歡迎閱讀思科 ISE 系列的第三篇文章。 該系列所有文章的鏈接如下:
在本文中,您將深入了解訪客訪問,以及集成 Cisco ISE 和 FortiGate 以配置 FortiAP(Fortinet 的接入點)的分步指南(一般來說,支持的任何設備) 半徑 CoA — 授權變更)。
附上我們的文章。 .
注意答:Check Point SMB 設備不支持 RADIUS CoA。
精彩的 用英語描述瞭如何在思科 WLC(無線控制器)上使用思科 ISE 創建訪客訪問。 讓我們來弄清楚吧!
1。 介紹
訪客訪問(門戶)允許您為您不想讓其進入本地網絡的訪客和用戶提供對 Internet 或內部資源的訪問。 有 3 種預定義類型的訪客門戶(Guest Portal):
-
Hotspot 訪客門戶 - 無需登錄數據即可向訪客提供網絡訪問權限。 用戶在訪問網絡之前一般需要接受本公司的《使用和隱私政策》。
-
贊助訪客門戶 - 網絡訪問權限和登錄數據必須由贊助人(負責在思科 ISE 上創建訪客帳戶的用戶)頒發。
-
自助註冊訪客門戶 - 在這種情況下,訪客使用現有的登錄詳細信息,或使用登錄詳細信息為自己創建一個帳戶,但需要贊助商確認才能訪問網絡。
多個門戶可以同時部署在思科 ISE 上。 默認情況下,在訪客門戶中,用戶將看到思科徽標和標準常用短語。 所有這些都可以自定義,甚至可以設置為在獲得訪問權限之前查看強制廣告。
訪客訪問設置可分為 4 個主要步驟:FortiAP 設置、思科 ISE 和 FortiAP 連接、訪客門戶創建和訪問策略設置。
2. 在 FortiGate 上配置 FortiAP
FortiGate 是一個接入點控制器,所有設置均在其上進行。 FortiAP 接入點支持 PoE,因此一旦通過以太網將其連接到網絡,就可以開始配置。
1) 在 FortiGate 上,轉到選項卡 WiFi 和交換機控制器 > 託管 FortiAP > 新建 > 託管 AP。 使用打印在接入點本身上的接入點唯一序列號,將其添加為對象。 或者它可以自行顯示然後按 授權 使用鼠標右鍵。
2) FortiAP 設置可以採用默認值,例如如圖所示。 我強烈建議打開 5 GHz 模式,因為有些設備不支持 2.4 GHz。
3)然後在選項卡中 WiFi 和交換機控制器 > FortiAP 配置文件 > 新建 我們正在為接入點創建一個設置配置文件(802.11 協議版本、SSID 模式、通道頻率及其編號)。
FortiAP 設置示例
4) 下一步是創建 SSID。 轉到選項卡 WiFi 和交換機控制器 > SSID > 新建 > SSID。 這裡應該配置重要的一項:
-
訪客 WLAN 的地址空間 - IP/網絡掩碼
-
管理訪問字段中的 RADIUS 記帳和安全結構連接
-
設備檢測選項
-
SSID 和廣播 SSID 選項
-
安全模式設置 > 強制門戶
-
身份驗證門戶 - 外部並插入指向步驟 20 中從思科 ISE 創建的訪客門戶的鏈接
-
用戶組 - 訪客組 - 外部 - 將 RADIUS 添加到思科 ISE(第 6 頁起)
SSID 設置示例
5) 然後您應該在 FortiGate 上的訪問策略中創建規則。 轉到選項卡 策略和對象 > 防火牆策略 並創建這樣的規則:
3. 半徑設置
6) 轉至 Cisco ISE Web 界面的選項卡 策略 > 策略元素 > 字典 > 系統 > Radius > RADIUS 供應商 > 添加。 在此選項卡中,我們將 Fortinet RADIUS 添加到支持的協議列表中,因為幾乎每個供應商都有自己的特定屬性 - VSA(供應商特定屬性)。
可以找到 Fortinet RADIUS 屬性列表 。 VSA 通過其唯一的供應商 ID 號進行區分。 Fortinet 有這個 ID = 12356。 滿的 VSA 已由 IANA 發布。
7)設置字典的名稱,指定 供應商ID (12356) 並按 提交。
8)我們去之後 管理 > 網絡設備配置文件 > 添加 並創建一個新的設備配置文件。 在 RADIUS 字典字段中,選擇之前創建的 Fortinet RADIUS 字典,並選擇稍後在 ISE 策略中使用的 CoA 方法。 我選擇了 RFC 5176 和 Port Bounce(關閉/不關閉網絡接口)以及相應的 VSA:
Fortinet-Access-Profile=讀寫
Fortinet 組名稱 = fmg_faz_admins
9) 接下來,添加 FortiGate 以與 ISE 連接。 為此,請轉到選項卡 管理 > 網絡資源 > 網絡設備配置文件 > 添加。 需要更改的字段 名稱、供應商、RADIUS 字典 (IP 地址由 FortiGate 使用,而不是 FortiAP)。
從 ISE 側配置 RADIUS 的示例
10) 之後,您應該在 FortiGate 端配置 RADIUS。 在 FortiGate Web 界面中,轉至 用戶和身份驗證 > RADIUS 服務器 > 新建。 指定上一段中的名稱、IP 地址和共享密鑰(密碼)。 下一步點擊 測試用戶憑據 並輸入可通過 RADIUS 提取的任何憑據(例如,思科 ISE 上的本地用戶)。
11) 將 RADIUS 服務器添加到來賓組(如果不存在)以及外部用戶源。
12) 不要忘記將 Guest-Group 添加到我們之前在步驟 4 中創建的 SSID。
4. 用戶認證設置
13) 或者,您可以將證書導入 ISE 訪客門戶或在選項卡中創建自簽名證書 工作中心 > 訪客訪問 > 管理 > 認證 > 系統證書.
14) 在選項卡之後 工作中心 > 訪客訪問 > 身份組 > 用戶身份組 > 添加 創建新的用戶組以供訪客訪問,或使用默認用戶組。
15)進一步在選項卡中 管理 > 身份 創建來賓用戶並將其添加到上一段中的組中。 如果您想使用第三方帳戶,請跳過此步驟。
16)進入設置後 工作中心 > 訪客訪問 > 身份 > 身份源序列 > 訪客門戶序列 — 這是訪客用戶的默認身份驗證順序。 而在田野裡 認證搜索列表 選擇用戶驗證順序。
17) 要通知訪客使用一次性密碼,您可以為此目的配置 SMS 提供商或 SMTP 服務器。 轉到選項卡 工作中心 > 訪客訪問 > 管理 > SMTP 服務器 或 短信網關提供商 對於這些設置。 對於 SMTP 服務器,您需要為 ISE 創建帳戶並指定此選項卡中的數據。
18) 對於短信通知,請使用適當的選項卡。 ISE 預裝了流行 SMS 提供商的配置文件,但最好創建自己的配置文件。 使用這些配置文件作為設置示例 短信郵件網關是或 短信HTTP API.
設置 SMTP 服務器和 SMS 網關以獲取一次性密碼的示例
5. 設置訪客門戶
19) 正如一開始提到的,預裝的訪客門戶有 3 種類型:熱點、贊助、自助註冊。 我建議選擇第三個選項,因為它是最常見的。 無論哪種方式,設置都基本相同。 那麼讓我們轉到選項卡。 工作中心 > 訪客訪問 > 門戶和組件 > 訪客門戶 > 自行註冊訪客門戶(默認)。
20) 接下來,在門戶頁面自定義選項卡中,選擇 “用俄語查看 - 俄語”, 以便門戶網站以俄語顯示。 您可以更改任何選項卡的文本、添加徽標等。 右上角是訪客門戶的預覽,以便更好地查看。
使用自助註冊配置訪客門戶的示例
21) 單擊一個短語 門戶測試網址 並將門戶 URL 複製到步驟 4 中 FortiGate 上的 SSID。 示例 URL
要顯示您的域,您必須將證書上傳到訪客門戶,請參閱步驟 13。
22) 轉到選項卡 工作中心 > 訪客訪問 > 策略元素 > 結果 > 授權配置文件 > 添加 在之前創建的授權配置文件下創建一個授權配置文件 網絡設備配置文件。
23) 在選項卡中 工作中心 > 訪客訪問 > 策略集 編輯WiFi用戶的訪問策略。
24) 讓我們嘗試連接到訪客 SSID。 它立即將我重定向到登錄頁面。 您可以在此處使用在 ISE 本地創建的訪客帳戶登錄,或註冊為訪客用戶。
25) 如果您選擇了自助註冊選項,則可以通過郵件、短信或打印的方式發送一次性登錄數據。
26) 在思科 ISE 上的 RADIUS > 實時日誌選項卡中,您將看到相應的登錄日誌。
6.Заключение
在這篇長文中,我們已成功在 Cisco ISE 上配置訪客訪問,其中 FortiGate 充當接入點控制器,FortiAP 充當接入點。 結果是一種不平凡的集成,這再次證明了 ISE 的廣泛使用。
要測試思科 ISE,請聯繫 也請繼續關注我們的頻道(, , , , ).
來源: www.habr.com