e paragrapho praecedente addere. Si vis utendi rationibus tertii partium, tum hunc gradum transilies.
16) Post itur ad occasus Opus Centra> Hospes Access> Identities> Identity Source Sequence > . hoc est series authenticas default pro hospitibus utentibus. Et in agro Authenticatio Inquisitionis List ut user authenticas eligere.
17) Ad hospites in tesseram temporis certiorem facere potes, provisores SMS vel SMTP ad hanc rem servo configurare. Vade ad tab Opus Centra> Hospes Access> Administration> ESMTP Servo aut SMS Gateway Suggero ad has occasus. In servo SMTP, rationem reddere debes pro ISE et notitias in hac tab notare.
18) Ad notificationes SMS, apta tab utere. ISE profiles popularium SMS provisorum popularium praestituta habet, sed melius est tuum creare. His utere profiles ad exemplum occasus SMS Email Gatewayy or * SMS HTTP API.
Exemplum constituendi ESMTP servo ac porta SMS pro uno tempore password
5. Profecti sunt refectio mea
19) Ut in principio nominata sunt 3 genera praestructorum hospitum portarum: Hotspot, Sponsored, Self-Descripserunt. Tertium optionem eligendum admoneo, ut communissimum est. Utroque modo uncinis identificantur. Eamus igitur ad tab. Opus Centra > Hospes Access > Portals & Components > Hospes Portals > Sui Registered Hospes Portal (default).
20) Deinde in Customization Portal Page tab, select "View in Russian - Russian", ut porta in Russian monstratur. Textum cuiuslibet tab, mutare potes, logo tuum adde, et plura. A dextro in angulo praevisum portae hospitis meliori visu est.
Exemplum figurandi hospitem portal cum auto-adnotatione
21) Click in sententia Portal test URL et effingo URL portae ad SSID in FortiGate per gradus 4. Sample URL
Ut exhibeas dominium tuum, testimonium ad hospitem portae imponendum est, vide gradum XIII.
22) Perge ad tab Opus Centra> Hospes Access> Elementa Policy> Results> LICENTIA Profile> addere> creare habendo profile in antea creatum est Retis Fabrica Profile.
23) In tab Opus Centra> Hospes Access> Policy Sets edit accessum consilium pro WiFi users.
24) Conemur coniungere cum hospite SSID. Statim me ad paginam login redigit. Hic potes inire cum hospite rationem localem in ISE creatam, vel subcriptio pro hospitio inscr.
25) Si optionem auto-registrationis elegisti, tunc temporis notitia login mitti potest per epistulas, per SMS, vel impressas.
26) In RADIUS > Acta tabulae vivae in Cisco ISE, tabulas login respondentes videbis.
6. conclusioni
In hoc longo articulo, hospitem accessum in Cisco ISE bene figuratum habemus, ubi FortiGate ut punctum moderatoris accessus agit, et FortiAP punctum accessum agit. Evenit quaedam integratio non levis, quae iterum latos ISE usus probat.
Temptare Cisco ISE, contactus
Source: www.habr.com