🥇Cisco ISE: svečio prieigos konfigūravimas FortiAP. 3 dalis

Sveiki atvykę į trečiąjį Cisco ISE serijos įrašą. Toliau pateikiamos nuorodos į visus šios serijos straipsnius:

Šiame įraše apžvelgsite svečio prieigą, taip pat nuoseklų vadovą, kaip integruoti „Cisco ISE“ ir „FortiGate“, kad būtų galima sukonfigūruoti „FortiAP“, prieigos tašką iš „Fortinet“ (apskritai, bet koks įrenginys, palaikantis RADIUS CoA — Įgaliojimo pakeitimas).

Pridedami mūsų straipsniai. Fortinet - naudingų medžiagų pasirinkimas.

Atkreipti dėmesįA: Check Point SMB įrenginiai nepalaiko RADIUS CoA.

nuostabus vadovas anglų kalba aprašoma, kaip sukurti svečio prieigą naudojant Cisco ISE Cisco WLC (belaidžiame valdiklyje). Išsiaiškinkime!

1. Įvadas

Svečio prieiga (portalas) suteikia galimybę svečiams ir vartotojams, kurių nenorite įsileisti į vietinį tinklą, suteikti prieigą prie interneto arba vidinių išteklių. Yra 3 iš anksto nustatyti svečių portalo tipai (svečių portalas):

Hotspot Guest portalas – prieiga prie tinklo suteikiama svečiams be prisijungimo duomenų. Paprastai vartotojai turi sutikti su įmonės „Naudojimo ir privatumo politika“ prieš prisijungdami prie tinklo.
Sponsored-Guest portalas – prieigą prie tinklo ir prisijungimo duomenis turi išduoti rėmėjas – vartotojas, atsakingas už svečių paskyrų sukūrimą Cisco ISE.
Savarankiškai užsiregistravusių svečių portalas – tokiu atveju svečiai naudojasi esamais prisijungimo duomenimis arba susikuria sau paskyrą su prisijungimo duomenimis, tačiau norint gauti prieigą prie tinklo reikalingas rėmėjo patvirtinimas.

Cisco ISE vienu metu galima įdiegti kelis portalus. Pagal numatytuosius nustatymus svečių portale vartotojas matys Cisco logotipą ir įprastas įprastas frazes. Visa tai galima tinkinti ir netgi nustatyti taip, kad prieš gaudami prieigą būtų peržiūrimi privalomi skelbimai.

Svečio prieigos sąranką galima suskirstyti į 4 pagrindinius veiksmus: FortiAP sąranka, Cisco ISE ir FortiAP ryšys, svečių portalo kūrimas ir prieigos politikos nustatymas.

2. FortiAP konfigūravimas FortiGate

„FortiGate“ yra prieigos taško valdiklis ir jame atliekami visi nustatymai. FortiAP prieigos taškai palaiko PoE, todėl prijungę jį prie tinklo per Ethernet, galite pradėti konfigūraciją.

1) FortiGate eikite į skirtuką „WiFi“ ir jungiklio valdiklis > Tvarkomi „FortiAP“ > Sukurti naują > Valdoma AP. Naudodami unikalų prieigos taško serijos numerį, kuris atspausdintas pačiame prieigos taške, pridėkite jį kaip objektą. Arba gali pasirodyti ir tada paspausti Leidimas naudojant dešinįjį pelės mygtuką.

2) FortiAP nustatymai gali būti numatytieji, pavyzdžiui, palikite kaip ekrano kopijoje. Labai rekomenduoju įjungti 5 GHz režimą, nes kai kurie įrenginiai nepalaiko 2.4 GHz.

3) Tada skirtuke WiFi ir jungiklio valdiklis > FortiAP profiliai > Sukurti naują kuriame prieigos taško nustatymų profilį (802.11 versijos protokolas, SSID režimas, kanalo dažnis ir jų skaičius).

FortiAP nustatymų pavyzdys

4) Kitas žingsnis yra sukurti SSID. Eikite į skirtuką „WiFi & Switch Controller“ > SSID > Sukurti naują > SSID. Čia iš svarbaus reikia sukonfigūruoti:

adresų erdvė svečio WLAN - IP / tinklo kaukė
RADIUS apskaita ir saugus audinio ryšys lauke Administracinė prieiga
Įrenginio aptikimo parinktis
SSID ir Broadcast SSID parinktis
Saugos režimo nustatymai > Užfiksuotas portalas
Autentifikavimo portalas – išorinis ir nuo 20 veiksmo įterpkite nuorodą į sukurtą svečių portalą iš Cisco ISE
Vartotojų grupė – Svečių grupė – Išorinė – pridėkite RADIUS prie Cisco ISE (6 p. ir ir toliau)

SSID nustatymo pavyzdys

5) Tada turėtumėte sukurti taisykles FortiGate prieigos politikoje. Eikite į skirtuką Politika ir objektai > Užkardos politika ir sukurkite tokią taisyklę:

3. SPINDULIO nustatymas

6) Eikite į Cisco ISE žiniatinklio sąsajos skirtuką Politika > Politikos elementai > Žodynai > Sistema > Spindulys > RADIUS tiekėjai > Pridėti. Šiame skirtuke Fortinet RADIUS įtrauksime į palaikomų protokolų sąrašą, nes beveik kiekvienas pardavėjas turi savo specifinius atributus – VSA (Vendor-Specific Attributes).

Galima rasti Fortinet RADIUS atributų sąrašą čia. VSA išsiskiria unikaliu pardavėjo ID numeriu. Fortinet turi šį ID = 12356... Pilnas sąrašas VSA paskelbė IANA.

7) Nustatykite žodyno pavadinimą, nurodykite Pardavėjas ID (12356) ir paspauskite Pateikti.

8) Po to, kai einame į Administravimas > Tinklo įrenginių profiliai > Pridėti ir sukurti naują įrenginio profilį. Lauke RADIUS žodynai pasirinkite anksčiau sukurtą Fortinet RADIUS žodyną ir pasirinkite CoA metodus, kuriuos vėliau naudosite ISE politikoje. Aš pasirinkau RFC 5176 ir Port Bounce (išjungimas / be išjungimo tinklo sąsaja) ir atitinkamus VSA:

Fortinet-Access-Profile=skaityti-rašyti

Fortinet-Group-Name = fmg_faz_admins

9) Tada pridėkite FortiGate, kad galėtumėte prisijungti prie ISE. Norėdami tai padaryti, eikite į skirtuką Administravimas > Tinklo ištekliai > Tinklo įrenginių profiliai > Pridėti. Laukai, kuriuos reikia keisti Vardas, pardavėjas, RADIUS žodynai (IP adresą naudoja FortiGate, o ne FortiAP).

RADIUS konfigūravimo iš ISE pusės pavyzdys

10) Po to turėtumėte sukonfigūruoti RADIUS FortiGate pusėje. „FortiGate“ žiniatinklio sąsajoje eikite į Vartotojas ir autentifikavimas > RADIUS serveriai > Sukurti naują. Nurodykite vardą, IP adresą ir bendrinamą paslaptį (slaptažodį) iš ankstesnės pastraipos. Kitas spustelėkite Patikrinkite vartotojo kredencialus ir įveskite visus kredencialus, kuriuos galima gauti per RADIUS (pavyzdžiui, vietinis vartotojas Cisco ISE).

11) Pridėkite RADIUS serverį prie svečių grupės (jei jo nėra), taip pat išorinį vartotojų šaltinį.

12) Nepamirškite pridėti svečių grupės prie SSID, kurį sukūrėme anksčiau atlikdami 4 veiksmą.

4. Vartotojo autentifikavimo nustatymas

13) Pasirinktinai galite importuoti sertifikatą į ISE svečių portalą arba sukurti savarankiškai pasirašytą sertifikatą skirtuke Darbo centrai > Svečio prieiga > Administravimas > Sertifikavimas > Sistemos sertifikatai.

14) Po skirtuke Darbo centrai > Svečio prieiga > Tapatybės grupės > Vartotojo tapatybės grupės > Pridėti sukurti naują vartotojų grupę svečio prieigai arba naudoti numatytąsias.

15) Toliau skirtuke Administravimas > Tapatybės sukurti svečius vartotojus ir įtraukti juos į grupes iš ankstesnės pastraipos. Jei norite naudoti trečiųjų šalių paskyras, praleiskite šį veiksmą.

16) Kai einame į nustatymus Darbo centrai > Svečio prieiga > Tapatybės > Tapatybės šaltinio seka > Svečių portalo seka – tai yra numatytoji svečių naudotojų autentifikavimo seka. Ir lauke Autentifikavimo paieškos sąrašas pasirinkite vartotojo autentifikavimo tvarką.

17) Norėdami įspėti svečius vienkartiniu slaptažodžiu, tam galite sukonfigūruoti SMS tiekėjus arba SMTP serverį. Eikite į skirtuką Darbo centrai > Svečio prieiga > Administravimas > SMTP serveris arba SMS šliuzo teikėjai šiems nustatymams. Jei naudojate SMTP serverį, turite sukurti ISE paskyrą ir nurodyti duomenis šiame skirtuke.

18) Norėdami gauti SMS pranešimus, naudokite atitinkamą skirtuką. ISE turi iš anksto įdiegtus populiarių SMS teikėjų profilius, tačiau geriau susikurti savo. Naudokite šiuos profilius kaip nustatymo pavyzdį SMS el. pašto šliuzasy arba SMS HTTP API.

SMTP serverio ir SMS šliuzo nustatymo vienkartiniam slaptažodžiui pavyzdys

5. Svečių portalo nustatymas

19) Kaip minėta pradžioje, yra 3 iš anksto įdiegtų svečių portalų tipai: Hotspot, Sponsored, Self-Registered. Siūlau rinktis trečią variantą, nes jis yra labiausiai paplitęs. Bet kuriuo atveju nustatymai iš esmės yra identiški. Taigi, eikime į skirtuką. Darbo centrai > Svečio prieiga > Portalai ir komponentai > Svečių portalai > Savarankiškai užsiregistravęs svečių portalas (numatytasis).

20) Tada skirtuke Portalo puslapio tinkinimas pasirinkite „Žiūrėti rusiškai - rusiškai“, kad portalas būtų rodomas rusų kalba. Galite pakeisti bet kurio skirtuko tekstą, pridėti logotipą ir kt. Dešinėje kampe yra svečių portalo peržiūra, kad būtų geriau matyti.

Svečių portalo konfigūravimo su savarankiška registracija pavyzdys

21) Spustelėkite frazę Portalo bandomasis URL ir nukopijuokite portalo URL į SSID FortiGate 4 veiksme. URL pavyzdys https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Norėdami rodyti savo domeną, turite įkelti sertifikatą į svečių portalą, žr. 13 veiksmą.

22) Eikite į skirtuką Darbo centrai > Svečio prieiga > Politikos elementai > Rezultatai > Prieigos profiliai > Pridėti kad sukurtumėte autorizacijos profilį pagal anksčiau sukurtą Tinklo įrenginio profilis.

23) Skirtuke Darbo centrai > Svečio prieiga > Politikos rinkiniai redaguoti „WiFi“ naudotojų prieigos politiką.

24) Pabandykime prisijungti prie svečio SSID. Jis iš karto nukreipia mane į prisijungimo puslapį. Čia galite prisijungti naudodami svečio paskyrą, sukurtą vietoje ISE, arba užsiregistruoti kaip svečio vartotojas.

25) Jei pasirinkote savarankiškos registracijos parinktį, tuomet vienkartiniai prisijungimo duomenys gali būti siunčiami paštu, SMS žinute arba atspausdinti.

26) Cisco ISE skirtuke RADIUS > Tiesioginiai žurnalai matysite atitinkamus prisijungimo žurnalus.

6. Išvada

Šiame ilgame straipsnyje mes sėkmingai sukonfigūravome svečio prieigą Cisco ISE, kur FortiGate veikia kaip prieigos taško valdiklis, o FortiAP veikia kaip prieigos taškas. Tai pasirodė nebanali integracija, kuri dar kartą įrodo plačiai paplitusią ISE.

Norėdami išbandyti Cisco ISE, susisiekite nuorodataip pat sekite mūsų kanalus (Telegram, Facebook, VK, TS sprendimų tinklaraštis, „Yandex Zen“).

Šaltinis: www.habr.com

„Cisco ISE“: svečio prieigos konfigūravimas „FortiAP“. 3 dalis