Å ajÄ ziÅojumÄ jÅ«s iedziļinÄsities viesa piekļuves jautÄjumos, kÄ arÄ« detalizÄtu ceļvedi par Cisco ISE un FortiGate integrÄÅ”anu, lai konfigurÄtu FortiAP, piekļuves punktu no Fortinet (parasti jebkura ierÄ«ce, kas atbalsta RADIUS CoA ā pilnvaras maiÅa).
PiezīmeA: Check Point SMB ierīces neatbalsta RADIUS CoA.
BrÄ«niŔķīgi vadÄ«ba angļu valodÄ ir aprakstÄ«ts, kÄ izveidot viesa piekļuvi, izmantojot Cisco ISE uz Cisco WLC (bezvadu kontroliera). IzdomÄsim!
1. Ievads
Viesu piekļuve (portÄls) ļauj nodroÅ”inÄt piekļuvi internetam vai iekÅ”Äjiem resursiem viesiem un lietotÄjiem, kurus nevÄlaties ielaist savÄ lokÄlajÄ tÄ«klÄ. Ir 3 iepriekÅ” noteikti viesu portÄlu veidi (viesu portÄls):
Hotspot viesu portÄls - piekļuve tÄ«klam tiek nodroÅ”inÄta viesiem bez pieteikÅ”anÄs datiem. LietotÄjiem parasti ir jÄpiekrÄ«t uzÅÄmuma āLietoÅ”anas un konfidencialitÄtes politikaiā, pirms viÅi piekļūst tÄ«klam.
Sponsored-Guest portÄls - piekļuve tÄ«klam un pieteikÅ”anÄs dati ir jÄizsniedz sponsoram - lietotÄjam, kas ir atbildÄ«gs par viesu kontu izveidi Cisco ISE.
PaÅ”reÄ£istrÄtÄ viesu portÄls - Å”ajÄ gadÄ«jumÄ viesi izmanto esoÅ”os pieteikÅ”anÄs datus vai izveido sev kontu ar pieteikÅ”anÄs datiem, taÄu, lai piekļūtu tÄ«klam, ir nepiecieÅ”ams sponsora apstiprinÄjums.
Cisco ISE vienlaikus var izvietot vairÄkus portÄlus. PÄc noklusÄjuma viesu portÄlÄ lietotÄjs redzÄs Cisco logotipu un standarta izplatÄ«tÄs frÄzes. To visu var pielÄgot un pat iestatÄ«t, lai pirms piekļuves iegÅ«Å”anas skatÄ«tu obligÄtÄs reklÄmas.
Viesu piekļuves iestatÄ«Å”anu var iedalÄ«t 4 galvenajos posmos: FortiAP iestatÄ«Å”ana, Cisco ISE un FortiAP savienojamÄ«ba, viesu portÄla izveide un piekļuves politikas iestatÄ«Å”ana.
2. FortiAP konfigurÄÅ”ana vietnÄ FortiGate
FortiGate ir piekļuves punkta kontrolieris, un tajÄ tiek veikti visi iestatÄ«jumi. FortiAP piekļuves punkti atbalsta PoE, tÄpÄc, kad tas ir savienots ar tÄ«klu, izmantojot Ethernet, varat sÄkt konfigurÄÅ”anu.
1) FortiGate atveriet cilni WiFi un slÄdžu kontrolieris > PÄrvaldÄ«tie FortiAP > Izveidot jaunu > PÄrvaldÄ«tÄ piekļuves punkts. Izmantojot piekļuves punkta unikÄlo sÄrijas numuru, kas ir uzdrukÄts uz paÅ”a piekļuves punkta, pievienojiet to kÄ objektu. Vai arÄ« tas var parÄdÄ«t sevi un pÄc tam nospiest Atļaut izmantojot peles labo pogu.
3) PÄc tam cilnÄ WiFi un slÄdžu kontrolieris > FortiAP profili > Izveidot jaunu veidojam piekļuves punkta iestatÄ«jumu profilu (802.11 protokola versija, SSID režīms, kanÄla frekvence un to numurs).
FortiAP iestatÄ«jumu piemÄrs
4) NÄkamais solis ir izveidot SSID. Dodieties uz cilni WiFi un slÄdžu kontrolieris > SSID > Izveidot jaunu > SSID. Å eit no svarÄ«gÄkÄ ir jÄkonfigurÄ:
adreÅ”u telpa viesu WLAN ā IP/tÄ«kla maska
RADIUS grÄmatvedÄ«ba un droÅ”s auduma savienojums laukÄ AdministratÄ«vÄ piekļuve
Ierīces noteikŔanas opcija
SSID un Broadcast SSID opcija
DroŔības režīma iestatījumi > Captive Portal
AutentifikÄcijas portÄls ā ÄrÄjs un ievietojiet saiti uz izveidoto viesu portÄlu no Cisco ISE no 20. darbÄ«bas
LietotÄju grupa ā Viesu grupa ā ÄrÄjÄ ā pievienojiet RADIUS Cisco ISE (6. lpp. un turpmÄk)
SSID iestatÄ«Å”anas piemÄrs
5) PÄc tam FortiGate piekļuves politikÄ jÄizveido noteikumi. Dodieties uz cilni Politika un objekti > UgunsmÅ«ra politika un izveidojiet Å”Ädu noteikumu:
3. RADIUSS iestatījums
6) Dodieties uz Cisco ISE tÄ«mekļa saskarni uz cilni Politika > Politikas elementi > VÄrdnÄ«cas > SistÄma > RÄdiuss > RADIUS piegÄdÄtÄji > Pievienot. Å ajÄ cilnÄ mÄs pievienosim Fortinet RADIUS atbalstÄ«to protokolu sarakstam, jo āāgandrÄ«z katram pÄrdevÄjam ir savi specifiski atribÅ«ti - VSA (Vendor-Specific Attributes).
Fortinet RADIUS atribÅ«tu sarakstu var atrast Å”eit. VSA atŔķiras ar to unikÄlo pÄrdevÄja ID numuru. Fortinet ir Å”is ID = 12356... Pilns saraksts VSA ir publicÄjusi IANA.
7) Iestatiet vÄrdnÄ«cas nosaukumu, precizÄjiet Vendor ID (12356) un nospiediet Iesniegt.
8) PÄc tam, kad mÄs ejam uz AdministrÄÅ”ana > TÄ«kla ierÄ«Äu profili > Pievienot un izveidojiet jaunu ierÄ«ces profilu. LaukÄ RADIUS vÄrdnÄ«cas atlasiet iepriekÅ” izveidoto Fortinet RADIUS vÄrdnÄ«cu un atlasiet CoA metodes, ko izmantot vÄlÄk ISE politikÄ. Es izvÄlÄjos RFC 5176 un Port Bounce (izslÄgÅ”anas/bez izslÄgÅ”anas tÄ«kla interfeisu) un atbilstoÅ”os VSA:
Fortinet-Access-Profile=lasīt-rakstīt
Fortinet-Group-Name = fmg_faz_admins
9) PÄc tam pievienojiet FortiGate savienojumam ar ISE. Lai to izdarÄ«tu, dodieties uz cilni AdministrÄÅ”ana > TÄ«kla resursi > TÄ«kla ierÄ«Äu profili > Pievienot. MainÄmie lauki VÄrdnÄ«cas, pÄrdevÄjs, RADIUS vÄrdnÄ«cas (IP adresi izmanto FortiGate, nevis FortiAP).
PiemÄrs RADIUS konfigurÄÅ”anai no ISE puses
10) PÄc tam jums vajadzÄtu konfigurÄt RADIUS FortiGate pusÄ. FortiGate tÄ«mekļa saskarnÄ dodieties uz LietotÄjs un autentifikÄcija > RADIUS serveri > Izveidot jaunu. NorÄdiet iepriekÅ”ÄjÄ rindkopÄ norÄdÄ«to vÄrdu, IP adresi un kopÄ«goto noslÄpumu (paroli). NÄkamais klikŔķis PÄrbaudiet lietotÄja akreditÄcijas datus un ievadiet visus akreditÄcijas datus, ko var iegÅ«t, izmantojot RADIUS (piemÄram, vietÄjais lietotÄjs Cisco ISE).
11) Pievienojiet viesu grupai RADIUS serveri (ja tÄda nav), kÄ arÄ« ÄrÄju lietotÄju avotu.
12) Neaizmirstiet pievienot viesu grupu SSID, ko izveidojÄm iepriekÅ” 4. darbÄ«bÄ.
4. LietotÄja autentifikÄcijas iestatÄ«jums
13) PÄc izvÄles varat importÄt sertifikÄtu ISE viesu portÄlÄ vai izveidot paÅ”parakstÄ«tu sertifikÄtu cilnÄ Darba centri > Viesu piekļuve > AdministrÄÅ”ana > SertifikÄcija > SistÄmas sertifikÄti.
14) PÄc cilnÄ Darba centri > Viesu piekļuve > IdentitÄtes grupas > LietotÄju identitÄtes grupas > Pievienot izveidojiet jaunu lietotÄju grupu viesa piekļuvei vai izmantojiet noklusÄjuma grupas.
15) TÄlÄk cilnÄ AdministrÄÅ”ana > IdentitÄtes izveidot viesu lietotÄjus un pievienot tos grupÄm no iepriekÅ”ÄjÄs rindkopas. Ja vÄlaties izmantot treÅ”o puÅ”u kontus, izlaidiet Å”o darbÄ«bu.
16) PÄc tam, kad mÄs ejam uz iestatÄ«jumiem Darba centri > Viesa piekļuve > IdentitÄtes >IdentitÄtes avota secÄ«ba > Viesu portÄla secÄ«ba ā Ŕī ir noklusÄjuma autentifikÄcijas secÄ«ba vieslietotÄjiem. Un laukÄ AutentifikÄcijas meklÄÅ”anas saraksts atlasiet lietotÄja autentifikÄcijas secÄ«bu.
17) Lai informÄtu viesus ar vienreizÄju paroli, Å”im nolÅ«kam varat konfigurÄt SMS pakalpojumu sniedzÄjus vai SMTP serveri. Dodieties uz cilni Darba centri > Viesu piekļuve > AdministrÄÅ”ana > SMTP serveris vai SMS vÄrtejas nodroÅ”inÄtÄji Å”iem iestatÄ«jumiem. SMTP servera gadÄ«jumÄ jums ir jÄizveido konts ISE un jÄnorÄda dati Å”ajÄ cilnÄ.
18) SMS paziÅojumiem izmantojiet atbilstoÅ”o cilni. ISE ir iepriekÅ” instalÄti populÄru SMS pakalpojumu sniedzÄju profili, taÄu labÄk ir izveidot savu. Izmantojiet Å”os profilus kÄ iestatÄ«juma piemÄru SMS e-pasta vÄrtejay vai SMS HTTP API.
PiemÄrs SMTP servera un SMS vÄrtejas iestatÄ«Å”anai vienreizÄjai parolei
5. Viesu portÄla iestatÄ«Å”ana
19) KÄ jau minÄts sÄkumÄ, ir 3 veidu iepriekÅ” instalÄti viesu portÄli: Hotspot, Sponsored, Self-Registered. Iesaku izvÄlÄties treÅ”o variantu, jo tÄ ir visizplatÄ«tÄkÄ. JebkurÄ gadÄ«jumÄ iestatÄ«jumi lielÄkoties ir identiski. TÄtad, pÄriesim uz cilni. Darba centri > Viesu piekļuve > PortÄli un komponenti > Viesu portÄli > PaÅ”reÄ£istrÄts viesu portÄls (noklusÄjums).
20) PÄc tam cilnÄ PortÄla lapas pielÄgoÅ”ana atlasiet āSkatÄ«t krievu valodÄ - krieviskiā, lai portÄls bÅ«tu redzams krievu valodÄ. Varat mainÄ«t jebkuras cilnes tekstu, pievienot savu logotipu un veikt citas darbÄ«bas. LabajÄ pusÄ stÅ«rÄ« ir viesu portÄla priekÅ”skatÄ«jums labÄkam skatam.
PiemÄrs viesu portÄla konfigurÄÅ”anai ar paÅ”reÄ£istrÄciju
Lai parÄdÄ«tu savu domÄnu, jums ir jÄaugÅ”upielÄdÄ sertifikÄts viesu portÄlÄ, skatiet 13. darbÄ«bu.
22) Dodieties uz cilni Darba centri > Viesu piekļuve > Politikas elementi > RezultÄti > AutorizÄcijas profili > Pievienot lai izveidotu autorizÄcijas profilu zem iepriekÅ” izveidotÄ TÄ«kla ierÄ«ces profils.
23) CilnÄ Darba centri > Viesa piekļuve > Politiku kopas rediÄ£Ät piekļuves politiku WiFi lietotÄjiem.
24) MÄÄ£inÄsim izveidot savienojumu ar viesa SSID. Tas mani nekavÄjoties novirza uz pieteikÅ”anÄs lapu. Å eit jÅ«s varat pieteikties ar viesa kontu, kas izveidots lokÄli ISE, vai reÄ£istrÄties kÄ vieslietotÄjs.
25) Ja esat izvÄlÄjies paÅ”reÄ£istrÄcijas iespÄju, tad vienreizÄjos pieteikÅ”anÄs datus var nosÅ«tÄ«t pa pastu, ar SMS vai izdrukÄt.
26) Cisco ISE cilnÄ RADIUS > Live Logs redzÄsit atbilstoÅ”os pieteikÅ”anÄs žurnÄlus.
6. SecinÄjums
Å ajÄ garajÄ rakstÄ mÄs esam veiksmÄ«gi konfigurÄjuÅ”i viesa piekļuvi Cisco ISE, kur FortiGate darbojas kÄ piekļuves punkta kontrolieris, bet FortiAP darbojas kÄ piekļuves punkts. IzrÄdÄ«jÄs sava veida netriviÄla integrÄcija, kas vÄlreiz pierÄda ISE plaÅ”o izmantoÅ”anu.