V tej objavi se boste poglobili v dostop za goste in vodnik po korakih za integracijo Cisco ISE in FortiGate za konfiguracijo FortiAP, dostopne točke Fortinet (na splošno katera koli naprava, ki podpira RADIUS CoA — Sprememba pooblastila).
ObvestiloO: Naprave Check Point SMB ne podpirajo RADIUS CoA.
Čudovito vodstvo v angleščini opisuje, kako ustvariti dostop za goste z uporabo Cisco ISE na Cisco WLC (brezžičnem krmilniku). Ugotovimo!
1. Uvod
Gostujoči dostop (portal) omogoča dostop do interneta ali notranjih virov za goste in uporabnike, ki jih ne želite spustiti v svoje lokalno omrežje. Obstajajo 3 vnaprej določene vrste portala za goste (portal za goste):
Portal za goste Hotspot - dostop do omrežja je omogočen gostom brez podatkov za prijavo. Od uporabnikov se običajno zahteva, da pred dostopom do omrežja sprejmejo "Politiko uporabe in zasebnosti" podjetja.
Sponsored-Guest portal - dostop do omrežja in podatke za prijavo mora izdati sponzor - uporabnik, odgovoren za ustvarjanje gostujočih računov na Cisco ISE.
Portal za samoregistrirane goste – v tem primeru gostje uporabijo obstoječe podatke za prijavo ali ustvarijo račun zase s podatki za prijavo, vendar je za dostop do omrežja potrebna potrditev sponzorja.
Na Cisco ISE je mogoče hkrati namestiti več portalov. Privzeto bo uporabnik na portalu za goste videl logotip Cisco in standardne pogoste fraze. Vse to je mogoče prilagoditi in celo nastaviti za ogled obveznih oglasov, preden pridobite dostop.
Nastavitev dostopa za goste je mogoče razdeliti na 4 glavne korake: nastavitev FortiAP, povezljivost Cisco ISE in FortiAP, ustvarjanje portala za goste in nastavitev pravilnika dostopa.
2. Konfiguriranje FortiAP na FortiGate
FortiGate je krmilnik dostopne točke in vse nastavitve se izvajajo na njem. Dostopne točke FortiAP podpirajo PoE, tako da lahko začnete konfiguracijo, ko jo povežete z omrežjem prek Etherneta.
1) Na FortiGate pojdite na zavihek WiFi in stikalni krmilnik > Upravljani FortiAP-ji > Ustvari nov > Upravljani AP. Z uporabo edinstvene serijske številke dostopne točke, ki je natisnjena na sami dostopni točki, jo dodajte kot predmet. Lahko pa se pokaže in nato pritisne dovolijo z uporabo desne tipke miške.
2) Nastavitve FortiAP so lahko privzete, na primer pustite kot na posnetku zaslona. Zelo priporočam vklop načina 5 GHz, ker nekatere naprave ne podpirajo 2.4 GHz.
3) Nato v zavihku WiFi & Switch Controller > FortiAP Profiles > Create New izdelamo profil nastavitev za dostopno točko (verzija protokola 802.11, način SSID, frekvenca kanala in njihovo število).
Primer nastavitev FortiAP
4) Naslednji korak je ustvariti SSID. Pojdite na zavihek WiFi & Switch Controller > SSID-ji > Ustvari novo > SSID. Tukaj od pomembnega je treba konfigurirati:
naslovni prostor za WLAN za goste - IP/omrežna maska
RADIUS Accounting in povezava Secure Fabric v polju Administrative Access
Možnost zaznavanja naprave
Možnosti SSID in Broadcast SSID
Nastavitve varnostnega načina > Prestrežni portal
Portal za preverjanje pristnosti - Zunanji in vstavite povezavo do ustvarjenega portala za goste iz Cisco ISE iz koraka 20
Uporabniška skupina - Gostujoča skupina - Zunanji - dodajte RADIUS v Cisco ISE (str. 6 naprej)
Primer nastavitve SSID
5) Potem bi morali ustvariti pravila v pravilniku dostopa na FortiGate. Pojdite na zavihek Politika in predmeti > Politika požarnega zidu in ustvarite takšno pravilo:
3. Nastavitev RADIJA
6) Pojdite v spletni vmesnik Cisco ISE na zavihek Pravilnik > Elementi pravilnika > Slovarji > Sistem > Radius > Prodajalci RADIUS > Dodaj. V tem zavihku bomo na seznam podprtih protokolov dodali Fortinet RADIUS, saj ima skoraj vsak prodajalec svoje specifične atribute - VSA (Vendor-Specific Attributes).
Najdete lahko seznam atributov Fortinet RADIUS tukaj. VSA se razlikujejo po edinstveni ID številki dobavitelja. Fortinet ima ta ID = 12356. Poln Seznam VSA je objavila IANA.
7) Nastavite ime slovarja, določite Vendor ID (12356) in pritisnite Pošlji
8) Ko gremo na Skrbništvo > Profili omrežnih naprav > Dodaj in ustvarite nov profil naprave. V polju Slovarji RADIUS izberite predhodno ustvarjen slovar Fortinet RADIUS in izberite metode CoA, ki jih želite pozneje uporabiti v pravilniku ISE. Izbral sem RFC 5176 in Port Bounce (omrežni vmesnik za zaustavitev/brez zaustavitve) in ustrezne VSA:
Fortinet-Access-Profile=branje-pisanje
Ime-skupine Fortinet = fmg_faz_admins
9) Nato dodajte FortiGate za povezljivost z ISE. Če želite to narediti, pojdite na zavihek Skrbništvo > Omrežni viri > Profili omrežnih naprav > Dodaj. Polja, ki jih je treba spremeniti Ime, dobavitelj, slovarji RADIUS (Naslov IP uporablja FortiGate, ne FortiAP).
Primer konfiguracije RADIUS-a s strani ISE
10) Po tem bi morali konfigurirati RADIUS na strani FortiGate. V spletnem vmesniku FortiGate pojdite na Uporabnik in preverjanje pristnosti > Strežniki RADIUS > Ustvari novo. Določite ime, IP naslov in Shared secret (geslo) iz prejšnjega odstavka. Naslednji klik Poverilnice testnega uporabnika in vnesite vse poverilnice, ki jih je mogoče priklicati prek RADIUS-a (na primer lokalni uporabnik na Cisco ISE).
11) Dodajte strežnik RADIUS v skupino gostov (če ne obstaja) kot tudi zunanji vir uporabnikov.
12) Ne pozabite dodati skupine gostov v SSID, ki smo ga ustvarili prej v 4. koraku.
4. Nastavitev avtentikacije uporabnika
13) Po želji lahko uvozite potrdilo na gostujoči portal ISE ali ustvarite samopodpisano potrdilo v zavihku Delovna središča > Dostop za goste > Skrbništvo > Certificiranje > Sistemska potrdila.
14) Za tab Delovna središča > Dostop za goste > Skupine identitet > Skupine identitete uporabnikov > Dodaj ustvarite novo skupino uporabnikov za dostop gostov ali uporabite privzete.
15) Nadalje v zavihku Skrbništvo > Identitete ustvarite gostujoče uporabnike in jih dodajte v skupine iz prejšnjega odstavka. Če želite uporabiti račune tretjih oseb, preskočite ta korak.
16) Ko gremo v nastavitve Delovna središča > Dostop za goste > Identitete >Zaporedje vira identitete > Zaporedje portala za goste — to je privzeto zaporedje preverjanja pristnosti za gostujoče uporabnike. In na terenu Iskalni seznam za preverjanje pristnosti izberite vrstni red avtentikacije uporabnika.
17) Za obveščanje gostov z enkratnim geslom lahko v ta namen konfigurirate ponudnike SMS ali strežnik SMTP. Pojdite na zavihek Delovna središča > Dostop za goste > Skrbništvo > Strežnik SMTP ali Ponudniki prehodov SMS za te nastavitve. V primeru strežnika SMTP morate ustvariti račun za ISE in podati podatke v tem zavihku.
18) Za SMS obvestila uporabite ustrezen zavihek. ISE ima vnaprej nameščene profile priljubljenih ponudnikov SMS, vendar je bolje, da ustvarite svojega. Te profile uporabite kot primer nastavitve SMS e-poštni prehody oz SMS HTTP API.
Primer nastavitve SMTP strežnika in SMS prehoda za enkratno geslo
5. Postavitev portala za goste
19) Kot je bilo omenjeno na začetku, obstajajo 3 vrste vnaprej nameščenih portalov za goste: Hotspot, Sponsored, Self-Registered. Predlagam, da izberete tretjo možnost, saj je najpogostejša. Kakor koli že, nastavitve so večinoma enake. Pa pojdimo na zavihek. Delovni centri > Dostop za goste > Portali in komponente > Portali za goste > Samoregistrirani portal za goste (privzeto).
20) Nato na zavihku Prilagajanje strani portala izberite "Pogled v ruščini - rusko", tako da je portal prikazan v ruščini. Spremenite lahko besedilo katerega koli zavihka, dodate svoj logotip in drugo. Desno v kotu je predogled portala za goste za boljši pregled.
Primer konfiguracije portala za goste s samoregistracijo
Če želite prikazati svojo domeno, morate naložiti potrdilo na portal za goste, glejte 13. korak.
22) Pojdite na zavihek Delovna središča > Dostop za goste > Elementi pravilnika > Rezultati > Profili avtorizacije > Dodaj ustvariti avtorizacijski profil pod predhodno ustvarjenim Profil omrežne naprave.
23) V zavihku Delovna središča > Dostop za goste > Nabori pravilnikov uredite pravilnik dostopa za uporabnike WiFi.
24) Poskusimo se povezati z gostujočim SSID. Takoj me preusmeri na stran za prijavo. Tukaj se lahko prijavite z računom gosta, ustvarjenim lokalno na ISE, ali pa se registrirate kot gostujoči uporabnik.
25) Če ste izbrali možnost samoregistracije, lahko podatke za enkratno prijavo pošljete po pošti, SMS-u ali natisnete.
26) V zavihku RADIUS > Dnevniki v živo na Cisco ISE boste videli ustrezne dnevnike prijave.
6. Zaključek
V tem dolgem članku smo uspešno konfigurirali dostop za goste na Cisco ISE, kjer FortiGate deluje kot krmilnik dostopne točke, FortiAP pa deluje kot dostopna točka. Izkazalo se je nekakšna netrivialna integracija, ki še enkrat dokazuje široko uporabo ISE.