În această postare, vă veți scufunda în accesul pentru oaspeți, precum și un ghid pas cu pas pentru integrarea Cisco ISE și FortiGate pentru a configura FortiAP, un punct de acces de la Fortinet (în general, orice dispozitiv care acceptă RAZA CoA — Schimbarea autorizației).
NotaR: Dispozitivele Check Point SMB nu acceptă RADIUS CoA.
minunat conducere descrie în engleză cum să creați un acces pentru oaspeți folosind Cisco ISE pe un Cisco WLC (controller fără fir). Să ne dăm seama!
1. Introducere
Accesul pentru oaspeți (portal) vă permite să oferiți acces la Internet sau la resurse interne pentru oaspeți și utilizatori pe care nu doriți să le lăsați în rețeaua locală. Există 3 tipuri predefinite de portal pentru oaspeți (portal pentru oaspeți):
Portalul Hotspot Guest - Accesul la rețea este oferit oaspeților fără date de conectare. În general, utilizatorilor li se cere să accepte „Politica de utilizare și confidențialitate” a companiei înainte de a accesa rețeaua.
Portalul Sponsored-Guest - accesul la rețea și datele de conectare trebuie să fie emise de sponsor - utilizatorul responsabil cu crearea conturilor de invitat pe Cisco ISE.
Portal pentru oaspeți auto-înregistrați - în acest caz, oaspeții folosesc detaliile de conectare existente sau își creează un cont cu detalii de conectare, dar este necesară confirmarea sponsorului pentru a avea acces la rețea.
Mai multe portaluri pot fi implementate pe Cisco ISE în același timp. În mod implicit, în portalul pentru oaspeți, utilizatorul va vedea sigla Cisco și expresiile obișnuite standard. Toate acestea pot fi personalizate și chiar setate pentru a vizualiza anunțurile obligatorii înainte de a obține acces.
Configurarea accesului pentru oaspeți poate fi împărțită în 4 pași principali: configurare FortiAP, conectivitate Cisco ISE și FortiAP, crearea portalului pentru oaspeți și configurarea politicii de acces.
2. Configurarea FortiAP pe FortiGate
FortiGate este un controler de punct de acces și toate setările sunt făcute pe acesta. Punctele de acces FortiAP acceptă PoE, așa că odată ce l-ați conectat la rețea prin Ethernet, puteți începe configurarea.
1) Pe FortiGate, accesați fila Controler WiFi și comutator > FortiAP gestionate > Creare nou > AP gestionat. Folosind numărul de serie unic al punctului de acces, care este imprimat pe punctul de acces însuși, adăugați-l ca obiect. Sau se poate afișa și apoi apăsa Autoriza folosind butonul drept al mouse-ului.
2) Setările FortiAP pot fi implicite, de exemplu, lăsați ca în captura de ecran. Recomand cu căldură activarea modului 5 GHz, deoarece unele dispozitive nu acceptă 2.4 GHz.
3) Apoi în tab Controler WiFi și comutator > Profiluri FortiAP > Creare nou creăm un profil de setări pentru punctul de acces (versiunea 802.11 protocol, modul SSID, frecvența canalului și numărul acestora).
Exemplu de setări FortiAP
4) Următorul pas este crearea unui SSID. Accesați fila Controler WiFi și comutare > SSID-uri > Creare nou > SSID. Aici din cea importantă ar trebui configurată:
spațiu de adresă pentru WLAN pentru oaspeți - IP/Mască de rețea
RADIUS Accounting și Secure Fabric Connection în câmpul Administrative Access
Opțiunea de detectare a dispozitivului
Opțiunea SSID și Broadcast SSID
Setări mod de securitate > Portal captiv
Portal de autentificare - Extern și inserați un link către portalul pentru invitați creat de la Cisco ISE de la pasul 20
Grup de utilizatori - Grup de oaspeți - Extern - adăugați RADIUS la Cisco ISE (p. 6 în continuare)
Exemplu de setare SSID
5) Atunci ar trebui să creați reguli în politica de acces pe FortiGate. Accesați fila Politică și obiecte > Politică pentru firewall și creați o regulă ca aceasta:
3. Setarea RAZULUI
6) Accesați interfața web Cisco ISE la fila Politică > Elemente de politică > Dicționare > Sistem > Radius > Furnizori RADIUS > Adăugați. În această filă, vom adăuga Fortinet RADIUS la lista de protocoale acceptate, deoarece aproape fiecare furnizor are propriile atribute specifice - VSA (Vendor-Specific Atributes).
O listă de atribute Fortinet RADIUS poate fi găsită aici. VSA-urile se disting prin numărul lor unic de identificare a furnizorului. Fortinet are acest ID = 12356... Deplin listă VSA a fost publicat de IANA.
7) Setați numele dicționarului, specificați ID furnizor (12356) și apăsați A depune.
8) După ce mergem la Administrare > Profiluri dispozitiv de rețea > Adăugare și creați un nou profil de dispozitiv. În câmpul Dicționare RADIUS, selectați dicționarul Fortinet RADIUS creat anterior și selectați metodele CoA pentru a le utiliza mai târziu în politica ISE. Am ales RFC 5176 și Port Bounce (închidere/fără închidere interfață de rețea) și VSA-urile corespunzătoare:
Fortinet-Access-Profile=citire-scriere
Fortinet-Group-Name = fmg_faz_admins
9) Apoi, adăugați FortiGate pentru conectivitate cu ISE. Pentru a face acest lucru, accesați fila Administrare > Resurse de rețea > Profiluri dispozitiv de rețea > Adăugați. Câmpurile de schimbat Nume, furnizor, dicționare RADIUS (Adresa IP este folosită de FortiGate, nu de FortiAP).
Exemplu de configurare RADIUS din partea ISE
10) După aceea, ar trebui să configurați RADIUS pe partea FortiGate. În interfața web FortiGate, accesați Utilizator și autentificare > Servere RADIUS > Creare nou. Specificați numele, adresa IP și Secretul partajat (parola) din paragraful anterior. Faceți clic pe următorul Testați acreditările utilizatorului și introduceți orice acreditări care pot fi extrase prin RADIUS (de exemplu, un utilizator local pe Cisco ISE).
11) Adăugați un server RADIUS la grupul de oaspeți (dacă nu există), precum și o sursă externă de utilizatori.
12) Nu uitați să adăugați grupul de invitați la SSID-ul creat mai devreme la pasul 4.
4. Setarea de autentificare a utilizatorului
13) Opțional, puteți importa un certificat pe portalul de oaspeți ISE sau puteți crea un certificat autosemnat în fila Centre de lucru > Acces invitat > Administrare > Certificare > Certificate de sistem.
14) După în tab Centre de lucru > Acces invitat > Grupuri de identitate > Grupuri de identitate utilizator > Adăugați creați un nou grup de utilizatori pentru accesul oaspeților sau folosiți-i pe cei impliciti.
15) Mai departe în filă Administrare > Identități creați utilizatori invitați și adăugați-i la grupurile din paragraful anterior. Dacă doriți să utilizați conturi terță parte, săriți peste acest pas.
16) După ce mergem la setări Centre de lucru > Acces invitat > Identități >Secvență sursă de identitate > Secvență portal pentru oaspeți — aceasta este secvența de autentificare implicită pentru utilizatorii invitați. Și în câmp Lista de căutare pentru autentificare selectați ordinea de autentificare a utilizatorului.
17) Pentru a notifica oaspeții cu o parolă unică, puteți configura furnizori de SMS-uri sau un server SMTP în acest scop. Accesați fila Centre de lucru > Acces invitat > Administrare > Server SMTP sau Furnizori de gateway SMS pentru aceste setari. În cazul unui server SMTP, trebuie să creați un cont pentru ISE și să specificați datele în această filă.
18) Pentru notificări prin SMS, utilizați fila corespunzătoare. ISE are profiluri preinstalate ale furnizorilor de SMS populari, dar este mai bine să le creați pe al dvs. Utilizați aceste profiluri ca exemplu de setare Gateway de e-mail SMSy sau API-ul SMS HTTP.
Un exemplu de configurare a unui server SMTP și a unui gateway SMS pentru o parolă unică
5. Configurarea portalului pentru oaspeți
19) După cum am menționat la început, există 3 tipuri de portaluri de oaspeți preinstalate: Hotspot, Sponsorizat, Auto-înregistrat. Vă sugerez să alegeți a treia opțiune, deoarece este cea mai comună. În orice caz, setările sunt în mare parte identice. Deci, să mergem la filă. Centre de lucru > Acces pentru oaspeți > Portaluri și componente > Portaluri pentru oaspeți > Portal pentru oaspeți auto-înregistrat (implicit).
20) Apoi, în fila Personalizare pagină portal, selectați „Vizualizare în rusă - rusă”, astfel încât portalul să fie afișat în limba rusă. Puteți modifica textul oricărei file, puteți adăuga sigla și multe altele. În colțul din dreapta este o previzualizare a portalului pentru oaspeți pentru o vizualizare mai bună.
Exemplu de configurare a unui portal de oaspeți cu auto-înregistrare
Pentru a vă afișa domeniul, trebuie să încărcați certificatul pe portalul pentru invitați, vedeți pasul 13.
22) Accesați fila Centre de lucru > Acces invitat > Elemente de politică > Rezultate > Profiluri de autorizare > Adăugați pentru a crea un profil de autorizare sub cel creat anterior Profilul dispozitivului de rețea.
23) În tab Centre de lucru > Acces invitat > Seturi de politici editați politica de acces pentru utilizatorii WiFi.
24) Să încercăm să ne conectăm la SSID-ul invitatului. Mă redirecționează imediat către pagina de autentificare. Aici vă puteți autentifica cu contul de invitat creat local pe ISE sau vă puteți înregistra ca utilizator invitat.
25) Dacă ați ales opțiunea de auto-înregistrare, atunci datele de conectare unice pot fi trimise prin poștă, prin SMS sau printate.
26) În fila RADIUS > Jurnale live din Cisco ISE, veți vedea jurnalele de conectare corespunzătoare.
6. concluzie
În acest articol lung, am configurat cu succes accesul pentru oaspeți pe Cisco ISE, unde FortiGate acționează ca controler al punctului de acces, iar FortiAP acționează ca punct de acces. S-a dovedit un fel de integrare non-trivială, care demonstrează încă o dată utilizarea pe scară largă a ISE.