🥇Cisco ISE: viesu piekļuves konfigurēšana vietnē FortiAP. 3. daļa

Laipni lūdzam Cisco ISE sērijas trešajā ziņā. Tālāk ir norādītas saites uz visiem sērijas rakstiem:

Šajā ziņojumā jūs iedziļināsities viesa piekļuves jautājumos, kā arī detalizētu ceļvedi par Cisco ISE un FortiGate integrēšanu, lai konfigurētu FortiAP, piekļuves punktu no Fortinet (parasti jebkura ierīce, kas atbalsta RADIUS CoA — pilnvaras maiņa).

Pielikumā ir mūsu raksti. Fortinet - noderīgu materiālu izlase.

PiezīmeA: Check Point SMB ierīces neatbalsta RADIUS CoA.

Brīnišķīgi vadība angļu valodā ir aprakstīts, kā izveidot viesa piekļuvi, izmantojot Cisco ISE uz Cisco WLC (bezvadu kontroliera). Izdomāsim!

1. Ievads

Viesu piekļuve (portāls) ļauj nodrošināt piekļuvi internetam vai iekšējiem resursiem viesiem un lietotājiem, kurus nevēlaties ielaist savā lokālajā tīklā. Ir 3 iepriekš noteikti viesu portālu veidi (viesu portāls):

Hotspot viesu portāls - piekļuve tīklam tiek nodrošināta viesiem bez pieteikšanās datiem. Lietotājiem parasti ir jāpiekrīt uzņēmuma “Lietošanas un konfidencialitātes politikai”, pirms viņi piekļūst tīklam.
Sponsored-Guest portāls - piekļuve tīklam un pieteikšanās dati ir jāizsniedz sponsoram - lietotājam, kas ir atbildīgs par viesu kontu izveidi Cisco ISE.
Pašreģistrētā viesu portāls - šajā gadījumā viesi izmanto esošos pieteikšanās datus vai izveido sev kontu ar pieteikšanās datiem, taču, lai piekļūtu tīklam, ir nepieciešams sponsora apstiprinājums.

Cisco ISE vienlaikus var izvietot vairākus portālus. Pēc noklusējuma viesu portālā lietotājs redzēs Cisco logotipu un standarta izplatītās frāzes. To visu var pielāgot un pat iestatīt, lai pirms piekļuves iegūšanas skatītu obligātās reklāmas.

Viesu piekļuves iestatīšanu var iedalīt 4 galvenajos posmos: FortiAP iestatīšana, Cisco ISE un FortiAP savienojamība, viesu portāla izveide un piekļuves politikas iestatīšana.

2. FortiAP konfigurēšana vietnē FortiGate

FortiGate ir piekļuves punkta kontrolieris, un tajā tiek veikti visi iestatījumi. FortiAP piekļuves punkti atbalsta PoE, tāpēc, kad tas ir savienots ar tīklu, izmantojot Ethernet, varat sākt konfigurēšanu.

1) FortiGate atveriet cilni WiFi un slēdžu kontrolieris > Pārvaldītie FortiAP > Izveidot jaunu > Pārvaldītā piekļuves punkts. Izmantojot piekļuves punkta unikālo sērijas numuru, kas ir uzdrukāts uz paša piekļuves punkta, pievienojiet to kā objektu. Vai arī tas var parādīt sevi un pēc tam nospiest Atļaut izmantojot peles labo pogu.

2) FortiAP iestatījumi var būt noklusējuma iestatījumi, piemēram, atstājiet kā ekrānuzņēmumā. Ļoti iesaku ieslēgt 5 GHz režīmu, jo dažas ierīces neatbalsta 2.4 GHz.

3) Pēc tam cilnē WiFi un slēdžu kontrolieris > FortiAP profili > Izveidot jaunu veidojam piekļuves punkta iestatījumu profilu (802.11 protokola versija, SSID režīms, kanāla frekvence un to numurs).

FortiAP iestatījumu piemērs

4) Nākamais solis ir izveidot SSID. Dodieties uz cilni WiFi un slēdžu kontrolieris > SSID > Izveidot jaunu > SSID. Šeit no svarīgākā ir jākonfigurē:

adrešu telpa viesu WLAN — IP/tīkla maska
RADIUS grāmatvedība un drošs auduma savienojums laukā Administratīvā piekļuve
Ierīces noteikšanas opcija
SSID un Broadcast SSID opcija
Drošības režīma iestatījumi > Captive Portal
Autentifikācijas portāls — ārējs un ievietojiet saiti uz izveidoto viesu portālu no Cisco ISE no 20. darbības
Lietotāju grupa — Viesu grupa — Ārējā — pievienojiet RADIUS Cisco ISE (6. lpp. un turpmāk)

SSID iestatīšanas piemērs

5) Pēc tam FortiGate piekļuves politikā jāizveido noteikumi. Dodieties uz cilni Politika un objekti > Ugunsmūra politika un izveidojiet šādu noteikumu:

3. RADIUSS iestatījums

6) Dodieties uz Cisco ISE tīmekļa saskarni uz cilni Politika > Politikas elementi > Vārdnīcas > Sistēma > Rādiuss > RADIUS piegādātāji > Pievienot. Šajā cilnē mēs pievienosim Fortinet RADIUS atbalstīto protokolu sarakstam, jo gandrīz katram pārdevējam ir savi specifiski atribūti - VSA (Vendor-Specific Attributes).

Fortinet RADIUS atribūtu sarakstu var atrast šeit. VSA atšķiras ar to unikālo pārdevēja ID numuru. Fortinet ir šis ID = 12356... Pilns saraksts VSA ir publicējusi IANA.

7) Iestatiet vārdnīcas nosaukumu, precizējiet Vendor ID (12356) un nospiediet Iesniegt.

8) Pēc tam, kad mēs ejam uz Administrēšana > Tīkla ierīču profili > Pievienot un izveidojiet jaunu ierīces profilu. Laukā RADIUS vārdnīcas atlasiet iepriekš izveidoto Fortinet RADIUS vārdnīcu un atlasiet CoA metodes, ko izmantot vēlāk ISE politikā. Es izvēlējos RFC 5176 un Port Bounce (izslēgšanas/bez izslēgšanas tīkla interfeisu) un atbilstošos VSA:

Fortinet-Access-Profile=lasīt-rakstīt

Fortinet-Group-Name = fmg_faz_admins

9) Pēc tam pievienojiet FortiGate savienojumam ar ISE. Lai to izdarītu, dodieties uz cilni Administrēšana > Tīkla resursi > Tīkla ierīču profili > Pievienot. Maināmie lauki Vārdnīcas, pārdevējs, RADIUS vārdnīcas (IP adresi izmanto FortiGate, nevis FortiAP).

Piemērs RADIUS konfigurēšanai no ISE puses

10) Pēc tam jums vajadzētu konfigurēt RADIUS FortiGate pusē. FortiGate tīmekļa saskarnē dodieties uz Lietotājs un autentifikācija > RADIUS serveri > Izveidot jaunu. Norādiet iepriekšējā rindkopā norādīto vārdu, IP adresi un kopīgoto noslēpumu (paroli). Nākamais klikšķis Pārbaudiet lietotāja akreditācijas datus un ievadiet visus akreditācijas datus, ko var iegūt, izmantojot RADIUS (piemēram, vietējais lietotājs Cisco ISE).

11) Pievienojiet viesu grupai RADIUS serveri (ja tāda nav), kā arī ārēju lietotāju avotu.

12) Neaizmirstiet pievienot viesu grupu SSID, ko izveidojām iepriekš 4. darbībā.

4. Lietotāja autentifikācijas iestatījums

13) Pēc izvēles varat importēt sertifikātu ISE viesu portālā vai izveidot pašparakstītu sertifikātu cilnē Darba centri > Viesu piekļuve > Administrēšana > Sertifikācija > Sistēmas sertifikāti.

14) Pēc cilnē Darba centri > Viesu piekļuve > Identitātes grupas > Lietotāju identitātes grupas > Pievienot izveidojiet jaunu lietotāju grupu viesa piekļuvei vai izmantojiet noklusējuma grupas.

15) Tālāk cilnē Administrēšana > Identitātes izveidot viesu lietotājus un pievienot tos grupām no iepriekšējās rindkopas. Ja vēlaties izmantot trešo pušu kontus, izlaidiet šo darbību.

16) Pēc tam, kad mēs ejam uz iestatījumiem Darba centri > Viesa piekļuve > Identitātes > Identitātes avota secība > Viesu portāla secība — šī ir noklusējuma autentifikācijas secība vieslietotājiem. Un laukā Autentifikācijas meklēšanas saraksts atlasiet lietotāja autentifikācijas secību.

17) Lai informētu viesus ar vienreizēju paroli, šim nolūkam varat konfigurēt SMS pakalpojumu sniedzējus vai SMTP serveri. Dodieties uz cilni Darba centri > Viesu piekļuve > Administrēšana > SMTP serveris vai SMS vārtejas nodrošinātāji šiem iestatījumiem. SMTP servera gadījumā jums ir jāizveido konts ISE un jānorāda dati šajā cilnē.

18) SMS paziņojumiem izmantojiet atbilstošo cilni. ISE ir iepriekš instalēti populāru SMS pakalpojumu sniedzēju profili, taču labāk ir izveidot savu. Izmantojiet šos profilus kā iestatījuma piemēru SMS e-pasta vārtejay vai SMS HTTP API.

Piemērs SMTP servera un SMS vārtejas iestatīšanai vienreizējai parolei

5. Viesu portāla iestatīšana

19) Kā jau minēts sākumā, ir 3 veidu iepriekš instalēti viesu portāli: Hotspot, Sponsored, Self-Registered. Iesaku izvēlēties trešo variantu, jo tā ir visizplatītākā. Jebkurā gadījumā iestatījumi lielākoties ir identiski. Tātad, pāriesim uz cilni. Darba centri > Viesu piekļuve > Portāli un komponenti > Viesu portāli > Pašreģistrēts viesu portāls (noklusējums).

20) Pēc tam cilnē Portāla lapas pielāgošana atlasiet “Skatīt krievu valodā - krieviski”, lai portāls būtu redzams krievu valodā. Varat mainīt jebkuras cilnes tekstu, pievienot savu logotipu un veikt citas darbības. Labajā pusē stūrī ir viesu portāla priekšskatījums labākam skatam.

Piemērs viesu portāla konfigurēšanai ar pašreģistrāciju

21) Noklikšķiniet uz frāzes Portāla pārbaudes URL un kopējiet portāla URL uz FortiGate SSID 4. darbībā. URL paraugs https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Lai parādītu savu domēnu, jums ir jāaugšupielādē sertifikāts viesu portālā, skatiet 13. darbību.

22) Dodieties uz cilni Darba centri > Viesu piekļuve > Politikas elementi > Rezultāti > Autorizācijas profili > Pievienot lai izveidotu autorizācijas profilu zem iepriekš izveidotā Tīkla ierīces profils.

23) Cilnē Darba centri > Viesa piekļuve > Politiku kopas rediģēt piekļuves politiku WiFi lietotājiem.

24) Mēģināsim izveidot savienojumu ar viesa SSID. Tas mani nekavējoties novirza uz pieteikšanās lapu. Šeit jūs varat pieteikties ar viesa kontu, kas izveidots lokāli ISE, vai reģistrēties kā vieslietotājs.

25) Ja esat izvēlējies pašreģistrācijas iespēju, tad vienreizējos pieteikšanās datus var nosūtīt pa pastu, ar SMS vai izdrukāt.

26) Cisco ISE cilnē RADIUS > Live Logs redzēsit atbilstošos pieteikšanās žurnālus.

6. Secinājums

Šajā garajā rakstā mēs esam veiksmīgi konfigurējuši viesa piekļuvi Cisco ISE, kur FortiGate darbojas kā piekļuves punkta kontrolieris, bet FortiAP darbojas kā piekļuves punkts. Izrādījās sava veida netriviāla integrācija, kas vēlreiz pierāda ISE plašo izmantošanu.

Lai pārbaudītu Cisco ISE, sazinieties ar saitekā arī sekojiet līdzi mūsu kanāliem (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com

Cisco ISE: viesu piekļuves konfigurēšana vietnē FortiAP. 3. daļa