Karibu kwenye chapisho la tatu katika mfululizo wa Cisco ISE. Viungo kwa nakala zote kwenye safu zimepewa hapa chini:
Katika chapisho hili, utaingia kwenye ufikiaji wa wageni, na pia mwongozo wa hatua kwa hatua wa kuunganisha Cisco ISE na FortiGate ili kusanidi FortiAP, mahali pa ufikiaji kutoka Fortinet (kwa ujumla, kifaa chochote kinachoauni. RADIUS CoA - Mabadiliko ya Uidhinishaji).
Imeambatanishwa na makala zetu. .
KumbukaJ: Vifaa vya Check Point SMB havitumii RADIUS CoA.
ajabu inafafanua kwa Kiingereza jinsi ya kuunda ufikiaji wa mgeni kwa kutumia Cisco ISE kwenye Cisco WLC (Kidhibiti Kisio na Waya). Hebu tufikirie!
1. Utangulizi
Ufikiaji wa wageni (portal) hukuruhusu kutoa ufikiaji wa Mtandao au rasilimali za ndani kwa wageni na watumiaji ambao hutaki kuwaruhusu kwenye mtandao wako wa karibu. Kuna aina 3 zilizoainishwa awali za lango la wageni (Lango la Wageni):
-
Tovuti ya Wageni wa Hotspot - Ufikiaji wa mtandao hutolewa kwa wageni bila data ya kuingia. Watumiaji kwa ujumla wanatakiwa kukubali "Sera ya Matumizi na Faragha" ya kampuni kabla ya kufikia mtandao.
-
Tovuti ya Mgeni-Aliyefadhiliwa - ufikiaji wa mtandao na data ya kuingia lazima itolewe na mfadhili - mtumiaji anayewajibika kuunda akaunti za wageni kwenye Cisco ISE.
-
Tovuti ya Mgeni Aliyejiandikisha - katika kesi hii, wageni hutumia maelezo yaliyopo ya kuingia, au kujiundia akaunti na maelezo ya kuingia, lakini uthibitisho wa mfadhili unahitajika ili kupata ufikiaji wa mtandao.
Lango nyingi zinaweza kutumwa kwenye Cisco ISE kwa wakati mmoja. Kwa chaguo-msingi, katika lango la wageni, mtumiaji ataona nembo ya Cisco na misemo ya kawaida ya kawaida. Haya yote yanaweza kubinafsishwa na hata kuwekwa ili kutazama matangazo ya lazima kabla ya kupata ufikiaji.
Mipangilio ya ufikiaji wa wageni inaweza kugawanywa katika hatua 4 kuu: usanidi wa FortiAP, muunganisho wa Cisco ISE na FortiAP, kuunda tovuti ya wageni na usanidi wa sera ya ufikiaji.
2. Kusanidi FortiAP kwenye FortiGate
FortiGate ni kidhibiti cha ufikiaji na mipangilio yote inafanywa juu yake. Pointi za ufikiaji za FortiAP zinaunga mkono PoE, kwa hivyo mara tu umeiunganisha kwenye mtandao kupitia Ethernet, unaweza kuanza usanidi.
1) Kwenye FortiGate, nenda kwenye kichupo WiFi & Kidhibiti Swichi > FortiAPs Zinazodhibitiwa > Unda Mpya > AP Inayosimamiwa. Kwa kutumia nambari ya kipekee ya kituo cha ufikiaji, ambayo imechapishwa kwenye sehemu ya ufikiaji yenyewe, iongeze kama kitu. Au inaweza kujionyesha na kisha bonyeza Thibitisha kwa kutumia kitufe cha kulia cha panya.
2) Mipangilio ya FortiAP inaweza kuwa chaguo-msingi, kwa mfano, acha kama kwenye picha ya skrini. Ninapendekeza sana kuwasha hali ya 5 GHz, kwa sababu vifaa vingine haviunga mkono 2.4 GHz.
3) Kisha kwenye kichupo WiFi & Kidhibiti cha Kubadilisha > Wasifu wa FortiAP > Unda Mpya tunaunda wasifu wa mipangilio kwa eneo la ufikiaji (itifaki ya toleo la 802.11, hali ya SSID, frequency ya kituo na nambari yao).
Mfano wa mipangilio ya FortiAP
4) Hatua inayofuata ni kuunda SSID. Nenda kwenye kichupo WiFi & Kidhibiti cha Kubadilisha Swichi > SSID > Unda Mpya > SSID. Hapa kutoka kwa muhimu inapaswa kusanidiwa:
-
nafasi ya anwani kwa mgeni WLAN - IP/Netmask
-
Uhasibu wa RADIUS na Muunganisho Salama wa Kitambaa katika uwanja wa Ufikiaji wa Utawala
-
Chaguo la Kugundua Kifaa
-
Chaguo la SSID na Tangaza SSID
-
Mipangilio ya Hali ya Usalama > Tovuti ya Uhamishaji
-
Tovuti ya Uthibitishaji - Nje na weka kiungo kwa lango la wageni iliyoundwa kutoka Cisco ISE kutoka hatua ya 20
-
Kikundi cha Watumiaji - Kikundi cha Wageni - Nje - ongeza RADIUS kwa Cisco ISE (uk. 6 kuendelea)
Mfano wa mpangilio wa SSID
5) Kisha unapaswa kuunda sheria katika sera ya ufikiaji kwenye FortiGate. Nenda kwenye kichupo Sera na Vitu > Sera ya Ngome na unda sheria kama hii:
3. Mpangilio wa RADIUS
6) Nenda kwenye kiolesura cha wavuti cha Cisco ISE kwenye kichupo Sera > Vipengele vya Sera > Kamusi > Mfumo > Radius > Wachuuzi wa RADIUS > Ongeza. Katika kichupo hiki, tutaongeza Fortinet RADIUS kwenye orodha ya itifaki zinazoungwa mkono, kwani karibu kila muuzaji ana sifa zake maalum - VSA (Sifa Maalum za Muuzaji).
Orodha ya sifa za Fortinet RADIUS inaweza kupatikana . VSAs hutofautishwa kwa nambari yao ya kipekee ya Kitambulisho cha Muuzaji. Fortinet ina kitambulisho hiki = 12356. Imejaa VSA imechapishwa na IANA.
7) Weka jina la kamusi, taja Kitambulisho cha muuzaji (12356) na bonyeza Peana.
8) Baada ya kwenda Utawala > Wasifu wa Kifaa cha Mtandao > Ongeza na uunde wasifu mpya wa kifaa. Katika sehemu ya Kamusi za RADIUS, chagua kamusi iliyoundwa awali ya Fortinet RADIUS na uchague mbinu za CoA za kutumia baadaye katika sera ya ISE. Nilichagua RFC 5176 na Port Bounce (kuzima/hakuna kiolesura cha mtandao cha kuzima) na VSA zinazolingana:
Fortinet-Access-Profile=soma-andika
Fortinet-Group-Name = fmg_faz_admins
9) Ifuatayo, ongeza FortiGate kwa unganisho na ISE. Ili kufanya hivyo, nenda kwenye kichupo Utawala > Rasilimali za Mtandao > Wasifu wa Kifaa cha Mtandao > Ongeza. Mashamba ya kubadilishwa Jina, Muuzaji, Kamusi za RADIUS (Anwani ya IP inatumiwa na FortiGate, sio FortiAP).
Mfano wa kusanidi RADIUS kutoka upande wa ISE
10) Baada ya hapo, unapaswa kusanidi RADIUS kwa upande wa FortiGate. Katika kiolesura cha wavuti cha FortiGate, nenda kwa Mtumiaji na Uthibitishaji > Seva za RADIUS > Unda Mpya. Bainisha jina, anwani ya IP na Siri iliyoshirikiwa (nenosiri) kutoka kwa aya iliyotangulia. Bonyeza ijayo Jaribu Kitambulisho cha Mtumiaji na uweke kitambulisho chochote ambacho kinaweza kuvutwa kupitia RADIUS (kwa mfano, mtumiaji wa ndani kwenye Cisco ISE).
11) Ongeza seva ya RADIUS kwa Kikundi cha Wageni (ikiwa haipo) na pia chanzo cha nje cha watumiaji.
12) Usisahau kuongeza Kikundi cha Wageni kwenye SSID tuliyounda awali katika hatua ya 4.
4. Mpangilio wa Uthibitishaji wa Mtumiaji
13) Kwa hiari, unaweza kuleta cheti kwa lango la wageni la ISE au kuunda cheti kilichosainiwa kibinafsi kwenye kichupo. Vituo vya Kazi > Ufikiaji wa Wageni > Utawala > Uthibitishaji > Vyeti vya Mfumo.
14) Baada ya kwenye kichupo Vituo vya Kazi > Ufikiaji wa Wageni > Vikundi vya Utambulisho > Vikundi vya Utambulisho wa Mtumiaji > Ongeza unda kikundi kipya cha watumiaji kwa ufikiaji wa wageni, au tumia chaguo-msingi.
15) Zaidi kwenye kichupo Utawala > Vitambulisho unda watumiaji wageni na uwaongeze kwenye vikundi kutoka kwa aya iliyotangulia. Ikiwa ungependa kutumia akaunti za watu wengine, basi ruka hatua hii.
16) Baada ya kwenda kwenye mipangilio Vituo vya Kazi > Ufikiaji wa Wageni > Vitambulisho > Mfuatano wa Chanzo cha Utambulisho > Mfuatano wa Tovuti ya Wageni β huu ndio mlolongo chaguomsingi wa uthibitishaji kwa watumiaji walioalikwa. Na katika shamba Orodha ya Utafutaji ya Uthibitishaji chagua agizo la uthibitishaji wa mtumiaji.
17) Ili kuwajulisha wageni kwa nenosiri la mara moja, unaweza kusanidi watoa huduma za SMS au seva ya SMTP kwa madhumuni haya. Nenda kwenye kichupo Vituo vya Kazi > Ufikiaji wa Wageni > Utawala > Seva ya SMTP au Watoa lango la SMS kwa mipangilio hii. Kwa upande wa seva ya SMTP, unahitaji kuunda akaunti ya ISE na ubainishe data kwenye kichupo hiki.
18) Kwa arifa za SMS, tumia kichupo kinachofaa. ISE ina wasifu uliosakinishwa awali wa watoa huduma maarufu wa SMS, lakini ni bora kuunda yako mwenyewe. Tumia wasifu huu kama mfano wa kuweka Lango la barua pepe za SMSy au API ya HTTP ya SMS.
Mfano wa kusanidi seva ya SMTP na lango la SMS la nenosiri la wakati mmoja
5. Kuweka portal ya wageni
19) Kama ilivyotajwa mwanzoni, kuna aina 3 za lango la wageni lililosakinishwa awali: Hotspot, Imefadhiliwa, Iliyojisajili Kibinafsi. Ninashauri kuchagua chaguo la tatu, kwa kuwa ni la kawaida zaidi. Kwa njia yoyote, mipangilio inafanana kwa kiasi kikubwa. Basi hebu kwenda tab. Vituo vya Kazi > Ufikiaji wa Wageni > Tovuti na Vipengee > Tovuti za Wageni > Tovuti ya Wageni Waliojiandikisha (chaguo-msingi).
20) Ifuatayo, kwenye kichupo cha Kubinafsisha Ukurasa wa Portal, chagua "Tazama kwa Kirusi - Kirusi", ili portal ionyeshwa kwa Kirusi. Unaweza kubadilisha maandishi ya kichupo chochote, kuongeza nembo yako, na zaidi. Upande wa kulia katika kona ni onyesho la kukagua lango la wageni kwa mwonekano bora.
Mfano wa kusanidi lango la wageni kwa kujiandikisha
21) Bonyeza kifungu URL ya jaribio la tovuti na unakili URL ya lango kwa SSID kwenye FortiGate katika hatua ya 4. Mfano wa URL
Ili kuonyesha kikoa chako, lazima upakie cheti kwenye tovuti ya wageni, angalia hatua ya 13.
22) Nenda kwenye kichupo Vituo vya Kazi > Ufikiaji wa Wageni > Vipengele vya Sera > Matokeo > Wasifu wa Uidhinishaji > Ongeza kuunda wasifu wa idhini chini ya ule ulioundwa hapo awali Wasifu wa Kifaa cha Mtandao.
23) Katika kichupo Vituo vya Kazi > Ufikiaji wa Wageni > Seti za Sera hariri sera ya ufikiaji kwa watumiaji wa WiFi.
24) Wacha tujaribu kuunganishwa na SSID ya mgeni. Hunielekeza mara moja kwa ukurasa wa kuingia. Hapa unaweza kuingia na akaunti ya mgeni iliyoundwa ndani ya ISE, au kujiandikisha kama mtumiaji mgeni.
25) Ikiwa umechagua chaguo la kujiandikisha, basi data ya kuingia mara moja inaweza kutumwa kwa barua, kupitia SMS, au kuchapishwa.
26) Katika kichupo cha RADIUS> Kumbukumbu za Moja kwa Moja kwenye Cisco ISE, utaona kumbukumbu zinazolingana za kuingia.
6. Hitimisho
Katika nakala hii ndefu, tumefanikiwa kusanidi ufikiaji wa wageni kwenye Cisco ISE, ambapo FortiGate hufanya kama kidhibiti cha sehemu ya ufikiaji, na FortiAP hufanya kama mahali pa ufikiaji. Ilibadilika kuwa aina ya ujumuishaji usio na maana, ambayo inathibitisha tena utumiaji mkubwa wa ISE.
Ili kujaribu Cisco ISE, wasiliana na pia endelea kufuatilia chaneli zetu (, , , , ).
Chanzo: mapenzi.com