سیسکو ISE: په FortiAP کې د میلمنو لاسرسي تنظیم کول. دریمه برخه

د سیسکو ISE لړۍ کې دریم پوسټ ته ښه راغلاست. په لړۍ کې د ټولو مقالو لینکونه لاندې ورکړل شوي دي:

1. سیسکو ISE: پیژندنه، اړتیاوې، نصب کول. برخه 1

2. سیسکو ISE: د کاروونکو رامینځته کول، د LDAP سرورونو اضافه کول، د AD سره یوځای کول. 2 برخه

3. سیسکو ISE: په FortiAP کې د میلمنو لاسرسي تنظیم کول. دریمه برخه

پدې پوسټ کې ، تاسو به د میلمنو لاسرسي ته ډوب شئ ، په بیله بیا د FortiAP تنظیم کولو لپاره د سیسکو ISE او FortiGate ادغام لپاره د ګام په ګام لارښود ، د Fortinet څخه د لاسرسي نقطه (په عموم کې ، هر هغه وسیله چې ملاتړ کوي. RADIUS CoA - د واک بدلول).

زموږ مقالې ضمیمه دي. Fortinet - د ګټورو موادو انتخاب.

تبصرهځواب: د چیک پوائنټ SMB وسایل د RADIUS CoA ملاتړ نه کوي.

په زړه پورې رهبري په انګلیسي کې تشریح کوي چې څنګه د سیسکو WLC (بې سیم کنټرولر) کې د سیسکو ISE په کارولو سره میلمه لاسرسی رامینځته کړي. راځئ چې دا معلومه کړو!

1. پیژندنه

د میلمنو لاسرسی (پورټل) تاسو ته اجازه درکوي انټرنیټ ته لاسرسی ومومئ یا د میلمنو او کاروونکو لپاره داخلي سرچینو ته چې تاسو نه غواړئ خپل محلي شبکې ته اجازه ورکړئ. د میلمه پورټل 3 دمخه ټاکل شوي ډولونه شتون لري (د میلمه پورټل):

1. د هټ سپاټ میلمانه پورټل - شبکې ته لاسرسی میلمنو ته د ننوتلو معلوماتو پرته چمتو کیږي. کاروونکي عموما اړ دي چې شبکې ته د لاسرسي دمخه د شرکت "استعمال او محرمیت پالیسي" ومني.

2. سپانسر شوی میلمه پورټل - شبکې ته لاسرسی او د ننوتلو ډیټا باید د سپانسر لخوا صادر شي - هغه کارن چې په سیسکو ISE کې د میلمنو حسابونو رامینځته کولو مسؤل دی.

3. د ځان راجستر شوي میلمه پورټل - پدې حالت کې ، میلمانه د ننوتنې موجود توضیحات کاروي ، یا د ننوتلو توضیحاتو سره د ځان لپاره حساب رامینځته کوي ، مګر شبکې ته د لاسرسي لپاره د سپانسر تایید ته اړتیا ده.

ډیری پورټلونه په ورته وخت کې په سیسکو ISE کې ځای په ځای کیدی شي. په ډیفالټ ، د میلمه پورټل کې ، کارونکي به د سیسکو لوګو او معیاري عام جملې وګوري. دا ټول تنظیم کیدی شي او حتی د لاسرسي ترلاسه کولو دمخه لازمي اعلانونو لیدو لپاره تنظیم کیدی شي.

د میلمنو لاسرسي تنظیم کول په 4 اصلي مرحلو ویشل کیدی شي: د FortiAP تنظیم کول ، د سیسکو ISE او FortiAP ارتباط ، د میلمه پورټل رامینځته کول ، او د لاسرسي پالیسي تنظیم کول.

2. په FortiGate کې د FortiAP ترتیب کول

FortiGate د لاسرسي نقطه کنټرولر دی او ټول تنظیمات پدې کې جوړ شوي. د FortiAP لاسرسي نقطې د PoE ملاتړ کوي ، نو یوځل چې تاسو دا د ایترنیټ له لارې شبکې سره وصل کړئ ، تاسو کولی شئ تشکیلات پیل کړئ.

1) په FortiGate کې، ټب ته لاړ شئ وائی ​​فای او سویچ کنټرولر> اداره شوي FortiAPs> نوی رامینځته کړئ> اداره شوی AP. د لاسرسي نقطې ځانګړي سریال نمبر په کارولو سره ، کوم چې پخپله د لاسرسي نقطې کې چاپ شوی ، دا د یو څیز په توګه اضافه کړئ. یا دا کولی شي خپل ځان ښکاره کړي او بیا فشار ورکړي واکمن د ښي موږک تڼۍ په کارولو سره.

2) د FortiAP تنظیمات ډیفالټ کیدی شي ، د مثال په توګه ، د سکرین شاټ په څیر پریږدئ. زه په کلکه د 5 GHz حالت بدلولو وړاندیز کوم ، ځکه چې ځینې وسایل د 2.4 GHz ملاتړ نه کوي.

3) بیا په ټب کې وائی ​​فای او سویچ کنټرولر> FortiAP پروفایلونه> نوی جوړ کړئ موږ د لاسرسي نقطې لپاره د تنظیماتو پروفایل رامینځته کوو (نسخه 802.11 پروتوکول ، SSID حالت ، د چینل فریکوینسي او د دوی شمیره).

د FortiAP ترتیبات مثال

4) بل ګام د SSID رامینځته کول دي. ټب ته لاړ شئ وائی ​​فای او سویچ کنټرولر> SSIDs> نوی رامینځته کړئ> SSID. دلته له مهم څخه باید ترتیب شي:

• د میلمنو لپاره د پته ځای WLAN - IP/Netmask

• د اداري لاسرسي په ساحه کې د RADIUS محاسبې او خوندي پوښاک اتصال

• د وسیلې کشف اختیار

• د SSID او نشر SSID اختیار

• د امنیت حالت ترتیبات> کیپټیو پورټل 

• د تصدیق پورټل - بهرنۍ او د 20 مرحلې څخه د سیسکو ISE څخه رامینځته شوي میلمه پورټل ته لینک دننه کړئ

• د کارن ګروپ - د میلمنو ګروپ - بهرنۍ - سیسکو ISE ته RADIUS اضافه کړئ (مخ 6 وروسته)

د SSID ترتیب کولو مثال

5) بیا تاسو باید په FortiGate کې د لاسرسي پالیسۍ کې قواعد رامینځته کړئ. ټب ته لاړ شئ پالیسي او شیان > د فایروال پالیسي او د دې په څیر یو قانون جوړ کړئ:

3. د RADIUS ترتیب

6) ټب ته د سیسکو ISE ویب انٹرفیس ته لاړشئ پالیسي> د پالیسۍ عناصر> قاموس> سیسټم> ریډیس> د RADIUS پلورونکي> اضافه کول. پدې ټب کې ، موږ به د ملاتړ شوي پروتوکولونو لیست کې Fortinet RADIUS اضافه کړو ، ځکه چې نږدې هر پلورونکی خپل ځانګړي ځانګړتیاوې لري - VSA (د پلورونکي ځانګړي ځانګړتیاوې).

د Fortinet RADIUS ځانګړتیاو لیست موندل کیدی شي دلته. VSAs د دوی د ځانګړي پلورونکي ID شمیرې سره توپیر لري. Fortinet دا ID = لري 12356. ډک لست VSA د IANA لخوا خپور شوی.

7) د لغت نوم وټاکئ، مشخص کړئ د پلورونکي ID (۱۲۳۵۶) او مطبوعات وسپارئ

8) وروسته له دې چې موږ لاړ شو اداره> د شبکې وسیله پروفایلونه> اضافه کول او د نوي وسیلې پروفایل جوړ کړئ. د RADIUS لغتونو په ډګر کې، مخکې جوړ شوی Fortinet RADIUS قاموس غوره کړئ او د ISE پالیسي کې وروسته کارولو لپاره د CoA میتودونه غوره کړئ. ما RFC 5176 او پورټ باؤنس غوره کړ (شټ ډاون / نه د شبکې انٹرفیس بندول) او اړونده VSAs: 

Fortinet-Access-Profile=لوستل-لیکل

Fortinet-ګروپ-نوم = fmg_faz_admins

9) بیا، د ISE سره د ارتباط لپاره FortiGate اضافه کړئ. د دې کولو لپاره، ټب ته لاړ شئ اداره> د شبکې سرچینې> د شبکې وسیله پروفایلونه> اضافه کړئ. ساحې باید بدل شي نوم، پلورونکی، RADIUS لغتونه (IP پته د FortiGate لخوا کارول کیږي، نه FortiAP).

د ISE اړخ څخه د RADIUS تنظیم کولو بیلګه

10) له هغې وروسته، تاسو باید د FortiGate اړخ کې RADIUS تنظیم کړئ. د FortiGate ویب انٹرفیس کې، لاړ شئ کارن او تصدیق> RADIUS سرورونه> نوی جوړ کړئ. د مخکینۍ پراګراف څخه نوم، IP پته او شریک پټ (پټوم) مشخص کړئ. بل کلیک وکړئ د کارونکي اعتبار ازموینه او هر هغه سندونه دننه کړئ چې د RADIUS له لارې پورته کیدی شي (د مثال په توګه، په سیسکو ISE کې یو ځایی کارونکي).

11) د میلمنو ګروپ ته د RADIUS سرور اضافه کړئ (که دا شتون نلري) او همدارنګه د کاروونکو بهرنۍ سرچینه.

12) په SSID کې د میلمنو ګروپ اضافه کول مه هیروئ چې موږ دمخه په 4 مرحله کې رامینځته کړی.

4. د کارونکي تصدیق کولو ترتیب

13) په اختیاري توګه، تاسو کولی شئ د ISE میلمه پورټل ته یو سند وارد کړئ یا په ټب کې د ځان لاسلیک شوی سند جوړ کړئ د کار مرکزونه> میلمنو ته لاسرسی> اداره> تصدیق> سیسټم سندونه.

14) وروسته په ټب کې د کار مرکزونه> میلمنو ته لاسرسی> د پیژندنې ګروپونه> د کارونکي پیژندنې ګروپونه> اضافه کول د میلمنو لاسرسي لپاره یو نوی کارن ګروپ رامینځته کړئ ، یا ډیفالټ وکاروئ.

15) نور په ټب کې اداره > پیژندنه د میلمنو کاروونکي جوړ کړئ او د مخکینۍ پراګراف څخه ګروپونو ته یې اضافه کړئ. که تاسو غواړئ د دریمې ډلې حسابونه وکاروئ ، نو دا مرحله پریږدئ.

16) وروسته له دې چې موږ ترتیباتو ته لاړ شو د کار مرکزونه > میلمنو ته لاسرسی > پیژندنه > د پیژندنې سرچینې ترتیب > د میلمه پورټل ترتیب - دا د میلمنو کاروونکو لپاره د اصلي تصدیق ترتیب دی. او په میدان کې د تصدیق لټون لیست د کارونکي تصدیق کولو امر غوره کړئ.

17) میلمنو ته د یو وخت پټنوم سره خبرتیا ورکولو لپاره، تاسو کولی شئ د دې هدف لپاره د SMS چمتو کونکي یا د SMTP سرور ترتیب کړئ. ټب ته لاړ شئ د کار مرکزونه> میلمنو ته لاسرسی> اداره> SMTP سرور او یا د SMS ګیټ وے چمتو کونکي د دې ترتیباتو لپاره. د SMTP سرور په حالت کې، تاسو اړتیا لرئ د ISE لپاره حساب جوړ کړئ او په دې ټب کې ډاټا مشخص کړئ.

18) د SMS خبرتیاو لپاره، مناسب ټب وکاروئ. ISE د مشهور SMS چمتو کونکو دمخه نصب شوي پروفایلونه لري ، مګر دا غوره ده چې خپل ځان جوړ کړئ. دا پروفایلونه د ترتیب کولو مثال په توګه وکاروئ د SMS بریښنالیک دروازهy یا SMS HTTP API.

د یو وخت پاسورډ لپاره د SMTP سرور او د ایس ایم ایس ګیټ وے تنظیم کولو مثال

5. د میلمه پورټل ترتیب کول

19) لکه څنګه چې په پیل کې یادونه وشوه، 3 ډوله مخکې نصب شوي میلمستونونه شتون لري: هټ سپاټ، سپانسر شوی، ځان راجستر شوی. زه وړاندیز کوم چې دریم انتخاب غوره کړئ، ځکه چې دا خورا عام دی. په هرصورت، ترتیبات په پراخه کچه ورته دي. نو راځئ چې ټب ته لاړ شو. کاري مرکزونه > د میلمنو لاسرسي > پورټلونه او اجزاوې > د میلمنو پورټلونه > د ځان راجستر شوي میلمه پورټل (ډیفالټ). 

20) بیا، د پورټل پاڼې اصلاح کولو ټب کې، غوره کړئ "په روسي کې وګورئ - روسی", ترڅو پورټل په روسیه کې ښودل شي. تاسو کولی شئ د هر ټب متن بدل کړئ، خپل لوګو اضافه کړئ، او نور ډیر څه. په کونج کې ښي خوا ته د ښه لید لپاره د میلمه پورټل یوه کتنه ده.

د ځان راجسټریشن سره د میلمه پورټل تنظیم کولو بیلګه

21) په یوه جمله کلیک وکړئ د پورټل ازموینې URL او د پورټل URL په 4 ګام کې په FortiGate کې SSID ته کاپي کړئ. نمونه URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

د خپل ډومین ښودلو لپاره، تاسو باید د میلمه پورټل ته سند اپلوډ کړئ، 13 ګام وګورئ.

22) ټب ته لاړ شئ د کار مرکزونه> میلمنو ته لاسرسی> د پالیسۍ عناصر> پایلې> د جواز ورکولو پروفایلونه> اضافه کول د مخکیني جوړ شوي لاندې د جواز پروفایل رامینځته کول د شبکې وسیله پروفایل.

23) په یوه ټب کې د کار مرکزونه > میلمنو ته لاسرسی > د پالیسۍ سیټونه د وائی فای کاروونکو لپاره د لاسرسي پالیسي ترمیم کړئ.

24) راځئ هڅه وکړو چې د میلمه SSID سره وصل شو. دا سمدلاسه ما د ننوتلو پا pageې ته لارښود کوي. دلته تاسو کولی شئ په ISE کې په محلي ډول جوړ شوي میلمه حساب سره لاګ ان شئ، یا د میلمه کارونکي په توګه راجستر شئ.

25) که تاسو د ځان راجستریشن اختیار غوره کړی وي، نو د یو ځل د ننوتلو ډاټا د بریښنالیک، ایس ایم ایس، یا چاپ له لارې لیږل کیدی شي.

26) د سیسکو ISE په RADIUS > Live Logs ټب کې، تاسو به ورته د ننوتلو لاګ وګورئ.

6. پایله

پدې اوږده مقاله کې ، موږ په سیسکو ISE کې د میلمنو لاسرسي په بریالیتوب سره تنظیم کړی ، چیرې چې FortiGate د لاسرسي نقطې کنټرولر په توګه کار کوي ، او FortiAP د لاسرسي نقطې په توګه عمل کوي. دا یو ډول غیر معمولی ادغام وګرځید، کوم چې یو ځل بیا د ISE پراخه کارول ثابتوي.

د سیسکو ISE ازموینې لپاره، اړیکه ونیسئ مخونهاو زموږ په چینلونو کې هم پاتې شئ (Telegram, فیسبوک, VK, د TS حل بلاګ, Yandex.Zen).

سرچینه: www.habr.com