सिस्को ISE: FortiAP मा अतिथि पहुँच कन्फिगर गर्दै। भाग ३

सिस्को ISE श्रृंखलाको तेस्रो पोष्टमा स्वागत छ। शृङ्खलाका सबै लेखहरूको लिङ्कहरू तल दिइएका छन्:

1. सिस्को ISE: परिचय, आवश्यकताहरू, स्थापना। भाग 1

2. सिस्को ISE: प्रयोगकर्ताहरू सिर्जना गर्दै, LDAP सर्भरहरू थप्दै, AD सँग एकीकरण गर्दै। भाग 2

3. सिस्को ISE: FortiAP मा अतिथि पहुँच कन्फिगर गर्दै। भाग ३

यस पोष्टमा, तपाइँ अतिथि पहुँचमा डुब्नुहुनेछ, साथै सिस्को ISE र FortiGate लाई एकीकृत गर्न फोर्टिनेट, फोर्टिनेटबाट पहुँच बिन्दु कन्फिगर गर्नको लागि एक चरण-दर-चरण गाइड (सामान्यतया, कुनै पनि उपकरण जसले समर्थन गर्दछ। RADIUS CoA - प्राधिकरणको परिवर्तन)।

हाम्रा लेखहरू संलग्न छन्। Fortinet - उपयोगी सामग्री को चयन.

भन्नुA: चेक पोइन्ट SMB यन्त्रहरूले RADIUS CoA लाई समर्थन गर्दैन।

अद्भुत गाईड सिस्को WLC (वायरलेस कन्ट्रोलर) मा Cisco ISE प्रयोग गरेर अतिथि पहुँच कसरी सिर्जना गर्ने भन्ने अंग्रेजीमा वर्णन गर्दछ। यसलाई बाहिर निकालौं!

२. परिचय

अतिथि पहुँच (पोर्टल) ले तपाईंलाई इन्टरनेटमा पहुँच प्रदान गर्न वा अतिथिहरू र प्रयोगकर्ताहरूका लागि आन्तरिक स्रोतहरूमा पहुँच प्रदान गर्न अनुमति दिन्छ जुन तपाईं आफ्नो स्थानीय नेटवर्कमा दिन चाहनुहुन्न। अतिथि पोर्टलका ३ पूर्वनिर्धारित प्रकारहरू छन् (अतिथि पोर्टल):

1. हटस्पट अतिथि पोर्टल - नेटवर्कमा पहुँच लगइन डाटा बिना अतिथिहरूलाई प्रदान गरिएको छ। सामान्यतया, प्रयोगकर्ताहरूले नेटवर्क पहुँच गर्नु अघि कम्पनीको "प्रयोग र गोपनीयता नीति" स्वीकार गर्न आवश्यक छ।

2. प्रायोजित-गेस्ट पोर्टल - नेटवर्कमा पहुँच र लगइन डाटा प्रायोजक द्वारा जारी गरिनु पर्छ - सिस्को ISE मा अतिथि खाताहरू सिर्जना गर्न जिम्मेवार प्रयोगकर्ता।

3. स्व-दर्ता गरिएको अतिथि पोर्टल - यस अवस्थामा, अतिथिहरूले अवस्थित लगइन विवरणहरू प्रयोग गर्छन्, वा लगइन विवरणहरूको साथ आफ्नो लागि खाता सिर्जना गर्छन्, तर नेटवर्कमा पहुँच प्राप्त गर्न प्रायोजक पुष्टिकरण आवश्यक छ।

सिस्को ISE मा एकै समयमा धेरै पोर्टलहरू प्रयोग गर्न सकिन्छ। पूर्वनिर्धारित रूपमा, प्रयोगकर्ताले अतिथि पोर्टलमा सिस्को लोगो र मानक सामान्य वाक्यांशहरू देख्नेछन्। यो सबै अनुकूलित गर्न सकिन्छ र पहुँच प्राप्त गर्नु अघि अनिवार्य विज्ञापनहरू हेर्न सेट गर्न सकिन्छ।

अतिथि पहुँच सेटअपलाई 4 मुख्य चरणहरूमा विभाजन गर्न सकिन्छ: FortiAP सेटअप, Cisco ISE र FortiAP जडान, अतिथि पोर्टल सिर्जना, र पहुँच नीति सेटअप।

2. FortiGate मा FortiAP कन्फिगर गर्दै

FortiGate एक पहुँच बिन्दु नियन्त्रक हो र सबै सेटिङहरू यसमा बनाइएका छन्। FortiAP पहुँच बिन्दुहरूले PoE समर्थन गर्दछ, त्यसैले एकचोटि तपाईंले यसलाई इथरनेट मार्फत नेटवर्कमा जडान गरिसकेपछि, तपाईं सेटअप सुरु गर्न सक्नुहुन्छ।

1) FortiGate मा, ट्याबमा जानुहोस् WiFi र स्विच कन्ट्रोलर > व्यवस्थित FortiAPs > नयाँ सिर्जना गर्नुहोस् > व्यवस्थित एपी। पहुँच बिन्दुको अद्वितीय सिरियल नम्बर प्रयोग गरेर, जुन पहुँच पोइन्टमा छापिएको छ, यसलाई वस्तुको रूपमा थप्नुहोस्। वा यो आफैलाई देखाउन र त्यसपछि थिच्न सक्छ प्राधिकृत दायाँ माउस बटन प्रयोग गरेर।

2) FortiAP सेटिङहरू पूर्वनिर्धारित हुन सक्छ, उदाहरणका लागि, स्क्रिनसटमा जस्तै छोड्नुहोस्। म 5 GHz मोड खोल्न अत्यधिक सिफारिस गर्छु, किनकि केही यन्त्रहरूले 2.4 GHz लाई समर्थन गर्दैन।

3) त्यसपछि ट्याबमा वाइफाइ र स्विच कन्ट्रोलर> फोर्टियापी प्रोफाइलहरू> नयाँ सिर्जना गर्नुहोस् हामी पहुँच बिन्दु (संस्करण 802.11 प्रोटोकल, SSID मोड, च्यानल फ्रिक्वेन्सी र तिनीहरूको संख्या) को लागि सेटिङ प्रोफाइल सिर्जना गर्दैछौं।

FortiAP सेटिङ उदाहरण

4) अर्को चरण SSID सिर्जना गर्नु हो। ट्याबमा जानुहोस् WiFi र स्विच कन्ट्रोलर > SSIDs > नयाँ सिर्जना गर्नुहोस् > SSID। यहाँ महत्त्वपूर्णबाट कन्फिगर गर्नुपर्छ:

• अतिथि WLAN को लागि ठेगाना स्पेस - IP/Netmask

• RADIUS लेखा र प्रशासनिक पहुँच क्षेत्रमा सुरक्षित कपडा जडान

• उपकरण पत्ता लगाउने विकल्प

• SSID र प्रसारण SSID विकल्प

• सुरक्षा मोड सेटिङहरू > क्याप्टिभ पोर्टल 

• प्रमाणीकरण पोर्टल - बाह्य र चरण 20 बाट Cisco ISE बाट सिर्जना गरिएको अतिथि पोर्टलमा लिङ्क घुसाउनुहोस्।

• प्रयोगकर्ता समूह - अतिथि समूह - बाह्य - Cisco ISE मा RADIUS थप्नुहोस् (p. 6 पछि)

SSID सेटिङ उदाहरण

5) त्यसपछि तपाईंले FortiGate मा पहुँच नीतिमा नियमहरू सिर्जना गर्नुपर्छ। ट्याबमा जानुहोस् नीति र वस्तुहरू > फायरवाल नीति र यस्तो नियम बनाउनुहोस्:

3. RADIUS सेटिङ

6) ट्याबमा सिस्को ISE वेब इन्टरफेसमा जानुहोस् नीति > नीति तत्वहरू > शब्दकोशहरू > प्रणाली > त्रिज्या > RADIUS विक्रेताहरू > थप्नुहोस्। यस ट्याबमा, हामी समर्थित प्रोटोकलहरूको सूचीमा Fortinet RADIUS थप्नेछौं, किनकि लगभग हरेक विक्रेताको आफ्नै विशिष्ट विशेषताहरू छन् - VSA (विक्रेता-विशिष्ट विशेषताहरू)।

Fortinet RADIUS विशेषताहरूको सूची फेला पार्न सकिन्छ यहाँ। VSA हरू तिनीहरूको अद्वितीय विक्रेता ID नम्बरद्वारा छुट्याइन्छ। Fortinet = यो ID छ 12356... पूर्ण सूची VSA IANA द्वारा प्रकाशित गरिएको छ।

7) शब्दकोशको नाम सेट गर्नुहोस्, निर्दिष्ट गर्नुहोस् विक्रेता आईडी (12356) र थिच्नुहोस् पेश गर्नुहोस्।

8) हामी गए पछि प्रशासन > नेटवर्क उपकरण प्रोफाइल > थप्नुहोस् र नयाँ उपकरण प्रोफाइल सिर्जना गर्नुहोस्। RADIUS Dictionaries फिल्डमा, पहिले सिर्जना गरिएको Fortinet RADIUS शब्दकोश चयन गर्नुहोस् र ISE नीतिमा पछि प्रयोग गर्न CoA विधिहरू चयन गर्नुहोस्। मैले RFC 5176 र पोर्ट बाउन्स (सटडाउन/कुनै बन्द नेटवर्क इन्टरफेस) र सम्बन्धित VSAs छनौट गरें: 

फोर्टिनेट-पहुँच-प्रोफाइल = पढ्नुहोस्-लेख्नुहोस्

Fortinet-समूह-नाम = fmg_faz_admins

9) अर्को, ISE सँग जडानको लागि FortiGate थप्नुहोस्। यो गर्नको लागि, ट्याबमा जानुहोस् प्रशासन > नेटवर्क संसाधन > नेटवर्क उपकरण प्रोफाइल > थप्नुहोस्। परिमार्जन गर्नुपर्ने क्षेत्रहरू नाम, विक्रेता, RADIUS शब्दकोशहरू (IP ठेगाना FortiGate द्वारा प्रयोग गरिन्छ, FortiAP होइन)।

ISE साइडबाट RADIUS कन्फिगर गर्ने उदाहरण

10) त्यस पछि, तपाईंले फोर्टिगेट साइडमा RADIUS कन्फिगर गर्नुपर्छ। FortiGate वेब इन्टरफेसमा, जानुहोस् प्रयोगकर्ता र प्रमाणीकरण > RADIUS सर्भर > नयाँ सिर्जना गर्नुहोस्। अघिल्लो अनुच्छेदबाट नाम, IP ठेगाना र साझा गोप्य (पासवर्ड) निर्दिष्ट गर्नुहोस्। अर्को क्लिक गर्नुहोस् प्रयोगकर्ता प्रमाणहरू परीक्षण गर्नुहोस् र कुनै पनि प्रमाणहरू प्रविष्ट गर्नुहोस् जुन RADIUS मार्फत तान्न सकिन्छ (उदाहरणका लागि, सिस्को ISE मा स्थानीय प्रयोगकर्ता)।

11) अतिथि-समूहमा RADIUS सर्भर थप्नुहोस् (यदि यो अवस्थित छैन) साथै प्रयोगकर्ताहरूको बाह्य स्रोत।

12) हामीले चरण 4 मा पहिले सिर्जना गरेको SSID मा अतिथि-समूह थप्न नबिर्सनुहोस्।

4. प्रयोगकर्ता प्रमाणीकरण सेटिङ

13) वैकल्पिक रूपमा, तपाईंले ISE अतिथि पोर्टलमा प्रमाणपत्र आयात गर्न सक्नुहुन्छ वा ट्याबमा स्व-हस्ताक्षरित प्रमाणपत्र सिर्जना गर्न सक्नुहुन्छ। कार्य केन्द्रहरू > अतिथि पहुँच > प्रशासन > प्रमाणीकरण > प्रणाली प्रमाणपत्रहरू.

14) ट्याब पछि कार्य केन्द्रहरू > अतिथि पहुँच > पहिचान समूहहरू > प्रयोगकर्ता पहिचान समूहहरू > थप्नुहोस् अतिथि पहुँचको लागि नयाँ प्रयोगकर्ता समूह सिर्जना गर्नुहोस्, वा पूर्वनिर्धारितहरू प्रयोग गर्नुहोस्।

15) ट्याबमा थप प्रशासन > पहिचान अतिथि प्रयोगकर्ताहरू सिर्जना गर्नुहोस् र तिनीहरूलाई अघिल्लो अनुच्छेदबाट समूहहरूमा थप्नुहोस्। यदि तपाइँ तेस्रो-पक्ष खाताहरू प्रयोग गर्न चाहनुहुन्छ भने, त्यसपछि यो चरण छोड्नुहोस्।

16) हामी सेटिंग्स मा जानु पछि कार्य केन्द्रहरू > अतिथि पहुँच > पहिचान > पहिचान स्रोत अनुक्रम > अतिथि पोर्टल अनुक्रम - यो अतिथि प्रयोगकर्ताहरूको लागि पूर्वनिर्धारित प्रमाणीकरण अनुक्रम हो। र मैदानमा प्रमाणीकरण खोज सूची प्रयोगकर्ता प्रमाणीकरण आदेश चयन गर्नुहोस्।

17) अतिथिहरूलाई एक-पटके पासवर्डको साथ सूचित गर्न, तपाईंले यस उद्देश्यका लागि SMS प्रदायकहरू वा SMTP सर्भर कन्फिगर गर्न सक्नुहुन्छ। ट्याबमा जानुहोस् कार्य केन्द्रहरू > अतिथि पहुँच > प्रशासन > SMTP सर्भर वा एसएमएस गेटवे प्रदायकहरू यी सेटिङहरूको लागि। SMTP सर्भरको अवस्थामा, तपाईंले ISE को लागि खाता सिर्जना गर्न र यो ट्याबमा डाटा निर्दिष्ट गर्न आवश्यक छ।

18) SMS सूचनाहरूको लागि, उपयुक्त ट्याब प्रयोग गर्नुहोस्। ISE सँग लोकप्रिय SMS प्रदायकहरूको प्रोफाईलहरू पूर्व-स्थापित छन्, तर यो तपाईंको आफ्नै सिर्जना गर्न राम्रो छ। सेटिङको उदाहरणको रूपमा यी प्रोफाइलहरू प्रयोग गर्नुहोस् एसएमएस इमेल गेटवेy वा SMS HTTP API.

एक-समय पासवर्डको लागि SMTP सर्भर र SMS गेटवे सेटअप गर्ने उदाहरण

5. अतिथि पोर्टल सेट अप गर्दै

19) सुरुमा उल्लेख गरिए अनुसार, त्यहाँ 3 प्रकारका पूर्व-स्थापित अतिथि पोर्टलहरू छन्: हटस्पट, प्रायोजित, स्व-दर्ता। म तेस्रो विकल्प छनौट गर्न सुझाव दिन्छु, किनकि यो सबैभन्दा सामान्य हो। कुनै पनि तरिका, सेटिङहरू धेरै हदसम्म समान छन्। त्यसोभए ट्याबमा जाऔं। कार्य केन्द्रहरू > अतिथि पहुँच > पोर्टल र अवयवहरू > अतिथि पोर्टलहरू > स्व-दर्ता गरिएको अतिथि पोर्टल (पूर्वनिर्धारित)। 

20) अर्को, पोर्टल पृष्ठ अनुकूलन ट्याबमा, चयन गर्नुहोस् "रूसीमा हेर्नुहोस् - रूसी", ताकि पोर्टल रूसीमा प्रदर्शित हुन्छ। तपाईं कुनै पनि ट्याबको पाठ परिवर्तन गर्न सक्नुहुन्छ, आफ्नो लोगो थप्न सक्नुहुन्छ, र थप। कुनामा दायाँपट्टि राम्रो दृश्यको लागि अतिथि पोर्टलको पूर्वावलोकन छ।

आत्म-दर्ताको साथ अतिथि पोर्टल कन्फिगर गर्ने उदाहरण

21) वाक्यांशमा क्लिक गर्नुहोस् पोर्टल परीक्षण URL र चरण 4 मा फोर्टिगेटको SSID मा पोर्टल URL प्रतिलिपि गर्नुहोस्। नमूना URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

आफ्नो डोमेन प्रदर्शन गर्न, तपाईंले अतिथि पोर्टलमा प्रमाणपत्र अपलोड गर्नुपर्छ, चरण 13 हेर्नुहोस्।

22) ट्याबमा जानुहोस् कार्य केन्द्रहरू > अतिथि पहुँच > नीति तत्वहरू > परिणामहरू > प्राधिकरण प्रोफाइलहरू > थप्नुहोस् पहिले सिर्जना गरिएको अन्तर्गत प्राधिकरण प्रोफाइल सिर्जना गर्न नेटवर्क यन्त्र प्रोफाइल।

23) ट्याबमा कार्य केन्द्रहरू > अतिथि पहुँच > नीति सेटहरू WiFi प्रयोगकर्ताहरूको लागि पहुँच नीति सम्पादन गर्नुहोस्।

24) अतिथि SSID मा जडान गर्ने प्रयास गरौं। यसले तुरुन्तै मलाई लगइन पृष्ठमा पुन: निर्देशित गर्दछ। यहाँ तपाईं ISE मा स्थानीय रूपमा सिर्जना गरिएको अतिथि खाताबाट लग इन गर्न सक्नुहुन्छ, वा अतिथि प्रयोगकर्ताको रूपमा दर्ता गर्न सक्नुहुन्छ।

25) यदि तपाईंले सेल्फ-रेजिष्ट्रेसन विकल्प रोज्नुभएको छ भने, एक पटक लगइन डाटा मेल मार्फत, SMS मार्फत वा छापिएको पठाउन सकिन्छ।

26) Cisco ISE मा RADIUS > Live Logs ट्याबमा, तपाईंले सम्बन्धित लगइन लगहरू देख्नुहुनेछ।

Con. निष्कर्ष

यस लामो लेखमा, हामीले सिस्को ISE मा अतिथि पहुँच सफलतापूर्वक कन्फिगर गरेका छौं, जहाँ फोर्टिगेटले पहुँच बिन्दु नियन्त्रकको रूपमा कार्य गर्दछ, र फोर्टिएपीले पहुँच बिन्दुको रूपमा कार्य गर्दछ। यो एक प्रकारको गैर-तुच्छ एकीकरण भयो, जसले फेरि ISE को व्यापक प्रयोग प्रमाणित गर्दछ।

Cisco ISE परीक्षण गर्न, सम्पर्क गर्नुहोस् लिङ्कर हाम्रो च्यानलहरूमा पनि रहनुहोस् (तार, फेसबुक, VK, TS समाधान ब्लग, Yandex Zen).

स्रोत: www.habr.com