欢迎阅读思科 ISE 系列的第三篇文章。 该系列所有文章的链接如下:
在本文中,您将深入了解访客访问,以及集成 Cisco ISE 和 FortiGate 以配置 FortiAP(Fortinet 的接入点)的分步指南(一般来说,支持的任何设备) 半径 CoA — 授权变更)。
附上我们的文章。 .
注意答:Check Point SMB 设备不支持 RADIUS CoA。
卓越 用英语描述了如何在思科 WLC(无线控制器)上使用思科 ISE 创建访客访问。 让我们来弄清楚吧!
1。 介绍
访客访问(门户)允许您为您不想让其进入本地网络的访客和用户提供对 Internet 或内部资源的访问。 有 3 种预定义类型的访客门户(Guest Portal):
-
Hotspot 访客门户 - 无需登录数据即可向访客提供网络访问权限。 用户在访问网络之前一般需要接受本公司的《使用和隐私政策》。
-
赞助访客门户 - 网络访问权限和登录数据必须由赞助人(负责在思科 ISE 上创建访客帐户的用户)颁发。
-
自助注册访客门户 - 在这种情况下,访客使用现有的登录详细信息,或使用登录详细信息为自己创建一个帐户,但需要赞助商确认才能访问网络。
多个门户可以同时部署在思科 ISE 上。 默认情况下,在访客门户中,用户将看到思科徽标和标准常用短语。 所有这些都可以自定义,甚至可以设置为在获得访问权限之前查看强制广告。
访客访问设置可分为 4 个主要步骤:FortiAP 设置、思科 ISE 和 FortiAP 连接、访客门户创建和访问策略设置。
2. 在 FortiGate 上配置 FortiAP
FortiGate 是一个接入点控制器,所有设置均在其上进行。 FortiAP 接入点支持 PoE,因此一旦通过以太网将其连接到网络,就可以开始配置。
1) 在 FortiGate 上,转到选项卡 WiFi 和交换机控制器 > 托管 FortiAP > 新建 > 托管 AP。 使用打印在接入点本身上的接入点唯一序列号,将其添加为对象。 或者它可以自行显示然后按 授权 使用鼠标右键。
2) FortiAP 设置可以采用默认值,例如如图所示。 我强烈建议打开 5 GHz 模式,因为有些设备不支持 2.4 GHz。
3)然后在选项卡中 WiFi 和交换机控制器 > FortiAP 配置文件 > 新建 我们正在为接入点创建一个设置配置文件(802.11 协议版本、SSID 模式、通道频率及其编号)。
FortiAP 设置示例
4) 下一步是创建 SSID。 转到选项卡 WiFi 和交换机控制器 > SSID > 新建 > SSID。 这里应该配置重要的一项:
-
访客 WLAN 的地址空间 - IP/网络掩码
-
管理访问字段中的 RADIUS 记帐和安全结构连接
-
设备检测选项
-
SSID 和广播 SSID 选项
-
安全模式设置 > 强制门户
-
身份验证门户 - 外部并插入指向步骤 20 中从思科 ISE 创建的访客门户的链接
-
用户组 - 访客组 - 外部 - 将 RADIUS 添加到思科 ISE(第 6 页起)
SSID 设置示例
5) 然后您应该在 FortiGate 上的访问策略中创建规则。 转到选项卡 策略和对象 > 防火墙策略 并创建这样的规则:
3. 半径设置
6) 转至 Cisco ISE Web 界面的选项卡 策略 > 策略元素 > 字典 > 系统 > Radius > RADIUS 供应商 > 添加。 在此选项卡中,我们将 Fortinet RADIUS 添加到支持的协议列表中,因为几乎每个供应商都有自己的特定属性 - VSA(供应商特定属性)。
可以找到 Fortinet RADIUS 属性列表 。 VSA 通过其唯一的供应商 ID 号进行区分。 Fortinet 有这个 ID = 12356... 满的 VSA 已由 IANA 发布。
7)设置字典的名称,指定 供应商ID (12356) 并按 提交。
8)我们去之后 管理 > 网络设备配置文件 > 添加 并创建一个新的设备配置文件。 在 RADIUS 字典字段中,选择之前创建的 Fortinet RADIUS 字典,并选择稍后在 ISE 策略中使用的 CoA 方法。 我选择了 RFC 5176 和 Port Bounce(关闭/不关闭网络接口)以及相应的 VSA:
Fortinet-Access-Profile=读写
Fortinet 组名称 = fmg_faz_admins
9) 接下来,添加 FortiGate 以与 ISE 连接。 为此,请转到选项卡 管理 > 网络资源 > 网络设备配置文件 > 添加。 需要更改的字段 名称、供应商、RADIUS 字典 (IP 地址由 FortiGate 使用,而不是 FortiAP)。
从 ISE 侧配置 RADIUS 的示例
10) 之后,您应该在 FortiGate 端配置 RADIUS。 在 FortiGate Web 界面中,转至 用户和身份验证 > RADIUS 服务器 > 新建。 指定上一段中的名称、IP 地址和共享密钥(密码)。 下一步点击 测试用户凭据 并输入可通过 RADIUS 提取的任何凭据(例如,思科 ISE 上的本地用户)。
11) 将 RADIUS 服务器添加到来宾组(如果不存在)以及外部用户源。
12) 不要忘记将 Guest-Group 添加到我们之前在步骤 4 中创建的 SSID。
4. 用户认证设置
13) 或者,您可以将证书导入 ISE 访客门户或在选项卡中创建自签名证书 工作中心 > 访客访问 > 管理 > 认证 > 系统证书.
14) 在选项卡之后 工作中心 > 访客访问 > 身份组 > 用户身份组 > 添加 创建新的用户组以供访客访问,或使用默认用户组。
15)进一步在选项卡中 管理 > 身份 创建来宾用户并将其添加到上一段中的组中。 如果您想使用第三方帐户,请跳过此步骤。
16)进入设置后 工作中心 > 访客访问 > 身份 > 身份源序列 > 访客门户序列 — 这是访客用户的默认身份验证顺序。 而在田野里 认证搜索列表 选择用户验证顺序。
17) 要通知访客使用一次性密码,您可以为此目的配置 SMS 提供商或 SMTP 服务器。 转到选项卡 工作中心 > 访客访问 > 管理 > SMTP 服务器 или 短信网关提供商 对于这些设置。 对于 SMTP 服务器,您需要为 ISE 创建帐户并指定此选项卡中的数据。
18) 对于短信通知,请使用适当的选项卡。 ISE 预装了流行 SMS 提供商的配置文件,但最好创建自己的配置文件。 使用这些配置文件作为设置示例 短信邮件网关是或 短信HTTP API.
设置 SMTP 服务器和 SMS 网关以获取一次性密码的示例
5. 设置访客门户
19) 正如一开始提到的,预装的访客门户有 3 种类型:热点、赞助、自助注册。 我建议选择第三个选项,因为它是最常见的。 无论哪种方式,设置都基本相同。 那么让我们转到选项卡。 工作中心 > 访客访问 > 门户和组件 > 访客门户 > 自行注册访客门户(默认)。
20) 接下来,在门户页面自定义选项卡中,选择 “用俄语查看 - 俄语”, 以便门户网站以俄语显示。 您可以更改任何选项卡的文本、添加徽标等。 右上角是访客门户的预览,以便更好地查看。
使用自助注册配置访客门户的示例
21) 单击一个短语 门户测试网址 并将门户 URL 复制到步骤 4 中 FortiGate 上的 SSID。 示例 URL
要显示您的域,您必须将证书上传到访客门户,请参阅步骤 13。
22)转到选项卡 工作中心 > 访客访问 > 策略元素 > 结果 > 授权配置文件 > 添加 在之前创建的授权配置文件下创建一个授权配置文件 网络设备配置文件。
23) 在选项卡中 工作中心 > 访客访问 > 策略集 编辑WiFi用户的访问策略。
24) 让我们尝试连接到访客 SSID。 它立即将我重定向到登录页面。 您可以在此处使用在 ISE 本地创建的访客帐户登录,或注册为访客用户。
25) 如果您选择了自助注册选项,则可以通过邮件、短信或打印的方式发送一次性登录数据。
26) 在思科 ISE 上的 RADIUS > 实时日志选项卡中,您将看到相应的登录日志。
6。 结论
在这篇长文中,我们已成功在 Cisco ISE 上配置访客访问,其中 FortiGate 充当接入点控制器,FortiAP 充当接入点。 结果是一种不平凡的集成,这再次证明了 ISE 的广泛使用。
要测试思科 ISE,请联系 也请继续关注我们的频道(, , , , ).
来源: habr.com