Wëllkomm op der drëtter Post an der Cisco ISE Serie. Linken op all Artikelen an der Serie sinn hei ënnendrënner:
An dësem Post daucht Dir an de Gaascht Zougang, wéi och e Schrëtt-fir-Schrëtt Guide fir Cisco ISE a FortiGate z'integréieren fir FortiAP ze konfiguréieren, en Zougangspunkt vu Fortinet (am Allgemengen, all Apparat deen ënnerstëtzt) RADIUS CoA - Ännerung vun der Autorisatioun).
Ugeschloss sinn eis Artikelen. .
RemarqueA: Check Point SMB Apparater ënnerstëtzen net RADIUS CoA.
Wonnerbar beschreift op Englesch wéi engem Gaascht Zougang benotzt Cisco ISE op engem Cisco WLC ze schafen (Wireless Controller). Loosst eis et erausfannen!
1. Aféierung
Gaascht Zougang (Portal) erlaabt Iech Zougang zum Internet oder op intern Ressourcen fir Gäscht a Benotzer ze bidden, déi Dir net an Ärem lokalen Netzwierk léisst. Et ginn 3 virdefinéiert Aarte vu Gaaschtportal (Gaaschtportal):
-
Hotspot Gaaschtportal - Zougang zum Netz gëtt fir Gäscht ouni Logindaten zur Verfügung gestallt. D'Benotzer sinn allgemeng verlaangt d'Firma "Benotzen a Privatsphär Politik" ze akzeptéieren ier se Zougang zum Netz kréien.
-
Sponsored-Guest Portal - Zougang zum Netz an Umeldungsdaten musse vum Sponsor ausgestallt ginn - de Benotzer verantwortlech fir Gaaschtkonten op Cisco ISE ze kreéieren.
-
Self-Registréiert Gaascht Portal - an dësem Fall, Gäscht benotzt bestehend Umeldungsinformatioune, oder schafen e Kont fir selwer mat Login Detailer, mee Sponsor Confirmatiouns ass néideg Zougang zu de Reseau ze kréien.
Multiple Portale kënnen op Cisco ISE zur selwechter Zäit agesat ginn. Par défaut, am Gaascht Portal, wäert de Benotzer de Cisco Logo a Standard gemeinsam Ausdréck gesinn. All dëst kann personaliséiert ginn a souguer agestallt ginn fir obligatoresch Annoncen ze gesinn ier Dir Zougang kritt.
Gaascht Zougang Setup kann an 4 Haaptschrëtt opgedeelt ginn: FortiAP Setup, Cisco ISE a FortiAP Konnektivitéit, Gaaschtportal Kreatioun an Zougangspolitik Setup.
2. Configuring FortiAP op FortiGate
FortiGate ass en Access Point Controller an all Astellunge ginn dorop gemaach. FortiAP Zougankspunkten ënnerstëtzen PoE, also wann Dir et mam Netz iwwer Ethernet verbonne hutt, kënnt Dir d'Konfiguratioun starten.
1) Op FortiGate, gitt op d'Tab WiFi & Switch Controller> Managed FortiAPs> Nei erstellen> Managed AP. Mat der eenzegaarteger Seriennummer vum Zougangspunkt, déi um Zougangspunkt selwer gedréckt ass, füügt et als Objet un. Oder et kann sech weisen an dann dréckt Autorisatioun mat der rietser Maus Knäppchen.
2) FortiAP Astellunge kënnen Standard sinn, zum Beispill, verloossen wéi am Screenshot. Ech recommandéieren den 5 GHz Modus opzemaachen, well e puer Apparater net 2.4 GHz ënnerstëtzen.
3) Dann an Tab WiFi & Switch Controller> FortiAP Profiler> Nei erstellen mir kreéieren en Astellungsprofil fir den Zougangspunkt (Versioun 802.11 Protokoll, SSID Modus, Kanalfrequenz an hir Zuel).
FortiAP Astellunge Beispill
4) De nächste Schrëtt ass en SSID ze kreéieren. Gitt op d'Tab WiFi & Switch Controller> SSIDs> Nei erstellen> SSID. Hei aus dem wichtege soll konfiguréiert ginn:
-
Adress Plaz fir Gaascht WLAN - IP / Netmaske
-
RADIUS Accounting a Secure Fabric Connection am Administrative Access Feld
-
Apparat Detektioun Optioun
-
SSID a Broadcast SSID Optioun
-
Sécherheetsmodus Astellungen> Captive Portal
-
Authentifikatioun Portal - Extern an setzt e Link op de geschaf Gaascht Portal vun Cisco ISE aus Schrëtt 20
-
Benotzer Group - Gaascht Group - Extern - dobäi RADIUS zu Cisco ISE (S. 6 an weider)
SSID Astellung Beispill
5) Da sollt Dir Regelen an der Zougangspolitik op FortiGate erstellen. Gitt op d'Tab Politik & Objekter> Firewall Politik a kreéiert eng Regel wéi dës:
3. RADIUS Kader
6) Go op d'Cisco ISE Web Interface un der Reiter Politik > Politik Elementer > Dictionnairen > System > Radius > RADIUS Verkeefer > Add. An dësem Tab wäerte mir Fortinet RADIUS op d'Lëscht vun ënnerstëtzte Protokoller addéieren, well bal all Verkeefer seng eege spezifesch Attributer huet - VSA (Vendor-Spezifiz Attributer).
Eng Lëscht vu Fortinet RADIUS Attributer kann fonnt ginn . VSAs sinn duerch hir eenzegaarteg Verkeefer ID Zuel ënnerscheeden. Fortinet huet dës ID = 12356... Voll D'VSA gouf vun der IANA publizéiert.
7) Setzt den Numm vum Wierderbuch, spezifizéiert Verkeefer ID (12356) an dréckt Opginn.
8) Nodeems mir ginn op Administration > Network Device Profiler > Add a schafen en neien Apparat Profil. Am Feld RADIUS Dictionnairen, wielt de virdru erstallte Fortinet RADIUS Wierderbuch a wielt d'CoA Methoden fir spéider an der ISE Politik ze benotzen. Ech hunn RFC 5176 a Port Bounce gewielt (shutdown / nee shutdown Netzwierk Interface) an déi entspriechend VSAs:
Fortinet-Access-Profile=liesen-schreiwen
Fortinet-Group-Name = fmg_faz_admins
9) Als nächst füügt FortiGate fir Konnektivitéit mat ISE derbäi. Fir dëst ze maachen, gitt op d'Tab Administration > Network Ressourcen > Network Device Profiler > Add. Felder ze änneren Numm, Verkeefer, RADIUS Dictionnairen (IP Adress gëtt vu FortiGate benotzt, net FortiAP).
Beispill fir RADIUS vun der ISE Säit ze konfiguréieren
10) Duerno sollt Dir RADIUS op der FortiGate Säit konfiguréieren. An der FortiGate Web Interface, gitt op Benotzer & Authentifikatioun> RADIUS Serveren> Nei erstellen. Gitt den Numm, d'IP Adress an de Shared Secret (Passwuert) aus dem virege Paragraph un. Nächst klickt Test Benotzer Umeldungsinformatioune a gitt all Umeldungsinformatioune datt via RADIUS hinanhier gezunn ginn (Zum Beispill, eng lokal Benotzer op der Cisco ISE).
11) Füügt e RADIUS-Server an de Guest-Group (wann et net gëtt) souwéi eng extern Quell vu Benotzer.
12) Vergiesst net de Guest-Group op den SSID ze addéieren dee mir virdru am Schrëtt 4 erstallt hunn.
4. Benotzer Authentifikatioun Astellung
13) Optional kënnt Dir en Zertifika an den ISE Gaaschtportal importéieren oder e selbst ënnerschriwwenen Zertifika op der Tab erstellen Aarbecht Zentren> Gaascht Zougang> Administration> Zertifizéierung> System Certificaten.
14) No an Tab Aarbechtszentren> Gaascht Zougang> Identitéitsgruppen> Benotzer Identitéitsgruppen> Add schafen eng nei Benotzer Grupp fir Gaascht Zougang, oder benotzen d'Default.
15) Weider am Tab Administration > Identitéiten erstellt Gaaschtbenotzer a füügt se an d'Gruppen aus dem fréiere Paragraphe. Wann Dir Drëtt Partei Konten benotze wëllt, sprangen dann dëse Schrëtt.
16) Nodeems mir op d'Astellunge goen Aarbecht Zentren> Gaascht Zougang> Identitéiten> Identitéitsquell Sequenz > Gaaschtportal Sequenz — dëst ass d'Standard Authentifikatioun Sequenz fir Gaascht Benotzer. An am Feld Authentifikatioun Sich Lëscht wielt de Benotzer Authentifikatioun Uerdnung.
17) Fir Gäscht mat engem eemolege Passwuert z'informéieren, kënnt Dir SMS Ubidder oder e SMTP Server fir dësen Zweck konfiguréieren. Gitt op d'Tab Aarbechtszentren> Gaascht Zougang> Administratioun> SMTP Server oder SMS Gateway Provider fir dës Astellungen. Am Fall vun engem SMTP-Server musst Dir e Kont fir den ISE erstellen an d'Donnéeën an dësem Tab uginn.
18) Fir SMS Notifikatiounen, benotzt de passenden Tab. ISE huet virinstalléiert Profiler vu populäre SMS Ubidder, awer et ass besser Ären eegenen ze kreéieren. Benotzen dëse Profiler als Beispill vun Kader SMS Email Gatewayy oder SMS HTTP API.
E Beispill fir en SMTP-Server an eng SMS-Paart fir en eemolegt Passwuert opzestellen
5. Ariichten de Gaascht Portal
19) Wéi am Ufank erwähnt ginn et 3 Aarte vu virinstalléierte Gaaschtportaler: Hotspot, Sponsored, Self-Registred. Ech proposéieren déi drëtt Optioun ze wielen, well et am meeschte verbreet ass. Egal wéi, sinn d'Astellunge gréisstendeels identesch. Also loosst eis op d'Tab goen. Aarbechtszentren> Gaascht Zougang> Portalen & Komponenten> Gaascht Portal> Selbstregistréiert Gaaschtportal (Standard).
20) Als nächst, an der Portal Page Customization Tab, wielt "View op Russesch - Russesch", sou datt de Portal op Russesch ugewise gëtt. Dir kënnt den Text vun all Tab änneren, Äre Logo derbäi a méi. Riets am Eck ass eng Virschau vum Gaaschtportal fir eng besser Vue.
Beispill fir e Gaaschtportal mat der Selbstregistréierung ze konfiguréieren
21) Klickt op eng Phrase Portal Test URL a kopéiert d'Portal URL op d'SSID op der FortiGate am Schrëtt 4. Sample URL
Fir Äert Domain ze weisen, musst Dir de Certificat op de Gaaschtportal eropluede, kuckt Schrëtt 13.
22) Gitt op d'Tab Aarbecht Zentren > Gaascht Zougang > Politik Elementer > Resultater > Autorisatioun Profiler > Add fir en Autorisatiounsprofil ënner dem virdru geschafene Profil ze kreéieren Netzwierk Gerät Profil.
23) An der Tab Aarbechtszentren> Gaascht Zougang> Politik Sets änneren d'Zougangspolitik fir WiFi Benotzer.
24) Loosst eis probéieren mat dem Gaascht SSID ze verbannen. Et féiert mech direkt op d'Login Säit. Hei kënnt Dir Iech mat dem Gaaschtkonto, deen lokal op der ISE erstallt gouf, aloggen oder Iech als Gaaschtnotzer registréieren.
25) Wann Dir d'Selbstregistrierungsoptioun gewielt hutt, da kënnen eemoleg Logindaten per Mail, per SMS oder gedréckt ginn.
26) Am RADIUS> Live Logbicher Reiter op der Cisco ISE, Dir wäert déi entspriechend Login Logbicher gesinn.
6. Konklusioun
An dësem laangen Artikel hu mir erfollegräich Gaascht Zougang op Cisco ISE konfiguréiert, wou FortiGate Akten als Zougang Punkt Controller, an FortiAP Akten als Zougang Punkt. Et huet sech eng Zort net-trivial Integratioun erausgestallt, déi nach eng Kéier déi verbreet Notzung vun ISE beweist.
Fir Test Cisco ISE, Kontakt a bleift och op eise Channels ofgeschloss (, , , , ).
Source: will.com