Maligayang pagdating sa ikatlong post sa serye ng Cisco ISE. Ang mga link sa lahat ng mga artikulo sa serye ay ibinigay sa ibaba:
Sa post na ito, sumisid ka sa pag-access ng bisita, pati na rin ang sunud-sunod na gabay sa pagsasama ng Cisco ISE at FortiGate upang i-configure ang FortiAP, isang access point mula sa Fortinet (sa pangkalahatan, anumang device na sumusuporta RADIUS CoA β Pagbabago ng Awtorisasyon).
Nakalakip ang aming mga artikulo. .
NotaA: Hindi sinusuportahan ng mga Check Point SMB device ang RADIUS CoA.
Kahanga-hanga naglalarawan sa Ingles kung paano lumikha ng access ng bisita gamit ang Cisco ISE sa isang Cisco WLC (Wireless Controller). Alamin natin ito!
1. Panimula
Binibigyang-daan ka ng access ng bisita (portal) na magbigay ng access sa Internet o sa mga panloob na mapagkukunan para sa mga bisita at user na hindi mo gustong ipasok sa iyong lokal na network. Mayroong 3 paunang natukoy na uri ng guest portal (Guest portal):
-
Hotspot Guest portal - Ang access sa network ay ibinibigay sa mga bisita na walang data sa pag-login. Karaniwang kinakailangan ng mga user na tanggapin ang "Patakaran sa Paggamit at Privacy" ng kumpanya bago i-access ang network.
-
Sponsored-Guest portal - ang pag-access sa network at data sa pag-login ay dapat ibigay ng sponsor - ang user na responsable sa paglikha ng mga guest account sa Cisco ISE.
-
Self-Registered Guest portal - sa kasong ito, ang mga bisita ay gumagamit ng mga umiiral nang detalye sa pag-log in, o lumikha ng isang account para sa kanilang sarili na may mga detalye sa pag-log in, ngunit ang pagkumpirma ng sponsor ay kinakailangan upang makakuha ng access sa network.
Maaaring i-deploy ang maramihang mga portal sa Cisco ISE nang sabay-sabay. Bilang default, sa guest portal, makikita ng user ang Cisco logo at karaniwang karaniwang mga parirala. Ang lahat ng ito ay maaaring i-customize at kahit na itakda upang tingnan ang mga mandatoryong ad bago makakuha ng access.
Maaaring hatiin sa 4 na pangunahing hakbang ang setup ng pag-access ng bisita: Pag-setup ng FortiAP, pagkakakonekta ng Cisco ISE at FortiAP, paggawa ng guest portal, at pag-setup ng patakaran sa pag-access.
2. Pag-configure ng FortiAP sa FortiGate
Ang FortiGate ay isang access point controller at lahat ng mga setting ay ginawa dito. Sinusuportahan ng FortiAP access point ang PoE, kaya kapag naikonekta mo na ito sa network sa pamamagitan ng Ethernet, maaari mong simulan ang configuration.
1) Sa FortiGate, pumunta sa tab WiFi at Switch Controller > Managed FortiAPs > Create New > Managed AP. Gamit ang natatanging serial number ng access point, na naka-print sa mismong access point, idagdag ito bilang isang bagay. O maaari itong magpakita mismo at pagkatapos ay pindutin Pahintulutan gamit ang kanang pindutan ng mouse.
2) Maaaring maging default ang mga setting ng FortiAP, halimbawa, iwanan tulad ng sa screenshot. Lubos kong inirerekomenda na i-on ang 5 GHz mode, dahil hindi sinusuportahan ng ilang device ang 2.4 GHz.
3) Pagkatapos sa tab WiFi at Switch Controller > FortiAP Profile > Gumawa ng Bago gumagawa kami ng profile ng mga setting para sa access point (bersyon 802.11 protocol, SSID mode, dalas ng channel at ang kanilang numero).
Halimbawa ng mga setting ng FortiAP
4) Ang susunod na hakbang ay gumawa ng SSID. Pumunta sa tab WiFi at Switch Controller > SSIDs > Create New > SSID. Dito mula sa mahalagang isa ay dapat i-configure:
-
address space para sa guest WLAN - IP/Netmask
-
RADIUS Accounting at Secure Fabric Connection sa field na Administrative Access
-
Opsyon sa Pag-detect ng Device
-
SSID at Broadcast SSID na opsyon
-
Mga Setting ng Security Mode > Captive Portal
-
Portal ng Authentication - Panlabas at maglagay ng link sa ginawang guest portal mula sa Cisco ISE mula sa hakbang 20
-
Grupo ng Gumagamit - Grupo ng Panauhin - Panlabas - magdagdag ng RADIUS sa Cisco ISE (p. 6 pataas)
Halimbawa ng setting ng SSID
5) Pagkatapos ay dapat kang lumikha ng mga panuntunan sa patakaran sa pag-access sa FortiGate. Pumunta sa tab Patakaran at Mga Bagay > Patakaran sa Firewall at lumikha ng isang panuntunan tulad nito:
3. Setting ng RADIUS
6) Pumunta sa Cisco ISE web interface sa tab Patakaran > Mga Elemento ng Patakaran > Mga Diksyonaryo > System > Radius > RADIUS Vendor > Magdagdag. Sa tab na ito, idaragdag namin ang Fortinet RADIUS sa listahan ng mga sinusuportahang protocol, dahil halos bawat vendor ay may sariling mga partikular na katangian - VSA (Vendor-Specific Attributes).
Ang isang listahan ng mga katangian ng Fortinet RADIUS ay matatagpuan . Ang mga VSA ay nakikilala sa pamamagitan ng kanilang natatanging Vendor ID number. May ganitong ID ang Fortinet = 12356. Puno Ang VSA ay nai-publish ng IANA.
7) Itakda ang pangalan ng diksyunaryo, tukuyin ID ng vendor (12356) at pindutin Ipasa.
8) Pagkatapos naming pumunta sa Pangangasiwa > Mga Profile ng Network Device > Magdagdag at gumawa ng bagong profile ng device. Sa field ng RADIUS Dictionaries, piliin ang dating ginawang Fortinet RADIUS na diksyunaryo at piliin ang CoA method na gagamitin sa ibang pagkakataon sa ISE policy. Pinili ko ang RFC 5176 at Port Bounce (shutdown/no shutdown network interface) at ang mga kaukulang VSA:
Fortinet-Access-Profile=read-write
Fortinet-Group-Name = fmg_faz_admins
9) Susunod, magdagdag ng FortiGate para sa pagkakakonekta sa ISE. Upang gawin ito, pumunta sa tab Administration > Network Resources > Network Device Profile > Add. Mga field na dapat baguhin Pangalan, Vendor, RADIUS Dictionaries (Ang IP Address ay ginagamit ng FortiGate, hindi FortiAP).
Halimbawa ng pag-configure ng RADIUS mula sa gilid ng ISE
10) Pagkatapos nito, dapat mong i-configure ang RADIUS sa gilid ng FortiGate. Sa FortiGate web interface, pumunta sa User at Authentication > RADIUS Servers > Lumikha ng Bago. Tukuyin ang pangalan, IP address at Nakabahaging lihim (password) mula sa nakaraang talata. Susunod na pag-click Subukan ang Mga Kredensyal ng User at ipasok ang anumang mga kredensyal na maaaring makuha sa pamamagitan ng RADIUS (halimbawa, isang lokal na user sa Cisco ISE).
11) Magdagdag ng RADIUS server sa Guest-Group (kung wala ito) pati na rin ang panlabas na mapagkukunan ng mga user.
12) Huwag kalimutang idagdag ang Guest-Group sa SSID na ginawa namin kanina sa hakbang 4.
4. Setting ng Pagpapatunay ng User
13) Opsyonal, maaari kang mag-import ng certificate sa ISE guest portal o lumikha ng self-signed certificate sa tab Work Centers > Guest Access > Administration > Certification > System Certificates.
14) Pagkatapos sa tab Work Centers > Guest Access > Identity Groups > User Identity Groups > Add lumikha ng bagong pangkat ng user para sa pag-access ng bisita, o gamitin ang mga default.
15) Higit pa sa tab Pangangasiwa > Mga Pagkakakilanlan lumikha ng mga bisitang user at idagdag sila sa mga pangkat mula sa nakaraang talata. Kung gusto mong gumamit ng mga third-party na account, laktawan ang hakbang na ito.
16) Pagkatapos naming pumunta sa mga setting Mga Work Center > Access ng Bisita > Mga Pagkakakilanlan > Pagkakasunud-sunod ng Pinagmulan ng Pagkakakilanlan > Pagkakasunud-sunod ng Guest Portal β ito ang default na pagkakasunud-sunod ng pagpapatunay para sa mga user ng bisita. At sa field Listahan ng Paghahanap ng Authentication piliin ang order ng pagpapatunay ng user.
17) Upang ipaalam sa mga bisita ang isang beses na password, maaari mong i-configure ang mga SMS provider o isang SMTP server para sa layuning ito. Pumunta sa tab Work Centers > Guest Access > Administration > SMTP Server o Mga Tagabigay ng SMS Gateway para sa mga setting na ito. Sa kaso ng isang SMTP server, kailangan mong lumikha ng isang account para sa ISE at tukuyin ang data sa tab na ito.
18) Para sa mga SMS notification, gamitin ang naaangkop na tab. Ang ISE ay may mga paunang naka-install na profile ng mga sikat na SMS provider, ngunit mas mainam na gumawa ng sarili mo. Gamitin ang mga profile na ito bilang isang halimbawa ng setting SMS Email Gatewayy o SMS HTTP API.
Isang halimbawa ng pag-set up ng SMTP server at SMS gateway para sa isang beses na password
5. Pagse-set up ng guest portal
19) Gaya ng nabanggit sa simula, mayroong 3 uri ng mga paunang naka-install na guest portal: Hotspot, Sponsored, Self-Registered. Iminumungkahi kong piliin ang pangatlong opsyon, dahil ito ang pinakakaraniwan. Sa alinmang paraan, ang mga setting ay halos magkapareho. Kaya pumunta tayo sa tab. Mga Work Center > Access ng Bisita > Mga Portal at Bahagi > Mga Portal ng Panauhin > Nakarehistro sa Sarili na Portal ng Bisita (default).
20) Susunod, sa tab na Pag-customize ng Pahina ng Portal, piliin "Tingnan sa Russian - Russian", upang ang portal ay ipinapakita sa Russian. Maaari mong baguhin ang text ng anumang tab, idagdag ang iyong logo, at higit pa. Sa kanan sa sulok ay isang preview ng guest portal para sa mas magandang view.
Halimbawa ng pag-configure ng guest portal na may self-registration
21) Mag-click sa isang parirala URL ng pagsubok sa portal at kopyahin ang portal URL sa SSID sa FortiGate sa hakbang 4. Sample URL
Upang ipakita ang iyong domain, dapat mong i-upload ang certificate sa guest portal, tingnan ang hakbang 13.
22) Pumunta sa tab Work Centers > Guest Access > Policy Elements > Resulta > Authorization Profile > Add upang lumikha ng isang profile ng pahintulot sa ilalim ng naunang ginawa Profile ng Network Device.
23) Sa tab Work Centers > Guest Access > Policy Sets i-edit ang patakaran sa pag-access para sa mga gumagamit ng WiFi.
24) Subukan nating kumonekta sa SSID ng bisita. Agad akong ini-redirect nito sa login page. Dito maaari kang mag-log in gamit ang guest account na lokal na ginawa sa ISE, o magrehistro bilang guest user.
25) Kung pinili mo ang opsyon sa pagpaparehistro sa sarili, ang isang beses na data sa pag-login ay maaaring ipadala sa pamamagitan ng koreo, sa pamamagitan ng SMS, o pag-print.
26) Sa tab na RADIUS > Live Logs sa Cisco ISE, makikita mo ang kaukulang mga log sa pag-log in.
6. Konklusyon
Sa mahabang artikulong ito, matagumpay naming na-configure ang pag-access ng bisita sa Cisco ISE, kung saan gumaganap ang FortiGate bilang controller ng access point, at gumaganap ang FortiAP bilang access point. Ito ay naging isang uri ng di-maliit na pagsasama, na muling nagpapatunay sa malawakang paggamit ng ISE.
Upang subukan ang Cisco ISE, makipag-ugnayan at manatiling nakatutok din sa aming mga channel (, , , , ).
Pinagmulan: www.habr.com