Selamat datang ke jawatan ketiga dalam siri Cisco ISE. Pautan kepada semua artikel dalam siri ini diberikan di bawah:
Dalam siaran ini, anda akan menyelami akses tetamu, serta panduan langkah demi langkah untuk menyepadukan Cisco ISE dan FortiGate untuk mengkonfigurasi FortiAP, titik akses daripada Fortinet (secara amnya, sebarang peranti yang menyokong RADIUS CoA β Perubahan Kebenaran).
Dilampirkan artikel kami. .
NotaJ: Peranti SMB Check Point tidak menyokong RADIUS CoA.
Hebat menerangkan dalam bahasa Inggeris cara membuat akses tetamu menggunakan Cisco ISE pada Cisco WLC (Pengawal Tanpa Wayar). Mari kita fikirkan!
1. Pengenalan
Akses tetamu (portal) membolehkan anda menyediakan akses kepada Internet atau kepada sumber dalaman untuk tetamu dan pengguna yang anda tidak mahu benarkan masuk ke dalam rangkaian tempatan anda. Terdapat 3 jenis portal tetamu yang dipratentukan (Portal tetamu):
-
Portal Tetamu Hotspot - Akses kepada rangkaian disediakan kepada tetamu tanpa data log masuk. Pengguna secara amnya dikehendaki menerima "Dasar Penggunaan dan Privasi" syarikat sebelum mengakses rangkaian.
-
Portal Tajaan-Tetamu - akses kepada rangkaian dan data log masuk mesti dikeluarkan oleh penaja - pengguna yang bertanggungjawab untuk mencipta akaun tetamu di Cisco ISE.
-
Portal Tetamu Berdaftar Sendiri - dalam kes ini, tetamu menggunakan butiran log masuk sedia ada, atau membuat akaun untuk diri mereka sendiri dengan butiran log masuk, tetapi pengesahan penaja diperlukan untuk mendapatkan akses kepada rangkaian.
Berbilang portal boleh digunakan pada Cisco ISE pada masa yang sama. Secara lalai, dalam portal tetamu, pengguna akan melihat logo Cisco dan frasa biasa standard. Semua ini boleh disesuaikan dan malah ditetapkan untuk melihat iklan wajib sebelum mendapat akses.
Persediaan akses tetamu boleh dipecahkan kepada 4 langkah utama: persediaan FortiAP, Cisco ISE dan sambungan FortiAP, penciptaan portal tetamu dan persediaan dasar akses.
2. Mengkonfigurasi FortiAP pada FortiGate
FortiGate ialah pengawal titik akses dan semua tetapan dibuat padanya. Titik akses FortiAP menyokong PoE, jadi setelah anda menyambungkannya ke rangkaian melalui Ethernet, anda boleh memulakan konfigurasi.
1) Pada FortiGate, pergi ke tab Pengawal WiFi & Suis > FortiAP Terurus > Buat Baharu > AP Terurus. Menggunakan nombor siri unik pusat akses, yang dicetak pada pusat akses itu sendiri, tambahkannya sebagai objek. Atau ia boleh menunjukkan dirinya dan kemudian tekan Diberikan menggunakan butang tetikus kanan.
2) Tetapan FortiAP boleh menjadi lalai, contohnya, biarkan seperti dalam tangkapan skrin. Saya sangat mengesyorkan menghidupkan mod 5 GHz, kerana sesetengah peranti tidak menyokong 2.4 GHz.
3) Kemudian dalam tab Pengawal WiFi & Suis > Profil FortiAP > Cipta Baharu kami sedang mencipta profil tetapan untuk pusat akses (protokol versi 802.11, mod SSID, kekerapan saluran dan nombornya).
Contoh tetapan FortiAP
4) Langkah seterusnya ialah membuat SSID. Pergi ke tab Pengawal WiFi & Suis > SSID > Cipta Baharu > SSID. Di sini dari yang penting harus dikonfigurasikan:
-
ruang alamat untuk WLAN tetamu - IP/Netmask
-
Perakaunan RADIUS dan Sambungan Fabrik Selamat dalam medan Capaian Pentadbiran
-
Pilihan Pengesanan Peranti
-
Pilihan SSID dan Siarkan SSID
-
Tetapan Mod Keselamatan > Portal Tawanan
-
Portal Pengesahan - Luaran dan masukkan pautan ke portal tetamu yang dibuat daripada Cisco ISE dari langkah 20
-
Kumpulan Pengguna - Kumpulan Tetamu - Luaran - tambah RADIUS pada Cisco ISE (ms 6 dan seterusnya)
Contoh tetapan SSID
5) Kemudian anda harus membuat peraturan dalam dasar akses pada FortiGate. Pergi ke tab Dasar & Objek > Dasar Firewall dan buat peraturan seperti ini:
3. Tetapan RADIUS
6) Pergi ke antara muka web Cisco ISE ke tab Dasar > Elemen Dasar > Kamus > Sistem > Jejari > Vendor RADIUS > Tambah. Dalam tab ini, kami akan menambah Fortinet RADIUS pada senarai protokol yang disokong, kerana hampir setiap vendor mempunyai atribut khusus sendiri - VSA (Atribut Khusus Vendor).
Senarai atribut Fortinet RADIUS boleh didapati . VSA dibezakan dengan nombor ID Vendor unik mereka. Fortinet mempunyai ID ini = 12356... penuh VSA telah diterbitkan oleh IANA.
7) Tetapkan nama kamus, nyatakan ID Penjual (12356) dan tekan Hantar.
8) Selepas kita pergi ke Pentadbiran > Profil Peranti Rangkaian > Tambah dan buat profil peranti baharu. Dalam medan Kamus RADIUS, pilih kamus Fortinet RADIUS yang dibuat sebelum ini dan pilih kaedah CoA untuk digunakan kemudian dalam dasar ISE. Saya memilih RFC 5176 dan Port Bounce (tutup/tiada antara muka rangkaian tutup) dan VSA yang sepadan:
Fortinet-Access-Profile=baca-tulis
Fortinet-Group-Name = fmg_faz_admins
9) Seterusnya, tambah FortiGate untuk sambungan dengan ISE. Untuk melakukan ini, pergi ke tab Pentadbiran > Sumber Rangkaian > Profil Peranti Rangkaian > Tambah. Medan untuk diubah Nama, Penjual, Kamus RADIUS (Alamat IP digunakan oleh FortiGate, bukan FortiAP).
Contoh mengkonfigurasi RADIUS dari sisi ISE
10) Selepas itu, anda harus mengkonfigurasi RADIUS pada bahagian FortiGate. Dalam antara muka web FortiGate, pergi ke Pengguna & Pengesahan > Pelayan RADIUS > Cipta Baharu. Nyatakan nama, alamat IP dan Rahsia kongsi (kata laluan) daripada perenggan sebelumnya. Klik seterusnya Uji kelayakan pengguna dan masukkan sebarang bukti kelayakan yang boleh ditarik melalui RADIUS (contohnya, pengguna tempatan di Cisco ISE).
11) Tambahkan pelayan RADIUS ke Kumpulan Tetamu (jika tidak wujud) serta sumber pengguna luaran.
12) Jangan lupa untuk menambah Kumpulan Tetamu pada SSID yang kami buat sebelum ini dalam langkah 4.
4. Tetapan Pengesahan Pengguna
13) Secara pilihan, anda boleh mengimport sijil ke portal tetamu ISE atau mencipta sijil yang ditandatangani sendiri dalam tab Pusat Kerja > Akses Tetamu > Pentadbiran > Pensijilan > Sijil Sistem.
14) Selepas dalam tab Pusat Kerja > Akses Tetamu > Kumpulan Identiti > Kumpulan Identiti Pengguna > Tambah buat kumpulan pengguna baharu untuk akses tetamu, atau gunakan kumpulan lalai.
15) Selanjutnya dalam tab Pentadbiran > Identiti buat pengguna tetamu dan tambahkan mereka pada kumpulan daripada perenggan sebelumnya. Jika anda ingin menggunakan akaun pihak ketiga, kemudian langkau langkah ini.
16) Selepas kita pergi ke tetapan Pusat Kerja > Akses Tetamu > Identiti > Urutan Sumber Identiti > Urutan Portal Tetamu β ini ialah urutan pengesahan lalai untuk pengguna tetamu. Dan di padang Senarai Carian Pengesahan pilih pesanan pengesahan pengguna.
17) Untuk memberitahu tetamu dengan kata laluan sekali, anda boleh mengkonfigurasi pembekal SMS atau pelayan SMTP untuk tujuan ini. Pergi ke tab Pusat Kerja > Akses Tetamu > Pentadbiran > Pelayan SMTP atau Pembekal Gerbang SMS untuk tetapan ini. Dalam kes pelayan SMTP, anda perlu membuat akaun untuk ISE dan menentukan data dalam tab ini.
18) Untuk pemberitahuan SMS, gunakan tab yang sesuai. ISE mempunyai profil prapasang pembekal SMS yang popular, tetapi lebih baik untuk membuat profil anda sendiri. Gunakan profil ini sebagai contoh tetapan Gerbang E-mel SMSy atau API HTTP SMS.
Contoh menyediakan pelayan SMTP dan get laluan SMS untuk kata laluan sekali sahaja
5. Menyediakan portal tetamu
19) Seperti yang dinyatakan pada permulaan, terdapat 3 jenis portal tetamu pra-pasang: Hotspot, Tajaan, Daftar Sendiri. Saya cadangkan memilih pilihan ketiga, kerana ia adalah yang paling biasa. Sama ada cara, tetapan sebahagian besarnya sama. Jadi mari pergi ke tab. Pusat Kerja > Akses Tetamu > Portal & Komponen > Portal Tetamu > Portal Tetamu Didaftar Sendiri (lalai).
20) Seterusnya, dalam tab Penyesuaian Halaman Portal, pilih βLihat dalam bahasa Rusia - Rusiaβ, supaya portal dipaparkan dalam bahasa Rusia. Anda boleh menukar teks mana-mana tab, menambah logo anda dan banyak lagi. Di sebelah kanan sudut adalah pratonton portal tetamu untuk paparan yang lebih baik.
Contoh mengkonfigurasi portal tetamu dengan pendaftaran sendiri
21) Klik pada frasa URL ujian portal dan salin URL portal ke SSID pada FortiGate dalam langkah 4. Contoh URL
Untuk memaparkan domain anda, anda mesti memuat naik sijil ke portal tetamu, lihat langkah 13.
22) Pergi ke tab Pusat Kerja > Akses Tetamu > Elemen Dasar > Keputusan > Profil Kebenaran > Tambah untuk membuat profil kebenaran di bawah profil yang dibuat sebelum ini Profil Peranti Rangkaian.
23) Dalam tab Pusat Kerja > Akses Tetamu > Set Dasar edit dasar akses untuk pengguna WiFi.
24) Mari cuba sambungkan ke SSID tetamu. Ia segera mengubah hala saya ke halaman log masuk. Di sini anda boleh log masuk dengan akaun tetamu yang dibuat secara tempatan di ISE, atau mendaftar sebagai pengguna tetamu.
25) Jika anda telah memilih pilihan pendaftaran sendiri, maka data log masuk sekali sahaja boleh dihantar melalui mel, melalui SMS atau dicetak.
26) Dalam tab RADIUS > Live Log pada Cisco ISE, anda akan melihat log log masuk yang sepadan.
6. Kesimpulannya
Dalam artikel panjang ini, kami telah berjaya mengkonfigurasi akses tetamu pada Cisco ISE, di mana FortiGate bertindak sebagai pengawal titik akses, dan FortiAP bertindak sebagai titik akses. Ia ternyata sejenis integrasi bukan remeh, yang sekali lagi membuktikan penggunaan ISE yang meluas.
Untuk menguji Cisco ISE, hubungi dan juga nantikan saluran kami (, , , , ).
Sumber: www.habr.com