சிஸ்கோ ISE தொடரின் மூன்றாவது இடுகைக்கு வரவேற்கிறோம். தொடரின் அனைத்து கட்டுரைகளுக்கான இணைப்புகள் கீழே கொடுக்கப்பட்டுள்ளன:
இந்த இடுகையில், நீங்கள் விருந்தினர் அணுகலைப் பெறுவீர்கள், மேலும் FortiAP ஐ உள்ளமைக்க Cisco ISE மற்றும் FortiGate ஐ ஒருங்கிணைப்பதற்கான படிப்படியான வழிகாட்டி, Fortinet இலிருந்து அணுகல் புள்ளி (பொதுவாக, ஆதரிக்கும் எந்த சாதனமும் ரேடியஸ் கோஏ - அங்கீகார மாற்றம்).
எங்கள் கட்டுரைகள் இணைக்கப்பட்டுள்ளன. .
கருத்துப: செக் பாயிண்ட் SMB சாதனங்கள் RADIUS CoA ஐ ஆதரிக்காது.
அற்புதமான சிஸ்கோ WLC (வயர்லெஸ் கன்ட்ரோலர்) இல் Cisco ISE ஐப் பயன்படுத்தி விருந்தினர் அணுகலை எவ்வாறு உருவாக்குவது என்பதை ஆங்கிலத்தில் விவரிக்கிறது. கண்டுபிடிக்கலாம்!
1. அறிமுகம்
விருந்தினர் அணுகல் (போர்டல்) இணைய அணுகலை வழங்க அல்லது விருந்தினர்கள் மற்றும் பயனர்களுக்கு உங்கள் உள்ளூர் நெட்வொர்க்கில் அனுமதிக்க விரும்பாத உள் வளங்களை வழங்க உங்களை அனுமதிக்கிறது. விருந்தினர் போர்ட்டல்களில் 3 முன் வரையறுக்கப்பட்ட வகைகள் உள்ளன (விருந்தினர் போர்டல்):
-
ஹாட்ஸ்பாட் கெஸ்ட் போர்ட்டல் - உள்நுழைவு தரவு இல்லாமல் விருந்தினர்களுக்கு நெட்வொர்க்கிற்கான அணுகல் வழங்கப்படுகிறது. நெட்வொர்க்கை அணுகுவதற்கு முன்பு பயனர்கள் பொதுவாக நிறுவனத்தின் "பயன்பாடு மற்றும் தனியுரிமைக் கொள்கையை" ஏற்க வேண்டும்.
-
ஸ்பான்சர்-கெஸ்ட் போர்ட்டல் - நெட்வொர்க்கிற்கான அணுகல் மற்றும் உள்நுழைவு தரவு ஸ்பான்சரால் வழங்கப்பட வேண்டும் - சிஸ்கோ ISE இல் விருந்தினர் கணக்குகளை உருவாக்குவதற்குப் பொறுப்பான பயனர்.
-
சுய-பதிவு செய்யப்பட்ட விருந்தினர் போர்ட்டல் - இந்த விஷயத்தில், விருந்தினர்கள் ஏற்கனவே உள்ள உள்நுழைவு விவரங்களைப் பயன்படுத்துகின்றனர் அல்லது உள்நுழைவு விவரங்களுடன் ஒரு கணக்கை உருவாக்குகிறார்கள், ஆனால் நெட்வொர்க்கிற்கான அணுகலைப் பெற ஸ்பான்சர் உறுதிப்படுத்தல் தேவை.
சிஸ்கோ ISE இல் ஒரே நேரத்தில் பல போர்டல்கள் பயன்படுத்தப்படலாம். இயல்பாக, பயனர் சிஸ்கோ லோகோவையும் வழக்கமான பொதுவான சொற்றொடர்களையும் விருந்தினர் போர்ட்டலில் பார்ப்பார். இவை அனைத்தையும் தனிப்பயனாக்கலாம் மற்றும் அணுகலைப் பெறுவதற்கு முன் கட்டாய விளம்பரங்களைப் பார்க்கவும் அமைக்கலாம்.
விருந்தினர் அணுகல் அமைப்பை 4 முக்கிய படிகளாகப் பிரிக்கலாம்: FortiAP அமைப்பு, Cisco ISE மற்றும் FortiAP இணைப்பு, விருந்தினர் போர்டல் உருவாக்கம் மற்றும் அணுகல் கொள்கை அமைப்பு.
2. FortiGate இல் FortiAP ஐ கட்டமைத்தல்
FortiGate ஒரு அணுகல் புள்ளி கட்டுப்படுத்தி மற்றும் அனைத்து அமைப்புகளும் அதில் செய்யப்பட்டுள்ளன. FortiAP அணுகல் புள்ளிகள் PoE ஐ ஆதரிக்கின்றன, எனவே நீங்கள் அதை ஈத்தர்நெட் வழியாக பிணையத்துடன் இணைத்தவுடன், நீங்கள் உள்ளமைவைத் தொடங்கலாம்.
1) FortiGate இல், தாவலுக்குச் செல்லவும் WiFi & ஸ்விட்ச் கன்ட்ரோலர் > நிர்வகிக்கப்பட்ட FortiAPs > புதிய உருவாக்கு > நிர்வகிக்கப்பட்ட AP. அணுகல் புள்ளியின் தனித்துவமான வரிசை எண்ணைப் பயன்படுத்தி, அணுகல் புள்ளியிலேயே அச்சிடப்பட்டு, அதை ஒரு பொருளாகச் சேர்க்கவும். அல்லது அது தன்னைக் காட்டி பின்னர் அழுத்தலாம் அங்கீகரி வலது சுட்டி பொத்தானைப் பயன்படுத்தி.
2) FortiAP அமைப்புகள் இயல்புநிலையாக இருக்கலாம், எடுத்துக்காட்டாக, ஸ்கிரீன்ஷாட்டில் உள்ளதைப் போல விடவும். 5 GHz பயன்முறையை இயக்க நான் மிகவும் பரிந்துரைக்கிறேன், ஏனெனில் சில சாதனங்கள் 2.4 GHz ஐ ஆதரிக்காது.
3) பின்னர் தாவலில் WiFi & ஸ்விட்ச் கன்ட்ரோலர் > FortiAP சுயவிவரங்கள் > புதியதை உருவாக்கவும் அணுகல் புள்ளிக்கான அமைப்புகள் சுயவிவரத்தை உருவாக்குகிறோம் (பதிப்பு 802.11 நெறிமுறை, SSID பயன்முறை, சேனல் அதிர்வெண் மற்றும் அவற்றின் எண்).
FortiAP அமைப்புகள் உதாரணம்
4) அடுத்த படி ஒரு SSID ஐ உருவாக்க வேண்டும். தாவலுக்குச் செல்லவும் வைஃபை & ஸ்விட்ச் கன்ட்ரோலர் > SSIDகள் > புதியதை உருவாக்கு > SSID. இங்கே முக்கியமானவற்றிலிருந்து கட்டமைக்கப்பட வேண்டும்:
-
விருந்தினர் WLAN க்கான முகவரி இடம் - IP/Netmask
-
RADIUS கணக்கியல் மற்றும் நிர்வாக அணுகல் துறையில் பாதுகாப்பான துணி இணைப்பு
-
சாதனம் கண்டறிதல் விருப்பம்
-
SSID மற்றும் பிராட்காஸ்ட் SSID விருப்பம்
-
பாதுகாப்பு முறை அமைப்புகள் > கேப்டிவ் போர்டல்
-
அங்கீகரிப்பு போர்டல் - சிஸ்கோ ISE இலிருந்து 20 படியிலிருந்து உருவாக்கப்பட்ட விருந்தினர் போர்ட்டலுக்கான இணைப்பை வெளிப்புறமாகச் செருகவும்.
-
பயனர் குழு - விருந்தினர் குழு - வெளிப்புறம் - சிஸ்கோ ISE இல் RADIUS ஐச் சேர்க்கவும் (ப. 6 முதல்)
SSID அமைப்பு உதாரணம்
5) நீங்கள் FortiGate இல் அணுகல் கொள்கையில் விதிகளை உருவாக்க வேண்டும். தாவலுக்குச் செல்லவும் கொள்கை & பொருள்கள் > ஃபயர்வால் கொள்கை மற்றும் இது போன்ற ஒரு விதியை உருவாக்கவும்:
3. RADIUS அமைப்பு
6) தாவலுக்கு சிஸ்கோ ISE இணைய இடைமுகத்திற்குச் செல்லவும் கொள்கை > கொள்கை கூறுகள் > அகராதிகள் > அமைப்பு > ஆரம் > ஆர விற்பனையாளர்கள் > சேர். இந்த தாவலில், Fortinet RADIUS ஐ ஆதரிக்கும் நெறிமுறைகளின் பட்டியலில் சேர்ப்போம், ஏனெனில் கிட்டத்தட்ட ஒவ்வொரு விற்பனையாளருக்கும் அதன் சொந்த குறிப்பிட்ட பண்புக்கூறுகள் உள்ளன - VSA (விற்பனையாளர்-குறிப்பிட்ட பண்புக்கூறுகள்).
Fortinet RADIUS பண்புகளின் பட்டியலைக் காணலாம் . VSAக்கள் அவற்றின் தனித்துவமான விற்பனையாளர் அடையாள எண்ணால் வேறுபடுகின்றன. Fortinet இல் இந்த ஐடி உள்ளது = 12356. முழு VSA ஐ ஐஏஎன்ஏ வெளியிட்டுள்ளது.
7) அகராதியின் பெயரை அமைக்கவும், குறிப்பிடவும் விற்பனையாளர் ஐடி (12356) மற்றும் அழுத்தவும் சமர்ப்பிக்கவும்.
8) நாங்கள் சென்ற பிறகு நிர்வாகம் > நெட்வொர்க் சாதன சுயவிவரங்கள் > சேர் புதிய சாதன சுயவிவரத்தை உருவாக்கவும். RADIUS அகராதிகள் புலத்தில், முன்பு உருவாக்கப்பட்ட Fortinet RADIUS அகராதியைத் தேர்ந்தெடுத்து, பின்னர் ISE கொள்கையில் பயன்படுத்த CoA முறைகளைத் தேர்ந்தெடுக்கவும். நான் RFC 5176 மற்றும் போர்ட் பவுன்ஸ் (பணிநிறுத்தம்/நிறுத்தம் இல்லாத பிணைய இடைமுகம்) மற்றும் தொடர்புடைய VSAகளைத் தேர்ந்தெடுத்தேன்:
Fortinet-Access-Profile=படிக்க-எழுத
Fortinet-Group-Name = fmg_faz_admins
9) அடுத்து, ISE உடனான இணைப்புக்காக FortiGate ஐச் சேர்க்கவும். இதைச் செய்ய, தாவலுக்குச் செல்லவும் நிர்வாகம் > நெட்வொர்க் ஆதாரங்கள் > நெட்வொர்க் சாதன விவரங்கள் > சேர். மாற்றப்பட வேண்டிய துறைகள் பெயர், விற்பனையாளர், RADIUS அகராதிகள் (IP முகவரி FortiGate ஆல் பயன்படுத்தப்படுகிறது, FortiAP அல்ல).
ISE பக்கத்திலிருந்து RADIUS ஐ உள்ளமைப்பதற்கான எடுத்துக்காட்டு
10) அதன் பிறகு, நீங்கள் FortiGate பக்கத்தில் RADIUS ஐ கட்டமைக்க வேண்டும். FortiGate இணைய இடைமுகத்தில், செல்லவும் பயனர் மற்றும் அங்கீகாரம் > RADIUS சர்வர்கள் > புதியதை உருவாக்கவும். முந்தைய பத்தியிலிருந்து பெயர், ஐபி முகவரி மற்றும் பகிரப்பட்ட ரகசியம் (கடவுச்சொல்) ஆகியவற்றைக் குறிப்பிடவும். அடுத்து கிளிக் செய்யவும் பயனர் நற்சான்றிதழ்களை சோதிக்கவும் மற்றும் RADIUS வழியாக மேலே இழுக்கக்கூடிய எந்த நற்சான்றிதழ்களையும் உள்ளிடவும் (உதாரணமாக, Cisco ISE இல் உள்ள உள்ளூர் பயனர்).
11) விருந்தினர் குழுவில் RADIUS சேவையகத்தைச் சேர்க்கவும் (அது இல்லை என்றால்) அத்துடன் பயனர்களின் வெளிப்புற மூலத்தையும் சேர்க்கவும்.
12) படி 4 இல் நாங்கள் முன்பு உருவாக்கிய SSID இல் விருந்தினர் குழுவைச் சேர்க்க மறக்காதீர்கள்.
4. பயனர் அங்கீகார அமைப்பு
13) விருப்பமாக, நீங்கள் ISE விருந்தினர் போர்ட்டலுக்கு சான்றிதழை இறக்குமதி செய்யலாம் அல்லது தாவலில் சுய கையொப்பமிட்ட சான்றிதழை உருவாக்கலாம் பணி மையங்கள் > விருந்தினர் அணுகல் > நிர்வாகம் > சான்றிதழ் > கணினி சான்றிதழ்கள்.
14) தாவலில் பிறகு பணி மையங்கள் > விருந்தினர் அணுகல் > அடையாளக் குழுக்கள் > பயனர் அடையாளக் குழுக்கள் > சேர் விருந்தினர் அணுகலுக்கு புதிய பயனர் குழுவை உருவாக்கவும் அல்லது இயல்புநிலையை பயன்படுத்தவும்.
15) மேலும் தாவலில் நிர்வாகம் > அடையாளங்கள் விருந்தினர் பயனர்களை உருவாக்கி, முந்தைய பத்தியிலிருந்து அவர்களை குழுக்களில் சேர்க்கவும். நீங்கள் மூன்றாம் தரப்பு கணக்குகளைப் பயன்படுத்த விரும்பினால், இந்தப் படிநிலையைத் தவிர்க்கவும்.
16) நாம் அமைப்புகளுக்குச் சென்ற பிறகு பணி மையங்கள் > விருந்தினர் அணுகல் > அடையாளங்கள் > அடையாள மூல வரிசை > விருந்தினர் போர்டல் வரிசை — விருந்தினர் பயனர்களுக்கான இயல்புநிலை அங்கீகார வரிசை இதுவாகும். மற்றும் துறையில் அங்கீகார தேடல் பட்டியல் பயனர் அங்கீகார வரிசையைத் தேர்ந்தெடுக்கவும்.
17) ஒரு முறை கடவுச்சொல் மூலம் விருந்தினர்களுக்குத் தெரிவிக்க, இந்த நோக்கத்திற்காக நீங்கள் SMS வழங்குநர்கள் அல்லது SMTP சேவையகத்தை உள்ளமைக்கலாம். தாவலுக்குச் செல்லவும் பணி மையங்கள் > விருந்தினர் அணுகல் > நிர்வாகம் > SMTP சர்வர் அல்லது எஸ்எம்எஸ் கேட்வே வழங்குநர்கள் இந்த அமைப்புகளுக்கு. SMTP சேவையகத்தின் விஷயத்தில், நீங்கள் ISE க்காக ஒரு கணக்கை உருவாக்க வேண்டும் மற்றும் இந்தத் தாவலில் உள்ள தரவைக் குறிப்பிட வேண்டும்.
18) SMS அறிவிப்புகளுக்கு, பொருத்தமான தாவலைப் பயன்படுத்தவும். பிரபலமான எஸ்எம்எஸ் வழங்குநர்களின் சுயவிவரங்களை ஐஎஸ்இ முன்பே நிறுவியுள்ளது, ஆனால் நீங்களே உருவாக்குவது நல்லது. இந்த சுயவிவரங்களை அமைப்பதற்கான உதாரணமாகப் பயன்படுத்தவும் எஸ்எம்எஸ் மின்னஞ்சல் நுழைவாயில்y அல்லது எஸ்எம்எஸ் HTTP API.
ஒரு முறை கடவுச்சொல்லுக்கான SMTP சேவையகத்தையும் SMS நுழைவாயிலையும் அமைப்பதற்கான எடுத்துக்காட்டு
5. விருந்தினர் போர்ட்டலை அமைத்தல்
19) ஆரம்பத்தில் குறிப்பிட்டுள்ளபடி, முன்-நிறுவப்பட்ட விருந்தினர் போர்ட்டல்களில் 3 வகைகள் உள்ளன: ஹாட்ஸ்பாட், ஸ்பான்சர், சுய-பதிவு. மூன்றாவது விருப்பத்தை தேர்வு செய்ய பரிந்துரைக்கிறேன், ஏனெனில் இது மிகவும் பொதுவானது. எந்த வகையிலும், அமைப்புகள் பெரும்பாலும் ஒரே மாதிரியானவை. எனவே தாவலுக்கு செல்லலாம். பணி மையங்கள் > விருந்தினர் அணுகல் > இணையதளங்கள் & கூறுகள் > விருந்தினர் இணையதளங்கள் > சுய-பதிவு செய்யப்பட்ட விருந்தினர் போர்ட்டல் (இயல்புநிலை).
20) அடுத்து, போர்டல் பக்க தனிப்பயனாக்கம் தாவலில், தேர்ந்தெடுக்கவும் “ரஷ்ய மொழியில் காண்க - ரஷ்யன்”, அதனால் போர்டல் ரஷ்ய மொழியில் காட்டப்படும். நீங்கள் எந்த தாவலின் உரையையும் மாற்றலாம், உங்கள் லோகோவைச் சேர்க்கலாம் மற்றும் பலவற்றைச் செய்யலாம். மூலையில் வலதுபுறத்தில் சிறந்த பார்வைக்கு விருந்தினர் போர்ட்டலின் முன்னோட்டம் உள்ளது.
ஒரு விருந்தினர் போர்ட்டலை சுய-பதிவுடன் உள்ளமைப்பதற்கான எடுத்துக்காட்டு
21) ஒரு சொற்றொடரைக் கிளிக் செய்யவும் போர்டல் சோதனை URL மற்றும் போர்டல் URL ஐ FortiGate இல் உள்ள SSID க்கு படி 4 இல் நகலெடுக்கவும். மாதிரி URL
உங்கள் டொமைனைக் காட்ட, விருந்தினர் போர்ட்டலில் சான்றிதழைப் பதிவேற்ற வேண்டும், படி 13 ஐப் பார்க்கவும்.
22) தாவலுக்குச் செல்லவும் பணி மையங்கள் > விருந்தினர் அணுகல் > கொள்கை கூறுகள் > முடிவுகள் > அங்கீகார சுயவிவரங்கள் > சேர் முன்பு உருவாக்கப்பட்ட ஒரு அங்கீகார சுயவிவரத்தை உருவாக்க பிணைய சாதன சுயவிவரம்.
23) தாவலில் பணி மையங்கள் > விருந்தினர் அணுகல் > கொள்கைத் தொகுப்புகள் வைஃபை பயனர்களுக்கான அணுகல் கொள்கையைத் திருத்தவும்.
24) விருந்தினர் SSID உடன் இணைக்க முயற்சிப்போம். அது உடனடியாக என்னை உள்நுழைவு பக்கத்திற்கு திருப்பிவிடும். இங்கே நீங்கள் ISE இல் உள்நாட்டில் உருவாக்கப்பட்ட விருந்தினர் கணக்குடன் உள்நுழையலாம் அல்லது விருந்தினர் பயனராக பதிவு செய்யலாம்.
25) நீங்கள் சுய-பதிவு விருப்பத்தைத் தேர்ந்தெடுத்திருந்தால், ஒரு முறை உள்நுழைவுத் தரவை அஞ்சல் மூலமாகவோ, SMS மூலமாகவோ அல்லது அச்சிடப்பட்டதாகவோ அனுப்பலாம்.
26) Cisco ISE இல் உள்ள RADIUS > Live Logs தாவலில், தொடர்புடைய உள்நுழைவு பதிவுகளைக் காண்பீர்கள்.
6. முடிவுக்கு
இந்த நீண்ட கட்டுரையில், Cisco ISE இல் விருந்தினர் அணுகலை வெற்றிகரமாக உள்ளமைத்துள்ளோம், அங்கு FortiGate அணுகல் புள்ளி கட்டுப்படுத்தியாக செயல்படுகிறது, மேலும் FortiAP அணுகல் புள்ளியாக செயல்படுகிறது. இது ஒரு வகையான அற்பமற்ற ஒருங்கிணைப்பாக மாறியது, இது ISE இன் பரவலான பயன்பாட்டை மீண்டும் நிரூபிக்கிறது.
Cisco ISE ஐ சோதிக்க, தொடர்பு கொள்ளவும் மேலும் எங்கள் சேனல்களிலும் காத்திருங்கள் (, , , , ).
ஆதாரம்: www.habr.com