Welkom bij het derde bericht in de Cisco ISE-serie. Hieronder vindt u links naar alle artikelen in de serie:
In dit bericht duik je in gasttoegang, evenals een stapsgewijze handleiding voor het integreren van Cisco ISE en FortiGate om FortiAP te configureren, een toegangspunt van Fortinet (in het algemeen elk apparaat dat ondersteuning biedt voor RADIUS CoA - Wijziging van machtiging).
Bijgevoegd vindt u onze artikelen. .
NootA: Check Point SMB-apparaten ondersteunen geen RADIUS CoA.
prachtig beschrijft in het Engels hoe je met Cisco ISE op een Cisco WLC (Wireless Controller) een gasttoegang creëert. Laten we het uitzoeken!
1. Inleiding
Met gasttoegang (portaal) kunt u gasten en gebruikers toegang geven tot internet of tot interne bronnen die u niet op uw lokale netwerk wilt toelaten. Er zijn 3 vooraf gedefinieerde soorten gastportaal (gastportaal):
-
Hotspot Gastportaal - Toegang tot het netwerk wordt verleend aan gasten zonder inloggegevens. Gebruikers moeten over het algemeen het "Gebruiks- en privacybeleid" van het bedrijf accepteren voordat ze toegang krijgen tot het netwerk.
-
Portal voor gesponsorde gasten - toegang tot het netwerk en inloggegevens moeten worden verstrekt door de sponsor - de gebruiker die verantwoordelijk is voor het maken van gastaccounts op Cisco ISE.
-
Zelfgeregistreerde gastportal - in dit geval gebruiken gasten bestaande inloggegevens of maken ze voor zichzelf een account aan met inloggegevens, maar om toegang te krijgen tot het netwerk is bevestiging van de sponsor vereist.
Meerdere portals kunnen tegelijkertijd op Cisco ISE worden geïmplementeerd. In de gastportal ziet de gebruiker standaard het Cisco-logo en veelvoorkomende standaardzinnen. Dit alles kan worden aangepast en zelfs worden ingesteld om verplichte advertenties te bekijken voordat u toegang krijgt.
Het instellen van gasttoegang kan worden opgesplitst in 4 hoofdstappen: FortiAP instellen, Cisco ISE- en FortiAP-connectiviteit, maken van gastportaal en instellen van toegangsbeleid.
2. FortiAP configureren op FortiGate
FortiGate is een access point controller en alle instellingen worden daarop gemaakt. FortiAP access points ondersteunen PoE, dus zodra je hem via ethernet op het netwerk hebt aangesloten, kun je de configuratie starten.
1) Ga op FortiGate naar het tabblad WiFi & Switch Controller > Beheerde FortiAP's > Nieuw aanmaken > Beheerd AP. Gebruik het unieke serienummer van het toegangspunt, dat op het toegangspunt zelf is afgedrukt, en voeg het toe als een object. Of het kan zichzelf laten zien en dan drukken machtigen met behulp van de rechtermuisknop.
2) FortiAP-instellingen kunnen standaard zijn, laat ze bijvoorbeeld zoals in de schermafbeelding. Ik raad ten zeerste aan om de 5 GHz-modus in te schakelen, omdat sommige apparaten geen 2.4 GHz ondersteunen.
3) Vervolgens in tabblad WiFi & Switch-controller > FortiAP-profielen > Nieuw maken we maken een instellingenprofiel voor het toegangspunt (versie 802.11 protocol, SSID-modus, kanaalfrequentie en hun nummer).
FortiAP instellingen voorbeeld
4) De volgende stap is het aanmaken van een SSID. Ga naar tabblad WiFi & Switch Controller > SSID's > Nieuw aanmaken > SSID. Hier moet de belangrijkste worden geconfigureerd:
-
adresruimte voor gast WLAN - IP/Netmask
-
RADIUS Accounting en Secure Fabric Connection in het veld Beheerderstoegang
-
Optie apparaatdetectie
-
SSID en Broadcast SSID-optie
-
Instellingen beveiligingsmodus > Captive Portal
-
Verificatieportaal - Extern en voeg een link in naar het gemaakte gastportaal van Cisco ISE uit stap 20
-
Gebruikersgroep - Gastgroep - Extern - voeg RADIUS toe aan Cisco ISE (p. 6 en verder)
Voorbeeld SSID-instelling
5) Maak vervolgens regels in het toegangsbeleid op FortiGate. Ga naar tabblad Beleid en objecten > Firewallbeleid en maak een regel als deze:
3. RADIUS-instelling
6) Ga naar de Cisco ISE-webinterface naar het tabblad Beleid > Beleidselementen > Woordenboeken > Systeem > Radius > RADIUS-leveranciers > Toevoegen. Op dit tabblad voegen we Fortinet RADIUS toe aan de lijst met ondersteunde protocollen, aangezien bijna elke leverancier zijn eigen specifieke attributen heeft - VSA (Vendor-Specific Attributes).
Een lijst met Fortinet RADIUS-attributen is te vinden . VSA's onderscheiden zich door hun unieke Vendor ID-nummer. Fortinet heeft dit ID= 12356. Vol De VSA is gepubliceerd door de IANA.
7) Stel de naam van het woordenboek in, specificeer vendor ID (12356) en druk op Verzenden.
8) Nadat we naar toe zijn gegaan Beheer > Netwerkapparaatprofielen > Toevoegen en maak een nieuw apparaatprofiel aan. Selecteer in het veld RADIUS-woordenboeken het eerder gemaakte Fortinet RADIUS-woordenboek en selecteer de CoA-methoden die later in het ISE-beleid moeten worden gebruikt. Ik koos voor RFC 5176 en Port Bounce (shutdown/no shutdown netwerkinterface) en de bijbehorende VSA's:
Fortinet-Access-Profile=lezen-schrijven
Fortinet-groepsnaam = fmg_faz_admins
9) Voeg vervolgens FortiGate toe voor connectiviteit met ISE. Ga hiervoor naar het tabblad Beheer > Netwerkbronnen > Netwerkapparaatprofielen > Toevoegen. Velden die moeten worden gewijzigd Naam, leverancier, RADIUS-woordenboeken (IP-adres wordt gebruikt door FortiGate, niet FortiAP).
Voorbeeld van het configureren van RADIUS vanaf de ISE-kant
10) Daarna moet u RADIUS configureren aan de FortiGate-zijde. Ga in de FortiGate-webinterface naar Gebruiker en authenticatie > RADIUS-servers > Nieuwe maken. Specificeer de naam, het IP-adres en het gedeelde geheim (wachtwoord) uit de vorige paragraaf. Volgende klik Gebruikersreferenties testen en voer eventuele inloggegevens in die via RADIUS kunnen worden opgehaald (bijvoorbeeld een lokale gebruiker op de Cisco ISE).
11) Voeg een RADIUS-server toe aan de gastgroep (als deze niet bestaat) en een externe bron van gebruikers.
12) Vergeet niet de gastgroep toe te voegen aan de SSID die we eerder in stap 4 hebben gemaakt.
4. Instelling gebruikersauthenticatie
13) Optioneel kunt u een certificaat importeren in het ISE-gastportaal of een zelfondertekend certificaat maken in het tabblad Werkcentra > Gasttoegang > Beheer > Certificering > Systeemcertificaten.
14) Na in tab Workcenters > Gasttoegang > Identiteitsgroepen > Gebruikersidentiteitsgroepen > Toevoegen maak een nieuwe gebruikersgroep aan voor gasttoegang of gebruik de standaardgroepen.
15) Verderop in het tabblad Administratie > Identiteiten maak gastgebruikers aan en voeg ze toe aan de groepen uit de vorige paragraaf. Als u accounts van derden wilt gebruiken, slaat u deze stap over.
16) Nadat we naar de instellingen gaan Workcenters > Gasttoegang > Identiteiten > Identiteitsbronreeks > Gastportaalreeks — dit is de standaard authenticatievolgorde voor gastgebruikers. En in het veld Authenticatie zoeklijst selecteer de gebruikersauthenticatievolgorde.
17) Om gasten met een eenmalig wachtwoord op de hoogte te stellen, kunt u hiervoor SMS-providers of een SMTP-server configureren. Ga naar tabblad Werkcentra > Gasttoegang > Beheer > SMTP-server of SMS-gatewayproviders voor deze instellingen. In het geval van een SMTP-server moet u een account voor de ISE aanmaken en de gegevens op dit tabblad specificeren.
18) Gebruik voor sms-meldingen het juiste tabblad. ISE heeft vooraf geïnstalleerde profielen van populaire sms-providers, maar het is beter om uw eigen profielen aan te maken. Gebruik deze profielen als instellingsvoorbeeld SMS-e-mailgatewayj of SMS HTTP-API.
Een voorbeeld van het instellen van een SMTP-server en een SMS-gateway voor een eenmalig wachtwoord
5. Inrichten van het gastenportaal
19) Zoals in het begin vermeld, zijn er 3 soorten vooraf geïnstalleerde gastportals: Hotspot, Gesponsord, Zelfgeregistreerd. Ik stel voor om de derde optie te kiezen, omdat dit de meest voorkomende is. Hoe dan ook, de instellingen zijn grotendeels identiek. Dus laten we naar het tabblad gaan. Workcenters > Gasttoegang > Portalen en componenten > Gastportals > Zelfgeregistreerde gastportal (standaard).
20) Selecteer vervolgens op het tabblad Aanpassing portalpagina “Bekijken in het Russisch - Russisch”, zodat de portal in het Russisch wordt weergegeven. U kunt de tekst van elk tabblad wijzigen, uw logo toevoegen en meer. Rechts in de hoek is een preview van het gastenportaal voor een beter zicht.
Voorbeeld van het configureren van een gastportaal met zelfregistratie
21) Klik op een zin Portal-test-URL en kopieer de portal-URL naar de SSID op de FortiGate in stap 4. Voorbeeld-URL
Om uw domein weer te geven, moet u het certificaat uploaden naar het gastenportaal, zie stap 13.
22) Ga naar tabblad Workcenters > Gasttoegang > Beleidselementen > Resultaten > Autorisatieprofielen > Toevoegen om een autorisatieprofiel aan te maken onder het eerder gemaakte profiel Netwerkapparaatprofiel.
23) Op tabblad Werkcentra > Gasttoegang > Beleidssets bewerk het toegangsbeleid voor wifi-gebruikers.
24) Laten we proberen verbinding te maken met de gast-SSID. Het leidt me onmiddellijk door naar de inlogpagina. Hier kunt u inloggen met het gastaccount dat lokaal op de ISE is aangemaakt, of u kunt zich registreren als gastgebruiker.
25) Indien u heeft gekozen voor zelfregistratie, dan kunnen eenmalige inloggegevens per mail, via SMS of geprint worden verzonden.
26) In het tabblad RADIUS > Live Logs op de Cisco ISE ziet u de bijbehorende loginlogs.
6. conclusie
In dit lange artikel hebben we met succes gasttoegang geconfigureerd op Cisco ISE, waarbij FortiGate fungeert als toegangspuntcontroller en FortiAP als toegangspunt. Het bleek een soort niet-triviale integratie te zijn, wat eens te meer het wijdverbreide gebruik van ISE bewijst.
Neem contact op om Cisco ISE te testen en blijf ook op de hoogte van onze kanalen (, , , , ).
Bron: www.habr.com