Вітаю у третій публікації циклу статей, присвяченому Cisco ISE. Посилання на всі статті в циклі наведено нижче:
У цій публікації на вас чекає занурення в гостьовий доступ, а також покрокове керівництво інтеграції Cisco ISE та FortiGate для налаштування FortiAP — точки доступу від Fortinet (загалом підходить будь-який пристрій, який підтримує RADIUS CoA - Сhange of Authorization).
Додатково додаю наші статті .
Примітка: Check Point SMB пристрої не підтримують RADIUS CoA.
Чудове англійською мовою описує, як створити гостьовий доступ за допомогою Cisco ISE на Cisco WLC (Wireless Controller). Давайте розумітися!
1. Вступ
Гостьовий доступ (портал) дозволяє надати доступ до Інтернету або внутрішніх ресурсів для гостей і користувачів, яких ви не хочете впускати в свою локальну мережу. Існує 3 попередньо встановлені типи гостьового порталу (Guest portal):
-
Hotspot Guest portal - доступ до мережі гостям надається без даних для входу. Як правило, користувачам потрібно прийняти “Політику використання та конфіденційності” компанії, перш ніж отримати доступ до мережі.
-
Sponsored-Guest portal - доступ у мережу та дані для входу повинен видати спонсор - користувач, відповідальний за створення гостьових обліків на Cisco ISE.
-
Self-Registered Guest portal — у цьому випадку гості використовують існуючі дані для входу, або самі собі створюють обліковий запис із даними для входу, проте потрібне підтвердження спонсора для отримання доступу до мережі.
На Cisco ISE можна розгорнути багато порталів одночасно. За промовчанням на гостьовому порталі користувач побачить логотип Cisco та стандартні загальні фрази. Це можна кастомізувати і навіть встановити перегляд обов'язкової реклами перед отриманням доступу.
Налаштування гостьового доступу можна розбити на 4 основні етапи: налаштування FortiAP, встановлення зв'язків Cisco ISE та FortiAP, створення гостьового порталу та налаштування політики доступу.
2. Налаштування FortiAP на FortiGate
FortiGate є контролером точок доступу і всі налаштування проводяться на ньому. Точки доступу FortiAP підтримують PoE, тому як тільки ви підключили її до мережі Ethernet, можна починати налаштування.
1) На FortiGate зайдіть у вкладку WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Використовуючи унікальний серійний номер точки доступу, який вказано на точці доступу, додайте її як об'єкт. Або вона може виявитися сама і тоді натисніть Авторизація за допомогою правої клавіші миші.
2) Налаштування FortiAP можуть бути за промовчанням, для прикладу залиште як на скріншоті. Вкрай рекомендую включати 5 ГГц режим, оскільки деякі пристрої не підтримують 2.4 ГГц.
3) Потім у вкладці WiFi & Switch Controller > FortiAP Profiles > Create New ми створюємо профіль налаштувань для точки доступу (версія 802.11 протоколу, режим SSID, частота каналу та їх кількість).
Приклад налаштувань FortiAP
4) Наступний крок – створення SSID. Перейдіть у вкладку WiFi & Switch Controller > SSIDs > Create New > SSID. Тут із важливого слід налаштувати:
-
адресний простір для гостьового WLAN - IP/Netmask
-
RADIUS Accounting та Secure Fabric Connection у полі Administrative Access
-
Опція Device Detection
-
SSID та опція Broadcast SSID
-
Security Mode Settings > Captive Portal
-
Authentication Portal - External і вставити посилання на створений гостьовий портал з Cisco ISE з п. 20
-
User Group — Guest Group — External — додати RADIUS до Cisco ISE (п. 6 і далі)
Приклад налаштування SSID
5) Потім слід створити правила у політиці доступу на FortiGate. Перейдіть у вкладку Policy & Objects > Firewall Policy і створіть правило такого виду:
3. Налаштування RADIUS
6) Перейдіть до веб-інтерфейсу Cisco ISE у вкладку Policy > Policy Elements > Dictionaries > System > Radius > RADIUS Vendors > Add. У цій вкладці ми додамо до списку підтримуваних протоколів RADIUS від Fortinet, оскільки майже кожен вендор має власні специфічні атрибути - VSA (Vendor-Specific Attributes).
Список атрибутів RADIUS Fortinet можна знайти . VSA відрізняються за унікальним числом Vendor ID. У Fortinet цей ID = 12356. Повний VSA було опубліковано організацією IANA.
7) Задаємо ім'я словнику, вказуємо Vendor ID (12356) та натискаємо Надіслати.
8) Після переходимо в Administration > Network Device Profiles > Add та створюємо новий профіль пристрою. У полі RADIUS Dictionaries слід вибрати раніше створений Fortinet RADIUS словник та вибрати методи CoA для того, щоб використовувати їх потім у політиці ISE. Я вибрав RFC 5176 та Port Bounce (shutdown/no shutdown мережного інтерфейсу) та відповідні VSA:
Fortinet-Access-Profile = read-write
Fortinet-Group-Name = fmg_faz_admins
9) Далі слід додати FortiGate для зв'язку c ISE. Для цього зайдіть у вкладку Administration > Network Resources > Network Device Profiles > Add. Змінити слід поля Name, Vendor, RADIUS Dictionaries (IP Address використовується FortiGate, а не FortiAP).
Приклад налаштування RADIUS із боку ISE
10) Після цього слід налаштувати RADIUS на стороні FortiGate. У веб-інтерфейсі FortiGate зайдіть у User & Authentication > RADIUS Servers > Create New. Вкажіть ім'я, IP-адресу та Shared secret (пароль) з минулого пункту. Далі натисніть Перевірте облікові дані користувача та введіть будь-які облікові дані, які можуть підтягуватися через RADIUS (наприклад, локальний користувач Cisco ISE).
11) Додайте в групу Guest-Group (якщо її немає створіть) RADIUS сервер, як і зовнішні джерело користувачів.
12) Не забудьте додати групу Guest-Group до SSID, який ми створили раніше у п. 4.
4. Налаштування користувачів автентифікації
13) Опціонально можна імпортувати на гостьовий портал ISE сертифікат або створити самопідписаний сертифікат у вкладці Work Centers > Guest Access > Administration > Certification > System Certificates.
14) Після у вкладці Work Centers > Guest Access > Identity Groups > User Identity Groups > Add створіть нову групу користувачів для гостьового доступу, або використовуйте створені за промовчанням.
15) Далі у вкладці Administration > Identities створіть гостьових користувачів та додайте їх до груп з минулого пункту. Якщо ви хочете використовувати сторонні облікові записи, пропустіть цей крок.
16) Після переходимо в налаштування Work Centers > Guest Access > Identities > Identity Source Sequence > Guest Portal Sequence це встановлена послідовність аутентифікації гостьових користувачів. І в полі Authentication Search List Виберіть порядок автентифікації користувачів.
17) Для сповіщення гостей одноразовим паролем можна налаштувати SMS провайдерів або SMTP сервер для цієї мети. Перейдіть у вкладку Work Centers > Guest Access > Administration > SMTP Server або SMS Gateway Providers для даних установок. У випадку з сервером SMTP потрібно створити облік для ISE і вказати дані в цій вкладці.
18) Для повідомлень по SMS використовуйте відповідну вкладку. У ISE є встановлені профілі популярних SMS провайдерів, проте краще створити свій. Дані профілі використовуйте як приклад налаштування SMS Email Gateway або SMS HTTP API.
Приклад налаштування SMTP сервера та SMS шлюзу для одноразового пароля
5. Налаштування гостьового порталу
19) Як було згадано на початку, є 3 типи попередньо встановлених гостьових порталу: Hotspot, Sponsored, Self-Registered. Пропоную вибрати третій варіант, тому що він найчастіше зустрічається. У будь-якому випадку налаштування багато в чому ідентичні. Тому переходимо у вкладку Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal (default).
20) Далі у вкладці Portal Page Customization виберіть "View in Ukrainian - Українська", щоб портал став відображатись російською мовою. Ви можете змінювати текст будь-якої вкладки, додати свій логотип та багато іншого. Праворуч у кутку превью гостьового порталу для зручнішої вистави.
Приклад налаштування гостьового порталу із самореєстрацією
21) Натисніть на фразу "Portal test URL" та скопіюйте URL порталу в SSID на FortiGate у кроці 4. Зразковий вигляд URL
Щоб відобразити ваш домен, слід підвантажити сертифікат на гостьовий портал, дивіться крок 13.
22) Перейдіть у вкладку Work Centers > Guest Access > Policy Elements > Results > Authorization Profiles > Add для створення профілю авторизації під раніше створений Network Device Profile.
23) У вкладці Work Centers > Guest Access > Policy Sets редагуйте політику доступу для WiFi користувачів.
24) Спробуємо підключитися до SSID. Мене одразу перенаправляє на сторінку входу. Тут можна зайти під обліком guest, створеної локально на ISE, або зареєструватися як гостьовий користувач.
25) Якщо ви вибрали варіант самореєстрації, то одноразові дані для входу можна надіслати на пошту, через СМС або роздрукувати.
26) У вкладці RADIUS > Live Logs на Cisco ISE ви побачите відповідні входи.
6. висновок
У цій довгій статтею ми успішно налаштували гостьовий доступ на Cisco ISE, де як контролер точок доступу виступає FortiGate, а як точка доступу FortiAP. Вийшла така собі нетривіальна інтеграція, що вкотре доводить широке застосування ISE.
Для тестування Cisco ISE звертайтесь за , а також слідкуйте за оновленнями в наших каналах (, , , , ).
Джерело: habr.com