سسکو ISE: FortiAP پر مہمانوں کی رسائی کو ترتیب دینا۔ حصہ 3

Cisco ISE سیریز کی تیسری پوسٹ میں خوش آمدید۔ سیریز کے تمام مضامین کے لنکس ذیل میں دیئے گئے ہیں:

1. سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1

2. سسکو ISE: صارفین کی تخلیق، LDAP سرورز کو شامل کرنا، AD کے ساتھ انضمام۔ حصہ 2

3. سسکو ISE: FortiAP پر مہمانوں کی رسائی کو ترتیب دینا۔ حصہ 3

اس اشاعت میں، آپ مہمانوں تک رسائی کے ساتھ ساتھ فورٹی اے پی کو ترتیب دینے کے لیے سسکو آئی ایس ای اور فورٹی گیٹ کو مربوط کرنے کے لیے ایک قدم بہ قدم رہنمائی کریں گے - فورٹینیٹ سے ایک رسائی پوائنٹ (عام طور پر، کوئی بھی ایسا آلہ جو سپورٹ کرتا ہے۔ RADIUS CoA - اجازت کی تبدیلی)۔

مزید برآں، میں اپنے مضامین منسلک کرتا ہوں۔ Fortinet - مفید مواد کا ایک انتخاب.

نوٹ: چیک پوائنٹ SMB آلات RADIUS CoA کو سپورٹ نہیں کرتے ہیں۔

کمال ہے۔ رہنما انگریزی میں بیان کرتا ہے کہ Cisco WLC (وائرلیس کنٹرولر) پر Cisco ISE کا استعمال کرتے ہوئے مہمانوں تک رسائی کیسے پیدا کی جائے۔ آئیے معلوم کرتے ہیں!

1. تعارف

مہمانوں تک رسائی (پورٹل) آپ کو ان مہمانوں اور صارفین کے لیے انٹرنیٹ یا اندرونی وسائل تک رسائی فراہم کرنے کی اجازت دیتا ہے جنہیں آپ اپنے مقامی نیٹ ورک میں جانے نہیں دینا چاہتے۔ مہمان پورٹل کی 3 پیش وضاحتی اقسام ہیں (گیسٹ پورٹل):

1. ہاٹ سپاٹ گیسٹ پورٹل - مہمانوں کو بغیر لاگ ان ڈیٹا کے نیٹ ورک تک رسائی فراہم کی جاتی ہے۔ صارفین کو عام طور پر نیٹ ورک تک رسائی سے پہلے کمپنی کی "استعمال اور رازداری کی پالیسی" کو قبول کرنے کی ضرورت ہوتی ہے۔

2. سپانسرڈ-گیسٹ پورٹل - نیٹ ورک تک رسائی اور لاگ ان ڈیٹا اسپانسر کے ذریعہ فراہم کیا جانا چاہئے - سسکو ISE پر مہمان اکاؤنٹس بنانے کا ذمہ دار صارف۔

3. خود رجسٹرڈ مہمان پورٹل - اس صورت میں، مہمان موجودہ لاگ ان ڈیٹا استعمال کرتے ہیں، یا لاگ ان ڈیٹا کے ساتھ اپنے لیے ایک اکاؤنٹ بناتے ہیں، لیکن نیٹ ورک تک رسائی حاصل کرنے کے لیے اسپانسر کی تصدیق کی ضرورت ہوتی ہے۔

آپ Cisco ISE پر بیک وقت متعدد پورٹلز تعینات کر سکتے ہیں۔ پہلے سے طے شدہ طور پر، صارف کو مہمان پورٹل میں Cisco لوگو اور معیاری عام جملے نظر آئیں گے۔ یہ سب اپنی مرضی کے مطابق کیا جا سکتا ہے اور آپ رسائی حاصل کرنے سے پہلے لازمی اشتہارات کو دیکھنے کو بھی سیٹ کر سکتے ہیں۔

مہمانوں تک رسائی کو ترتیب دینے کو 4 اہم مراحل میں تقسیم کیا جا سکتا ہے: FortiAP کو ترتیب دینا، Cisco ISE اور FortiAP کنیکٹوٹی قائم کرنا، ایک مہمان پورٹل بنانا، اور رسائی کی پالیسی ترتیب دینا۔

2. FortiGate پر FortiAP کو ترتیب دینا

فورٹی گیٹ ایک رسائی پوائنٹ کنٹرولر ہے اور تمام سیٹنگز اس پر کی جاتی ہیں۔ FortiAP رسائی پوائنٹس PoE کو سپورٹ کرتے ہیں، لہذا ایک بار جب آپ اسے ایتھرنیٹ کے ذریعے اپنے نیٹ ورک سے منسلک کر لیتے ہیں، تو آپ کنفیگریشن شروع کر سکتے ہیں۔

1) FortiGate پر، ٹیب پر جائیں۔ وائی ​​فائی اور سوئچ کنٹرولر > مینیجڈ فورٹی اے پیز > نیا بنائیں > مینیجڈ اے پی. رسائی پوائنٹ کے منفرد سیریل نمبر کا استعمال کرتے ہوئے، جو کہ ایکسیس پوائنٹ پر ہی واقع ہے، اسے بطور آبجیکٹ شامل کریں۔ یا یہ خود ہی ظاہر ہو سکتا ہے اور پھر کلک کر سکتا ہے۔ اختیار دائیں ماؤس بٹن کا استعمال کرتے ہوئے.

2) FortiAP ترتیبات پہلے سے طے شدہ ہوسکتی ہیں، مثال کے طور پر، اسکرین شاٹ کی طرح چھوڑ دیں۔ میں 5 GHz موڈ کو آن کرنے کی انتہائی سفارش کرتا ہوں، کیونکہ کچھ آلات 2.4 GHz کو سپورٹ نہیں کرتے ہیں۔

3) پھر ٹیب میں وائی ​​فائی اور سوئچ کنٹرولر> فورٹی اے پی پروفائلز> نیا بنائیں ہم رسائی پوائنٹ (802.11 پروٹوکول ورژن، SSID موڈ، چینل کی فریکوئنسی اور چینلز کی تعداد) کے لیے ایک سیٹنگ پروفائل بناتے ہیں۔

FortiAP ترتیبات کی مثال

4) اگلا مرحلہ ایک SSID بنانا ہے۔ ٹیب پر جائیں۔ وائی ​​فائی اور سوئچ کنٹرولر > SSIDs > نیا بنائیں > SSID۔ ترتیب دینے کے لیے اہم چیزیں یہ ہیں:

• مہمان کے لیے ایڈریس کی جگہ WLAN - IP/Netmask

• RADIUS اکاؤنٹنگ اور انتظامی رسائی کے میدان میں محفوظ فیبرک کنکشن

• ڈیوائس کا پتہ لگانے کا اختیار

• SSID اور براڈکاسٹ SSID آپشن

• سیکیورٹی موڈ کی ترتیبات> کیپٹیو پورٹل 

• تصدیقی پورٹل - سسکو آئی ایس ای سے بنائے گئے گیسٹ پورٹل کا لنک بیرونی اور مرحلہ 20 سے پیسٹ کریں۔

• صارف گروپ - مہمان گروپ - بیرونی - RADIUS کو Cisco ISE میں شامل کریں (سیکشن 6 ff)

SSID ترتیب دینے کی مثال

5) اگلا، آپ کو فورٹی گیٹ پر رسائی کی پالیسی میں قواعد بنانے چاہئیں۔ ٹیب پر جائیں۔ پالیسی اور آبجیکٹ > فائر وال پالیسی اور اس طرح ایک اصول بنائیں:

3. RADIUS ترتیب

6) ٹیب پر Cisco ISE ویب انٹرفیس پر جائیں۔ پالیسی > پالیسی عناصر > لغت > سسٹم > رداس > RADIUS وینڈرز > شامل کریں۔ اس ٹیب میں، ہم Fortinet RADIUS کو معاون پروٹوکولز کی فہرست میں شامل کریں گے، کیونکہ تقریباً ہر وینڈر کی اپنی مخصوص خصوصیات ہیں - VSA (Vendor-specific Attributes)۔

Fortinet RADIUS صفات کی ایک فہرست مل سکتی ہے۔ یہاں. VSAs کو ایک منفرد وینڈر ID نمبر سے ممتاز کیا جاتا ہے۔ Fortinet میں یہ ID = ہے۔ 12356. مکمل فہرست VSA کو IANA تنظیم نے شائع کیا تھا۔

7) لغت کا نام مقرر کریں، وضاحت کریں۔ وینڈر ID (12356) اور دبائیں۔ جمع کرائیں.

8) اس کے بعد ہم جاتے ہیں۔ ایڈمنسٹریشن> نیٹ ورک ڈیوائس پروفائلز> شامل کریں۔ اور ایک نیا ڈیوائس پروفائل بنائیں۔ RADIUS ڈکشنری فیلڈ میں، پہلے سے بنائی گئی Fortinet RADIUS ڈکشنری کو منتخب کریں اور ISE پالیسی میں بعد میں استعمال کرنے کے لیے CoA طریقے منتخب کریں۔ میں نے RFC 5176 اور پورٹ باؤنس (شٹ ڈاؤن/کوئی شٹ ڈاؤن نیٹ ورک انٹرفیس) اور متعلقہ VSAs کا انتخاب کیا: 

Fortinet-Access-Profile = پڑھنا لکھنا

Fortinet-Group-name = fmg_faz_admins

9) اگلا آپ کو ISE کے ساتھ رابطے کے لیے FortiGate شامل کرنا چاہیے۔ ایسا کرنے کے لیے، ٹیب پر جائیں۔ انتظامیہ > نیٹ ورک وسائل > نیٹ ورک ڈیوائس پروفائلز > شامل کریں۔ فیلڈز کو تبدیل کرنا ہے۔ نام، وینڈر، RADIUS ڈکشنری (IP ایڈریس FortiGate استعمال کرتا ہے، FortiAP نہیں)۔

RADIUS کو ISE کی طرف سے ترتیب دینے کی مثال

10) اگلا، آپ کو فورٹی گیٹ کی طرف RADIUS کو ترتیب دینا چاہیے۔ FortiGate ویب انٹرفیس میں، پر جائیں۔ صارف اور توثیق> RADIUS سرورز> نیا بنائیں. پچھلے پیراگراف سے نام، IP ایڈریس اور مشترکہ خفیہ (پاس ورڈ) کی وضاحت کریں۔ اگلا کلک کریں۔ صارف کی اسناد کی جانچ کریں۔ اور کوئی بھی اسناد درج کریں جسے RADIUS کے ذریعے کھینچا جا سکتا ہے (مثال کے طور پر، Cisco ISE پر مقامی صارف)۔

11) گیسٹ گروپ میں ایک RADIUS سرور شامل کریں (اگر یہ موجود نہیں ہے تو ایک تخلیق کریں)، نیز بیرونی ذرائع استعمال کرنے والے۔

12) گیسٹ گروپ کو SSID میں شامل کرنا نہ بھولیں جو ہم نے پہلے مرحلہ 4 میں بنایا تھا۔

4. صارف کی تصدیق کی ترتیب

13) اختیاری طور پر، آپ ISE مہمان پورٹل پر ایک سرٹیفکیٹ درآمد کر سکتے ہیں یا ٹیب میں خود دستخط شدہ سرٹیفکیٹ بنا سکتے ہیں۔ کام کے مراکز > مہمانوں تک رسائی > انتظامیہ > سرٹیفیکیشن > سسٹم سرٹیفکیٹس.

14) ٹیب میں کے بعد کام کے مراکز > مہمانوں تک رسائی > شناختی گروپس > صارف شناختی گروپس > شامل کریں۔ مہمانوں تک رسائی کے لیے ایک نیا صارف گروپ بنائیں، یا پہلے سے طے شدہ کو استعمال کریں۔

15) مزید ٹیب میں انتظامیہ > شناخت مہمان صارفین بنائیں اور انہیں پچھلے پیراگراف سے گروپوں میں شامل کریں۔ اگر آپ فریق ثالث اکاؤنٹس استعمال کرنا چاہتے ہیں، تو اس مرحلہ کو چھوڑ دیں۔

16) پھر ترتیبات پر جائیں۔ کام کے مراکز > مہمانوں تک رسائی > شناخت > شناختی ماخذ کی ترتیب > مہمان پورٹل ترتیب - یہ مہمان صارفین کے لیے پہلے سے طے شدہ تصدیقی ترتیب ہے۔ اور میدان میں تصدیقی تلاش کی فہرست صارف کی توثیق کا آرڈر منتخب کریں۔

17) مہمانوں کو ایک وقتی پاس ورڈ کے ساتھ مطلع کرنے کے لیے، آپ اس مقصد کے لیے SMS فراہم کنندگان یا SMTP سرور کو تشکیل دے سکتے ہیں۔ ٹیب پر جائیں۔ کام کے مراکز > مہمانوں تک رسائی > انتظامیہ > SMTP سرور یا SMS گیٹ وے فراہم کرنے والے ان ترتیبات کے لیے۔ SMTP سرور کی صورت میں، آپ کو ISE کے لیے ایک اکاؤنٹ بنانا ہوگا اور اس ٹیب میں ڈیٹا کی وضاحت کرنی ہوگی۔

18) SMS اطلاعات کے لیے، مناسب ٹیب استعمال کریں۔ ISE کے پاس مقبول SMS فراہم کنندگان کے پہلے سے انسٹال شدہ پروفائلز ہیں، لیکن بہتر ہے کہ آپ خود بنائیں۔ ان پروفائلز کو ترتیب کی مثال کے طور پر استعمال کریں۔ ایس ایم ایس ای میل گیٹ وےy یا SMS HTTP API.

ایک وقتی پاس ورڈ کے لیے SMTP سرور اور SMS گیٹ وے ترتیب دینے کی ایک مثال

5. مہمانوں کے پورٹل کو ترتیب دینا

19) جیسا کہ شروع میں بتایا گیا ہے، پہلے سے نصب مہمان پورٹلز کی 3 اقسام ہیں: ہاٹ سپاٹ، سپانسر شدہ، خود رجسٹرڈ۔ میں تیسرا آپشن منتخب کرنے کا مشورہ دیتا ہوں، کیونکہ یہ سب سے عام ہے۔ کسی بھی صورت میں، ترتیبات بڑی حد تک ایک جیسی ہیں۔ تو آئیے ٹیب پر چلتے ہیں۔ کام کے مراکز > مہمانوں تک رسائی > پورٹلز اور اجزاء > گیسٹ پورٹلز > خود رجسٹرڈ گیسٹ پورٹل (پہلے سے طے شدہ)۔ 

20) اگلا، پورٹل پیج حسب ضرورت ٹیب میں، منتخب کریں۔ "روسی میں دیکھیں - روسی"، تاکہ پورٹل روسی زبان میں ظاہر ہو۔ آپ کسی بھی ٹیب کا متن تبدیل کر سکتے ہیں، اپنا لوگو شامل کر سکتے ہیں، وغیرہ۔ کونے میں دائیں جانب ایک بہتر نظارے کے لیے مہمان پورٹل کا پیش نظارہ ہے۔

خود رجسٹریشن کے ساتھ مہمان پورٹل کو ترتیب دینے کی مثال

21) جملے پر کلک کریں۔ "پورٹل ٹیسٹ URL" اور پورٹل یو آر ایل کو مرحلہ 4 میں FortiGate پر SSID میں کاپی کریں۔ نمونہ URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

اپنے ڈومین کو ظاہر کرنے کے لیے، آپ کو سرٹیفکیٹ کو مہمان پورٹل پر اپ لوڈ کرنا ہوگا، مرحلہ 13 دیکھیں۔

22) ٹیب پر جائیں۔ کام کے مراکز > مہمانوں تک رسائی > پالیسی عناصر > نتائج > اجازت دینے والے پروفائلز > شامل کریں۔ پہلے سے بنائے گئے ایک کے تحت اجازت دینے کا پروفائل بنانے کے لیے نیٹ ورک ڈیوائس پروفائل۔

23) ٹیب میں کام کے مراکز > مہمانوں تک رسائی > پالیسی سیٹ وائی ​​فائی صارفین کے لیے رسائی کی پالیسی میں ترمیم کریں۔

24) آئیے مہمان SSID سے رابطہ قائم کرنے کی کوشش کریں۔ یہ مجھے فوری طور پر لاگ ان پیج پر بھیج دیتا ہے۔ یہاں آپ ISE پر مقامی طور پر بنائے گئے مہمان اکاؤنٹ کے ساتھ لاگ ان کر سکتے ہیں، یا بطور مہمان صارف رجسٹر کر سکتے ہیں۔

25) اگر آپ نے خود رجسٹریشن کا اختیار منتخب کیا ہے، تو ایک بار لاگ ان ڈیٹا بذریعہ ڈاک، ایس ایم ایس، یا پرنٹ کیا جا سکتا ہے۔

26) Cisco ISE پر RADIUS > Live Logs ٹیب میں آپ کو متعلقہ لاگ ان لاگز نظر آئیں گے۔

6. نتیجہ

اس طویل مضمون میں، ہم نے Cisco ISE پر مہمانوں کی رسائی کو کامیابی کے ساتھ ترتیب دیا ہے، جہاں FortiGate ایکسیس پوائنٹ کنٹرولر کے طور پر کام کرتا ہے، اور FortiAP ایکسیس پوائنٹ کے طور پر کام کرتا ہے۔ یہ ایک قسم کا غیر معمولی انضمام نکلا، جو ایک بار پھر ISE کے وسیع پیمانے پر استعمال کو ثابت کرتا ہے۔

Cisco ISE کو جانچنے کے لیے، رابطہ کریں۔ لنکاور ہمارے چینلز میں اپ ڈیٹس کو بھی فالو کریں (تار, فیس بک, VK, ٹی ایس حل بلاگ, یینڈیکس زین۔).

ماخذ: www.habr.com