Wilujeng sumping di pos katilu dina séri Cisco ISE. Tumbu ka sadaya artikel dina séri dirumuskeun di handap:
Dina pos ieu, anjeun bakal teuleum ka aksés tamu, kitu ogé hiji pituduh hambalan-demi-hambalan ngahijikeun Cisco ISE na FortiGate pikeun ngonpigurasikeun FortiAP, titik aksés ti Fortinet (sacara umum, sagala alat nu ngarojong. RADIUS CoA - Robah Otorisasina).
Dilampirkeun artikel kami. .
nyariosA: Alat Check Point SMB henteu ngadukung RADIUS CoA.
éndah ngajelaskeun dina basa Inggris kumaha carana nyieun hiji aksés tamu maké Cisco ISE on Cisco WLC (Controller nirkabel). Hayu urang angka kaluar!
1. Pambuka
aksés tamu (portal) ngidinan Anjeun pikeun nyadiakeun aksés ka Internet atawa sumberdaya internal pikeun sémah sarta pamaké nu teu hayang anjeun ngantep kana jaringan lokal Anjeun. Aya 3 jinis portal tamu (portal tamu):
-
Hotspot Tamu portal - Aksés ka jaringan disadiakeun pikeun sémah tanpa data login. Pamaké umumna diwajibkeun nampi "Pakéan sareng Kabijakan Privasi" perusahaan sateuacan ngaksés jaringan.
-
Sponsored-Tamu portal - aksés ka jaringan jeung data login kudu dikaluarkeun ku sponsor - pamaké jawab nyieun rekening tamu on Cisco ISE.
-
Portal Tamu Kadaptar Timer - dina hal ieu, sémah nganggo detil login anu tos aya, atanapi ngadamel akun pikeun diri kalayan detil login, tapi konfirmasi sponsor diperyogikeun pikeun aksés kana jaringan.
Sababaraha portals bisa deployed on Cisco ISE dina waktos anu sareng. Sacara standar, dina portal tamu, pangguna bakal ningali logo Cisco sareng frasa umum standar. Sadaya ieu tiasa disaluyukeun sareng disetél pikeun ningali iklan wajib sateuacan kéngingkeun aksés.
Setélan aksés tamu tiasa dirobih kana 4 léngkah utama: Setélan FortiAP, konektipitas Cisco ISE sareng FortiAP, nyiptakeun portal tamu, sareng setelan kawijakan aksés.
2. Konfigurasi FortiAP on FortiGate
FortiGate mangrupikeun pengontrol titik aksés sareng sadaya setélan dilakukeun dina éta. Titik aksés FortiAP ngadukung PoE, janten upami anjeun nyambung ka jaringan via Ethernet, anjeun tiasa ngamimitian konfigurasi.
1) Dina FortiGate, buka tab WiFi & Switch Controller> Managed FortiAPs> Jieun Anyar> Managed AP. Ngagunakeun angka serial unik titik aksés urang, nu geus dicitak dina titik aksés sorangan, tambahkeun salaku hiji obyék. Atawa bisa nembongkeun sorangan lajeng pencét ngesahkeun ngagunakeun tombol mouse katuhu.
2) Setélan FortiAP tiasa standar, contona, tinggalkeun sapertos dina layar. Abdi nyarankeun pisan ngaktipkeun mode 5 GHz, sabab sababaraha alat henteu ngadukung 2.4 GHz.
3) Lajeng dina tab WiFi & Switch Controller> FortiAP Profile> Jieun Anyar urang nyieun profil setelan pikeun titik aksés (Vérsi 802.11 protokol, mode SSID, frékuénsi channel sarta jumlah maranéhanana).
Conto setélan FortiAP
4) Lengkah saterusna nyaéta nyieun SSID. Pindah ka tab WiFi & Switch Controller> SSIDs> Jieun Anyar> SSID. Di dieu ti hiji penting kudu ngonpigurasi:
-
spasi alamat pikeun WLAN tamu - IP / Netmask
-
Akuntansi RADIUS sareng Sambungan Kain Aman dina widang Aksés Administratif
-
Pilihan Deteksi Alat
-
Pilihan SSID sareng Broadcast SSID
-
Setélan Modeu Kaamanan > Portal Captive
-
Portal Auténtikasi - Éksternal sareng selapkeun tautan kana portal tamu anu diciptakeun ti Cisco ISE tina léngkah 20
-
Grup pamaké - Grup Tamu - Éksternal - tambahkeun RADIUS ka Cisco ISE (p. 6 saterusna)
conto setelan SSID
5) Lajeng anjeun kudu nyieun aturan dina kawijakan aksés on FortiGate. Pindah ka tab Kawijakan & Objék> Kawijakan Firewall sareng ngadamel aturan sapertos kieu:
3. Setélan RADIUS
6) Buka panganteur web Cisco ISE kana tab Kawijakan> Elemen Kawijakan> Kamus> Sistem> Radius> Vendor RADIUS> Tambah. Dina tab ieu, kami bakal nambihan Fortinet RADIUS kana daptar protokol anu dirojong, sabab ampir unggal padagang gaduh atribut khusus sorangan - VSA (Atribut Spésifik Vendor).
Daptar atribut Fortinet RADIUS tiasa dipendakan . VSAs dibédakeun ku nomer ID Vendor unikna. Fortinet boga ID ieu = 12356. Pinuh VSA geus diterbitkeun ku IANA.
7) Setel ngaran kamus, tangtukeun ID padagang (12356) jeung pencét Nepikeun.
8) Sanggeus urang indit ka Administrasi > Propil Alat Jaringan > Tambah tur jieun propil alat anyar. Dina widang Kamus RADIUS, pilih kamus Fortinet RADIUS anu tos didamel sareng pilih metode CoA pikeun dianggo engké dina kawijakan ISE. Kuring milih RFC 5176 sarta Port Bounce (shutdown / euweuh panganteur jaringan shutdown) jeung VSAs pakait:
Fortinet-Access-Profile=baca-tulis
Fortinet-Group-Ngaran = fmg_faz_admins
9) Salajengna, tambahkeun FortiGate pikeun konektipitas sareng ISE. Jang ngalampahkeun ieu, buka tab Administrasi> Sumberdaya Jaringan> Propil Alat Jaringan> Tambihkeun. Widang pikeun dirobah Ngaran, Vendor, RADIUS Kamus (Alamat IP dianggo ku FortiGate, sanés FortiAP).
Conto ngonpigurasikeun RADIUS ti sisi ISE
10) Saatos éta, anjeun kedah ngonpigurasikeun RADIUS di sisi FortiGate. Dina panganteur wéb FortiGate, buka Pamaké & Auténtikasi > Server RADIUS > Jieun Anyar. Sebutkeun nami, alamat IP sareng Rahasia Dibagi (sandi) tina paragraf sateuacana. Teras klik Test Kapercayaan pamaké sarta asupkeun sagala Kapercayaan nu bisa ditarik nepi via radius (Contona, hiji pamaké lokal dina Cisco ISE).
11) Tambihkeun server RADIUS ka Guest-Group (upami teu aya) ogé sumber éksternal pangguna.
12) Tong hilap nambihan Guest-Group kana SSID anu kami damel sateuacana dina léngkah 4.
4. Setélan auténtikasi pamaké
13) Opsional, anjeun tiasa ngimpor sertipikat ka portal tamu ISE atanapi ngadamel sertipikat anu ditandatanganan diri dina tab Puseur Gawé> Aksés Tamu> Administrasi> Sertifikasi> Sertipikat Sistem.
14) Saatos dina tab Puseur Gawé> Aksés Tamu> Grup Idéntitas> Grup Idéntitas Pamaké> Tambah nyieun grup pamaké anyar pikeun aksés tamu, atawa make nu standar.
15) Salajengna dina tab Administrasi > Idéntitas jieun pamaké tamu jeung tambahkeun ka grup ti paragraf saméméhna. Upami anjeun hoyong nganggo akun pihak katilu, teras skip léngkah ieu.
16) Saatos urang buka setélan Pusat Gawé > Aksés Tamu > Idéntitas > Runtuyan Sumber Idéntitas > Runtuyan Portal Tamu — Ieu mangrupikeun sekuen auténtikasi standar pikeun pangguna tamu. Jeung di sawah Daptar Pilarian auténtikasi pilih urutan auténtikasi pamaké.
17) Pikeun ngabéjaan sémah kalayan kecap akses sakali, anjeun tiasa ngonpigurasikeun panyadia SMS atanapi server SMTP pikeun tujuan ieu. Pindah ka tab Puseur Gawé> Aksés Tamu> Administrasi> SMTP Server atawa Panyadia SMS Gateway pikeun setelan ieu. Dina kasus server SMTP, Anjeun kudu nyieun hiji akun pikeun ISE jeung nangtukeun data dina tab ieu.
18) Pikeun béwara SMS, paké tab anu cocog. ISE ngagaduhan profil panyayagi SMS anu tos dipasang sateuacana, tapi langkung saé ngadamel profil anjeun nyalira. Paké propil ieu salaku conto setelan SMS Email Gatewayy atawa SMS HTTP API.
Conto nyetel server SMTP sareng gateway SMS pikeun kecap akses sakali
5. Nyetel portal tamu
19) Sakumaha anu disebatkeun di awal, aya 3 jinis portal tamu anu tos dipasang: Hotspot, Sponsor, Kadaptar diri. Abdi nyarankeun milih pilihan katilu, sakumaha anu paling umum. Barina ogé, setélan umumna sami. Ku kituna hayu urang buka tab. Puseur Gawé > Aksés Tamu > Portal & Komponén > Portal Tamu > Portal Tamu Kadaptar Mandiri (standar).
20) Salajengna, dina tab Kustomisasi Halaman Portal, pilih "Témbongkeun dina Rusia - Rusia", ku kituna portal dipintonkeun dina basa Rusia. Anjeun tiasa ngarobih téks tina tab naon waé, nambihan logo anjeun, sareng seueur deui. Di beulah katuhu di pojok aya sawangan tina portal tamu pikeun tampilan anu langkung saé.
Conto ngonpigurasikeun portal tamu kalayan pendaptaran diri
21) Klik frasa URL tés portal sarta nyalin URL portal ka SSID on FortiGate dina hambalan 4. URL sampel
Pikeun mintonkeun domain Anjeun, Anjeun kudu unggah sertipikat ka portal tamu, tempo lengkah 13.
22) Pindah ka tab Puseur Gawé> Aksés Tamu> Elemen Kawijakan> Hasil> Propil Otorisasi> Tambah pikeun nyieun hiji profil otorisasina handapeun hiji saméméhna dijieun Propil Alat Jaringan.
23) Dina tab Puseur Gawé> Aksés Tamu> Sarat jeung Kaayaan Sets édit kawijakan aksés pikeun pamaké WiFi.
24) Hayu urang coba nyambung ka SSID tamu. Éta langsung alihan kuring ka halaman login. Di dieu anjeun tiasa log in sareng akun tamu anu diciptakeun sacara lokal dina ISE, atanapi ngadaptar salaku pangguna tamu.
25) Upami anjeun parantos milih pilihan pendaptaran mandiri, maka data login sakali-waktos tiasa dikirim ku mail, via SMS, atanapi dicitak.
26) Dina radius> tab Live Log dina Cisco ISE, anjeun bakal nempo log login pakait.
6. Kacindekan
Dina artikel panjang ieu, kami geus hasil ngonpigurasi aksés tamu on Cisco ISE, dimana FortiGate tindakan minangka controller titik aksés, sarta FortiAP tindakan salaku titik aksés. Tétéla jenis integrasi non-trivial, nu sakali deui ngabuktikeun pamakéan nyebar tina ISE.
Pikeun nguji Cisco ISE, kontak sareng ogé tetep katala dina saluran kami (, , , , ).
sumber: www.habr.com