Merħba għat-tielet pubblikazzjoni ta' sensiela ta' artikli ddedikati għal Cisco ISE. Il-links għall-artikoli kollha fis-sensiela huma mogħtija hawn taħt:
F'din il-pubblikazzjoni, int se tgħaddas f'aċċess mistieden, kif ukoll gwida pass pass biex tintegra Cisco ISE u FortiGate biex tikkonfigura FortiAP - punt ta 'aċċess minn Fortinet (b'mod ġenerali, kwalunkwe apparat li jappoġġja RADIUS CoA — Bidla fl-Awtorizzazzjoni).
Barra minn hekk, nehmeż l-artikoli tagħna .
Innota: It-tagħmir SMB ta' Check Point ma jappoġġjax RADIUS CoA.
Sabiħ jiddeskrivi bl-Ingliż kif toħloq aċċess mistieden billi tuża Cisco ISE fuq Cisco WLC (Wireless Controller). Ejja nsiru nafu!
1. Introduzzjoni
L-aċċess tal-mistednin (portal) jippermettilek li tipprovdi aċċess għall-Internet jew għar-riżorsi interni għall-mistednin u l-utenti li ma tridx tħallihom fin-netwerk lokali tiegħek. Hemm 3 tipi installati minn qabel ta' portal tal-Mistieden:
-
Portal tal-Mistieden Hotspot—aċċess għan-netwerk huwa pprovdut lill-mistednin mingħajr informazzjoni ta’ login. Tipikament, l-utenti huma meħtieġa jaqblu mal-“Politika dwar l-Użu u l-Privatezza” ta’ kumpanija qabel ma jaċċessaw in-netwerk.
-
Portal Sponsored-Guest - l-aċċess għan-netwerk u d-dejta tal-login għandhom jiġu pprovduti mill-isponsor - l-utent responsabbli għall-ħolqien ta 'kontijiet tal-mistednin fuq Cisco ISE.
-
Portal tal-Mistieden Reġistrat Awto-Reġistrat - f'dan il-każ, il-mistednin jużaw id-dejta tal-login eżistenti, jew joħolqu kont għalihom infushom bid-dejta tal-login, iżda hija meħtieġa konferma tal-isponsor biex jiksbu aċċess għan-netwerk.
Tista' tuża diversi portali simultanjament fuq Cisco ISE. B'mod awtomatiku, l-utent se jara l-logo Cisco u frażijiet komuni standard fil-portal mistieden. Dan kollu jista 'jiġi personalizzat u tista' anki tissettja l-wiri ta 'reklamar obbligatorju qabel ma tikseb aċċess.
It-twaqqif tal-aċċess għall-mistieden jista 'jinqasam f'4 passi ewlenin: it-twaqqif ta' FortiAP, l-istabbiliment tal-konnettività Cisco ISE u FortiAP, il-ħolqien ta 'portal tal-mistieden, u t-twaqqif ta' politika ta 'aċċess.
2. Konfigurazzjoni ta 'FortiAP fuq FortiGate
FortiGate huwa kontrollur tal-punt ta 'aċċess u s-settings kollha jsiru fuqu. Il-punti ta 'aċċess FortiAP jappoġġjaw PoE, għalhekk ladarba tkun ikkonnettjaha man-netwerk tiegħek permezz ta' Ethernet, tista 'tibda l-konfigurazzjoni.
1) Fuq FortiGate, mur fit-tab Wifi & Kontrollur tal-Iswiċċ > FortiAPs Immaniġġjati > Oħloq Ġdid > AP Immexxi. Bl-użu tan-numru tas-serje uniku tal-punt ta 'aċċess, li jinsab fuq il-punt ta' aċċess innifsu, żidha bħala oġġett. Jew jista' jidher waħdu u mbagħad ikklikkja Awtorizza billi tuża l-buttuna tal-lemin tal-maws.
2) Is-settings tal-FortiAP jistgħu jkunu default; pereżempju, ħallihom bħal fil-screenshot. Nirrakkomanda ħafna li tixgħel il-modalità 5 GHz, minħabba li xi apparati ma jappoġġjawx 2.4 GHz.
3) Imbagħad fit-tab Wifi u Kontrollur tal-Iswiċċ > Profili FortiAP > Oħloq Ġdid noħolqu profil ta 'settings għall-punt ta' aċċess (verżjoni tal-protokoll 802.11, modalità SSID, frekwenza tal-kanal u numru ta 'kanali).
Eżempju ta' settings ta' FortiAP
4) Il-pass li jmiss huwa li toħloq SSID. Mur fit-tab Wifi & Kontrollur tal-Iswiċċ > SSIDs > Oħloq Ġdid > SSID. Hawn huma l-affarijiet importanti li għandek tikkonfigura:
-
spazju għall-indirizzi għall-WLAN mistieden - IP/Netmask
-
RADIUS Accounting u Secure Fabric Connection fil-qasam Aċċess Amministrattiv
-
Għażla ta' Sejbien tal-Apparat
-
SSID u Broadcast SSID għażla
-
Settings tal-Modalità tas-Sigurtà > Portal Captive
-
Portal tal-Awtentikazzjoni - Esterni u waħħal il-link għall-portal tal-mistieden maħluq minn Cisco ISE mill-pass 20
-
Grupp ta' Utenti - Grupp ta' Mistednin - Esterni - żid RADIUS ma' Cisco ISE (taqsima 6 ff)
Eżempju ta' konfigurazzjoni SSID
5) Sussegwentement, għandek toħloq regoli fil-politika ta 'aċċess fuq il-FortiGate. Mur fit-tab Politika u Oġġetti > Politika tal-Firewall u oħloq regola bħal din:
3. Setup tar-RADJU
6) Mur fl-interface tal-web Cisco ISE fit-tab Politika > Elementi tal-Politika > Dizzjunarji > Sistema > Raġġ > Bejjiegħa tar-RADIUS > Żid. F'din it-tab se nżidu RADIUS minn Fortinet mal-lista ta 'protokolli appoġġjati, peress li kważi kull bejjiegħ għandu l-attributi speċifiċi tiegħu - VSA (Attributi Speċifiċi għall-Bejjiegħ).
Tista' tinstab lista ta' attributi ta' Fortinet RADIUS . Il-VSAs huma distinti minn numru uniku tal-ID tal-Bejjiegħ. Fortinet għandu din l-ID = 12356. Sħiħ Il-VSA ġiet ippubblikata mill-organizzazzjoni IANA.
7) Issettja isem għad-dizzjunarju, indika ID tal-bejjiegħ (12356) u agħfas Issottometti.
8) Wara mmorru Amministrazzjoni > Profili tal-Apparat tan-Netwerk > Żid u toħloq profil ta 'apparat ġdid. Fil-qasam Dizzjunarji RADIUS, għandek tagħżel id-dizzjunarju Fortinet RADIUS maħluq qabel u tagħżel metodi CoA sabiex tużahom aktar tard fil-politika ISE. Għażilt RFC 5176 u Port Bounce (għeluq/ebda għeluq tal-interface tan-netwerk) u l-VSA korrispondenti:
Fortinet-Access-Profile = qari-kitba
Fortinet-Group-Name = fmg_faz_admins
9) Imbagħad għandek iżżid FortiGate għall-konnettività ma 'ISE. Biex tagħmel dan, mur fit-tab Amministrazzjoni > Riżorsi tan-Netwerk > Profili tal-Apparat tan-Netwerk > Żid. L-oqsma għandhom jinbidlu Isem, Bejjiegħ, Dizzjunarji RADIUS (L-indirizz IP jintuża minn FortiGate, mhux minn FortiAP).
Eżempju ta' konfigurazzjoni RADIUS min-naħa ISE
10) Sussegwentement, għandek tikkonfigura RADIUS fuq in-naħa FortiGate. Fl-interface tal-web FortiGate, mur Utent & Awtentikazzjoni > Servers RADIUS > Oħloq Ġdid. Speċifika l-isem, l-indirizz IP u sigriet Kondiviż (password) mill-paragrafu preċedenti. Ikklikkja li jmiss Ittestja l-Kredenzjali tal-Utent u daħħal kwalunkwe kredenzjali li jistgħu jinġibdu 'l fuq permezz ta' RADIUS (per eżempju, utent lokali fuq Cisco ISE).
11) Żid server RADIUS mal-Grupp tal-Mistednin (jekk ma jeżistix, oħloq wieħed), kif ukoll utenti tas-sors esterni.
12) Tinsiex li żżid il-Grupp tal-Mistieden mal-SSID li ħloqna aktar kmieni fil-pass 4.
4. Twaqqif ta 'utenti ta' awtentikazzjoni
13) B'għażla, tista' timporta ċertifikat fil-portal tal-mistieden tal-ISE jew toħloq ċertifikat iffirmat minnu nnifsu fit-tab Ċentri tax-Xogħol > Aċċess tal-Mistednin > Amministrazzjoni > Ċertifikazzjoni > Ċertifikati tas-Sistema.
14) Wara fit-tab Ċentri tax-Xogħol > Aċċess tal-Mistednin > Gruppi tal-Identità > Gruppi tal-Identità tal-Utenti > Żid oħloq grupp ta 'utenti ġdid għall-aċċess mistieden, jew uża dawk default.
15) Li jmiss fit-tab Amministrazzjoni > Identitajiet toħloq utenti mistiedna u żidhom mal-gruppi mill-paragrafu preċedenti. Jekk trid tuża kontijiet ta 'partijiet terzi, imbagħad aqbeż dan il-pass.
16) Imbagħad mur fis-settings Ċentri tax-Xogħol > Aċċess tal-Mistednin > Identitajiet > Is-Sekwenza tas-Sors tal-Identità > Is-Sekwenza tal-Portal tal-Mistieden - Din hija sekwenza ta' awtentikazzjoni predefinita għall-utenti mistiedna. U fil-għalqa Lista ta' Tiftix ta' Awtentikazzjoni agħżel l-ordni tal-awtentikazzjoni tal-utent.
17) Biex tinnotifika lill-mistednin b'password ta' darba, tista' tikkonfigura l-fornituri tal-SMS jew is-server SMTP għal dan il-għan. Mur fit-tab Ċentri tax-Xogħol > Aċċess tal-Mistednin > Amministrazzjoni > Server SMTP jew Fornituri tal-SMS Gateway għal dawn is-settings. Fil-każ ta' server SMTP, trid toħloq kont għal ISE u tispeċifika d-dejta f'din it-tab.
18) Għal notifiki SMS, uża t-tab xierqa. ISE għandu profili installati minn qabel ta 'fornituri ta' SMS popolari, iżda huwa aħjar li toħloq tiegħek. Uża dawn il-profili bħala eżempju ta 'settings SMS Email Gateway jew SMS HTTP API.
Eżempju tat-twaqqif ta' server SMTP u gateway SMS għal password ta' darba
5. Twaqqif tal-portal tal-mistieden
19) Kif issemma fil-bidu, hemm 3 tipi ta 'portali mistiedna installati minn qabel: Hotspot, Sponsored, Self-Registered. Nissuġġerixxi li tagħżel it-tielet għażla, peress li hija l-aktar komuni. Fi kwalunkwe każ, is-settings huma fil-biċċa l-kbira identiċi. Mela ejja mmorru fit-tab Ċentri tax-Xogħol > Aċċess tal-Mistieden > Portali u Komponenti > Portali tal-Mistednin > Portal tal-Mistieden Awto-Reġistrat (default).
20) Sussegwentement, fit-tab Customization tal-Paġna tal-Portal, agħżel "Ara bir-Russu - Russu", sabiex il-portal jibda jintwera bir-Russu. Tista 'tbiddel it-test ta' kwalunkwe tab, żid il-logo tiegħek u ħafna aktar. Fir-rokna tal-lemin hemm preview tal-portal tal-mistieden għal preżentazzjoni aktar konvenjenti.
Eżempju ta' twaqqif ta' portal mistieden b'awtoreġistrazzjoni
21) Ikklikkja fuq il-frażi "URL tat-test tal-portal" u kkopja l-URL tal-portal għall-SSID fuq il-FortiGate fil-pass 4. URL tal-kampjun
Sabiex id-dominju tiegħek jintwera, trid ittella’ ċ-ċertifikat fil-portal tal-mistieden, ara l-pass 13.
22) Mur fit-tab Ċentri ta’ Ħidma > Aċċess tal-Mistednin > Elementi ta’ Politika > Riżultati > Profili ta’ Awtorizzazzjoni > Żid biex toħloq profil ta' awtorizzazzjoni għal wieħed maħluq qabel Profil tal-Apparat tan-Netwerk.
23) Fit-tab Ċentri ta’ Xogħol > Aċċess tal-Mistednin > Settijiet ta’ Politika editja l-politika ta' aċċess għall-utenti tal-WiFi.
24) Ejja nippruvaw nikkonnettjaw mal-SSID mistieden. Jiena immedjatament ridirett lejn il-paġna tal-login. Hawnhekk tista' tidħol taħt il-kont mistieden maħluq lokalment fuq ISE, jew tirreġistra bħala utent mistieden.
25) Jekk għażilt l-għażla ta 'awtoreġistrazzjoni, allura d-dejta tal-login ta' darba tista 'tintbagħat bl-email, permezz ta' SMS, jew stampata.
26) Fir-RAJUS > Tab Żkuk ħajjin fuq Cisco ISE se tara r-zkuk tal-login korrispondenti.
6. Konklużjoni
F'dan l-artikolu twil, aħna kkonfigurajna b'suċċess l-aċċess mistieden fuq Cisco ISE, fejn FortiGate jaġixxi bħala l-kontrollur tal-punt ta 'aċċess u FortiAP bħala l-punt ta' aċċess. Ir-riżultat huwa tip ta 'integrazzjoni mhux trivjali, li għal darb'oħra turi l-użu mifrux ta' ISE.
Biex tittestja Cisco ISE, ikkuntattja , u segwi wkoll l-aġġornamenti fil-kanali tagħna (, , , , ).
Sors: www.habr.com