🥇Cisco ISE: FortiAP वर अतिथी प्रवेश कॉन्फिगर करणे. भाग 3

Cisco ISE मालिकेतील तिसऱ्या पोस्टमध्ये आपले स्वागत आहे. मालिकेतील सर्व लेखांच्या लिंक खाली दिल्या आहेत:

या पोस्टमध्ये, तुम्ही अतिथी प्रवेशामध्ये जाल, तसेच फोर्टीएपी कॉन्फिगर करण्यासाठी सिस्को ISE आणि FortiGate समाकलित करण्यासाठी चरण-दर-चरण मार्गदर्शक, Fortinet मधील प्रवेश बिंदू (सर्वसाधारणपणे, समर्थन करणारे कोणतेही डिव्हाइस त्रिज्या CoA — अधिकृतता बदल).

आमचे लेख संलग्न आहेत. फोर्टिनेट - उपयुक्त सामग्रीची निवड.

शेराA: चेक पॉइंट SMB डिव्हाइसेस RADIUS CoA चे समर्थन करत नाहीत.

अप्रतिम नेतृत्व Cisco WLC (वायरलेस कंट्रोलर) वर Cisco ISE वापरून अतिथी प्रवेश कसा तयार करायचा याचे इंग्रजीमध्ये वर्णन करते. चला ते बाहेर काढूया!

1. परिचय

अतिथी प्रवेश (पोर्टल) तुम्हाला तुमच्या स्थानिक नेटवर्कमध्ये प्रवेश देऊ इच्छित नसलेल्या अतिथी आणि वापरकर्त्यांसाठी इंटरनेट किंवा अंतर्गत संसाधनांमध्ये प्रवेश प्रदान करण्याची परवानगी देतो. अतिथी पोर्टलचे 3 पूर्वनिर्धारित प्रकार आहेत (अतिथी पोर्टल):

हॉटस्पॉट गेस्ट पोर्टल - अतिथींना लॉगिन डेटाशिवाय नेटवर्कमध्ये प्रवेश प्रदान केला जातो. नेटवर्कमध्ये प्रवेश करण्यापूर्वी वापरकर्त्यांनी सामान्यतः कंपनीचे "वापर आणि गोपनीयता धोरण" स्वीकारणे आवश्यक आहे.
प्रायोजित-अतिथी पोर्टल - नेटवर्कमध्ये प्रवेश आणि लॉगिन डेटा प्रायोजकाद्वारे जारी करणे आवश्यक आहे - सिस्को ISE वर अतिथी खाती तयार करण्यासाठी जबाबदार वापरकर्ता.
स्वयं-नोंदणीकृत अतिथी पोर्टल - या प्रकरणात, अतिथी विद्यमान लॉगिन तपशील वापरतात, किंवा लॉगिन तपशीलांसह स्वतःसाठी खाते तयार करतात, परंतु नेटवर्कमध्ये प्रवेश मिळविण्यासाठी प्रायोजक पुष्टीकरण आवश्यक आहे.

Cisco ISE वर एकाच वेळी अनेक पोर्टल्स तैनात केले जाऊ शकतात. डीफॉल्टनुसार, अतिथी पोर्टलमध्ये, वापरकर्त्याला सिस्को लोगो आणि सामान्य सामान्य वाक्ये दिसतील. हे सर्व सानुकूलित केले जाऊ शकते आणि प्रवेश मिळवण्यापूर्वी अनिवार्य जाहिराती पाहण्यासाठी देखील सेट केले जाऊ शकते.

अतिथी प्रवेश सेटअप 4 मुख्य चरणांमध्ये विभागला जाऊ शकतो: FortiAP सेटअप, Cisco ISE आणि FortiAP कनेक्टिव्हिटी, अतिथी पोर्टल तयार करणे आणि प्रवेश धोरण सेटअप.

2. FortiGate वर FortiAP कॉन्फिगर करणे

फोर्टिगेट हा ऍक्सेस पॉइंट कंट्रोलर आहे आणि सर्व सेटिंग्ज त्यावर बनवल्या आहेत. FortiAP ऍक्सेस पॉइंट्स PoE ला सपोर्ट करतात, त्यामुळे एकदा तुम्ही इथरनेट द्वारे नेटवर्कशी कनेक्ट केल्यानंतर, तुम्ही कॉन्फिगरेशन सुरू करू शकता.

1) फोर्टीगेट वर, टॅबवर जा WiFi आणि स्विच कंट्रोलर > व्यवस्थापित FortiAPs > नवीन तयार करा > व्यवस्थापित AP. ऍक्सेस पॉईंटचा युनिक सिरियल नंबर वापरुन, जो ऍक्सेस पॉईंटवरच छापला जातो, तो ऑब्जेक्ट म्हणून जोडा. किंवा ते स्वतः दर्शवू शकते आणि नंतर दाबू शकते अधिकृत करा उजवे माऊस बटण वापरून.

2) FortiAP सेटिंग्ज डीफॉल्ट असू शकतात, उदाहरणार्थ, स्क्रीनशॉटप्रमाणे सोडा. मी 5 GHz मोड चालू करण्याची जोरदार शिफारस करतो, कारण काही उपकरण 2.4 GHz ला समर्थन देत नाहीत.

3) नंतर टॅबमध्ये WiFi आणि स्विच कंट्रोलर > FortiAP प्रोफाइल > नवीन तयार करा आम्ही ऍक्सेस पॉईंट (आवृत्ती 802.11 प्रोटोकॉल, SSID मोड, चॅनेल वारंवारता आणि त्यांची संख्या) साठी सेटिंग प्रोफाइल तयार करत आहोत.

FortiAP सेटिंग्जचे उदाहरण

4) पुढील पायरी म्हणजे SSID तयार करणे. टॅबवर जा वायफाय आणि स्विच कंट्रोलर > SSID > नवीन तयार करा > SSID. येथे महत्वाचे पासून कॉन्फिगर केले पाहिजे:

अतिथी WLAN साठी पत्ता जागा - IP/Netmask
RADIUS लेखा आणि प्रशासकीय प्रवेश क्षेत्रात सुरक्षित फॅब्रिक कनेक्शन
डिव्हाइस शोध पर्याय
SSID आणि ब्रॉडकास्ट SSID पर्याय
सुरक्षा मोड सेटिंग्ज > कॅप्टिव्ह पोर्टल
प्रमाणीकरण पोर्टल - बाह्य आणि पायरी 20 वरून Cisco ISE वरून तयार केलेल्या अतिथी पोर्टलची लिंक घाला
वापरकर्ता गट - अतिथी गट - बाह्य - Cisco ISE मध्ये RADIUS जोडा (p. 6 पुढे)

SSID सेटिंग उदाहरण

5) मग तुम्ही FortiGate वर ऍक्सेस पॉलिसीमध्ये नियम तयार केले पाहिजेत. टॅबवर जा धोरण आणि वस्तू > फायरवॉल धोरण आणि असा नियम तयार करा:

3. त्रिज्या सेटिंग

6) सिस्को ISE वेब इंटरफेस टॅबवर जा धोरण > धोरण घटक > शब्दकोश > प्रणाली > त्रिज्या > RADIUS विक्रेते > जोडा. या टॅबमध्ये, आम्ही समर्थित प्रोटोकॉलच्या सूचीमध्ये Fortinet RADIUS जोडू, कारण जवळजवळ प्रत्येक विक्रेत्याचे स्वतःचे विशिष्ट गुणधर्म आहेत - VSA (विक्रेता-विशिष्ट गुणधर्म).

Fortinet RADIUS विशेषतांची यादी आढळू शकते येथे. VSA त्यांच्या अद्वितीय विक्रेता आयडी क्रमांकाने ओळखले जातात. Fortinet हा आयडी = आहे 12356... पूर्ण यादी VSA IANA ने प्रकाशित केले आहे.

7) शब्दकोशाचे नाव सेट करा, निर्दिष्ट करा विक्रेता आयडी (12356) आणि दाबा प्रस्तुत करणे.

8) आम्ही गेल्यानंतर प्रशासन > नेटवर्क डिव्हाइस प्रोफाइल > जोडा आणि नवीन डिव्हाइस प्रोफाइल तयार करा. RADIUS Dictionaries फील्डमध्ये, पूर्वी तयार केलेला Fortinet RADIUS शब्दकोश निवडा आणि ISE धोरणामध्ये नंतर वापरण्यासाठी CoA पद्धती निवडा. मी RFC 5176 आणि पोर्ट बाऊन्स (शटडाउन/नो शटडाउन नेटवर्क इंटरफेस) आणि संबंधित VSAs निवडले:

Fortinet-Access-Profile=वाच-लिहा

Fortinet-ग्रुप-नाव = fmg_faz_admins

९) पुढे, ISE सह कनेक्टिव्हिटीसाठी FortiGate जोडा. हे करण्यासाठी, टॅबवर जा प्रशासन > नेटवर्क संसाधने > नेटवर्क डिव्हाइस प्रोफाइल > जोडा. फील्ड बदलणे आवश्यक आहे नाव, विक्रेता, RADIUS शब्दकोश (IP पत्ता FortiGate वापरला जातो, FortiAP नाही).

ISE बाजूपासून RADIUS कॉन्फिगर करण्याचे उदाहरण

10) त्यानंतर, तुम्ही FortiGate बाजूला RADIUS कॉन्फिगर करा. फोर्टिगेट वेब इंटरफेसमध्ये, वर जा वापरकर्ता आणि प्रमाणीकरण > RADIUS सर्व्हर > नवीन तयार करा. मागील परिच्छेदातील नाव, IP पत्ता आणि सामायिक गुप्त (पासवर्ड) निर्दिष्ट करा. पुढील क्लिक करा वापरकर्ता क्रेडेन्शियल्सची चाचणी घ्या आणि RADIUS (उदाहरणार्थ, Cisco ISE वर स्थानिक वापरकर्ता) द्वारे खेचता येणारी कोणतीही क्रेडेन्शियल्स प्रविष्ट करा.

11) अतिथी-समूहात RADIUS सर्व्हर (अस्तित्वात नसल्यास) तसेच वापरकर्त्यांचा बाह्य स्रोत जोडा.

12) आम्ही याआधी चरण 4 मध्ये तयार केलेल्या SSID मध्ये अतिथी-गट जोडण्यास विसरू नका.

4. वापरकर्ता प्रमाणीकरण सेटिंग

13) वैकल्पिकरित्या, तुम्ही ISE अतिथी पोर्टलवर प्रमाणपत्र आयात करू शकता किंवा टॅबमध्ये स्व-स्वाक्षरी केलेले प्रमाणपत्र तयार करू शकता. कार्य केंद्रे > अतिथी प्रवेश > प्रशासन > प्रमाणन > सिस्टम प्रमाणपत्रे.

14) टॅबमध्ये नंतर कार्य केंद्रे > अतिथी प्रवेश > ओळख गट > वापरकर्ता ओळख गट > जोडा अतिथी प्रवेशासाठी नवीन वापरकर्ता गट तयार करा किंवा डीफॉल्ट वापरा.

15) पुढे टॅबमध्ये प्रशासन > ओळख अतिथी वापरकर्ते तयार करा आणि त्यांना मागील परिच्छेदातील गटांमध्ये जोडा. तुम्हाला तृतीय-पक्ष खाती वापरायची असल्यास, ही पायरी वगळा.

16) सेटिंग्ज वर गेल्यावर कार्य केंद्रे > अतिथी प्रवेश > ओळख > ओळख स्त्रोत अनुक्रम > अतिथी पोर्टल अनुक्रम — अतिथी वापरकर्त्यांसाठी हा डीफॉल्ट प्रमाणीकरण क्रम आहे. आणि शेतात प्रमाणीकरण शोध सूची वापरकर्ता प्रमाणीकरण ऑर्डर निवडा.

17) अतिथींना वन-टाइम पासवर्डसह सूचित करण्यासाठी, तुम्ही या उद्देशासाठी SMS प्रदाते किंवा SMTP सर्व्हर कॉन्फिगर करू शकता. टॅबवर जा कार्य केंद्रे > अतिथी प्रवेश > प्रशासन > SMTP सर्व्हर किंवा एसएमएस गेटवे प्रदाता या सेटिंग्जसाठी. SMTP सर्व्हरच्या बाबतीत, तुम्हाला ISE साठी खाते तयार करावे लागेल आणि या टॅबमध्ये डेटा निर्दिष्ट करावा लागेल.

18) SMS सूचनांसाठी, योग्य टॅब वापरा. ISE कडे लोकप्रिय SMS प्रदात्यांचे पूर्व-स्थापित प्रोफाइल आहेत, परंतु ते स्वतःचे तयार करणे चांगले आहे. सेटिंगचे उदाहरण म्हणून ही प्रोफाइल वापरा एसएमएस ईमेल गेटवेy किंवा SMS HTTP API.

एक-वेळच्या पासवर्डसाठी SMTP सर्व्हर आणि SMS गेटवे सेट करण्याचे उदाहरण

5. अतिथी पोर्टल सेट करणे

19) सुरुवातीला नमूद केल्याप्रमाणे, 3 प्रकारचे पूर्व-स्थापित अतिथी पोर्टल आहेत: हॉटस्पॉट, प्रायोजित, स्वयं-नोंदणीकृत. मी तिसरा पर्याय निवडण्याचा सल्ला देतो, कारण तो सर्वात सामान्य आहे. कोणत्याही प्रकारे, सेटिंग्ज मोठ्या प्रमाणात समान आहेत. तर चला टॅबवर जाऊया. कार्य केंद्रे > अतिथी प्रवेश > पोर्टल आणि घटक > अतिथी पोर्टल > स्वयं-नोंदणीकृत अतिथी पोर्टल (डिफॉल्ट).

20) पुढे, पोर्टल पेज कस्टमायझेशन टॅबमध्ये, निवडा "रशियन - रशियनमध्ये पहा", जेणेकरून पोर्टल रशियनमध्ये प्रदर्शित होईल. तुम्ही कोणत्याही टॅबचा मजकूर बदलू शकता, तुमचा लोगो जोडू शकता आणि बरेच काही करू शकता. कोपर्यात उजवीकडे अधिक चांगल्या दृश्यासाठी अतिथी पोर्टलचे पूर्वावलोकन आहे.

स्व-नोंदणीसह अतिथी पोर्टल कॉन्फिगर करण्याचे उदाहरण

२१) वाक्यांशावर क्लिक करा पोर्टल चाचणी URL आणि चरण 4 मध्ये फोर्टिगेटवरील SSID वर पोर्टल URL कॉपी करा. नमुना URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

तुमचे डोमेन प्रदर्शित करण्यासाठी, तुम्ही अतिथी पोर्टलवर प्रमाणपत्र अपलोड करणे आवश्यक आहे, चरण 13 पहा.

22) टॅबवर जा कार्य केंद्रे > अतिथी प्रवेश > धोरण घटक > परिणाम > अधिकृतता प्रोफाइल > जोडा पूर्वी तयार केलेल्या अंतर्गत अधिकृतता प्रोफाइल तयार करण्यासाठी नेटवर्क डिव्हाइस प्रोफाइल.

23) टॅबमध्ये कार्य केंद्रे > अतिथी प्रवेश > धोरण संच वायफाय वापरकर्त्यांसाठी प्रवेश धोरण संपादित करा.

24) अतिथी SSID शी कनेक्ट करण्याचा प्रयत्न करूया. ते लगेच मला लॉगिन पृष्ठावर पुनर्निर्देशित करते. येथे तुम्ही ISE वर स्थानिक पातळीवर तयार केलेल्या अतिथी खात्यासह लॉग इन करू शकता किंवा अतिथी वापरकर्ता म्हणून नोंदणी करू शकता.

25) जर तुम्ही स्व-नोंदणीचा पर्याय निवडला असेल, तर एक-वेळचा लॉगिन डेटा मेलद्वारे, एसएमएसद्वारे किंवा मुद्रित करून पाठवला जाऊ शकतो.

26) Cisco ISE वरील RADIUS > Live Logs टॅबमध्ये, तुम्हाला संबंधित लॉगिन लॉग दिसतील.

6 निष्कर्ष

या दीर्घ लेखात, आम्ही Cisco ISE वर अतिथी प्रवेश यशस्वीरित्या कॉन्फिगर केला आहे, जेथे फोर्टिगेट ऍक्सेस पॉइंट कंट्रोलर म्हणून कार्य करते आणि फोर्टीएपी ऍक्सेस पॉइंट म्हणून कार्य करते. हे एक प्रकारचे गैर-क्षुल्लक एकत्रीकरण झाले, जे पुन्हा एकदा ISE चा व्यापक वापर सिद्ध करते.

Cisco ISE ची चाचणी करण्यासाठी, संपर्क साधा दुवाआणि आमच्या चॅनेलमध्ये देखील रहा (तार, फेसबुक, VK, टीएस सोल्यूशन ब्लॉग, यांडेक्स झेन).

स्त्रोत: www.habr.com

सिस्को ISE: FortiAP वर अतिथी प्रवेश कॉन्फिगर करणे. भाग 3