Cisco ISE цувралын гурав дахь нийтлэлд тавтай морил. Цувралын бүх нийтлэлийн холбоосыг доор өгөв.
-
Cisco ISE: Хэрэглэгчид үүсгэх, LDAP сервер нэмэх, AD-тай нэгтгэх. 2-р хэсэг -
Cisco ISE: FortiAP дээр зочны хандалтыг тохируулах. 3-р хэсэг
Энэ нийтлэлд та зочны хандалт, мөн Fortinet-ийн хандалтын цэг болох FortiAP-ыг тохируулахын тулд Cisco ISE болон FortiGate-ийг нэгтгэх алхам алхмаар зааварчилгааг өгөх болно (ерөнхийдөө үүнийг дэмждэг ямар ч төхөөрөмж). RADIUS CoA - Зөвшөөрлийн өөрчлөлт).
Манай нийтлэлүүдийг хавсаргав.
тайлбарХ: Check Point SMB төхөөрөмжүүд RADIUS CoA-г дэмждэггүй.
гайхалтай
1. Оршил
Зочны хандалт (портал) нь таныг дотоод сүлжээнд оруулахыг хүсэхгүй байгаа зочид болон хэрэглэгчдэд зориулж интернет эсвэл дотоод нөөцөд хандах боломжийг олгодог. Урьдчилан тодорхойлсон 3 төрлийн зочин портал байдаг (Зочин портал):
-
Hotspot Зочин портал - Сүлжээнд нэвтрэх боломжийг зочдод нэвтрэх өгөгдөлгүйгээр олгодог. Хэрэглэгчид ерөнхийдөө сүлжээнд нэвтрэхээсээ өмнө компанийн "Ашиглах ба нууцлалын бодлого"-ыг хүлээн зөвшөөрөх шаардлагатай.
-
Sponsored-Guest портал - сүлжээнд нэвтрэх болон нэвтрэх өгөгдлийг Cisco ISE дээр зочны данс үүсгэх үүрэгтэй ивээн тэтгэгч олгох ёстой.
-
Өөрөө бүртгүүлсэн зочны портал - энэ тохиолдолд зочид одоо байгаа нэвтрэх мэдээллийг ашиглах эсвэл нэвтрэх дэлгэрэнгүй мэдээлэл бүхий данс үүсгэх боловч сүлжээнд нэвтрэхийн тулд ивээн тэтгэгчийн баталгаажуулалт шаардлагатай.
Cisco ISE дээр нэгэн зэрэг олон портал байрлуулж болно. Анхдагч байдлаар, зочин портал дээр хэрэглэгч Cisco лого болон стандарт нийтлэг хэллэгүүдийг харах болно. Энэ бүгдийг тохируулж, нэвтрэх эрх авахаасаа өмнө заавал зар сурталчилгаа үзэхээр тохируулж болно.
Зочинд хандах тохиргоог үндсэн 4 үе шатанд хувааж болно: FortiAP тохиргоо, Cisco ISE болон FortiAP холболт, зочин портал үүсгэх, хандалтын бодлогын тохиргоо.
2. FortiGate дээр FortiAP-г тохируулах
FortiGate бол хандалтын цэгийн хянагч бөгөөд үүн дээр бүх тохиргоо хийгдсэн. FortiAP хандалтын цэгүүд нь PoE-г дэмждэг тул Ethernet-ээр сүлжээнд холбогдсоны дараа та тохиргоог эхлүүлж болно.
1) FortiGate дээр таб руу очно уу WiFi & Switch Controller > Удирдагдсан FortiAPs > Шинээр үүсгэх > Удирдах AP. Хандалтын цэг дээр хэвлэгдсэн өвөрмөц серийн дугаарыг ашиглан үүнийг объект болгон нэмнэ үү. Эсвэл энэ нь өөрийгөө харуулж, дараа нь дарж болно Зөвшөөрөлтэй хулганы баруун товчийг ашиглан.
2) FortiAP тохиргоо нь анхдагч байж болно, жишээлбэл, дэлгэцийн зураг дээрх шиг үлдээгээрэй. Зарим төхөөрөмжүүд 5 GHz-ийг дэмждэггүй тул 2.4 GHz горимыг асаахыг зөвлөж байна.
3) Дараа нь таб дээр WiFi & Switch Controller > FortiAP Profiles > Шинээр үүсгэх Бид хандалтын цэгийн тохиргооны профайлыг үүсгэж байна (хувилбар 802.11 протокол, SSID горим, сувгийн давтамж, тэдгээрийн дугаар).
FortiAP тохиргооны жишээ
4) Дараагийн алхам бол SSID үүсгэх явдал юм. Таб руу оч WiFi & Switch Controller > SSIDs > Create New > SSID. Эндээс хамгийн чухал зүйлийг тохируулах хэрэгтэй:
-
зочны WLAN хаягийн зай - IP/Netmask
-
Захиргааны хандалтын талбарт RADIUS Accounting болон Secure Fabric Connection
-
Төхөөрөмж илрүүлэх сонголт
-
SSID болон Broadcast SSID сонголт
-
Аюулгүй байдлын горимын тохиргоо > Хамгаалалтын портал
-
Баталгаажуулах портал - 20-р алхамаас эхлэн Cisco ISE-с үүсгэсэн зочин портал руу гадаад болон холбоос оруулах
-
Хэрэглэгчийн бүлэг - Зочны бүлэг - Гадаад - Cisco ISE-д RADIUS нэмэх (х. 6-аас хойш)
SSID тохиргооны жишээ
5) Дараа нь та FortiGate дээрх хандалтын бодлогод дүрмийг бий болгох хэрэгтэй. Таб руу оч Бодлого ба объект > Галт ханын бодлого мөн иймэрхүү дүрмийг бий болго:
3. RADIUS тохиргоо
6) Cisco ISE вэб интерфэйс рүү таб руу очно уу Бодлого > Бодлогын элементүүд > Толь бичиг > Систем > Радиус > РАДИУС нийлүүлэгчид > Нэмэх. Энэ таб дээр бид Fortinet RADIUS-ийг дэмжигдсэн протоколуудын жагсаалтад нэмэх болно, учир нь бараг бүх үйлдвэрлэгч өөрийн гэсэн онцлог шинж чанартай байдаг - VSA (Vendor-Specific Attributes).
Fortinet RADIUS шинж чанаруудын жагсаалтыг олж болно
7) Толь бичгийн нэрийг тохируулж, зааж өгнө үү Борлуулагчийн ID (12356) болон дарна уу Илгээх.
8) Бид очсоны дараа Удирдлага > Сүлжээний төхөөрөмжийн профайл > Нэмэх болон шинэ төхөөрөмжийн профайл үүсгэх. RADIUS толь бичиг талбараас өмнө нь үүсгэсэн Fortinet RADIUS толь бичгийг сонгоод дараа нь ISE бодлогод ашиглах CoA аргуудыг сонгоно уу. Би RFC 5176 болон Port Bounce (унтраах/унтраах сүлжээний интерфейс) болон холбогдох VSA-г сонгосон:
Fortinet-Access-Profile=унших-бичих
Fortinet-Групп-Нэр = fmg_faz_admins
9) Дараа нь ISE-тэй холбогдохын тулд FortiGate-г нэмнэ үү. Үүнийг хийхийн тулд таб руу очно уу Удирдлага > Сүлжээний нөөц > Сүлжээний төхөөрөмжийн профайл > Нэмэх. Өөрчлөх талбарууд Нэр, борлуулагч, RADIUS толь бичиг (IP хаягийг FortiAP биш, FortiGate ашигладаг).
ISE талаас РАДИУС-ыг тохируулах жишээ
10) Үүний дараа та FortiGate тал дээр RADIUS-ийг тохируулах хэрэгтэй. FortiGate вэб интерфэйс рүү очно уу Хэрэглэгч & Баталгаажуулалт > RADIUS серверүүд > Шинээр үүсгэх. Өмнөх догол мөрөөс нэр, IP хаяг, Хуваалцсан нууц (нууц үг) -ийг зааж өгнө үү. Дараагийн дарна уу Хэрэглэгчийн итгэмжлэлийг шалгах мөн RADIUS-ээр дамжуулан татах боломжтой аливаа итгэмжлэлийг оруулна уу (жишээ нь, Cisco ISE дээрх орон нутгийн хэрэглэгч).
11) RADIUS серверийг зочин бүлэгт (хэрэв байхгүй бол) мөн хэрэглэгчийн гадаад эх үүсвэрийг нэмнэ үү.
12) 4-р алхам дээр бидний өмнө нь үүсгэсэн SSID-д зочны бүлгийг нэмэхээ бүү мартаарай.
4. Хэрэглэгчийн баталгаажуулалтын тохиргоо
13) Сонголтоор та ISE зочин портал руу сертификат импортлох эсвэл таб дээр өөрөө гарын үсэг зурсан гэрчилгээ үүсгэх боломжтой. Ажлын төвүүд > Зочны хандалт > Удирдлага > Гэрчилгээ > Системийн гэрчилгээ.
14) Дараа нь таб Ажлын төвүүд > Зочдын хандалт > Identity Groups > Хэрэглэгчийн таниултын бүлгүүд > Нэмэх зочдод хандах шинэ хэрэглэгчийн бүлгийг үүсгэх, эсвэл үндсэн бүлгийг ашиглах.
15) Цаашид таб дээр Захиргаа > Баримт бичиг зочин хэрэглэгчдийг үүсгэж, өмнөх догол мөрөөс бүлгүүдэд нэмнэ үү. Хэрэв та гуравдагч этгээдийн данс ашиглахыг хүсвэл энэ алхамыг алгасах хэрэгтэй.
16) Тохиргоо руу орсны дараа Ажлын төвүүд > Зочны хандалт > Identities > Identity Source Sequence > Зочны портал дараалал — Энэ нь зочин хэрэглэгчдэд зориулсан анхдагч баталгаажуулалтын дараалал юм. Мөн талбайд Баталгаажуулах хайлтын жагсаалт хэрэглэгчийн баталгаажуулалтын дарааллыг сонгоно уу.
17) Нэг удаагийн нууц үгээр зочдод мэдэгдэхийн тулд та SMS үйлчилгээ үзүүлэгч эсвэл SMTP серверийг энэ зорилгоор тохируулж болно. Таб руу оч Ажлын төвүүд > Зочны хандалт > Удирдлага > SMTP сервер буюу SMS гарц үйлчилгээ үзүүлэгч Эдгээр тохиргооны хувьд. SMTP серверийн хувьд та ISE-д данс үүсгэж, энэ таб дахь өгөгдлийг зааж өгөх хэрэгтэй.
18) SMS мэдэгдлийн хувьд тохирох табыг ашиглана уу. ISE нь алдартай SMS үйлчилгээ үзүүлэгчдийн профайлыг урьдчилан суулгасан боловч өөрөө үүсгэх нь дээр. Эдгээр профайлыг тохируулах жишээ болгон ашигла SMS цахим шуудангийн гарцy эсвэл SMS HTTP API.
SMTP сервер болон нэг удаагийн нууц үгийн SMS гарцыг тохируулах жишээ
5. Зочин порталыг тохируулах
19) Эхэнд дурьдсанчлан, урьдчилан суулгасан 3 төрлийн зочин портал байдаг: Hotspot, Sponsored, Self-Registered. Гурав дахь хувилбарыг сонгохыг санал болгож байна, учир нь энэ нь хамгийн түгээмэл байдаг. Аль ч тохиолдолд тохиргоо нь бараг ижил байна. Тиймээс таб руу орцгооё. Ажлын төвүүд > Зочны хандалт > Портал ба бүрэлдэхүүн хэсгүүд > Зочин порталууд > Өөрөө бүртгүүлсэн зочин портал (өгөгдмөл).
20) Дараа нь Порталын хуудасны тохиргооны таб дээрээс сонгоно уу "Орос - Орос хэлээр үзэх", Ингэснээр портал орос хэл дээр харагдана. Та дурын табын текстийг өөрчлөх, логог нэмэх болон бусад зүйлийг хийх боломжтой. Булангийн баруун талд илүү сайн үзэхийн тулд зочны порталыг урьдчилан харах боломжтой.
Өөрийгөө бүртгүүлэх боломжтой зочин порталыг тохируулах жишээ
21) Үг хэллэг дээр дарна уу Портал тестийн URL 4-р алхамд портал URL-г FortiGate дээрх SSID руу хуулна уу. Жишээ URL
Домэйноо харуулахын тулд та гэрчилгээг зочин портал руу байршуулах ёстой, 13-р алхамыг үзнэ үү.
22) Таб руу очно уу Ажлын төвүүд > Зочны хандалт > Бодлогын элементүүд > Үр дүн > Зөвшөөрлийн профайл > Нэмэх өмнө нь үүсгэсэн зөвшөөрлийн профайлыг үүсгэх Сүлжээний төхөөрөмжийн профайл.
23) Таб дотор Ажлын төвүүд > Зочны хандалт > Бодлогын багц WiFi хэрэглэгчдийн хандалтын бодлогыг засах.
24) Зочин SSID-тэй холбогдохыг оролдъё. Энэ нь намайг шууд нэвтрэх хуудас руу чиглүүлдэг. Эндээс та ISE дээр дотооддоо үүсгэсэн зочны бүртгэлээр нэвтрэх, эсвэл зочин хэрэглэгчээр бүртгүүлэх боломжтой.
25) Хэрэв та өөрийгөө бүртгүүлэх сонголтыг сонгосон бол нэг удаагийн нэвтрэх өгөгдлийг шуудангаар, SMS-ээр илгээх эсвэл хэвлэх боломжтой.
26) Cisco ISE дээрх RADIUS > Live Logs таб дээрээс та холбогдох бүртгэлийн бүртгэлүүдийг харах болно.
6. Дүгнэлт
Энэхүү урт нийтлэлд бид Cisco ISE дээр зочны хандалтыг амжилттай тохируулсан бөгөөд үүнд FortiGate нь хандалтын цэгийн хянагч, FortiAP нь хандалтын цэгийн үүргийг гүйцэтгэдэг. Энэ нь нэг төрлийн өчүүхэн бус интеграци болж хувирсан нь ISE-ийн өргөн хэрэглээг дахин нотолж байна.
Cisco ISE-г туршихын тулд холбоо барина уу
Эх сурвалж: www.habr.com