У овој публикацији ћете заронити у приступ госту, као и корак по корак водич за интеграцију Цисцо ИСЕ и ФортиГате за конфигурисање ФортиАП - приступне тачке из Фортинет-а (уопштено, било који уређај који подржава РАДИУС ЦоА — Промена овлашћења).
Приметити: Цхецк Поинт СМБ уређаји не подржавају РАДИУС ЦоА.
предивна вођство описује на енглеском како да креирате приступ за госте користећи Цисцо ИСЕ на Цисцо ВЛЦ (бежични контролер). Хајде да сазнамо!
1. Представљање
Приступ за госте (портал) вам омогућава да омогућите приступ Интернету или интерним ресурсима за госте и кориснике којима не желите да дозволите приступ вашој локалној мрежи. Постоје 3 унапред инсталирана типа портала за госте:
Хотспот Гуест портал—мрежни приступ је омогућен гостима без података за пријаву. Обично се од корисника тражи да пристану на „Политику коришћења и приватности“ компаније пре него што приступе мрежи.
Портал за спонзорисане госте – приступ мрежи и податке за пријаву мора да обезбеди спонзор – корисник одговоран за креирање налога за госте на Цисцо ИСЕ.
Портал за саморегистровани гост – у овом случају гости користе постојеће податке за пријаву или креирају налог за себе са подацима за пријаву, али је потребна потврда спонзора да би добили приступ мрежи.
Можете да примените више портала истовремено на Цисцо ИСЕ. Подразумевано, корисник ће видети Цисцо лого и стандардне уобичајене фразе на порталу за госте. Све ово се може прилагодити и чак можете подесити гледање обавезног оглашавања пре него што добијете приступ.
Подешавање приступа за госте може се поделити на 4 главна корака: подешавање ФортиАП-а, успостављање Цисцо ИСЕ и ФортиАП повезивања, креирање портала за госте и подешавање политике приступа.
2. Конфигурисање ФортиАП-а на ФортиГате-у
ФортиГате је контролер приступне тачке и на њему се врше сва подешавања. ФортиАП приступне тачке подржавају ПоЕ, тако да када га повежете са својом мрежом преко Етхернета, можете започети конфигурацију.
1) На ФортиГате-у идите на картицу ВиФи & Свитцх Цонтроллер > Манагед ФортиАПс > Цреате Нев > Манагед АП. Користећи јединствени серијски број приступне тачке, који се налази на самој приступној тачки, додајте је као објекат. Или се може појавити самостално, а затим кликнути овластити користећи десни тастер миша.
2) ФортиАП подешавања могу бити подразумевана; на пример, оставите их као на снимку екрана. Топло препоручујем да укључите режим од 5 ГХз, јер неки уређаји не подржавају 2.4 ГХз.
3) Затим у таб ВиФи & Свитцх Цонтроллер > ФортиАП профили > Креирај нови креирамо профил подешавања за приступну тачку (верзија протокола 802.11, ССИД режим, фреквенција канала и број канала).
Пример подешавања ФортиАП-а
4) Следећи корак је креирање ССИД-а. Идите на картицу ВиФи & Свитцх Цонтроллер > ССИДс > Цреате Нев > ССИД. Ево важних ствари које треба конфигурисати:
адресни простор за ВЛАН за госте - ИП/Нетмаск
РАДИУС рачуноводство и безбедна Фабриц веза у пољу Административни приступ
Опција детекције уређаја
ССИД и опција за емитовање ССИД-а
Подешавања безбедносног режима > Портал за заштиту
Портал за аутентификацију – екстерни и налепите везу до креираног портала за госте од Цисцо ИСЕ од корака 20
Група корисника – Група гостију – Екстерна – додајте РАДИУС у Цисцо ИСЕ (одељак 6 и даље)
Пример конфигурације ССИД-а
5) Затим треба да креирате правила у политици приступа на ФортиГате-у. Идите на картицу Политика и објекти > Политика заштитног зида и направите овакво правило:
3. РАДИУС подешавање
6) Идите на Цисцо ИСЕ веб интерфејс на картицу Политика > Елементи политике > Речници > Систем > Радијус > РАДИУС добављачи > Додај. У овој картици ћемо додати РАДИУС из Фортинет-а на листу подржаних протокола, пошто скоро сваки добављач има своје специфичне атрибуте - ВСА (Вендор-Специфиц Аттрибутес).
Може се пронаћи листа Фортинет РАДИУС атрибута овде. ВСА се разликују по јединственом ИД броју добављача. Фортинет има овај ИД = 12356. Пун списак ВСА је објавила организација ИАНА.
7) Подесите име за речник, означите Продавац ИД (12356) и притисните Прихвати.
8) После идемо на Администрација > Профили мрежних уређаја > Додај и креирајте нови профил уређаја. У пољу РАДИУС Речници треба да изаберете претходно креирани Фортинет РАДИУС речник и изаберете ЦоА методе да бисте их касније користили у ИСЕ политици. Изабрао сам РФЦ 5176 и Порт Боунце (гашење/без гашења мрежног интерфејса) и одговарајући ВСА:
Фортинет-Аццесс-Профиле = читање-писање
Фортинет-Гроуп-Наме = фмг_фаз_админс
9) Затим би требало да додате ФортиГате за повезивање са ИСЕ. Да бисте то урадили, идите на картицу Администрација > Мрежни ресурси > Профили мрежних уређаја > Додај. Поља треба променити Име, добављач, РАДИУС речници (ИП адресу користи ФортиГате, а не ФортиАП).
Пример РАДИУС конфигурације са ИСЕ стране
10) Следеће, требало би да конфигуришете РАДИУС на страни ФортиГате-а. У веб интерфејсу ФортиГате идите на Корисник и аутентификација > РАДИУС сервери > Креирај ново. Наведите име, ИП адресу и Заједничку тајну (лозинку) из претходног пасуса. Следећи клик Тестирајте корисничке акредитиве и унесите све акредитиве који се могу повући преко РАДИУС-а (на пример, локални корисник на Цисцо ИСЕ).
11) Додајте РАДИУС сервер у групу гостију (ако не постоји, направите га), као и екстерне изворне кориснике.
12) Не заборавите да додате групу гостију ССИД-у који смо креирали раније у кораку 4.
4. Подешавање аутентификације корисника
13) Опционо, можете да увезете сертификат на ИСЕ портал за госте или да креирате самопотписани сертификат на картици Радни центри > Приступ за госте > Администрација > Сертификација > Системски сертификати.
14) Након у картици Радни центри > Приступ за госте > Групе идентитета > Групе корисничких идентитета > Додај креирајте нову корисничку групу за приступ госту или користите подразумеване.
15) Следеће на картици Администрација > Идентитети креирати кориснике гостију и додати их у групе из претходног пасуса. Ако желите да користите налоге трећих страна, прескочите овај корак.
16) Затим идите на подешавања Радни центри > Приступ за госте > Идентитети >Редослед извора идентитета > Редослед гостујућег портала - Ово је унапред дефинисана секвенца аутентификације за гостујуће кориснике. И на терену Листа за претрагу аутентификације изаберите редослед аутентификације корисника.
17) Да бисте обавестили госте једнократном лозинком, можете да конфигуришете СМС провајдере или СМТП сервер за ову сврху. Идите на картицу Радни центри > Приступ за госте > Администрација > СМТП сервер или Провајдери СМС мрежног пролаза за ова подешавања. У случају СМТП сервера, потребно је да креирате налог за ИСЕ и наведете податке у овој картици.
18) За СМС обавештења користите одговарајућу картицу. ИСЕ има унапред инсталиране профиле популарних СМС провајдера, али је боље да направите сопствене. Користите ове профиле као пример подешавања СМС Емаил Гатеваи или СМС ХТТП АПИ.
Пример подешавања СМТП сервера и СМС гатеваи-а за једнократну лозинку
5. Постављање портала за госте
19) Као што је поменуто на почетку, постоје 3 типа унапред инсталираних портала за госте: Хотспот, Спонзорисани, Саморегистровани. Предлажем да изаберете трећу опцију, јер је она најчешћа. У сваком случају, подешавања су углавном идентична. Дакле, идемо на картицу Радни центри > Приступ за госте > Портали и компоненте > Портали за госте > Саморегистровани портал за госте (подразумевано).
20) Затим на картици Прилагођавање странице портала изаберите „Поглед на руском - руском“, тако да портал почиње да се приказује на руском језику. Можете променити текст било које картице, додати свој лого и још много тога. У десном углу је преглед портала за госте за практичнију презентацију.
Пример постављања портала за госте са саморегистрацијом
Да би ваш домен био приказан, морате да отпремите сертификат на портал за госте, погледајте корак 13.
22) Идите на картицу Радни центри > Гост приступ > Елементи политике > Резултати > Профили ауторизације > Додај да креирате ауторизациони профил за претходно креиран Профил мрежног уређаја.
23) У таб Радни центри > Приступ за госте > Скупови смерница уредите политику приступа за ВиФи кориснике.
24) Покушајмо да се повежемо са гостујућим ССИД-ом. Одмах сам преусмерен на страницу за пријаву. Овде се можете пријавити под налогом госта креираним локално на ИСЕ-у или се регистровати као гост корисник.
25) Ако сте изабрали опцију саморегистрације, онда једнократни подаци за пријаву могу бити послати е-поштом, СМС-ом или одштампани.
26) На картици РАДИУС > Ливе Логс на Цисцо ИСЕ видећете одговарајуће евиденције пријављивања.
6. Закључак
У овом дугачком чланку, успешно смо конфигурисали гостујући приступ на Цисцо ИСЕ, где ФортиГате делује као контролер приступне тачке, а ФортиАП као приступна тачка. Резултат је нека врста нетривијалне интеграције, што још једном доказује широку употребу ИСЕ.