Në këtë postim, do të zhyteni në aksesin e të ftuarve, si dhe një udhëzues hap pas hapi për të integruar Cisco ISE dhe FortiGate për të konfiguruar FortiAP, një pikë aksesi nga Fortinet (në përgjithësi, çdo pajisje që mbështet RADIUS CoA — Ndryshimi i Autorizimit).
ShënimPërgjigje: Pajisjet SMB Check Point nuk mbështesin RADIUS CoA.
E mrekullueshme udhëheqja përshkruan në anglisht se si të krijoni një akses të ftuar duke përdorur Cisco ISE në një Cisco WLC (Wireless Controller). Le ta kuptojmë!
1. Hyrje
Qasja e vizitorëve (portali) ju lejon të siguroni akses në internet ose në burime të brendshme për mysafirët dhe përdoruesit që nuk dëshironi t'i lejoni në rrjetin tuaj lokal. Ekzistojnë 3 lloje të paracaktuara të portalit të ftuar (Portali i mysafirëve):
Portali Hotspot Guest - Aksesi në rrjet u ofrohet mysafirëve pa të dhëna identifikimi. Në përgjithësi, përdoruesve u kërkohet të pranojnë "Politikën e Përdorimit dhe të Privatësisë" të kompanisë përpara se të hyjnë në rrjet.
Portali Sponsored-Guest - qasja në rrjet dhe të dhënat e hyrjes duhet të lëshohen nga sponsori - përdoruesi përgjegjës për krijimin e llogarive të mysafirëve në Cisco ISE.
Portali i Vetë-Regjistruar i Vizitorëve - në këtë rast, të ftuarit përdorin detajet ekzistuese të hyrjes, ose krijojnë një llogari për veten e tyre me të dhënat e hyrjes, por kërkohet konfirmimi i sponsorit për të fituar akses në rrjet.
Portale të shumta mund të vendosen në Cisco ISE në të njëjtën kohë. Si parazgjedhje, në portalin e të ftuarve, përdoruesi do të shohë logon Cisco dhe frazat standarde të zakonshme. E gjithë kjo mund të personalizohet dhe madje të vendoset për të parë reklamat e detyrueshme përpara se të fitoni akses.
Konfigurimi i aksesit të vizitorëve mund të ndahet në 4 hapa kryesorë: konfigurimi i FortiAP, lidhja Cisco ISE dhe FortiAP, krijimi i portalit të vizitorëve dhe konfigurimi i politikës së aksesit.
2. Konfigurimi i FortiAP në FortiGate
FortiGate është një kontrollues i pikës së hyrjes dhe të gjitha cilësimet bëhen në të. Pikat e hyrjes FortiAP mbështesin PoE, kështu që pasi ta keni lidhur atë me rrjetin nëpërmjet Ethernetit, mund të filloni konfigurimin.
1) Në FortiGate, shkoni te skeda Kontrolluesi WiFi dhe ndërruesi > FortiAP-et e menaxhuara > Krijo të re > AP e menaxhuar. Duke përdorur numrin serial unik të pikës së aksesit, i cili printohet në vetë pikën e hyrjes, shtoni atë si objekt. Ose mund të shfaqet vetë dhe më pas të shtypet Autorizoj duke përdorur butonin e djathtë të miut.
2) Cilësimet e FortiAP mund të jenë të paracaktuara, për shembull, lini si në pamjen e ekranit. Unë rekomandoj shumë të aktivizoni modalitetin 5 GHz, sepse disa pajisje nuk mbështesin 2.4 GHz.
3) Pastaj në skedën Kontrolluesi WiFi dhe ndërruesi > Profilet e FortiAP > Krijo të re ne po krijojmë një profil cilësimesh për pikën e hyrjes (versioni 802.11 i protokollit, modaliteti SSID, frekuenca e kanalit dhe numri i tyre).
Shembull i cilësimeve të FortiAP
4) Hapi tjetër është krijimi i një SSID. Shkoni te skeda Kontrolluesi WiFi dhe ndërruesi > SSID > Krijo të re > SSID. Këtu nga e rëndësishmja duhet të konfigurohet:
Hapësira e adresës për WLAN të ftuar - IP/Netmask
RADIUS Accounting dhe Secure Fabric Connection në fushën Administrative Access
Opsioni i zbulimit të pajisjes
Opsioni SSID dhe Transmetimi SSID
Cilësimet e modalitetit të sigurisë > Portali i kapshëm
Portali i vërtetimit - Jashtë dhe fut një lidhje në portalin e krijuar të ftuar nga Cisco ISE nga hapi 20
Grupi i përdoruesve - Grupi i të ftuarve - i jashtëm - shtoni RADIUS në Cisco ISE (fq. 6 e tutje)
Shembull i vendosjes së SSID
5) Më pas duhet të krijoni rregulla në politikën e aksesit në FortiGate. Shkoni te skeda Politika dhe objektet > Politika e murit të zjarrit dhe krijoni një rregull si ky:
3. Cilësimi RADIUS
6) Shkoni te ndërfaqja e internetit Cisco ISE në skedën Politika > Elementet e politikës > Fjalorët > Sistemi > Radius > Shitësit RADIUS > Shto. Në këtë skedë, ne do të shtojmë Fortinet RADIUS në listën e protokolleve të mbështetura, pasi pothuajse çdo shitës ka atributet e veta specifike - VSA (Atributet specifike të shitësit).
Mund të gjendet një listë e atributeve të Fortinet RADIUS këtu. VSA-të dallohen nga numri i tyre unik ID i shitësit. Fortinet ka këtë ID = 12356. Plot listë VSA është publikuar nga IANA.
7) Vendosni emrin e fjalorit, specifikoni ID e shitësit (12356) dhe shtypni Paraqit
8) Pasi shkojmë në Administrimi > Profilet e pajisjes së rrjetit > Shto dhe krijoni një profil të ri pajisjeje. Në fushën RADIUS Dictionaries, zgjidhni fjalorin e krijuar më parë Fortinet RADIUS dhe zgjidhni metodat CoA për t'u përdorur më vonë në politikën ISE. Zgjodha RFC 5176 dhe Port Bounce (ndërfaqja e rrjetit mbyllje/pa mbyllje) dhe VSA-të përkatëse:
Fortinet-Access-Profile=lexo-shkruaj
Fortinet-Group-Name = fmg_faz_admins
9) Më pas, shtoni FortiGate për lidhje me ISE. Për ta bërë këtë, shkoni te skeda Administrimi > Burimet e rrjetit > Profilet e pajisjes së rrjetit > Shto. Fushat që duhen ndryshuar Fjalorët emri, shitësi, RADIUS (Adresa IP përdoret nga FortiGate, jo nga FortiAP).
Shembull i konfigurimit të RADIUS nga ana ISE
10) Pas kësaj, duhet të konfiguroni RADIUS në anën e FortiGate. Në ndërfaqen e internetit FortiGate, shkoni te Përdoruesi dhe vërtetimi > Serverët RADIUS > Krijo të re. Specifikoni emrin, adresën IP dhe sekretin e përbashkët (fjalëkalimin) nga paragrafi i mëparshëm. Klikoni tjetër Testoni Kredencialet e Përdoruesit dhe futni çdo kredencial që mund të tërhiqet përmes RADIUS (për shembull, një përdorues lokal në Cisco ISE).
11) Shtoni një server RADIUS në grupin e të ftuarve (nëse nuk ekziston) si dhe një burim të jashtëm përdoruesish.
12) Mos harroni të shtoni grupin e të ftuarve në SSID që krijuam më parë në hapin 4.
4. Cilësimi i vërtetimit të përdoruesit
13) Opsionale, mund të importoni një certifikatë në portalin e të ftuarve ISE ose të krijoni një certifikatë të vetë-nënshkruar në skedën Qendrat e punës > Qasja e të ftuarve > Administrimi > Certifikimi > Certifikatat e sistemit.
14) Pas në skedën Qendrat e punës > Qasja e të ftuarve > Grupet e identitetit > Grupet e identitetit të përdoruesit > Shto krijoni një grup të ri përdoruesish për aksesin e të ftuarve ose përdorni ato të paracaktuara.
15) Më tej në skedën Administrata > Identitetet krijoni përdorues të ftuar dhe shtoni ata në grupet nga paragrafi i mëparshëm. Nëse dëshironi të përdorni llogari të palëve të treta, atëherë kaloni këtë hap.
16) Pasi të shkojmë te cilësimet Qendrat e punës > Qasja e të ftuarve > Identitetet >Sekuenca e burimit të identitetit > Sekuenca e portalit të të ftuarve - kjo është sekuenca e paracaktuar e vërtetimit për përdoruesit e ftuar. Dhe në fushë Lista e kërkimit të vërtetimit zgjidhni porosinë e vërtetimit të përdoruesit.
17) Për të njoftuar mysafirët me një fjalëkalim një herë, mund të konfiguroni ofruesit e SMS ose një server SMTP për këtë qëllim. Shkoni te skeda Qendrat e punës > Qasja e të ftuarve > Administrimi > Serveri SMTP ose Ofruesit e portës së SMS-ve për këto cilësime. Në rastin e një serveri SMTP, duhet të krijoni një llogari për ISE dhe të specifikoni të dhënat në këtë skedë.
18) Për njoftimet SMS, përdorni skedën e duhur. ISE ka profile të para-instaluara të ofruesve të njohur SMS, por është më mirë të krijoni tuajat. Përdorni këto profile si një shembull vendosjeje Porta e postës elektronike SMSy ose SMS HTTP API.
Një shembull i konfigurimit të një serveri SMTP dhe një porte SMS për një fjalëkalim një herë
5. Vendosja e portalit të të ftuarve
19) Siç u përmend në fillim, ekzistojnë 3 lloje të portaleve të ftuar të parainstaluar: Hotspot, Sponsored, Vetë-Regjistruar. Unë sugjeroj të zgjidhni opsionin e tretë, pasi është më i zakonshmi. Sido që të jetë, cilësimet janë kryesisht identike. Pra, le të shkojmë te skeda. Qendrat e punës > Qasja e të ftuarve > Portalet dhe komponentët > Portalet e vizitorëve > Portali i të ftuarve të vetë-regjistruar (parazgjedhja).
20) Më pas, në skedën Përshtatja e faqes së portalit, zgjidhni "Shiko në Rusisht - Rusisht", në mënyrë që portali të shfaqet në Rusisht. Mund të ndryshoni tekstin e çdo skede, të shtoni logon tuaj dhe më shumë. Në të djathtë në qoshe është një pamje paraprake e portalit të mysafirëve për një pamje më të mirë.
Shembull i konfigurimit të një portali të ftuar me vetëregjistrim
Për të shfaqur domenin tuaj, duhet të ngarkoni certifikatën në portalin e të ftuarve, shihni hapin 13.
22) Shkoni te skeda Qendrat e punës > Qasja e të ftuarve > Elementet e politikave > Rezultatet > Profilet e autorizimit > Shto për të krijuar një profil autorizimi sipas atij të krijuar më parë Profili i pajisjes së rrjetit.
23) Në skedën Qendrat e punës > Qasja e të ftuarve > Komplet e politikave modifikoni politikën e aksesit për përdoruesit e WiFi.
24) Le të përpiqemi të lidhemi me SSID-in e mysafirëve. Më ridrejton menjëherë në faqen e hyrjes. Këtu mund të identifikoheni me llogarinë e mysafirëve të krijuar në nivel lokal në ISE, ose të regjistroheni si përdorues i ftuar.
25) Nëse keni zgjedhur opsionin e vetë-regjistrimit, atëherë të dhënat e hyrjes një herë mund të dërgohen me postë, me SMS ose të printohen.
26) Në skedën RADIUS > Live Logs në Cisco ISE, do të shihni regjistrat përkatës të hyrjes.
6. përfundim
Në këtë artikull të gjatë, ne kemi konfiguruar me sukses aksesin e mysafirëve në Cisco ISE, ku FortiGate vepron si kontrollues i pikës së hyrjes dhe FortiAP vepron si pikë aksesi. Doli një lloj integrimi jo i parëndësishëm, i cili dëshmon edhe një herë përdorimin e gjerë të ISE.