Välkommen till det tredje inlägget i Cisco ISE-serien. Länkar till alla artiklar i serien finns nedan:
I det här inlägget kommer du att dyka ner i gäståtkomst, samt en steg-för-steg-guide för att integrera Cisco ISE och FortiGate för att konfigurera FortiAP, en åtkomstpunkt från Fortinet (i allmänhet alla enheter som stöder RADIUS CoA — Ändring av auktorisation).
Bifogade är våra artiklar.
NoteraS: Check Point SMB-enheter stöder inte RADIUS CoA.
underbar
1. Introduktion
Gäståtkomst (portal) ger dig tillgång till Internet eller till interna resurser för gäster och användare som du inte vill släppa in i ditt lokala nätverk. Det finns 3 fördefinierade typer av gästportal (Gästportal):
-
Hotspot Gästportal - Tillgång till nätverket ges till gäster utan inloggningsdata. Generellt krävs att användare accepterar företagets "Användnings- och sekretesspolicy" innan de ansluter till nätverket.
-
Sponsrad gästportal - åtkomst till nätverket och inloggningsdata måste utfärdas av sponsorn - användaren som ansvarar för att skapa gästkonton på Cisco ISE.
-
Självregistrerad gästportal – i det här fallet använder gäster befintliga inloggningsuppgifter, eller skapar ett konto åt sig själva med inloggningsuppgifter, men sponsorbekräftelse krävs för att få tillgång till nätverket.
Flera portaler kan distribueras på Cisco ISE samtidigt. Som standard, i gästportalen, kommer användaren att se Cisco-logotypen och vanliga vanliga fraser. Allt detta kan anpassas och till och med ställas in för att visa obligatoriska annonser innan du får åtkomst.
Inställning av gäståtkomst kan delas upp i fyra huvudsteg: FortiAP-installation, Cisco ISE- och FortiAP-anslutning, skapande av gästportaler och inställning av åtkomstpolicy.
2. Konfigurera FortiAP på FortiGate
FortiGate är en åtkomstpunktskontroller och alla inställningar görs på den. FortiAP-åtkomstpunkter stöder PoE, så när du väl har anslutit den till nätverket via Ethernet kan du starta konfigurationen.
1) På FortiGate, gå till fliken WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Använd åtkomstpunktens unika serienummer, som är tryckt på själva åtkomstpunkten, lägg till den som ett objekt. Eller så kan den visa sig själv och sedan trycka på Godkänna med höger musknapp.
2) FortiAP-inställningar kan vara standard, till exempel lämna som på skärmdumpen. Jag rekommenderar starkt att du aktiverar 5 GHz-läget, eftersom vissa enheter inte stöder 2.4 GHz.
3) Sedan i tab WiFi & Switch Controller > FortiAP-profiler > Skapa ny vi skapar en inställningsprofil för åtkomstpunkten (version 802.11-protokoll, SSID-läge, kanalfrekvens och deras nummer).
Exempel på FortiAP-inställningar
4) Nästa steg är att skapa ett SSID. Gå till flik WiFi & Switch Controller > SSID > Skapa nytt > SSID. Här från det viktiga bör konfigureras:
-
adressutrymme för gäst-WLAN - IP/nätmask
-
RADIUS-redovisning och säker tyganslutning i fältet Administrativ åtkomst
-
Alternativ för enhetsdetektering
-
Alternativet SSID och Broadcast SSID
-
Säkerhetslägesinställningar > Captive Portal
-
Authentication Portal - Extern och infoga en länk till den skapade gästportalen från Cisco ISE från steg 20
-
Användargrupp - Gästgrupp - Extern - lägg till RADIUS till Cisco ISE (sid. 6 och framåt)
Exempel på SSID-inställning
5) Då bör du skapa regler i åtkomstpolicyn på FortiGate. Gå till flik Policy och objekt > Brandväggspolicy och skapa en regel så här:
3. RADIUS-inställning
6) Gå till Cisco ISE-webbgränssnittet till fliken Policy > Policyelement > Ordböcker > System > Radie > RADIUS-leverantörer > Lägg till. På den här fliken kommer vi att lägga till Fortinet RADIUS till listan över protokoll som stöds, eftersom nästan varje leverantör har sina egna specifika attribut - VSA (Vendor-Specific Attributes).
En lista över Fortinet RADIUS-attribut finns
7) Ställ in namnet på ordboken, ange Vendor ID (12356) och tryck Lämna.
8) Efter att vi går till Administration > Nätverksenhetsprofiler > Lägg till och skapa en ny enhetsprofil. I fältet RADIUS Dictionaries, välj den tidigare skapade Fortinet RADIUS-ordboken och välj de CoA-metoder som ska användas senare i ISE-policyn. Jag valde RFC 5176 och Port Bounce (avstängning/ingen avstängning nätverksgränssnitt) och motsvarande VSA:er:
Fortinet-Access-Profile=läs-skriv
Fortinet-Group-Name = fmg_faz_admins
9) Lägg sedan till FortiGate för anslutning till ISE. För att göra detta, gå till fliken Administration > Nätverksresurser > Nätverksenhetsprofiler > Lägg till. Fält som ska ändras Namn, säljare, RADIUS-ordböcker (IP-adressen används av FortiGate, inte FortiAP).
Exempel på konfiguration av RADIUS från ISE-sidan
10) Därefter bör du konfigurera RADIUS på FortiGate-sidan. Gå till FortiGates webbgränssnitt Användare och autentisering > RADIUS-servrar > Skapa ny. Ange namn, IP-adress och delad hemlighet (lösenord) från föregående stycke. Nästa klick Testa användaruppgifter och ange eventuella referenser som kan dras upp via RADIUS (till exempel en lokal användare på Cisco ISE).
11) Lägg till en RADIUS-server till gästgruppen (om den inte finns) samt en extern källa för användare.
12) Glöm inte att lägga till gästgruppen till det SSID som vi skapade tidigare i steg 4.
4. Användarautentiseringsinställning
13) Alternativt kan du importera ett certifikat till ISE-gästportalen eller skapa ett självsignerat certifikat på fliken Arbetscenter > Gäståtkomst > Administration > Certifiering > Systemcertifikat.
14) Efter i tab Arbetscenter > Gäståtkomst > Identitetsgrupper > Användaridentitetsgrupper > Lägg till skapa en ny användargrupp för gäståtkomst, eller använd standardgrupperna.
15) Längre i fliken Administration > Identiteter skapa gästanvändare och lägg till dem i grupperna från föregående stycke. Om du vill använda tredjepartskonton, hoppa över det här steget.
16) Efter att vi går till inställningarna Arbetscenter > Gäståtkomst > Identiteter > Identitetskällsekvens > Gästportalsekvens — detta är standardautentiseringssekvensen för gästanvändare. Och på fältet Autentiseringssökningslista välj ordning för användarautentisering.
17) För att meddela gäster med ett engångslösenord kan du konfigurera SMS-leverantörer eller en SMTP-server för detta ändamål. Gå till flik Arbetscenter > Gäståtkomst > Administration > SMTP-server eller SMS-gateway-leverantörer för dessa inställningar. I fallet med en SMTP-server måste du skapa ett konto för ISE och ange data på denna flik.
18) För SMS-aviseringar, använd lämplig flik. ISE har förinstallerade profiler av populära SMS-leverantörer, men det är bättre att skapa dina egna. Använd dessa profiler som exempel på inställning SMS Email Gatewayy eller SMS HTTP API.
Ett exempel på att ställa in en SMTP-server och en SMS-gateway för ett engångslösenord
5. Konfigurera gästportalen
19) Som nämndes i början finns det 3 typer av förinstallerade gästportaler: Hotspot, Sponsrad, Självregistrerad. Jag föreslår att du väljer det tredje alternativet, eftersom det är det vanligaste. Hur som helst är inställningarna i stort sett identiska. Så låt oss gå till fliken. Arbetscenter > Gäståtkomst > Portaler och komponenter > Gästportaler > Självregistrerad gästportal (standard).
20) Välj sedan på fliken Anpassning av portalsida "Visa på ryska - ryska", så att portalen visas på ryska. Du kan ändra texten på valfri flik, lägga till din logotyp och mer. Till höger i hörnet finns en förhandsvisning av gästportalen för bättre överblick.
Exempel på att konfigurera en gästportal med självregistrering
21) Klicka på en fras Portaltest-URL och kopiera portalens URL till SSID på FortiGate i steg 4. Exempel URL
För att visa din domän måste du ladda upp certifikatet till gästportalen, se steg 13.
22) Gå till flik Arbetscenter > Gäståtkomst > Policyelement > Resultat > Auktoriseringsprofiler > Lägg till för att skapa en behörighetsprofil under den tidigare skapade Nätverksenhetsprofil.
23) I tab Arbetscenter > Gäståtkomst > Policyuppsättningar redigera åtkomstpolicyn för WiFi-användare.
24) Låt oss försöka ansluta till gäst-SSID. Det omdirigerar mig direkt till inloggningssidan. Här kan du logga in med gästkontot som skapats lokalt på ISE, eller registrera dig som gästanvändare.
25) Om du har valt alternativet för självregistrering kan engångsinloggningsuppgifter skickas per post, via SMS eller skrivas ut.
26) På fliken RADIUS > Live Logs på Cisco ISE ser du motsvarande inloggningsloggar.
6. slutsats
I den här långa artikeln har vi framgångsrikt konfigurerat gäståtkomst på Cisco ISE, där FortiGate fungerar som åtkomstpunktskontroller och FortiAP fungerar som åtkomstpunkt. Det blev en sorts icke-trivial integration, vilket återigen bevisar den utbredda användningen av ISE.
För att testa Cisco ISE, kontakta
Källa: will.com