Chào mừng bạn đến với bài đăng thứ ba trong sê-ri Cisco ISE. Liên kết đến tất cả các bài viết trong loạt bài được đưa ra dưới đây:
Trong bài đăng này, bạn sẽ đi sâu vào quyền truy cập của khách, cũng như hướng dẫn từng bước để tích hợp Cisco ISE và FortiGate để định cấu hình FortiAP, một điểm truy cập từ Fortinet (nói chung là bất kỳ thiết bị nào hỗ trợ BÁNH GIÁ CoA — Thay đổi Ủy quyền).
Đính kèm là bài viết của chúng tôi. .
GhiĐ: Các thiết bị Check Point SMB không hỗ trợ RADIUS CoA.
Tuyệt vời mô tả bằng tiếng Anh cách tạo quyền truy cập của khách bằng Cisco ISE trên Cisco WLC (Bộ điều khiển không dây). Hãy tìm ra nó ra!
XUẤT KHẨU. Giới thiệu
Quyền truy cập của khách (cổng thông tin) cho phép bạn cung cấp quyền truy cập Internet hoặc tài nguyên nội bộ cho khách và người dùng mà bạn không muốn cho phép vào mạng cục bộ của mình. Có 3 loại cổng khách (Guest portal) được xác định trước:
-
Cổng khách Hotspot - Quyền truy cập vào mạng được cung cấp cho khách mà không cần dữ liệu đăng nhập. Người dùng thường được yêu cầu chấp nhận "Chính sách sử dụng và quyền riêng tư" của công ty trước khi truy cập mạng.
-
Cổng tài trợ-Khách - quyền truy cập vào mạng và dữ liệu đăng nhập phải được cấp bởi nhà tài trợ - người dùng chịu trách nhiệm tạo tài khoản khách trên Cisco ISE.
-
Cổng khách tự đăng ký - trong trường hợp này, khách sử dụng thông tin đăng nhập hiện có hoặc tạo tài khoản cho chính họ bằng thông tin đăng nhập, nhưng cần có xác nhận của nhà tài trợ để có quyền truy cập vào mạng.
Nhiều cổng có thể được triển khai trên Cisco ISE cùng một lúc. Theo mặc định, trong cổng khách, người dùng sẽ nhìn thấy logo của Cisco và các cụm từ thông dụng tiêu chuẩn. Tất cả điều này có thể được tùy chỉnh và thậm chí được đặt để xem quảng cáo bắt buộc trước khi có quyền truy cập.
Thiết lập quyền truy cập của khách có thể được chia thành 4 bước chính: Thiết lập FortiAP, kết nối Cisco ISE và FortiAP, tạo cổng khách và thiết lập chính sách truy cập.
2. Cấu hình FortiAP trên FortiGate
FortiGate là một bộ điều khiển điểm truy cập và tất cả các cài đặt được thực hiện trên đó. Các điểm truy cập FortiAP hỗ trợ PoE, vì vậy khi bạn đã kết nối nó với mạng qua Ethernet, bạn có thể bắt đầu cấu hình.
1) Trên FortiGate, vào tab Bộ điều khiển WiFi & Switch > FortiAP được quản lý > Tạo mới > AP được quản lý. Sử dụng số sê-ri duy nhất của điểm truy cập, được in trên chính điểm truy cập đó, thêm nó làm đối tượng. Hoặc nó có thể tự hiện ra rồi ấn Ủy quyền bằng cách sử dụng nút chuột phải.
2) Cài đặt FortiAP có thể là mặc định, chẳng hạn như để nguyên như trong ảnh chụp màn hình. Tôi thực sự khuyên bạn nên bật chế độ 5 GHz vì một số thiết bị không hỗ trợ 2.4 GHz.
3) Sau đó, trong tab Bộ điều khiển WiFi & Switch > Cấu hình FortiAP > Tạo mới chúng tôi đang tạo cấu hình cài đặt cho điểm truy cập (giao thức phiên bản 802.11, chế độ SSID, tần số kênh và số của chúng).
Ví dụ cài đặt FortiAP
4) Bước tiếp theo là tạo SSID. Chuyển đến tab Bộ điều khiển WiFi & Switch > SSID > Tạo mới > SSID. Ở đây từ cái quan trọng nên được cấu hình:
-
không gian địa chỉ cho mạng WLAN khách - IP/Netmask
-
RADIUS Kế toán và kết nối cấu trúc an toàn trong trường Truy cập quản trị
-
Tùy chọn Phát hiện thiết bị
-
Tùy chọn SSID và Broadcast SSID
-
Cài đặt Chế độ bảo mật > Cổng Captive
-
Cổng xác thực - Bên ngoài và chèn liên kết đến cổng khách đã tạo từ Cisco ISE từ bước 20
-
Nhóm người dùng - Nhóm khách - Bên ngoài - thêm RADIUS vào Cisco ISE (p. 6 trở đi)
Ví dụ cài đặt SSID
5) Sau đó, bạn nên tạo các quy tắc trong chính sách truy cập trên FortiGate. Chuyển đến tab Chính sách & Đối tượng > Chính sách tường lửa và tạo một quy tắc như thế này:
3. Cài đặt BÁN KÍNH
6) Chuyển đến giao diện web Cisco ISE đến tab Chính sách > Thành phần chính sách > Từ điển > Hệ thống > Bán kính > Nhà cung cấp RADIUS > Thêm. Trong tab này, chúng tôi sẽ thêm Fortinet RADIUS vào danh sách các giao thức được hỗ trợ, vì hầu hết mọi nhà cung cấp đều có các thuộc tính cụ thể của riêng mình - VSA (Thuộc tính cụ thể của nhà cung cấp).
Có thể tìm thấy danh sách các thuộc tính RADIUS của Fortinet . VSAs được phân biệt bằng số ID nhà cung cấp duy nhất của họ. Fortinet có ID này = 12356. Đầy VSA đã được xuất bản bởi IANA.
7) Đặt tên của từ điển, chỉ định Nhà cung cấp ID (12356) và nhấn Gửi đi.
8) Sau khi chúng tôi đi đến Quản trị > Cấu hình thiết bị mạng > Thêm và tạo một cấu hình thiết bị mới. Trong trường RADIUS Dictionaries, chọn từ điển Fortinet RADIUS đã tạo trước đó và chọn các phương thức CoA để sử dụng sau này trong chính sách ISE. Tôi đã chọn RFC 5176 và Port Bounce (tắt/không tắt giao diện mạng) và các VSA tương ứng:
Fortinet-Access-Profile=đọc-ghi
Tên nhóm Fortinet = fmg_faz_admins
9) Tiếp theo, thêm FortiGate để kết nối với ISE. Để làm điều này, hãy chuyển đến tab Quản trị > Tài nguyên mạng > Cấu hình thiết bị mạng > Thêm. Các trường cần thay đổi Tên, Nhà cung cấp, Từ điển RADIUS (Địa chỉ IP được sử dụng bởi FortiGate, không phải FortiAP).
Ví dụ về cấu hình RADIUS từ phía ISE
10) Sau đó, bạn nên cấu hình RADIUS ở phía FortiGate. Trong giao diện web của FortiGate, hãy truy cập Người dùng & Xác thực > Máy chủ RADIUS > Tạo mới. Chỉ định tên, địa chỉ IP và Bí mật chung (mật khẩu) từ đoạn trước. nhấp chuột tiếp theo Kiểm tra thông tin xác thực người dùng và nhập bất kỳ thông tin đăng nhập nào có thể được lấy thông qua RADIUS (ví dụ: người dùng cục bộ trên Cisco ISE).
11) Thêm máy chủ RADIUS vào Nhóm khách (nếu nó không tồn tại) cũng như nguồn người dùng bên ngoài.
12) Đừng quên thêm Nhóm khách vào SSID mà chúng tôi đã tạo trước đó ở bước 4.
4. Cài đặt xác thực người dùng
13) Theo tùy chọn, bạn có thể nhập chứng chỉ vào cổng khách ISE hoặc tạo chứng chỉ tự ký trong tab Trung tâm làm việc > Quyền truy cập của khách > Quản trị > Chứng nhận > Chứng chỉ hệ thống.
14) Sau khi vào tab Trung tâm công việc > Quyền truy cập của khách > Nhóm nhận dạng > Nhóm nhận dạng người dùng > Thêm tạo một nhóm người dùng mới để truy cập với tư cách khách hoặc sử dụng những nhóm mặc định.
15) Hơn nữa trong tab Quản trị > Danh tính tạo người dùng khách và thêm họ vào các nhóm từ đoạn trước. Nếu bạn muốn sử dụng tài khoản của bên thứ ba, hãy bỏ qua bước này.
16) Sau khi chúng tôi đi đến cài đặt Trung tâm làm việc > Quyền truy cập của khách > Danh tính > Trình tự nguồn nhận dạng > Trình tự cổng khách — đây là trình tự xác thực mặc định cho người dùng khách. Và trong lĩnh vực này Danh sách tìm kiếm xác thực chọn thứ tự xác thực người dùng.
17) Để thông báo cho khách bằng mật khẩu một lần, bạn có thể định cấu hình nhà cung cấp SMS hoặc máy chủ SMTP cho mục đích này. Chuyển đến tab Trung tâm làm việc > Quyền truy cập của khách > Quản trị > Máy chủ SMTP hoặc Nhà cung cấp cổng SMS cho các cài đặt này. Trong trường hợp máy chủ SMTP, bạn cần tạo tài khoản cho ISE và chỉ định dữ liệu trong tab này.
18) Đối với thông báo SMS, hãy sử dụng tab thích hợp. ISE có các cấu hình được cài đặt sẵn của các nhà cung cấp SMS phổ biến, nhưng tốt hơn hết là bạn nên tạo cấu hình của riêng mình. Sử dụng các cấu hình này làm ví dụ về cài đặt Cổng email SMSy hoặc API HTTP SMS.
Ví dụ về thiết lập máy chủ SMTP và cổng SMS cho mật khẩu dùng một lần
5. Thiết lập cổng khách
19) Như đã đề cập ở phần đầu, có 3 loại cổng khách được cài đặt sẵn: Hotspot, Được tài trợ, Tự đăng ký. Tôi khuyên bạn nên chọn tùy chọn thứ ba, vì đây là tùy chọn phổ biến nhất. Dù bằng cách nào, các cài đặt phần lớn giống hệt nhau. Vì vậy, hãy đi đến tab. Trung tâm làm việc > Quyền truy cập của khách > Cổng & Thành phần > Cổng khách > Cổng khách tự đăng ký (mặc định).
20) Tiếp theo, trong tab Tùy chỉnh Trang Cổng thông tin, hãy chọn “Xem bằng tiếng Nga - tiếng Nga”, để cổng được hiển thị bằng tiếng Nga. Bạn có thể thay đổi văn bản của bất kỳ tab nào, thêm logo của mình, v.v. Ở góc bên phải là bản xem trước của cổng dành cho khách để xem rõ hơn.
Ví dụ về định cấu hình cổng khách có tự đăng ký
21) Nhấp vào một cụm từ URL kiểm tra cổng thông tin và sao chép URL cổng vào SSID trên FortiGate ở bước 4. URL mẫu
Để hiển thị miền của bạn, bạn phải tải chứng chỉ lên cổng khách, xem bước 13.
22) Chuyển đến tab Trung tâm công việc > Quyền truy cập của khách > Thành phần chính sách > Kết quả > Hồ sơ ủy quyền > Thêm để tạo một hồ sơ ủy quyền theo hồ sơ đã tạo trước đó Hồ sơ thiết bị mạng.
23) Trong tab Trung tâm làm việc > Quyền truy cập của khách > Bộ chính sách chỉnh sửa chính sách truy cập cho người dùng WiFi.
24) Hãy thử kết nối với SSID của khách. Nó ngay lập tức chuyển hướng tôi đến trang đăng nhập. Tại đây, bạn có thể đăng nhập bằng tài khoản khách được tạo cục bộ trên ISE hoặc đăng ký với tư cách người dùng khách.
25) Nếu bạn đã chọn tùy chọn tự đăng ký, thì dữ liệu đăng nhập một lần có thể được gửi qua thư, qua SMS hoặc in.
26) Trong tab RADIUS > Nhật ký trực tiếp trên Cisco ISE, bạn sẽ thấy nhật ký đăng nhập tương ứng.
6. Kết luận
Trong bài viết dài này, chúng ta đã cấu hình thành công quyền truy cập của khách trên Cisco ISE, trong đó FortiGate đóng vai trò là bộ điều khiển điểm truy cập và FortiAP đóng vai trò là điểm truy cập. Nó bật ra một loại tích hợp không tầm thường, một lần nữa chứng minh việc sử dụng rộng rãi ISE.
Để kiểm tra Cisco ISE, hãy liên hệ và cũng hãy theo dõi các kênh của chúng tôi (, , , , ).
Nguồn: www.habr.com