V tomto príspevku sa ponoríte do prístupu hostí, ako aj podrobného sprievodcu integráciou Cisco ISE a FortiGate na konfiguráciu FortiAP, prístupového bodu od spoločnosti Fortinet (vo všeobecnosti akékoľvek zariadenie, ktoré podporuje RADIUS CoA — zmena oprávnenia).
PoznámkaOdpoveď: Zariadenia Check Point SMB nepodporujú RADIUS CoA.
úžasné sprievodca popisuje v angličtine, ako vytvoriť hosťovský prístup pomocou Cisco ISE na Cisco WLC (Wireless Controller). Poďme na to!
1. úvod
Hosťovský prístup (portál) vám umožňuje poskytnúť prístup na internet alebo k interným zdrojom pre hostí a používateľov, ktorých nechcete púšťať do vašej lokálnej siete. Existujú 3 preddefinované typy portálu pre hostí (portál pre hostí):
Hotspot Hosťovský portál - Prístup do siete je poskytovaný hosťom bez prihlasovacích údajov. Vo všeobecnosti sa od používateľov vyžaduje, aby pred prístupom do siete prijali „Zásady používania a ochrany osobných údajov“ spoločnosti.
Portál Sponsored-Guest - prístup do siete a prihlasovacie údaje musí vydať zadávateľ - používateľ zodpovedný za vytváranie účtov pre hostí na Cisco ISE.
Samoregistrovaný hosťovský portál - v tomto prípade hostia použijú existujúce prihlasovacie údaje, alebo si vytvoria účet s prihlasovacími údajmi, ale na získanie prístupu do siete je potrebné potvrdenie sponzora.
Na Cisco ISE je možné súčasne nasadiť viacero portálov. V predvolenom nastavení sa používateľovi na portáli pre hostí zobrazí logo Cisco a štandardné bežné frázy. To všetko je možné prispôsobiť a dokonca nastaviť na zobrazenie povinných reklám pred získaním prístupu.
Nastavenie prístupu pre hostí možno rozdeliť do 4 hlavných krokov: nastavenie FortiAP, konektivita Cisco ISE a FortiAP, vytvorenie portálu pre hostí a nastavenie politiky prístupu.
2. Konfigurácia FortiAP na FortiGate
FortiGate je ovládač prístupového bodu a všetky nastavenia sa vykonávajú na ňom. Prístupové body FortiAP podporujú PoE, takže po pripojení k sieti cez Ethernet môžete začať s konfiguráciou.
1) Na FortiGate prejdite na kartu WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Pomocou jedinečného sériového čísla prístupového bodu, ktoré je vytlačené na samotnom prístupovom bode, ho pridajte ako objekt. Alebo sa môže ukázať a potom stlačiť Povoliť pomocou pravého tlačidla myši.
2) Nastavenia FortiAP môžu byť predvolené, napríklad nechať ako na snímke obrazovky. Vrelo odporúčam zapnúť režim 5 GHz, pretože niektoré zariadenia nepodporujú 2.4 GHz.
3) Potom v tab Ovládač WiFi a prepínačov > Profily FortiAP > Vytvoriť nový vytvárame profil nastavení pre prístupový bod (protokol verzie 802.11, režim SSID, frekvencia kanálov a ich číslo).
Príklad nastavení FortiAP
4) Ďalším krokom je vytvorenie SSID. Prejdite na kartu WiFi & Switch Controller > SSID > Create New > SSID. Tu z toho dôležitého by ste mali nakonfigurovať:
adresný priestor pre hosťovskú WLAN - IP/Netmask
RADIUS Accounting a Secure Fabric Connection v poli Správcovský prístup
Možnosť detekcie zariadenia
Možnosť SSID a Broadcast SSID
Nastavenia bezpečnostného režimu > Captive Portal
Autentifikačný portál – externý a vložte odkaz na vytvorený hosťovský portál od Cisco ISE z kroku 20
Skupina používateľov – Skupina hostí – Externá – pridajte RADIUS do Cisco ISE (s. 6 a ďalej)
Príklad nastavenia SSID
5) Potom by ste mali vytvoriť pravidlá v politike prístupu na FortiGate. Prejdite na kartu Zásady a objekty > Zásady brány firewall a vytvorte takéto pravidlo:
3. Nastavenie RADIUS
6) Prejdite do webového rozhrania Cisco ISE na kartu Politika > Prvky politiky > Slovníky > Systém > Polomer > Dodávatelia RADIUS > Pridať. V tejto záložke pridáme Fortinet RADIUS do zoznamu podporovaných protokolov, keďže takmer každý dodávateľ má svoje špecifické atribúty – VSA (Vendor-Specific Attributes).
Zoznam atribútov Fortinet RADIUS nájdete tu. VSA sa líšia svojim jedinečným identifikačným číslom dodávateľa. Fortinet má toto ID = 12356... Plný список VSA zverejnila IANA.
7) Nastavte názov slovníka, špecifikujte ID dodávateľa (12356) a stlačte Predložiť.
8) Potom, čo prejdeme na Správa > Profily sieťových zariadení > Pridať a vytvorte nový profil zariadenia. V poli RADIUS Dictionaries vyberte predtým vytvorený slovník Fortinet RADIUS a vyberte metódy CoA, ktoré chcete použiť neskôr v politike ISE. Vybral som si RFC 5176 a Port Bounce (vypnutie/bez vypnutia sieťového rozhrania) a zodpovedajúce VSA:
Fortinet-Access-Profile=čítanie-zápis
Fortinet-Group-Name = fmg_faz_admins
9) Ďalej pridajte FortiGate pre pripojenie s ISE. Ak to chcete urobiť, prejdite na kartu Správa > Sieťové zdroje > Profily sieťových zariadení > Pridať. Polia, ktoré sa majú zmeniť Názov, dodávateľ, slovníky RADIUS (IP adresu používa FortiGate, nie FortiAP).
Príklad konfigurácie RADIUS zo strany ISE
10) Potom by ste mali nakonfigurovať RADIUS na strane FortiGate. Vo webovom rozhraní FortiGate prejdite na User & Authentication > RADIUS Servers > Create New. Zadajte názov, IP adresu a Zdieľané tajomstvo (heslo) z predchádzajúceho odseku. Ďalšie kliknutie Otestujte poverenia používateľa a zadajte všetky poverenia, ktoré je možné získať cez RADIUS (napríklad miestny používateľ na Cisco ISE).
11) Pridajte server RADIUS do skupiny hostí (ak neexistuje), ako aj externý zdroj používateľov.
12) Nezabudnite pridať skupinu hostí k SSID, ktoré sme vytvorili skôr v kroku 4.
4. Nastavenie overenia používateľa
13) Voliteľne môžete importovať certifikát na portál pre hostí ISE alebo vytvoriť certifikát s vlastným podpisom na karte Pracovné centrá > Hosťovský prístup > Správa > Certifikácia > Systémové certifikáty.
14) Po v tab Pracovné centrá > Prístup pre hostí > Skupiny identity > Skupiny identity používateľov > Pridať vytvorte novú skupinu používateľov pre prístup hostí alebo použite predvolené skupiny.
15) Ďalej v tab Správa > Totožnosti vytvorte hosťujúcich používateľov a pridajte ich do skupín z predchádzajúceho odseku. Ak chcete použiť účty tretích strán, tento krok preskočte.
16) Potom, čo prejdeme do nastavení Pracovné centrá > Prístup pre hostí > Identity >Sekvencia zdroja identity > Sekvencia hosťujúceho portálu — toto je predvolená postupnosť overovania pre hosťujúcich používateľov. A v teréne Zoznam vyhľadávania autentizácie vyberte poradie overenia používateľa.
17) Ak chcete hostí upozorniť jednorazovým heslom, môžete na tento účel nakonfigurovať poskytovateľov SMS alebo server SMTP. Prejdite na kartu Pracovné centrá > Hosťovský prístup > Správa > Server SMTP alebo Poskytovatelia SMS brány pre tieto nastavenia. V prípade servera SMTP si musíte vytvoriť účet pre ISE a zadať údaje na tejto karte.
18) Pre SMS notifikácie použite príslušnú záložku. ISE má predinštalované profily obľúbených poskytovateľov SMS, ale je lepšie si vytvoriť vlastný. Použite tieto profily ako príklad nastavenia SMS e-mailová bránay alebo SMS HTTP API.
Príklad nastavenia SMTP servera a SMS brány pre jednorazové heslo
5. Nastavenie portálu pre hostí
19) Ako už bolo spomenuté na začiatku, existujú 3 typy predinštalovaných portálov pre hostí: Hotspot, Sponzorovaný, Samoregistrovaný. Navrhujem zvoliť tretiu možnosť, pretože je najbežnejšia. V každom prípade sú nastavenia do značnej miery totožné. Poďme teda na kartu. Pracovné centrá > Hosťovský prístup > Portály a komponenty > Hosťovské portály > Samoregistrovaný hosťovský portál (predvolené).
20) Ďalej na karte Prispôsobenie portálovej stránky vyberte "Zobraziť v ruštine - ruštine", aby sa portál zobrazoval v ruštine. Môžete zmeniť text ľubovoľnej karty, pridať svoje logo a podobne. Vpravo v rohu je náhľad portálu pre hostí pre lepšie zobrazenie.
Príklad konfigurácie portálu pre hostí so samoregistráciou
Ak chcete zobraziť svoju doménu, musíte nahrať certifikát na portál pre hostí, pozrite si krok 13.
22) Prejdite na kartu Pracovné centrá > Hosťovský prístup > Prvky politiky > Výsledky > Autorizačné profily > Pridať na vytvorenie autorizačného profilu pod predtým vytvoreným profilom Profil sieťového zariadenia.
23) Na karte Pracovné centrá > Hosťovský prístup > Sady pravidiel upraviť politiku prístupu pre používateľov WiFi.
24) Skúsme sa pripojiť k SSID hosťa. Okamžite ma presmeruje na prihlasovaciu stránku. Tu sa môžete prihlásiť pomocou účtu hosťa vytvoreného lokálne na ISE alebo sa zaregistrovať ako používateľ typu hosť.
25) Ak ste si zvolili možnosť samoregistrácie, potom je možné jednorazové prihlasovacie údaje zaslať poštou, cez SMS alebo vytlačiť.
26) V záložke RADIUS > Live Logs na Cisco ISE uvidíte zodpovedajúce prihlásenia.
6. záver
V tomto dlhom článku sme úspešne nakonfigurovali hosťovský prístup na Cisco ISE, kde FortiGate funguje ako kontrolér prístupového bodu a FortiAP funguje ako prístupový bod. Ukázalo sa akási netriviálna integrácia, ktorá opäť dokazuje široké využitie ISE.