సిస్కో ISEకి అంకితం చేయబడిన కథనాల శ్రేణి యొక్క మూడవ ప్రచురణకు స్వాగతం. సిరీస్లోని అన్ని కథనాలకు లింక్లు క్రింద ఇవ్వబడ్డాయి:
ఈ పోస్ట్లో, మీరు అతిథి యాక్సెస్లోకి ప్రవేశిస్తారు, అలాగే ఫోర్టినెట్ నుండి యాక్సెస్ పాయింట్ అయిన FortiAPని కాన్ఫిగర్ చేయడానికి Cisco ISE మరియు FortiGateలను సమగ్రపరచడానికి దశల వారీ మార్గదర్శిని (సాధారణంగా, మద్దతు ఇచ్చే ఏదైనా పరికరం RADIUS CoA - ఆథరైజేషన్ మార్పు).
మా వ్యాసాలు జతచేయబడ్డాయి. .
వ్యాఖ్యజ: చెక్ పాయింట్ SMB పరికరాలు RADIUS CoAకి మద్దతు ఇవ్వవు.
అద్భుతమైన సిస్కో WLC (వైర్లెస్ కంట్రోలర్)లో సిస్కో ISEని ఉపయోగించి అతిథి యాక్సెస్ని ఎలా సృష్టించాలో ఆంగ్లంలో వివరిస్తుంది. దాన్ని గుర్తించండి!
1. పరిచయం
గెస్ట్ యాక్సెస్ (పోర్టల్) మీరు మీ స్థానిక నెట్వర్క్లోకి అనుమతించకూడదనుకునే అతిథులు మరియు వినియోగదారుల కోసం ఇంటర్నెట్కు లేదా అంతర్గత వనరులకు ప్రాప్యతను అందించడానికి మిమ్మల్ని అనుమతిస్తుంది. గెస్ట్ పోర్టల్లో 3 ముందే నిర్వచించబడిన రకాలు ఉన్నాయి (అతిథి పోర్టల్):
-
హాట్స్పాట్ గెస్ట్ పోర్టల్ - లాగిన్ డేటా లేకుండా గెస్ట్లకు నెట్వర్క్కు యాక్సెస్ అందించబడుతుంది. నెట్వర్క్ని యాక్సెస్ చేయడానికి ముందు వినియోగదారులు సాధారణంగా కంపెనీ "యూజ్ అండ్ ప్రైవసీ పాలసీ"ని అంగీకరించాలి.
-
ప్రాయోజిత-అతిథి పోర్టల్ - నెట్వర్క్కు యాక్సెస్ మరియు లాగిన్ డేటా తప్పనిసరిగా స్పాన్సర్ ద్వారా జారీ చేయబడాలి - సిస్కో ISEలో అతిథి ఖాతాలను సృష్టించడానికి బాధ్యత వహించే వినియోగదారు.
-
స్వీయ-నమోదిత అతిథి పోర్టల్ - ఈ సందర్భంలో, అతిథులు ఇప్పటికే ఉన్న లాగిన్ డేటాను ఉపయోగిస్తారు, లేదా లాగిన్ డేటాతో తమ కోసం ఒక ఖాతాను సృష్టించండి, అయితే నెట్వర్క్కు ప్రాప్యతను పొందడానికి స్పాన్సర్ నిర్ధారణ అవసరం.
ఒకే సమయంలో సిస్కో ISEలో బహుళ పోర్టల్లను అమలు చేయవచ్చు. డిఫాల్ట్గా, అతిథి పోర్టల్లో, వినియోగదారు సిస్కో లోగో మరియు ప్రామాణిక సాధారణ పదబంధాలను చూస్తారు. ఇవన్నీ అనుకూలీకరించబడతాయి మరియు యాక్సెస్ పొందే ముందు తప్పనిసరి ప్రకటనలను వీక్షించడానికి కూడా సెట్ చేయవచ్చు.
గెస్ట్ యాక్సెస్ సెటప్ను 4 ప్రధాన దశలుగా విభజించవచ్చు: FortiAP సెటప్, Cisco ISE మరియు FortiAP కనెక్టివిటీ, గెస్ట్ పోర్టల్ సృష్టి మరియు యాక్సెస్ పాలసీ సెటప్.
2. FortiGateలో FortiAPని కాన్ఫిగర్ చేస్తోంది
ఫోర్టిగేట్ అనేది యాక్సెస్ పాయింట్ కంట్రోలర్ మరియు అన్ని సెట్టింగ్లు దానిపై తయారు చేయబడ్డాయి. FortiAP యాక్సెస్ పాయింట్లు PoEకి మద్దతు ఇస్తాయి, కాబట్టి మీరు దీన్ని ఈథర్నెట్ ద్వారా నెట్వర్క్కి కనెక్ట్ చేసిన తర్వాత, మీరు కాన్ఫిగరేషన్ను ప్రారంభించవచ్చు.
1) FortiGateలో, ట్యాబ్కి వెళ్లండి WiFi & స్విచ్ కంట్రోలర్ > మేనేజ్ చేయబడిన FortiAP లు > క్రొత్తదాన్ని సృష్టించండి > నిర్వహించబడే AP. యాక్సెస్ పాయింట్లో ప్రింట్ చేయబడిన యాక్సెస్ పాయింట్ యొక్క ప్రత్యేక క్రమ సంఖ్యను ఉపయోగించి, దానిని ఒక వస్తువుగా జోడించండి. లేదా అది స్వయంగా చూపించి, ఆపై నొక్కవచ్చు ప్రమాణీకరించు కుడి మౌస్ బటన్ ఉపయోగించి.
2) FortiAP సెట్టింగ్లు డిఫాల్ట్గా ఉండవచ్చు, ఉదాహరణకు, స్క్రీన్షాట్లో వలె వదిలివేయండి. కొన్ని పరికరాలు 5 GHzకి మద్దతు ఇవ్వనందున, 2.4 GHz మోడ్ని ఆన్ చేయమని నేను బాగా సిఫార్సు చేస్తున్నాను.
3) ఆపై ట్యాబ్లో WiFi & స్విచ్ కంట్రోలర్ > FortiAP ప్రొఫైల్స్ > కొత్తదాన్ని సృష్టించండి మేము యాక్సెస్ పాయింట్ (వెర్షన్ 802.11 ప్రోటోకాల్, SSID మోడ్, ఛానెల్ ఫ్రీక్వెన్సీ మరియు వాటి సంఖ్య) కోసం సెట్టింగ్ల ప్రొఫైల్ను సృష్టిస్తున్నాము.
FortiAP సెట్టింగ్ల ఉదాహరణ
4) తదుపరి దశ SSIDని సృష్టించడం. ట్యాబ్కి వెళ్లండి WiFi & స్విచ్ కంట్రోలర్ > SSIDలు > కొత్తదాన్ని సృష్టించండి > SSID. ఇక్కడ ముఖ్యమైన వాటి నుండి కాన్ఫిగర్ చేయాలి:
-
అతిథి WLAN కోసం చిరునామా స్థలం - IP/Netmask
-
RADIUS అకౌంటింగ్ మరియు అడ్మినిస్ట్రేటివ్ యాక్సెస్ ఫీల్డ్లో సురక్షిత ఫ్యాబ్రిక్ కనెక్షన్
-
పరికర గుర్తింపు ఎంపిక
-
SSID మరియు బ్రాడ్కాస్ట్ SSID ఎంపిక
-
భద్రతా మోడ్ సెట్టింగ్లు > క్యాప్టివ్ పోర్టల్
-
ప్రామాణీకరణ పోర్టల్ - 20వ దశ నుండి సిస్కో ISE నుండి సృష్టించబడిన అతిథి పోర్టల్కు బాహ్య మరియు లింక్ను చొప్పించండి
-
వినియోగదారు సమూహం - అతిథి సమూహం - బాహ్యం - సిస్కో ISEకి RADIUSని జోడించండి (పే. 6 నుండి)
SSID సెట్టింగ్ ఉదాహరణ
5) అప్పుడు మీరు ఫోర్టిగేట్లోని యాక్సెస్ పాలసీలో నియమాలను రూపొందించాలి. ట్యాబ్కి వెళ్లండి విధానం & వస్తువులు > ఫైర్వాల్ విధానం మరియు ఇలాంటి నియమాన్ని సృష్టించండి:
3. RADIUS సెట్టింగ్
6) ట్యాబ్కు సిస్కో ISE వెబ్ ఇంటర్ఫేస్కి వెళ్లండి పాలసీ > పాలసీ ఎలిమెంట్స్ > డిక్షనరీలు > సిస్టమ్ > వ్యాసార్థం > రేడియస్ వెండర్లు > యాడ్. ఈ ట్యాబ్లో, మేము మద్దతు ఉన్న ప్రోటోకాల్ల జాబితాకు Fortinet RADIUSని జోడిస్తాము, ఎందుకంటే దాదాపు ప్రతి విక్రేత దాని స్వంత నిర్దిష్ట లక్షణాలను కలిగి ఉంటారు - VSA (విక్రేత-నిర్దిష్ట లక్షణాలు).
Fortinet RADIUS లక్షణాల జాబితాను కనుగొనవచ్చు . VSAలు వాటి ప్రత్యేక విక్రేత ID నంబర్తో విభిన్నంగా ఉంటాయి. ఫోర్టినెట్ ఈ ID = 12356. పూర్తి VSA IANA సంస్థచే ప్రచురించబడింది.
7) నిఘంటువు పేరును సెట్ చేయండి, పేర్కొనండి విక్రేత ID (12356) మరియు ప్రెస్ సమర్పించండి.
8) మేము వెళ్ళిన తర్వాత అడ్మినిస్ట్రేషన్ > నెట్వర్క్ పరికర ప్రొఫైల్లు > యాడ్ మరియు కొత్త పరికర ప్రొఫైల్ని సృష్టించండి. రేడియస్ డిక్షనరీస్ ఫీల్డ్లో, మునుపు సృష్టించిన ఫోర్టినెట్ రేడియస్ డిక్షనరీని ఎంచుకుని, తర్వాత ISE విధానంలో ఉపయోగించడానికి CoA పద్ధతులను ఎంచుకోండి. నేను RFC 5176 మరియు పోర్ట్ బౌన్స్ (షట్డౌన్/నో షట్డౌన్ నెట్వర్క్ ఇంటర్ఫేస్) మరియు సంబంధిత VSAలను ఎంచుకున్నాను:
ఫోర్టినెట్-యాక్సెస్-ప్రొఫైల్=రీడ్-రైట్
Fortinet-Group-Name = fmg_faz_admins
9) తర్వాత, ISEతో కనెక్టివిటీ కోసం FortiGateని జోడించండి. దీన్ని చేయడానికి, ట్యాబ్కు వెళ్లండి అడ్మినిస్ట్రేషన్ > నెట్వర్క్ వనరులు > నెట్వర్క్ పరికర ప్రొఫైల్లు > జోడించు. ఫీల్డ్లను మార్చాలి పేరు, విక్రేత, RADIUS నిఘంటువులు (IP చిరునామా FortiGate ద్వారా ఉపయోగించబడుతుంది, FortiAP కాదు).
ISE వైపు నుండి RADIUS కాన్ఫిగరేషన్ యొక్క ఉదాహరణ
10) ఆ తర్వాత, మీరు ఫోర్టిగేట్ వైపు RADIUSని కాన్ఫిగర్ చేయాలి. FortiGate వెబ్ ఇంటర్ఫేస్లో, వెళ్ళండి వినియోగదారు & ప్రామాణీకరణ > రేడియస్ సర్వర్లు > క్రొత్తదాన్ని సృష్టించండి. మునుపటి పేరా నుండి పేరు, IP చిరునామా మరియు షేర్డ్ సీక్రెట్ (పాస్వర్డ్)ని పేర్కొనండి. తదుపరి క్లిక్ చేయండి వినియోగదారు ఆధారాలను పరీక్షించండి మరియు RADIUS ద్వారా పైకి లాగగలిగే ఏవైనా ఆధారాలను నమోదు చేయండి (ఉదాహరణకు, Cisco ISEలో స్థానిక వినియోగదారు).
11) గెస్ట్-గ్రూప్కు RADIUS సర్వర్ను జోడించండి (అది లేనట్లయితే) అలాగే వినియోగదారుల యొక్క బాహ్య మూలాన్ని జోడించండి.
12) స్టెప్ 4లో మేము ముందుగా సృష్టించిన SSIDకి గెస్ట్-గ్రూప్ని జోడించడం మర్చిపోవద్దు.
4. వినియోగదారు ప్రమాణీకరణ సెట్టింగ్
13) ఐచ్ఛికంగా, మీరు ISE అతిథి పోర్టల్కు ప్రమాణపత్రాన్ని దిగుమతి చేసుకోవచ్చు లేదా ట్యాబ్లో స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని సృష్టించవచ్చు పని కేంద్రాలు > గెస్ట్ యాక్సెస్ > అడ్మినిస్ట్రేషన్ > సర్టిఫికేషన్ > సిస్టమ్ సర్టిఫికెట్లు.
14) ట్యాబ్లో తర్వాత పని కేంద్రాలు > అతిథి యాక్సెస్ > గుర్తింపు సమూహాలు > వినియోగదారు గుర్తింపు సమూహాలు > జోడించు అతిథి యాక్సెస్ కోసం కొత్త వినియోగదారు సమూహాన్ని సృష్టించండి లేదా డిఫాల్ట్ వాటిని ఉపయోగించండి.
15) ట్యాబ్లో మరింత పరిపాలన > గుర్తింపులు అతిథి వినియోగదారులను సృష్టించండి మరియు వారిని మునుపటి పేరా నుండి సమూహాలకు జోడించండి. మీరు మూడవ పక్షం ఖాతాలను ఉపయోగించాలనుకుంటే, ఈ దశను దాటవేయండి.
16) మేము సెట్టింగ్లకు వెళ్లిన తర్వాత పని కేంద్రాలు > అతిథి యాక్సెస్ > గుర్తింపులు > ఐడెంటిటీ సోర్స్ సీక్వెన్స్ > గెస్ట్ పోర్టల్ సీక్వెన్స్ - అతిథి వినియోగదారుల కోసం ఇది డిఫాల్ట్ ప్రమాణీకరణ క్రమం. మరియు ఫీల్డ్లో ప్రామాణీకరణ శోధన జాబితా వినియోగదారు ప్రమాణీకరణ క్రమాన్ని ఎంచుకోండి.
17) వన్-టైమ్ పాస్వర్డ్తో అతిథులకు తెలియజేయడానికి, మీరు ఈ ప్రయోజనం కోసం SMS ప్రొవైడర్లను లేదా SMTP సర్వర్ను కాన్ఫిగర్ చేయవచ్చు. ట్యాబ్కి వెళ్లండి పని కేంద్రాలు > గెస్ట్ యాక్సెస్ > అడ్మినిస్ట్రేషన్ > SMTP సర్వర్ లేదా SMS గేట్వే ప్రొవైడర్లు ఈ సెట్టింగ్ల కోసం. SMTP సర్వర్ విషయంలో, మీరు ISE కోసం ఖాతాను సృష్టించాలి మరియు ఈ ట్యాబ్లోని డేటాను పేర్కొనాలి.
18) SMS నోటిఫికేషన్ల కోసం, తగిన ట్యాబ్ని ఉపయోగించండి. ISE జనాదరణ పొందిన SMS ప్రొవైడర్ల ప్రొఫైల్లను ముందే ఇన్స్టాల్ చేసింది, అయితే మీ స్వంతంగా సృష్టించడం మంచిది. సెట్టింగ్ల ఉదాహరణగా ఈ ప్రొఫైల్లను ఉపయోగించండి SMS ఇమెయిల్ గేట్వాy లేదా SMS HTTP API.
వన్-టైమ్ పాస్వర్డ్ కోసం SMTP సర్వర్ మరియు SMS గేట్వేని సెటప్ చేయడానికి ఉదాహరణ
5. అతిథి పోర్టల్ను ఏర్పాటు చేయడం
19) ప్రారంభంలో పేర్కొన్నట్లుగా, 3 రకాల ముందుగా ఇన్స్టాల్ చేయబడిన అతిథి పోర్టల్లు ఉన్నాయి: హాట్స్పాట్, స్పాన్సర్డ్, సెల్ఫ్ రిజిస్టర్డ్. మూడవ ఎంపికను ఎంచుకోవాలని నేను సూచిస్తున్నాను, ఎందుకంటే ఇది చాలా సాధారణమైనది. ఎలాగైనా, సెట్టింగులు ఎక్కువగా ఒకేలా ఉంటాయి. కాబట్టి ట్యాబ్కు వెళ్దాం. పని కేంద్రాలు > గెస్ట్ యాక్సెస్ > పోర్టల్స్ & కాంపోనెంట్స్ > గెస్ట్ పోర్టల్స్ > సెల్ఫ్-రిజిస్టర్డ్ గెస్ట్ పోర్టల్ (డిఫాల్ట్).
20) తర్వాత, పోర్టల్ పేజీ అనుకూలీకరణ ట్యాబ్లో, ఎంచుకోండి “రష్యన్ - రష్యన్ భాషలో చూడండి”, తద్వారా పోర్టల్ రష్యన్ భాషలో ప్రదర్శించబడటం ప్రారంభమవుతుంది. మీరు ఏదైనా ట్యాబ్ యొక్క వచనాన్ని మార్చవచ్చు, మీ లోగోను జోడించవచ్చు మరియు మరిన్ని చేయవచ్చు. కుడి మూలలో మరింత అనుకూలమైన ప్రదర్శన కోసం అతిథి పోర్టల్ యొక్క ప్రివ్యూ ఉంది.
స్వీయ-నమోదుతో అతిథి పోర్టల్ను కాన్ఫిగర్ చేయడానికి ఉదాహరణ
21) పదబంధంపై క్లిక్ చేయండి పోర్టల్ పరీక్ష URL మరియు 4వ దశలో ఫోర్టిగేట్లోని SSIDకి పోర్టల్ URLని కాపీ చేయండి. నమూనా URL
మీ డొమైన్ను ప్రదర్శించడానికి, మీరు తప్పనిసరిగా అతిథి పోర్టల్కు సర్టిఫికెట్ను అప్లోడ్ చేయాలి, దశ 13 చూడండి.
22) ట్యాబ్కి వెళ్లండి పని కేంద్రాలు > అతిథి యాక్సెస్ > పాలసీ ఎలిమెంట్స్ > ఫలితాలు > ఆథరైజేషన్ ప్రొఫైల్స్ > యాడ్ మునుపు సృష్టించిన దాని క్రింద అధికార ప్రొఫైల్ని సృష్టించడానికి నెట్వర్క్ పరికర ప్రొఫైల్.
23) ట్యాబ్లో పని కేంద్రాలు > గెస్ట్ యాక్సెస్ > పాలసీ సెట్లు WiFi వినియోగదారుల కోసం యాక్సెస్ విధానాన్ని సవరించండి.
24) అతిథి SSIDకి కనెక్ట్ చేయడానికి ప్రయత్నిద్దాం. నేను వెంటనే లాగిన్ పేజీకి దారి మళ్లించబడ్డాను. ఇక్కడ మీరు ISEలో స్థానికంగా సృష్టించబడిన అతిథి ఖాతా క్రింద లాగిన్ చేయవచ్చు లేదా అతిథి వినియోగదారుగా నమోదు చేసుకోవచ్చు.
25) మీరు స్వీయ-నమోదు ఎంపికను ఎంచుకుంటే, వన్-టైమ్ లాగిన్ డేటాను ఇమెయిల్ ద్వారా, SMS ద్వారా పంపవచ్చు లేదా ముద్రించవచ్చు.
26) Cisco ISEలో RADIUS > Live Logs ట్యాబ్లో, మీరు సంబంధిత లాగిన్ లాగ్లను చూస్తారు.
6. ముగింపు
ఈ సుదీర్ఘ కథనంలో, మేము Cisco ISEలో గెస్ట్ యాక్సెస్ని విజయవంతంగా కాన్ఫిగర్ చేసాము, ఇక్కడ FortiGate యాక్సెస్ పాయింట్ కంట్రోలర్గా పనిచేస్తుంది మరియు FortiAP యాక్సెస్ పాయింట్గా పనిచేస్తుంది. ఇది ఒక రకమైన నాన్-ట్రివియల్ ఇంటిగ్రేషన్గా మారింది, ఇది ISE యొక్క విస్తృత వినియోగాన్ని మరోసారి రుజువు చేస్తుంది.
సిస్కో ISEని పరీక్షించడానికి, సంప్రదించండి మరియు మా ఛానెల్లలో కూడా ఉండండి (, , , , ).
మూలం: www.habr.com