Cisco ISE: FortiAP تي مهمان جي رسائي کي ترتيب ڏيڻ. حصو 3

سسڪو ISE سيريز ۾ ٽئين پوسٽ ۾ ڀليڪار. سيريز جي سڀني مضمونن جي لنڪ هيٺ ڏنل آهن:

1. Cisco ISE: تعارف، گهرجون، تنصيب. حصو 1

2. Cisco ISE: صارفين ٺاهڻ، LDAP سرور شامل ڪرڻ، AD سان گڏ ڪرڻ. حصو 2

3. Cisco ISE: FortiAP تي مهمان جي رسائي کي ترتيب ڏيڻ. حصو 3

هن پوسٽ ۾، توهان مهمانن جي رسائي ۾ غوطه لڳائيندا، انهي سان گڏ هڪ قدم قدم گائيڊ سسڪو ISE ۽ FortiGate کي ضم ڪرڻ لاءِ FortiAP کي ترتيب ڏيڻ لاءِ، هڪ رسائي پوائنٽ Fortinet (عام طور تي، ڪنهن به ڊوائيس جيڪا سپورٽ ڪري ٿي. RADIUS CoA - اختيار جي تبديلي).

اسان جا آرٽيڪل شامل آهن. Fortinet - مفيد مواد جي چونڊ.

ويچاريج: چيڪ پوائنٽ SMB ڊوائيسز RADIUS CoA کي سپورٽ نٿا ڪن.

شاندار رهنمائي ڪندڙ انگريزيءَ ۾ بيان ڪري ٿو ته سسڪو WLC (وائرلیس ڪنٽرولر) تي Cisco ISE استعمال ڪندي مهمان رسائي ڪيئن ٺاهي. اچو ته ان جو اندازو لڳايو!

1. تعارف

مهمان رسائي (پورٽل) توهان کي انٽرنيٽ تائين رسائي فراهم ڪرڻ جي اجازت ڏئي ٿي يا مهمانن ۽ صارفين لاءِ اندروني وسيلن تائين جيڪي توهان نٿا چاهيو ته توهان پنهنجي مقامي نيٽ ورڪ ۾ وڃڻ نٿا چاهيو. مهمان پورٽل جا 3 اڳواٽ بيان ڪيل قسم آهن (مهمان پورٽل):

1. هاٽ اسپاٽ گيسٽ پورٽل - نيٽ ورڪ تائين رسائي مهمانن کي بغير لاگ ان ڊيٽا جي مهيا ڪئي وئي آهي. صارفين کي عام طور تي قبول ڪرڻ جي ضرورت آهي ڪمپني جي "استعمال ۽ رازداري پاليسي" نيٽ ورڪ تائين رسائي کان اڳ.

2. اسپانسر ٿيل-مهمان پورٽل - نيٽ ورڪ تائين رسائي ۽ لاگ ان ڊيٽا لازمي طور تي اسپانسر طرفان جاري ڪيو وڃي - صارف جيڪو سسڪو ISE تي مهمان اڪائونٽس ٺاهڻ جو ذميوار آهي.

3. سيلف رجسٽرڊ گيسٽ پورٽل - انهي صورت ۾، مهمان موجوده لاگ ان تفصيلات استعمال ڪندا آهن، يا لاگ ان تفصيلن سان پنهنجو پاڻ لاءِ هڪ اڪائونٽ ٺاهيندا آهن، پر نيٽ ورڪ تائين رسائي حاصل ڪرڻ لاءِ اسپانسر جي تصديق جي ضرورت هوندي آهي.

سسڪو اي ايس اي تي هڪ ئي وقت ۾ ڪيترائي پورٽل لڳائي سگھجن ٿا. ڊفالٽ طور، مهمان پورٹل ۾، صارف سسڪو لوگو ۽ معياري عام جملا ڏسندا. اهو سڀ ڪجهه ترتيب ڏئي سگهجي ٿو ۽ اڃا تائين رسائي حاصل ڪرڻ کان پهريان لازمي اشتهارن کي ڏسڻ لاءِ سيٽ ڪري سگهجي ٿو.

مهمان رسائي سيٽ اپ کي 4 مکيه مرحلن ۾ ورهائي سگهجي ٿو: FortiAP سيٽ اپ، سسڪو ISE ۽ FortiAP ڪنيڪشن، مهمان پورٽل ٺاھڻ، ۽ رسائي پاليسي سيٽ اپ.

2. FortiGate تي FortiAP ترتيب ڏيڻ

FortiGate هڪ رسائي پوائنٽ ڪنٽرولر آهي ۽ سڀئي سيٽنگون ان تي ڪيون ويون آهن. FortiAP رسائي پوائنٽس PoE کي سپورٽ ڪن ٿا، تنهنڪري هڪ دفعو توهان ان کي نيٽ ورڪ سان Ethernet ذريعي ڳنڍيو، توهان ترتيب شروع ڪري سگهو ٿا.

1) FortiGate تي، ٽيب ڏانھن وڃو وائي فائي ۽ سوئچ ڪنٽرولر> منظم ٿيل FortiAPs> نئون ٺاهيو> منظم ٿيل اي پي. رسائي پوائنٽ جي منفرد سيريل نمبر کي استعمال ڪندي، جيڪو رسائي پوائنٽ تي ڇپيل آهي، ان کي هڪ اعتراض جي طور تي شامل ڪريو. يا اهو پنهنجو پاڻ کي ڏيکاري سگهي ٿو ۽ پوء دٻايو اختيار ڏيڻ ساڄي مائوس جي بٽڻ کي استعمال ڪندي.

2) FortiAP سيٽنگون ڊفالٽ ٿي سگھن ٿيون، مثال طور، ڇڏي ڏيو جيئن اسڪرين شاٽ ۾. مان 5 GHz موڊ کي چالو ڪرڻ جي صلاح ڏيان ٿو، ڇاڪاڻ ته ڪجهه ڊوائيس 2.4 GHz کي سپورٽ نٿا ڪن.

3) پوء ٽيب ۾ وائي فائي ۽ سوئچ ڪنٽرولر> FortiAP پروفائلز> نئون ٺاھيو اسان رسائي پوائنٽ لاء سيٽنگون پروفائل ٺاهي رهيا آهيون (نسخ 802.11 پروٽوڪول، SSID موڊ، چينل فریکوئنسي ۽ انهن جو نمبر).

FortiAP سيٽنگون مثال

4) ايندڙ قدم هڪ SSID ٺاهڻ آهي. ٽيب ڏانھن وڃو وائي فائي ۽ سوئچ ڪنٽرولر > SSIDs > نئون ٺاهيو > SSID. هتي اهم مان هڪ ترتيب ڏيڻ گهرجي:

• مهمان لاءِ ايڊريس اسپيس WLAN - IP/Netmask

• RADIUS اڪائونٽنگ ۽ محفوظ ڪپڙو ڪنيڪشن انتظامي رسائي جي ميدان ۾

• ڊوائيس ڳولڻ جا اختيار

• SSID ۽ براڊڪاسٽ SSID آپشن

• سيڪيورٽي موڊ سيٽنگون> قيدي پورٽل 

• تصديق وارو پورٽل - خارجي ۽ داخل ڪريو هڪ لنڪ ٺاهيل گيسٽ پورٽل کي سسڪو ISE کان قدم 20 کان

• يوزر گروپ - گيسٽ گروپ - خارجي - شامل ڪريو RADIUS to Cisco ISE (p. 6 اڳتي)

SSID سيٽنگ جو مثال

5) پوءِ توهان کي FortiGate تي رسائي پاليسي ۾ ضابطا ٺاهڻ گهرجن. ٽيب ڏانھن وڃو پاليسي ۽ شيون > فائر وال پاليسي ۽ ھن طرح ھڪڙو قاعدو ٺاھيو:

3. RADIUS سيٽنگ

6) ٽيب ڏانھن Cisco ISE ويب انٽرفيس ڏانھن وڃو پاليسي > پاليسي عنصر > ڊڪشنري > سسٽم > ريڊيس > ريڊيس وينڊرز > شامل ڪريو. هن ٽيب ۾، اسان Fortinet RADIUS کي سپورٽ ڪيل پروٽوڪولن جي لسٽ ۾ شامل ڪنداسين، ڇاڪاڻ ته تقريبن هر وينڊرز کي پنهنجون مخصوص خاصيتون آهن - VSA (وينڊر-مخصوص خاصيتون).

Fortinet RADIUS خاصيتن جي هڪ فهرست ملي سگهي ٿي هتي. VSAs انهن جي منفرد وينڊر جي سڃاڻپ نمبر سان ممتاز آهن. Fortinet وٽ هي ID = 12356. پورو فهرست VSA IANA پاران شايع ڪيو ويو آهي.

7) لغت جو نالو مقرر ڪريو، وضاحت ڪريو وڪرو ڪندڙ جي سڃاڻپ (12356) ۽ پريس ڪريو جمع ڪريو.

8) اسان وڃڻ کان پوءِ انتظاميه> نيٽورڪ ڊيوائس پروفائلز> شامل ڪريو ۽ نئين ڊيوائس پروفائل ٺاھيو. RADIUS ڊڪشنري فيلڊ ۾، اڳ ۾ ٺهيل Fortinet RADIUS ڊڪشنري چونڊيو ۽ CoA طريقن کي چونڊيو ISE پاليسي ۾ بعد ۾ استعمال ڪرڻ لاءِ. مون چونڊيو RFC 5176 ۽ پورٽ بائونس (شٽ ڊائون/نه بند نيٽ ورڪ انٽرفيس) ۽ لاڳاپيل VSAs: 

Fortinet-Access-Profile=پڙهڻ-لکڻ

Fortinet-گروپ-نالو = fmg_faz_admins

9) اڳيون، شامل ڪريو FortiGate ISE سان رابطي لاءِ. هن کي ڪرڻ لاء، ٽيب ڏانهن وڃو ايڊمنسٽريشن> نيٽورڪ ريسورسز> نيٽورڪ ڊيوائس پروفائلز> شامل ڪريو. تبديل ٿيڻ جا ميدان نالو، وڪڻندڙ، RADIUS ڊڪشنريون (IP پتو فورٽي گيٽ طرفان استعمال ڪيو ويندو آهي، نه FortiAP).

ISE پاسي کان RADIUS ترتيب ڏيڻ جو مثال

10) ان کان پوء، توهان کي ترتيب ڏيڻ گهرجي RADIUS FortiGate پاسي تي. FortiGate ويب انٽرفيس ۾، ڏانھن وڃو استعمال ڪندڙ ۽ تصديق > RADIUS سرور > نئون ٺاهيو. پوئين پيراگراف مان نالو، IP پتو ۽ حصيداري راز (پاسورڊ) بيان ڪريو. اڳيان ڪلڪ ڪريو ٽيسٽ استعمال ڪندڙ سندون ۽ داخل ڪريو ڪي به سندون جيڪي RADIUS ذريعي ڪڍي سگهجن ٿيون (مثال طور، سسکو ISE تي مقامي صارف).

11) هڪ RADIUS سرور شامل ڪريو مهمان-گروپ ۾ (جيڪڏهن اهو موجود ناهي) ۽ گڏوگڏ استعمال ڪندڙن جو هڪ خارجي ذريعو.

12) گيسٽ-گروپ کي شامل ڪرڻ نه وساريو SSID ۾ جيڪو اسان پهرين قدم 4 ۾ ٺاهيو.

4. استعمال ڪندڙ جي تصديق جي سيٽنگ

13) اختياري طور تي، توهان ISE مهمان پورٽل تي هڪ سرٽيفڪيٽ درآمد ڪري سگهو ٿا يا ٽيب ۾ هڪ خود دستخط ٿيل سرٽيفڪيٽ ٺاهي سگهو ٿا ڪم مرڪز > مهمانن جي رسائي > انتظاميه > سرٽيفڪيشن > سسٽم سرٽيفڪيٽ.

14) ٽيب ۾ بعد ۾ ڪم جا مرڪز > مهمانن جي رسائي > سڃاڻپ جا گروپ > استعمال ڪندڙ جي سڃاڻپ جا گروپ > شامل ڪريو مھمانن جي رسائي لاءِ نئون يوزر گروپ ٺاھيو، يا ڊفالٽ استعمال ڪريو.

15) وڌيڪ ٽيب ۾ انتظاميه > سڃاڻپ مھمان استعمال ڪندڙ ٺاھيو ۽ انھن کي گروپن ۾ شامل ڪريو پوئين پيراگراف مان. جيڪڏهن توهان استعمال ڪرڻ چاهيو ٿا ٽئين پارٽي اڪائونٽس، پوءِ هن قدم کي ڇڏي ڏيو.

16) بعد ۾ اسان سيٽنگون ڏانهن وڃو ڪم مرڪز > مهمانن تائين رسائي > سڃاڻپ > سڃاڻپ جو ذريعو ترتيب > مهمان پورٽل تسلسل - ھي آھي مھمان استعمال ڪندڙن لاءِ ڊفالٽ تصديق جو سلسلو. ۽ ميدان ۾ تصديق جي ڳولا جي فهرست استعمال ڪندڙ جي تصديق جو حڪم چونڊيو.

17) مھمانن کي ھڪڙي وقت جي پاسورڊ سان مطلع ڪرڻ لاء، توھان ان مقصد لاء ايس ايم ايس فراهم ڪندڙ يا SMTP سرور ترتيب ڏئي سگھو ٿا. ٽيب ڏانھن وڃو ڪم جا مرڪز > مهمانن تائين رسائي > انتظاميه > SMTP سرور يا ايس ايم ايس گيٽ وي فراهم ڪندڙ انهن سيٽنگن لاء. هڪ SMTP سرور جي صورت ۾، توهان کي ISE لاءِ اڪائونٽ ٺاهڻ جي ضرورت آهي ۽ هن ٽيب ۾ ڊيٽا کي بيان ڪرڻ جي ضرورت آهي.

18) ايس ايم ايس اطلاعن لاء، مناسب ٽيب استعمال ڪريو. ISE مشهور ايس ايم ايس فراهم ڪندڙن جي پروفائيل کي اڳ ۾ نصب ڪيو آهي، پر اهو بهتر آهي ته توهان پنهنجو ٺاهيو. هنن پروفائلز کي سيٽنگ جي مثال طور استعمال ڪريو ايس ايم ايس اي ميل گيٽ ويy يا SMS HTTP API.

هڪ SMTP سرور قائم ڪرڻ جو هڪ مثال ۽ هڪ وقت جي پاسورڊ لاءِ ايس ايم ايس گيٽ وي

5. مهمان پورٽل کي ترتيب ڏيڻ

19) جيئن شروع ۾ ذڪر ڪيو ويو آهي، اتي 3 قسم جا اڳ ۾ نصب ٿيل مهمان پورٽل آهن: هاٽ اسپاٽ، اسپانسر ٿيل، سيلف رجسٽرڊ. مان ٽيون اختيار چونڊڻ جي صلاح ڏيان ٿو، ڇاڪاڻ ته اهو سڀ کان وڌيڪ عام آهي. ڪنهن به صورت ۾، سيٽنگون گهڻو ڪري هڪجهڙا آهن. تنهن ڪري اچو ته ٽيب ڏانهن وڃو. ڪم جا مرڪز > مهمانن تائين رسائي > پورٽل ۽ اجزاء > گيسٽ پورٽل > سيلف رجسٽرڊ گيسٽ پورٽل (ڊفالٽ). 

20) اڳيون، پورٽل پيج ڪسٽمائيزيشن ٽيب ۾، چونڊيو "ڏسو ۾ روسي - روسي", ته جيئن پورٹل روسي ۾ ڏيکاريل آهي. توهان ڪنهن به ٽيب جو متن تبديل ڪري سگهو ٿا، پنهنجو لوگو شامل ڪريو، ۽ وڌيڪ. ڪنڊ ۾ ساڄي پاسي مهمان پورٽل جو ڏيک آهي بهتر ڏسڻ لاءِ.

خود-رجسٽريشن سان گڏ مهمان پورٽل ترتيب ڏيڻ جو مثال

21) جملي تي ڪلڪ ڪريو پورٽل ٽيسٽ URL ۽ پورٽل URL کي نقل ڪريو SSID ڏانهن FortiGate تي قدم 4 ۾. نموني URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

توھان جي ڊومين کي ڏيکارڻ لاءِ، توھان کي لازمي طور تي اپلوڊ ڪرڻ گھرجي سرٽيفڪيٽ کي مهمان پورٽل تي، ڏسو قدم 13.

22) ٽيب ڏانھن وڃو ڪم جا مرڪز > مهمانن تائين پهچ > پاليسي عنصر > نتيجا > اختيار ڪندڙ پروفائلز > شامل ڪريو اڳ ۾ ٺهيل هڪ تحت هڪ اختيار جي پروفائيل ٺاهڻ لاء نيٽ ورڪ ڊيوائس پروفائل.

23) ٽيب ۾ ڪم مرڪز > مهمان رسائي > پاليسي سيٽ وائي فائي استعمال ڪندڙن لاء رسائي جي پاليسي کي تبديل ڪريو.

24) اچو ته مهمان SSID سان ڳنڍڻ جي ڪوشش ڪريون. اهو فوري طور تي مون کي لاگ ان صفحي ڏانهن منتقل ڪري ٿو. هتي توهان ISE تي مقامي طور تي ٺاهيل مهمان اڪائونٽ سان لاگ ان ڪري سگهو ٿا، يا مهمان صارف طور رجسٽر ڪري سگهو ٿا.

25) جيڪڏهن توهان خود-رجسٽريشن آپشن چونڊيو آهي، ته پوءِ هڪ دفعي لاگ ان ڊيٽا موڪلي سگهجي ٿو ٽپال ذريعي، ايس ايم ايس ذريعي، يا ڇپيل.

26) RADIUS > Live Logs ٽئب ۾ Cisco ISE تي، توھان ڏسندا لاڳاپيل لاگ ان لاگ ان.

6. نتيجو

هن ڊگھي آرٽيڪل ۾، اسان سسڪو ISE تي مهمان رسائي ڪاميابي سان ترتيب ڏني آهي، جتي FortiGate ڪم ڪري ٿو رسائي پوائنٽ ڪنٽرولر، ۽ FortiAP رسائي پوائنٽ طور ڪم ڪري ٿو. اهو هڪ غير معمولي انضمام جو هڪ قسم آهي، جيڪو هڪ ڀيرو ٻيهر ثابت ڪري ٿو ISE جي وسيع استعمال.

Cisco ISE کي جانچڻ لاءِ، رابطو ڪريو لنڪ۽ اسان جي چينلز تي پڻ ڏسندا رهو (تار, ڪريو, VK, TS حل بلاگ, Yandex Zen).

جو ذريعو: www.habr.com