Cisco ISE: การกำหนดค่าการเข้าถึงของผู้เยี่ยมชมบน FortiAP ตอนที่ 3

ยินดีต้อนรับสู่โพสต์ที่สามในชุด Cisco ISE ลิงก์ไปยังบทความทั้งหมดในซีรีส์มีดังต่อไปนี้:

1. Cisco ISE: บทนำ ข้อกำหนด การติดตั้ง ส่วนที่ 1

2. Cisco ISE: การสร้างผู้ใช้ การเพิ่มเซิร์ฟเวอร์ LDAP การผสานรวมกับ AD ส่วนที่ 2

3. Cisco ISE: การกำหนดค่าการเข้าถึงของผู้เยี่ยมชมบน FortiAP ตอนที่ 3

ในโพสต์นี้ คุณจะได้เจาะลึกการเข้าถึงของแขก รวมถึงคำแนะนำทีละขั้นตอนในการรวม Cisco ISE และ FortiGate เพื่อกำหนดค่า FortiAP ซึ่งเป็นจุดเข้าใช้งานจาก Fortinet (โดยทั่วไปคืออุปกรณ์ใดๆ ที่รองรับ เรเดียส โคเอ — การเปลี่ยนแปลงการอนุญาต)

สิ่งที่แนบมาด้วยคือบทความของเรา Fortinet - วัสดุที่มีประโยชน์มากมาย.

หมายเหตุตอบ: อุปกรณ์ Check Point SMB ไม่รองรับ RADIUS CoA

มหัศจรรย์ ความเป็นผู้นำ อธิบายเป็นภาษาอังกฤษถึงวิธีสร้างการเข้าถึงของผู้เยี่ยมชมโดยใช้ Cisco ISE บน Cisco WLC (ตัวควบคุมไร้สาย) ลองคิดดูสิ!

1. บทนำ

การเข้าถึงของแขก (พอร์ทัล) ช่วยให้คุณสามารถให้การเข้าถึงอินเทอร์เน็ตหรือทรัพยากรภายในสำหรับแขกและผู้ใช้ที่คุณไม่ต้องการให้เข้าสู่เครือข่ายท้องถิ่นของคุณ พอร์ทัลผู้เยี่ยมชมที่กำหนดไว้ล่วงหน้ามี 3 ประเภท (พอร์ทัลผู้เยี่ยมชม):

1. พอร์ทัล Hotspot Guest - แขกสามารถเข้าถึงเครือข่ายได้โดยไม่ต้องมีข้อมูลการเข้าสู่ระบบ โดยทั่วไปผู้ใช้จะต้องยอมรับ "นโยบายการใช้งานและความเป็นส่วนตัว" ของบริษัทก่อนที่จะเข้าถึงเครือข่าย

2. พอร์ทัลผู้เยี่ยมชมที่ได้รับการสนับสนุน - การเข้าถึงเครือข่ายและข้อมูลการเข้าสู่ระบบจะต้องออกโดยผู้สนับสนุน - ผู้ใช้ที่รับผิดชอบในการสร้างบัญชีผู้เยี่ยมชมบน Cisco ISE

3. พอร์ทัลผู้เยี่ยมชมที่ลงทะเบียนด้วยตนเอง - ในกรณีนี้ แขกจะใช้รายละเอียดการเข้าสู่ระบบที่มีอยู่ หรือสร้างบัญชีสำหรับตนเองด้วยรายละเอียดการเข้าสู่ระบบ แต่จำเป็นต้องมีการยืนยันจากผู้สนับสนุนเพื่อเข้าถึงเครือข่าย

สามารถปรับใช้หลายพอร์ทัลบน Cisco ISE ในเวลาเดียวกัน ตามค่าเริ่มต้น ในพอร์ทัลผู้เยี่ยมชม ผู้ใช้จะเห็นโลโก้ Cisco และวลีทั่วไปมาตรฐาน ทั้งหมดนี้สามารถปรับแต่งและตั้งค่าให้ดูโฆษณาที่จำเป็นก่อนที่จะเข้าถึงได้

การตั้งค่าการเข้าถึงของผู้เยี่ยมชมสามารถแบ่งออกเป็น 4 ขั้นตอนหลัก: การตั้งค่า FortiAP, การเชื่อมต่อ Cisco ISE และ FortiAP, การสร้างพอร์ทัลของผู้เยี่ยมชม และการตั้งค่านโยบายการเข้าถึง

2. การกำหนดค่า FortiAP บน FortiGate

FortiGate เป็นตัวควบคุมจุดเข้าใช้งานและทำการตั้งค่าทั้งหมดไว้ จุดเชื่อมต่อ FortiAP รองรับ PoE ดังนั้นเมื่อคุณเชื่อมต่อกับเครือข่ายผ่านอีเทอร์เน็ตแล้ว คุณก็สามารถเริ่มการกำหนดค่าได้

1) บน FortiGate ไปที่แท็บ WiFi & ตัวควบคุมสวิตช์ > FortiAP ที่ได้รับการจัดการ > สร้างใหม่ > AP ที่ได้รับการจัดการ. การใช้หมายเลขซีเรียลเฉพาะของจุดเข้าใช้งานซึ่งพิมพ์อยู่บนจุดเข้าใช้งานนั้นเอง จะเพิ่มเป็นออบเจ็กต์ หรือจะโชว์ตัวเองแล้วกดก็ได้ อนุญาต โดยใช้ปุ่มเมาส์ขวา

2) การตั้งค่า FortiAP สามารถเป็นค่าเริ่มต้นได้ เช่น ปล่อยไว้ตามภาพหน้าจอ ฉันขอแนะนำอย่างยิ่งให้เปิดโหมด 5 GHz เนื่องจากอุปกรณ์บางตัวไม่รองรับ 2.4 GHz

3) จากนั้นในแท็บ WiFi & ตัวควบคุมสวิตช์ > โปรไฟล์ FortiAP > สร้างใหม่ เรากำลังสร้างโปรไฟล์การตั้งค่าสำหรับจุดเข้าใช้งาน (โปรโตคอลเวอร์ชัน 802.11, โหมด SSID, ความถี่ช่องสัญญาณและหมายเลข)

ตัวอย่างการตั้งค่า FortiAP

4) ขั้นตอนต่อไปคือการสร้าง SSID ไปที่แท็บ WiFi และตัวควบคุมสวิตช์ > SSID > สร้างใหม่ > SSID ที่นี่ควรกำหนดค่าจากสิ่งสำคัญ:

• พื้นที่ที่อยู่สำหรับแขก WLAN - IP/Netmask

• การบัญชี RADIUS และการเชื่อมต่อ Secure Fabric ในช่องการเข้าถึงระดับผู้ดูแลระบบ

• ตัวเลือกการตรวจจับอุปกรณ์

• ตัวเลือก SSID และ Broadcast SSID

• การตั้งค่าโหมดความปลอดภัย > พอร์ทัลแบบ Captive 

• พอร์ทัลการตรวจสอบความถูกต้อง - ภายนอกและแทรกลิงก์ไปยังพอร์ทัลแขกที่สร้างขึ้นจาก Cisco ISE จากขั้นตอนที่ 20

• กลุ่มผู้ใช้ - กลุ่มแขก - ภายนอก - เพิ่ม RADIUS ให้กับ Cisco ISE (หน้า 6 เป็นต้นไป)

ตัวอย่างการตั้งค่า SSID

5) จากนั้นคุณควรสร้างกฎในนโยบายการเข้าถึงบน FortiGate ไปที่แท็บ นโยบายและวัตถุ > นโยบายไฟร์วอลล์ และสร้างกฎดังนี้:

3. การตั้งค่ารัศมี

6) ไปที่เว็บอินเตอร์เฟสของ Cisco ISE ไปที่แท็บ นโยบาย > องค์ประกอบนโยบาย > พจนานุกรม > ระบบ > รัศมี > ผู้จัดจำหน่าย RADIUS > เพิ่ม ในแท็บนี้ เราจะเพิ่ม Fortinet RADIUS ลงในรายการโปรโตคอลที่รองรับ เนื่องจากผู้จำหน่ายเกือบทุกรายมีคุณสมบัติเฉพาะของตนเอง - VSA (คุณสมบัติเฉพาะของผู้ขาย)

สามารถดูรายการคุณลักษณะของ Fortinet RADIUS ได้ ที่นี่. VSA จะจำแนกตามหมายเลขรหัสผู้จำหน่ายที่ไม่ซ้ำกัน Fortinet มี ID นี้ = 12356. เต็ม รายการ VSA ได้รับการเผยแพร่โดย IANA

7) ตั้งชื่อพจนานุกรมระบุ ID ผู้ขาย (12356) แล้วกด เสนอ

8) หลังจากที่เราไปกันแล้ว การดูแลระบบ > โปรไฟล์อุปกรณ์เครือข่าย > เพิ่ม และสร้างโปรไฟล์อุปกรณ์ใหม่ ในฟิลด์ พจนานุกรม RADIUS ให้เลือกพจนานุกรม Fortinet RADIUS ที่สร้างไว้ก่อนหน้านี้ และเลือกวิธี CoA เพื่อใช้ในภายหลังในนโยบาย ISE ฉันเลือก RFC 5176 และ Port Bounce (ปิด/ไม่ปิดอินเทอร์เฟซเครือข่าย) และ VSA ที่เกี่ยวข้อง: 

Fortinet-Access-Profile=อ่าน-เขียน

Fortinet-ชื่อกลุ่ม = fmg_faz_admins

9) ถัดไป เพิ่ม FortiGate สำหรับการเชื่อมต่อกับ ISE โดยไปที่แท็บ การดูแลระบบ > ทรัพยากรเครือข่าย > โปรไฟล์อุปกรณ์เครือข่าย > เพิ่ม ฟิลด์ที่จะเปลี่ยนแปลง ชื่อ ผู้จำหน่าย พจนานุกรม RADIUS (ที่อยู่ IP ถูกใช้โดย FortiGate ไม่ใช่ FortiAP)

ตัวอย่างการกำหนดค่า RADIUS จากฝั่ง ISE

10) หลังจากนั้นคุณควรกำหนดค่า RADIUS ที่ฝั่ง FortiGate ในเว็บอินเตอร์เฟส FortiGate ให้ไปที่ ผู้ใช้และการรับรองความถูกต้อง > เซิร์ฟเวอร์ RADIUS > สร้างใหม่. ระบุชื่อ ที่อยู่ IP และความลับที่ใช้ร่วมกัน (รหัสผ่าน) จากย่อหน้าก่อนหน้า คลิกถัดไป ทดสอบข้อมูลรับรองผู้ใช้ และป้อนข้อมูลประจำตัวใด ๆ ที่สามารถดึงขึ้นมาผ่าน RADIUS (เช่น ผู้ใช้ภายในเครื่องของ Cisco ISE)

11) เพิ่มเซิร์ฟเวอร์ RADIUS ให้กับ Guest-Group (หากไม่มี) รวมถึงแหล่งที่มาภายนอกของผู้ใช้

12) อย่าลืมเพิ่ม Guest-Group ให้กับ SSID ที่เราสร้างไว้ก่อนหน้าในขั้นตอนที่ 4

4. การตั้งค่าการรับรองความถูกต้องของผู้ใช้

13) คุณสามารถเลือกนำเข้าใบรับรองไปยังพอร์ทัลแขก ISE หรือสร้างใบรับรองที่ลงนามด้วยตนเองในแท็บ ศูนย์งาน > การเข้าถึงของผู้เยี่ยมชม > การดูแลระบบ > การรับรอง > ใบรับรองระบบ.

14) หลังจากในแท็บ ศูนย์งาน > การเข้าถึงของผู้เยี่ยมชม > กลุ่มข้อมูลประจำตัว > กลุ่มข้อมูลประจำตัวผู้ใช้ > เพิ่ม สร้างกลุ่มผู้ใช้ใหม่สำหรับการเข้าถึงของแขกหรือใช้กลุ่มเริ่มต้น

15) เพิ่มเติมในแท็บ การดูแลระบบ > ข้อมูลประจำตัว สร้างผู้ใช้ทั่วไปและเพิ่มลงในกลุ่มจากย่อหน้าก่อนหน้า หากคุณต้องการใช้บัญชีบุคคลที่สาม ให้ข้ามขั้นตอนนี้

16) จากนั้นไปที่การตั้งค่า ศูนย์งาน > การเข้าถึงของผู้เยี่ยมชม > ข้อมูลประจำตัว > ลำดับแหล่งที่มาของข้อมูลประจำตัว > ลำดับพอร์ทัลผู้เยี่ยมชม — นี่เป็นลำดับการรับรองความถูกต้องเริ่มต้นสำหรับผู้ใช้เกสต์ และในสนาม รายการค้นหาการรับรองความถูกต้อง เลือกลำดับการตรวจสอบผู้ใช้

17) หากต้องการแจ้งแขกด้วยรหัสผ่านแบบใช้ครั้งเดียว คุณสามารถกำหนดค่าผู้ให้บริการ SMS หรือเซิร์ฟเวอร์ SMTP เพื่อจุดประสงค์นี้ได้ ไปที่แท็บ ศูนย์งาน > การเข้าถึงของผู้เยี่ยมชม > การดูแลระบบ > เซิร์ฟเวอร์ SMTP หรือ ผู้ให้บริการเกตเวย์ SMS สำหรับการตั้งค่าเหล่านี้ ในกรณีของเซิร์ฟเวอร์ SMTP คุณต้องสร้างบัญชีสำหรับ ISE และระบุข้อมูลในแท็บนี้

18) สำหรับการแจ้งเตือนทาง SMS ให้ใช้แท็บที่เหมาะสม ISE มีโปรไฟล์ผู้ให้บริการ SMS ยอดนิยมติดตั้งไว้ล่วงหน้าแล้ว แต่ควรสร้างโปรไฟล์ของคุณเองจะดีกว่า ใช้โปรไฟล์เหล่านี้เป็นตัวอย่างการตั้งค่า เกตเวย์อีเมล SMSใช่ไหม SMS HTTP API.

ตัวอย่างการตั้งค่าเซิร์ฟเวอร์ SMTP และเกตเวย์ SMS สำหรับรหัสผ่านแบบใช้ครั้งเดียว

5. การตั้งค่าพอร์ทัลแขก

19) ตามที่กล่าวไว้ในตอนต้น มีพอร์ทัลแขกที่ติดตั้งไว้ล่วงหน้า 3 ประเภท: ฮอตสปอต สนับสนุน ลงทะเบียนด้วยตนเอง ฉันขอแนะนำให้เลือกตัวเลือกที่สามเนื่องจากเป็นตัวเลือกที่พบบ่อยที่สุด ไม่ว่าจะด้วยวิธีใด การตั้งค่าส่วนใหญ่จะเหมือนกัน งั้นไปที่แท็บกันดีกว่า ศูนย์งาน > การเข้าถึงของผู้เยี่ยมชม > พอร์ทัลและส่วนประกอบ > พอร์ทัลผู้เยี่ยมชม > พอร์ทัลผู้เยี่ยมชมที่ลงทะเบียนด้วยตนเอง (ค่าเริ่มต้น) 

20) ถัดไป ในแท็บการปรับแต่งหน้าพอร์ทัล ให้เลือก “ ดูเป็นภาษารัสเซีย - รัสเซีย” เพื่อให้พอร์ทัลแสดงเป็นภาษารัสเซีย คุณสามารถเปลี่ยนข้อความของแท็บใดก็ได้ เพิ่มโลโก้ของคุณ และอื่นๆ อีกมากมาย ทางด้านขวาตรงมุมคือการแสดงตัวอย่างของพอร์ทัลผู้เยี่ยมชมเพื่อให้ได้รับมุมมองที่ดีขึ้น

ตัวอย่างการกำหนดค่าพอร์ทัลผู้เยี่ยมชมด้วยการลงทะเบียนด้วยตนเอง

21) คลิกที่วลี URL ทดสอบพอร์ทัล และคัดลอก URL พอร์ทัลไปยัง SSID บน FortiGate ในขั้นตอนที่ 4 URL ตัวอย่าง https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

หากต้องการแสดงโดเมนของคุณ คุณต้องอัปโหลดใบรับรองไปยังพอร์ทัลผู้เยี่ยมชม ดูขั้นตอนที่ 13

22) ไปที่แท็บ ศูนย์งาน > การเข้าถึงของแขก > องค์ประกอบนโยบาย > ผลลัพธ์ > โปรไฟล์การอนุญาต > เพิ่ม เพื่อสร้างโปรไฟล์การอนุญาตภายใต้โปรไฟล์ที่สร้างไว้ก่อนหน้านี้ โปรไฟล์อุปกรณ์เครือข่าย

23) ในแท็บ ศูนย์งาน > การเข้าถึงของแขก > ชุดนโยบาย แก้ไขนโยบายการเข้าถึงสำหรับผู้ใช้ WiFi

24) ลองเชื่อมต่อกับ SSID ของแขก มันจะพาฉันไปที่หน้าเข้าสู่ระบบทันที ที่นี่คุณสามารถเข้าสู่ระบบด้วยบัญชีแขกที่สร้างขึ้นในเครื่อง ISE หรือลงทะเบียนเป็นผู้ใช้ทั่วไป

25) หากคุณเลือกตัวเลือกการลงทะเบียนด้วยตนเอง ข้อมูลการเข้าสู่ระบบแบบครั้งเดียวสามารถส่งทางไปรษณีย์ ทาง SMS หรือพิมพ์ออกมาได้

26) ในแท็บ RADIUS > Live Logs บน Cisco ISE คุณจะเห็นบันทึกการเข้าสู่ระบบที่เกี่ยวข้อง

6 ข้อสรุป

ในบทความขนาดยาวนี้ เราได้กำหนดค่าการเข้าถึงของแขกบน Cisco ISE สำเร็จแล้ว โดยที่ FortiGate ทำหน้าที่เป็นตัวควบคุมจุดเข้าใช้งาน และ FortiAP ทำหน้าที่เป็นจุดเข้าใช้งาน มันกลับกลายเป็นการบูรณาการที่ไม่สำคัญซึ่งพิสูจน์ให้เห็นถึงการใช้ ISE ในวงกว้างอีกครั้ง

หากต้องการทดสอบ Cisco ISE โปรดติดต่อ ลิงค์และติดตามชมได้ในช่องของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS, Yandex Zen).

ที่มา: will.com