Во оваа објава, ќе нурнете во пристапот за гости, како и чекор-по-чекор водич за интегрирање на Cisco ISE и FortiGate за конфигурирање на FortiAP, пристапна точка од Fortinet (општо, секој уред што поддржува РАДИУС CoA — Промена на овластување).
Имајте на умО: Check Point SMB уредите не поддржуваат RADIUS CoA.
прекрасен лидерство опишува на англиски како да се создаде пристап за гости користејќи Cisco ISE на Cisco WLC (безжичен контролер). Ајде да го сфатиме!
1. Вовед
Пристапот за гости (портал) ви овозможува да обезбедите пристап до Интернет или до внатрешни ресурси за гостите и корисниците кои не сакате да ги пуштите во вашата локална мрежа. Постојат 3 предефинирани типови на портали за гости (Гостски портал):
Hotspot Guest портал - Пристапот до мрежата им е овозможен на гостите без податоци за најавување. Од корисниците обично се бара да ја прифатат „Политиката за употреба и приватност“ на компанијата пред да пристапат до мрежата.
Портал спонзориран-гостин - пристапот до мрежата и податоците за најавување мора да бидат издадени од спонзорот - корисникот одговорен за креирање гостински сметки на Cisco ISE.
Портал за саморегистрирани гости - во овој случај, гостите ги користат постоечките детали за најавување или креираат сметка за себе со детали за најавување, но потребна е потврда од спонзорот за да се добие пристап до мрежата.
На Cisco ISE може да се распоредат повеќе портали во исто време. Стандардно, во порталот за гости, корисникот ќе го види логото на Cisco и стандардните вообичаени фрази. Сето ова може да се приспособи, па дури и да се постави за прегледување на задолжителни реклами пред да се добие пристап.
Поставувањето пристап за гости може да се подели на 4 главни чекори: поставување FortiAP, поврзување Cisco ISE и FortiAP, создавање портал за гости и поставување политика за пристап.
2. Конфигурирање на FortiAP на FortiGate
FortiGate е контролер за пристапна точка и сите поставки се направени на него. Пристапните точки на FortiAP поддржуваат PoE, па откако ќе го поврзете на мрежата преку етернет, можете да ја стартувате конфигурацијата.
1) На FortiGate, одете на јазичето Контролер за WiFi и префрлување > Управувани FortiAPs > Создај нова > Управувана АП. Користејќи го единствениот сериски број на пристапната точка, кој е отпечатен на самата пристапна точка, додајте ја како објект. Или може да се покаже и потоа да притисне Овластете користејќи го десното копче на глувчето.
2) Поставките на FortiAP може да бидат стандардни, на пример, оставете како на сликата од екранот. Силно препорачувам да го вклучите режимот од 5 GHz, бидејќи некои уреди не поддржуваат 2.4 GHz.
3) Потоа во јазичето Контролер за WiFi и прекинувач > Профили на FortiAP > Креирај ново создаваме профил за поставки за пристапната точка (протокол верзија 802.11, режим SSID, фреквенција на каналот и нивниот број).
Пример за поставки на FortiAP
4) Следниот чекор е да креирате SSID. Одете на јазичето WiFi и префрли контролер > SSID > Креирај нов > SSID. Тука од најважното треба да се конфигурира:
адресен простор за гостински WLAN - IP/Netmask
RADIUS Сметководство и безбедно поврзување со ткаенина во полето Административен пристап
Опција за откривање уред
Опција SSID и Broadcast SSID
Поставки за безбедносен режим > Заробен портал
Портал за автентикација - Надворешен и вметнете врска до креираниот портал за гости од Cisco ISE од чекор 20
Корисничка група - Гостинска група - Надворешна - додадете RADIUS во Cisco ISE (стр. 6 па натаму)
Пример за поставување SSID
5) Потоа треба да креирате правила во политиката за пристап на FortiGate. Одете на јазичето Политика и објекти > Политика за заштитен ѕид и креирајте вакво правило:
3. Поставување RADIUS
6) Одете до веб-интерфејсот Cisco ISE до јазичето Политика > Елементи на политика > Речници > Систем > Радиус > Добавувачи на РАДИУС > Додај. Во оваа картичка, ќе го додадеме Fortinet RADIUS на списокот со поддржани протоколи, бидејќи скоро секој продавач има свои специфични атрибути - VSA (Vendor-Specific Attributes).
Може да се најде список на атрибути на Fortinet RADIUS тука. VSA се разликуваат по нивниот единствен број за идентификација на добавувачот. Фортинет го има овој ID = 12356... Полна листа VSA е објавена од IANA.
7) Поставете го името на речникот, наведете ИД на продавач (12356) и притиснете Поднесете.
8) Откако ќе одиме на Администрација > Профили на мрежни уреди > Додај и креирајте нов профил на уред. Во полето RADIUS Dictionaries, изберете го претходно креираниот речник Fortinet RADIUS и изберете CoA методите што ќе ги користите подоцна во политиката ISE. Избрав RFC 5176 и Port Bounce (мрежен интерфејс за исклучување/без исклучување) и соодветните VSA:
Fortinet-Access-Profile=читање-пишување
Fortinet-Group-Name = fmg_faz_admins
9) Следно, додадете FortiGate за поврзување со ISE. За да го направите ова, одете на јазичето Администрација > Мрежни ресурси > Профили на мрежни уреди > Додај. Полињата што треба да се променат Име, продавач, речници RADIUS (IP адресата ја користи FortiGate, а не FortiAP).
Пример за конфигурирање на RADIUS од страната ISE
10) После тоа, треба да го конфигурирате RADIUS на страната на FortiGate. Во веб-интерфејсот на FortiGate, одете на Корисник и автентикација > РАДИУС сервери > Креирај ново. Наведете го името, IP адресата и споделената тајна (лозинка) од претходниот пасус. Следен клик Тест на кориснички акредитиви и внесете ги сите ингеренции што може да се извлечат преку RADIUS (на пример, локален корисник на Cisco ISE).
11) Додајте RADIUS сервер во групата гости (ако не постои) како и надворешен извор на корисници.
12) Не заборавајте да ја додадете групата гости на SSID што ја создадовме претходно во чекор 4.
4. Поставка за автентикација на корисникот
13) Изборно, можете да увезете сертификат на порталот за гости на ISE или да креирате самопотпишан сертификат во картичката Работни центри > Пристап за гости > Администрација > Сертификација > Системски сертификати.
14) По во табот Работни центри > Пристап на гости > Групи за идентитети > Групи за идентитет на корисници > Додај креирајте нова корисничка група за пристап на гостите или користете ги стандардните.
15) Понатаму во јазичето Администрација > Идентитети креирајте гости корисници и додајте ги во групите од претходниот пасус. Ако сакате да користите сметки од трети страни, тогаш прескокнете го овој чекор.
16) Откако ќе отидеме до поставките Работни центри > Пристап на гости > Идентитети >Секвенца на извор на идентитет > Секвенца на гостин портал - ова е стандардната секвенца за автентикација за гостите корисници. И на терен Список за пребарување за автентикација изберете ја нарачката за автентикација на корисникот.
17) За да ги известите гостите со еднократна лозинка, можете да конфигурирате СМС провајдери или SMTP сервер за оваа намена. Одете на јазичето Работни центри > Пристап за гости > Администрација > SMTP сервер или СМС-порта провајдери за овие поставки. Во случај на SMTP сервер, треба да креирате сметка за ISE и да ги наведете податоците во оваа картичка.
18) За SMS известувања, користете го соодветното јазиче. ISE има претходно инсталирани профили на популарни СМС провајдери, но подобро е да креирате свои. Користете ги овие профили како пример за поставување СМС порта за е-поштаy или SMS HTTP API.
Пример за поставување на SMTP сервер и SMS портал за еднократна лозинка
5. Поставување на порталот за гости
19) Како што беше споменато на почетокот, постојат 3 типа на претходно инсталирани портали за гости: Hotspot, Sponsored, Self-Registed. Предлагам да ја изберете третата опција, бидејќи е најчеста. Во секој случај, поставките се во голема мера идентични. Значи, да одиме на јазичето. Работни центри > Пристап за гости > Портали и компоненти > Портали за гости > Саморегистриран портал за гости (стандардно).
20) Следно, во картичката Приспособување на страницата на порталот, изберете „Поглед на руски - руски“, така што порталот е прикажан на руски. Можете да го промените текстот на која било картичка, да го додадете вашето лого и многу повеќе. Десно во аголот е преглед на порталот за гости за подобар приказ.
Пример за конфигурирање на портал за гости со саморегистрација
За да го прикажете вашиот домен, мора да го поставите сертификатот на порталот за гости, видете го чекор 13.
22) Одете на јазичето Работни центри > Пристап на гости > Елементи на политика > Резултати > Профили за авторизација > Додај да креирате профил за авторизација под претходно креираниот Профил на мрежен уред.
23) Во табот Работни центри > Пристап за гости > Поставки на политики уредете ја политиката за пристап за корисниците на WiFi.
24) Ајде да се обидеме да се поврземе со гостинската SSID. Веднаш ме пренасочува на страната за најавување. Овде можете да се најавите со гостинската сметка креирана локално на ISE или да се регистрирате како гостин-корисник.
25) Ако сте ја избрале опцијата за саморегистрација, тогаш податоците за еднократна најава може да се испратат по пошта, преку СМС или да се испечатат.
26) Во картичката RADIUS > Live Logs на Cisco ISE, ќе ги видите соодветните дневници за најавување.
6. Заклучок
Во оваа долга статија, успешно го конфигуриравме пристапот за гости на Cisco ISE, каде што FortiGate делува како контролер на пристапната точка, а FortiAP делува како пристапна точка. Испадна еден вид нетривијална интеграција, што уште еднаш ја докажува широката употреба на ISE.