Cisco ise

1. Введение

У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.

Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine) - NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.

Кратко напомню, что Cisco ISE позволяет:

• Быстро и просто создавать гостевой доступ в выделенной WLAN;

• Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);

• Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);

• Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);

• Классифицировать и профилировать оконечные и сетевые устройства;

• Предоставлять видимость оконечных устройств;

• Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;

• Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);

• И другие стандартные для ААА сервера фичи.

Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.

2. Архитектура

В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.

Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.

Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.

Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.

PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.

PxGrid - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.

В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.

Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.

Рисунок 1. Архитектура Cisco ISE

3. Требования

Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.

Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.

Таблица 1. Сравнительная таблица SNS для разных масштабов

Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 CPU с частотой 2.0 ГГц и выше, 16 Гб RAM и 200 Гб HDD.

Для уточнения остальных деталей развертывания Cisco ISE обратитесь к нам или к ресурсу 1, ресурсу 2.

4. Установка

Как и большинство других продуктов Cisco, ISE можно протестировать несколькими способами:

• dcloud облачный сервис предустановленных лабораторных макетов (необходима учетная запись Cisco);

• GVE request запрос с сайта Cisco определенного софта (способ для партнеров). Вы создаете кейс со следующим типичным описанием: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• пилотный проект - обратитесь к любому авторизованному партнеру для проведения бесплатного пилотного проекта.

1) Создав виртуальную машину, если вы запросили ISO файл, а не OVA шаблон, у вас вылезет окно, в которой ISE требует выбрать установку. Для этого вместо логина и пароля следует написать "setup"!

Примечание: если вы развернули ISE из OVA шаблона, то данные для входа admin / MyIseYPass2 (это и многое другое указано в официальном гайде).

Рисунок 2. Установка Cisco ISE

2) Затем следует заполнить необходимые поля, такие как IP-адрес, DNS, NTP и другие.

Рисунок 3. Инициализация Cisco ISE

3) После устройство перезагрузится, и вы сможете подключиться по веб-интерфейсу по заданному ранее IP-адресу.

Рисунок 4. Веб-интерфейс Cisco ISE

4) Во вкладке Administration > System > Deployment можно выбрать, какие ноды (сущности) включены на том или ином устройстве. Нода PxGrid включается здесь же.

Рисунок 5. Управление сущностями Cisco ISE

5) Затем во вкладке Administration > System > Admin Access > Authentication рекомендую настроить политику паролей, метод аутентификации (сертификат или пароль), срок истечения учетной записи и другие настройки.

Рисунок 6. Настройка типа аутентификацииРисунок 7. Настройки политики паролейРисунок 8. Настройка выключения аккаунта по истечение времениРисунок 9. Настройка блокировки учетных записей

6) Во вкладке Administration > System > Admin Access > Administrators > Admin Users > Add можно создать нового администратора.

Рисунок 10. Создание локального администратора Cisco ISE

7) Нового администратора можно сделать частью новой группы или уже предустановленных групп. Управления группами администраторов осуществляется в этой же панели во вкладке Admin Groups. В таблице 2 сведена информация об администраторах ISE, их правах и ролях.

Таблица 2. Группы администраторов Cisco ISE, уровни доступа, разрешения и ограничения

Рисунок 11. Предустановленные группы администраторов Cisco ISE

8) Дополнительно во вкладке Authorization > Permissions > RBAC Policy можно редактировать права предустановленных администраторов.

Рисунок 12. Управление правами предустановленных профилей администраторов Cisco ISE

9) Во вкладке Administration > System > Settings доступны все системные настройки (DNS, NTP, SMTP и другие). Вы можете их заполнить здесь, в случае если пропустили при первоначальной инициализации устройства.

5. Заключение

На этом первая статья подошла к концу. Мы обсудили эффективность NAC решения Cisco ISE, его архитектуру, минимальные требования и варианты развертывания, а также первичную установку.

В следующей статье мы рассмотрим создание учетных записей, интеграцию с Microsoft Active Directory, а также создание гостевого доступа.

Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.

Следите за обновлениями в наших каналах (Telegram,Facebook,VK,TS Solution Blog,Яндекс.Дзен).

Приветствую во второй публикации цикла статей, посвященному Cisco ISE. В первой статье были освещены преимущества и отличия Network Access Control (NAC) решений от стандартных ААА, уникальность Cisco ISE, архитектура и процесс установки продукта.

В данной статье мы углубимся в создание учетных записей, добавлению LDAP серверов и интеграцию с Microsoft Active Directory, а также в нюансы при работе с PassiveID. Перед прочтением настоятельно рекомендую ознакомиться с первой частью.

1. Немного терминологии

User Identity - учетная запись пользователя, которая содержит информацию о пользователе и формирует его учетные данные для доступа к сети. Следующие параметры, как правило, указываются в User Identity: имя пользователя, адрес электронной почты, пароль, описание учетной записи, группу пользователей и роль.

User Groups - группы пользователей - это совокупность отдельных пользователей, которые имеют общий набор привилегий, которые позволяют им получать доступ к определенному набору сервисов и функций Cisco ISE.

User Identity Groups - предустановленные группы пользователей, которые уже имеют определенную информацию и роли. Следующие User Identity Groups существуют по умолчанию, в них можно добавлять пользователей и группы пользователей: Employee (сотрудник), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (спонсорские учетки для управления гостевым порталом), Guest (гость), ActivatedGuest (активированный гость).

User Role - роль пользователя - это набор разрешений, определяющих, какие задачи может выполнять пользователь и к каким сервисам может получить доступ. Зачастую роль пользователя связана с группой пользователей.

Более того, у каждого пользователя и группы пользователей есть дополнительные атрибуты, которые позволяют выделить и более конкретно определить данного пользователя (группу пользователей). Больше информации в гайде.

2. Создание локальных пользователей

1) В Cisco ISE есть возможность создать локальных пользователей и использовать их в политике доступа или даже дать роль администрирования продуктом. Выберите Administration > Identity Management > Identities > Users > Add.

Рисунок 1. Добавление локального пользователя в Cisco ISE

2) В появившемся окне создайте локального пользователя, задайте ему пароль и другие понятные параметры.

Рисунок 2. Создание локального пользователя в Cisco ISE

3) Пользователей также можно импортировать. В этой же вкладке Administration > Identity Management > Identities > Users выберите опцию Import и загрузите csv или txt файлик с пользователями. Для того, чтобы получить шаблон выберите Generate a Template, далее следует его заполнить информацией о пользователях в подходящем виде.

Рисунок 3. Импорт пользователей в Cisco ISE

3. Добавление LDAP серверов

Напомню, что LDAP - популярный протокол прикладного уровня, позволяющий получать информацию, производить аутентификацию, искать учетные записи в каталогах LDAP серверов, работает по порту 389 или 636 (SS). Яркими примерами LDAP серверов являются Active Directory, Sun Directory, Novell eDirectory и OpenLDAP. Каждая запись в каталоге LDAP определяется DN (Distinguished Name) и для формирования политики доступа встает задача подтягивания (retrieval) учетных записей, пользовательских групп и атрибутов.

В Cisco ISE возможно настроить доступ ко многим LDAP серверам, тем самым реализуя избыточность. В случае, если первичный (primary) LDAP сервер недоступен, то ISE попробует обратиться к вторичному (secondary) и так далее. Дополнительно, если имеется 2 PAN, то то для первичной PAN можно сделать приоритетным один LDAP, а для вторичной PAN - другой LDAP.

ISE поддерживает 2 типа лукапа (lookup) при работе с LDAP серверами: User Lookup и MAC Address Lookup. User Lookup позволяет делать поиск пользователю в базе данных LDAP и получать следующую информацию без аутентификации: пользователи и их атрибуты, группы пользователей. MAC Address Lookup позволяет так же без аутентификации производить поиск по MAC адресу в каталогах LDAP и получать информацию об устройстве, группу устройств по MAC адресам и другие специфичные атрибуты.

В качестве примера интеграции добавим Active Directory в Cisco ISE в качестве LDAP сервера.

1) Зайдите во вкладку Administration > Identity Management > External Identity Sources > LDAP > Add.

Рисунок 4. Добавление LDAP сервера

2) В панели General укажите имя LDAP сервера и схему (в нашем случае Active Directory).

Рисунок 5. Добавление LDAP сервера со схемой Active Directory

3) Далее перейдите в Connection вкладку и укажите Hostname/IP address AD сервера, порт (389 - LDAP, 636 - SSL LDAP), учетные данные доменного администратора (Admin DN - полный DN), остальные параметры можно оставить по умолчанию.

Примечание: используйте данные домен админа во избежание потенциальных проблем.

Рисунок 6. Ввод данных LDAP сервера

4) Во вкладке Directory Organization следует указать область каталогов через DN, откуда вытягивать пользователей и группы пользователей.

Рисунок 7. Определение каталогов, откуда подтянуться группы пользователей

5) Перейдите в окно Groups > Add > Select Groups From Directory для выбора подтягивания групп из LDAP сервера.

Рисунок 8. Добавление групп из LDAP сервера

6) В появившемся окне нажмите Retrieve Groups. Если группы подтянулись, значит предварительные шаги выполнены успешно. В противном случае, попробуйте другого администратора и проверьте доступность ISE c LDAP сервером по LDAP протоколу.

Рисунок 9. Перечень подтянутых групп пользователей

7) Во вкладке Attributes можно опционально указать, какие атрибуты из LDAP сервера следует подтянуть, а в окне Advanced Settings включить опцию Enable Password Change, которая заставит пользователей изменить пароль, если он истек или был сброшен. В любом случае нажмите Submit для продолжения.

8) LDAP сервер появился в соответствующий вкладке и в дальнейшем может использоваться для формирования политик доступа.

Рисунок 10. Перечень добавленных LDAP серверов

4. Интеграция с Active Directory

1) Добавив Microsoft Active Directory сервер в качестве LDAP сервера, мы получили пользователи, группы пользователей, но не логи. Далее предлагаю настроить полноценную интеграцию AD с Cisco ISE. Перейдите во вкладку Administration > Identity Management > External Identity Sources > Active Directory > Add.

Примечание: для успешной интеграции с AD ISE должен находиться в домене и иметь полную связность с DNS, NTP и AD серверами, в противном случае ничего не выйдет.

Рисунок 11. Добавление сервера Active Directory

2) В появившемся окне введите данные администратора домена и поставьте галочку Store Credentials. Дополнительно вы можете указать OU (Organizational Unit), если ISE находится в каком-то конкретном OU. Далее придется выбрать ноды Cisco ISE, которые вы хотите соединить с доменом.

Рисунок 12. Ввод учетных данных

3) Перед добавлением контроллеров домена убедитесь, что на PSN во вкладке Administration > System > Deployment включена опция Passive Identity Service. PassiveID - опция, которая позволяет транслировать User в IP и наоборот. PassiveID получает информацию из AD через WMI, специальных AD агентов или SPAN порт на коммутаторе (не лучший вариант).

Примечание: для проверки статуса Passive ID введите в консоли ISE show application status ise | include PassiveID.

Рисунок 13. Включение опции PassiveID

4) Перейдите во вкладку Administration > Identity Management > External Identity Sources > Active Directory > PassiveID и выберите опцию Add DCs. Далее выберите галочками необходимые контроллеры домена и нажмите OK.

Рисунок 14. Добавление контроллеров домена

5) Выберите добавленные DC и нажмите кнопку Edit. Укажите FQDN вашего DC, доменные логин и пароль, а также опцию связи WMI или Agent. Выберите WMI и нажмите OK.

Рисунок 15. Ввод данных контроллера домена

6) Если WMI не является предпочтительным способом связи с Active Directory, то можно использовать ISE агентов. Агентский способ заключается в том, что вы можете установить на сервера специальные агенты, которые будут отдавать login события. Существует 2 варианта установки: автоматический и ручной. Для автоматической установки агента в той же вкладке PassiveID выберите пункт Add Agent > Deploy New Agent (DC должен иметь доступ в Интернет). Затем заполните обязательные поля (имя агента, FQDN сервера, логин/пароль доменного администратора) и нажмите OK.

Рисунок 16. Автоматическая установка ISE агента

7) Для ручной установки Cisco ISE агента требуется выбрать пункт Register Existing Agent. К слову, скачать агента можно во вкладке Work Centers > PassiveID > Providers > Agents > Download Agent.

Рисунок 17. Скачивание ISE агента

Важно: PassiveID не читает события logoff! Параметр отвечающий за тайм-аут называется user session aging time и равняется 24 часам по умолчанию. Поэтому следует либо делать logoff самому по окончании рабочего дня, либо же писать какой-то скрипт, который будет делать автоматический logoff всем залогиненым пользователям.

Для получения информации logoff используются "Endpoint probes" - оконечные зонды. Endpoint probes в Cisco ISE существует несколько: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS probe с помощью CoA (Change of Authorization) пакетов отдает информацию о смене прав пользователя (для этого требуется внедренный 802.1X), а настроенный на коммутаторах доступа SNMP, даст информацию о подключенных и отключенных устройствах.

Ниже приведен пример, актуальный для конфигурации Cisco ISE + AD без 802.1X и RADIUS: пользователь залогинен на Windows машине, не делая logoff, логиниться с другого ПК по WiFi. В этом случае сессия на первом ПК по-прежнему будет активна, пока не случится тайм-аут или не произойдет принудительный logoff. Тогда если у устройств разные права, то последнее залогиненное устройство будет применять свои права.

8) Дополнительно во вкладке Administration > Identity Management > External Identity Sources > Active Directory > Groups > Add > Select Groups From Directory вы можете выбрать группы из AD, которые хотите подтянуть на ISE (в нашем случае это было сделано в пункте 3 Добавление LDAP сервера). Выберите опцию Retrieve Groups > OK.

Рисунок 18 а). Подтягивание групп пользователей из Active Directory

9) Во вкладке Work Centers > PassiveID > Overview > Dashboard вы можете наблюдать количество активных сессий, количество источников данных, агентов и другое.

Рисунок 19. Мониторинг активности доменных пользователей

10) Во вкладке Live Sessions отображаются текущие сессии. Интеграция с AD настроена.

Рисунок 20. Активные сессии доменных пользователей

5. Заключение

В данной статьей были рассмотрены темы создания локальных пользователей в Cisco ISE, добавление LDAP серверов и интеграция с Microsoft Active Directory. В следующей статье будет освещен гостевой доступ в виде избыточного гайда.

Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.

Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Приветствую в третьей публикации цикла статей, посвященному Cisco ISE. Ссылки на все статьи в цикле приведены ниже:

1. Cisco ISE: Введение, требования, установка. Часть 1

2. Cisco ISE: Создание пользователей, добавление LDAP серверов, интеграция с AD. Часть 2

3. Cisco ISE: Настройка гостевого доступа на FortiAP. Часть 3

В данной публикации вас ждет погружение в гостевой доступ, а также пошаговое руководство интеграции Cisco ISE и FortiGate для настройки FortiAP - точки доступа от Fortinet (в целом подходит любое устройство, поддерживающее RADIUS CoA - Сhange of Authorization).

Дополнительно прилагаю наши статьи Fortinet подборка полезных материалов.

Примечание: Check Point SMB устройства не поддерживают RADIUS CoA.

Замечательное руководство на английском языке описывает, как создать гостевой доступ с помощью Cisco ISE на Cisco WLC (Wireless Controller). Давайте разбираться!

1. Введение

Гостевой доступ (портал) позволяет предоставить доступ в Интернет или к внутренним ресурсам для гостей и пользователей, которых вы не хотите впускать в свою локальную сеть. Существует 3 предустановленных типа гостевого портала (Guest portal):

1. Hotspot Guest portal - доступ в сеть гостям предоставляется без данных для входа. Как правило, пользователям требуется принять Политику использования и конфиденциальности компании, прежде чем получить доступ в сеть.

2. Sponsored-Guest portal - доступ в сеть и данные для входы обязан выдать спонсор - пользователь, ответственный за создание гостевых учеток на Cisco ISE.

3. Self-Registered Guest portal - в этом случае гости используют существующие данные для входа, либо сами себе создают аккаунт с данными для входа, однако требуется подтверждение спонсора для получения доступа в сеть.

На Cisco ISE можно развернуть множество порталов одновременно. По умолчанию на гостевом портале пользователь увидит логотип Cisco и стандартные общие фразы. Это все можно кастомизировать и даже установить просмотр обязательной рекламы перед получением доступа.

Настройку гостевого доступа можно разбить на 4 основных этапа: настройка FortiAP, установление связности Cisco ISE и FortiAP, создание гостевого портала и настройка политики доступа.

2. Настройка FortiAP на FortiGate

FortiGate является контроллером точек доступа и все настройки проводятся на нем. Точки доступа FortiAP поддерживают PoE, поэтому как только вы подключили ее в сеть по Ethernet, можно начинать настройку.

1) На FortiGate зайдите во вкладку WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Используя уникальный серийный номер точки доступа, который указан на самой точке доступа, добавьте ее как объект. Либо же она может обнаружиться сама и тогда нажмите Authorize с помощью правой клавиши мыши.

2) Настройки FortiAP могут быть по умолчанию, для примера оставьте как на скриншоте. Крайне рекомендую включать 5 ГГц режим, ибо некоторые устройства не поддерживают 2.4 ГГц.

3) Затем во вкладке WiFi & Switch Controller > FortiAP Profiles > Create New мы создаем профиль настроек для точки доступа (версия 802.11 протокола, режим SSID, частота канала и их количество).

Пример настроек FortiAP

4) Следующий шаг - создание SSID. Перейдите во вкладку WiFi & Switch Controller > SSIDs > Create New > SSID. Здесь из важного следует настроить:

• адресное пространство для гостевого WLAN - IP/Netmask

• RADIUS Accounting и Secure Fabric Connection в поле Administrative Access

• Опция Device Detection

• SSID и опция Broadcast SSID

• Security Mode Settings > Captive Portal

• Authentication Portal - External и вставить ссылку на созданный гостевой портал из Cisco ISE из п. 20

• User Group - Guest Group - External - добавить RADIUS на Cisco ISE (п. 6 и далее)

Пример настройки SSID

5) Затем следует создать правила в политике доступа на FortiGate. Перейдите во вкладку Policy & Objects > Firewall Policy и создайте правило следующего вида:

3. Настройка RADIUS

6) Перейдите в веб интерфейс Cisco ISE во вкладку Policy > Policy Elements > Dictionaries > System > Radius > RADIUS Vendors > Add. В данной вкладке мы добавим в список поддерживаемых протоколов RADIUS от Fortinet, так как почти каждый вендор имеет собственные специфические атрибуты - VSA (Vendor-Specific Attributes).

Список атрибутов RADIUS Fortinet можно найти здесь. VSA отличаются по уникальному числу Vendor ID. У Fortinet этот ID = 12356. Полный список VSA был опубликован организацией IANA.

7) Задаем имя словарю, указываем Vendor ID (12356) и нажимаем Submit.

8) После переходим в Administration > Network Device Profiles > Add и создаем новый профиль устройства. В поле RADIUS Dictionaries следует выбрать ранее созданный Fortinet RADIUS словарь и выбрать методы CoA для того, чтобы использовать их потом в политике ISE. Я выбрал RFC 5176 и Port Bounce (shutdown/no shutdown сетевого интерфейса) и соответствующие VSA:

Fortinet-Access-Profile = read-write

Fortinet-Group-Name = fmg_faz_admins

9) Далее следует добавить FortiGate для связности c ISE. Для этого зайдите во вкладку Administration > Network Resources > Network Device Profiles > Add. Изменить следует поля Name, Vendor, RADIUS Dictionaries (IP Address используется FortiGate, а не FortiAP).

Пример настройки RADIUS со стороны ISE

10) После следует настроить RADIUS на стороне FortiGate. В веб интерфейсе FortiGate зайдите в User & Authentication > RADIUS Servers > Create New. Укажите имя, IP адрес и Shared secret (пароль) из прошлого пункта. Далее нажмите Test User Credentials и введите любые учетные данные, которые могут подтянуться через RADIUS (например, локальный пользователь на Cisco ISE).

11) Добавьте в группу Guest-Group (если ее нет создайте) RADIUS сервер, как и внешних источник пользователей.

12) Не забудьте добавить группу Guest-Group в SSID, который мы создали ранее в п. 4.

4. Настройка пользователей аутентификации

13) Опционально вы можете импортировать на гостевой портал ISE сертификат или создать самоподписанный сертификат во вкладке Work Centers > Guest Access > Administration > Certification > System Certificates.

14) После во вкладке Work Centers > Guest Access > Identity Groups > User Identity Groups > Add создайте новую группу пользователей для гостевого доступа, либо же используйте созданные по умолчанию.

15) Далее во вкладке Administration > Identities создайте гостевых пользователей и добавьте их в групп из прошлого пункта. Если же вы хотите использовать сторонние учетные записи, то пропустите данный шаг.

16) После переходим в настройки Work Centers > Guest Access > Identities > Identity Source Sequence > Guest Portal Sequence - это предустановленная последовательность аутентификации гостевых пользователей. И в поле Authentication Search List выберите порядок аутентификации пользователей.

17) Для уведомления гостей одноразовым паролем можно сконфигурировать SMS провайдеров или SMTP сервер для этой цели. Перейдите во вкладку Work Centers > Guest Access > Administration > SMTP Server или SMS Gateway Providers для данных настроек. В случае с SMTP сервером требуется создать учетку для ISE и указать данные в этой вкладке.

18) Для уведомлений по SMS используйте соответствующую вкладку. В ISE есть предустановленные профили популярных SMS провайдеров, однако лучше создать свой. Данные профили используйте как пример настройки SMS Email Gateway или SMS HTTP API.

Пример настройки SMTP сервера и SMS шлюза для одноразового пароля

5. Настройка гостевого портала

19)Как было упомянуто в начале, есть 3 типа предустановленных гостевых портала: Hotspot, Sponsored, Self-Registered. Предлагаю выбрать третий вариант, так как он наиболее часто встречающийся. В любом случае настройки во многом идентичны. Поэтому переходим во вкладку Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal (default).

20) Далее во вкладке Portal Page Customization выберите View in Russian - Русский, чтобы портал стал отображаться на русском языке. Вы можете изменять текст любой вкладки, добавить свой логотип и многое другое. Справа в углу превью гостевого портала для более удобного представления.

Пример настройки гостевого портала с саморегистрацией

21) Нажмите на фразу Portal test URL и скопируйте URL портала в SSID на FortiGate в шаге 4. Примерный вид URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Чтобы отображался ваш домен, следует подгрузить сертификат на гостевой портал, смотрите шаг 13.

22) Перейдите во вкладку Work Centers > Guest Access > Policy Elements > Results > Authorization Profiles > Add для создания профиля авторизации под ранее созданный Network Device Profile.

23) Во вкладке Work Centers > Guest Access > Policy Sets отредактируйте политику доступа для WiFi пользователей.

24) Попробуем подключиться к гостевому SSID. Меня сразу перенаправляет на страницу входа. Здесь можно зайти под учеткой guest, созданной локально на ISE, либо зарегистрироваться в качестве гостевого пользователя.

25) Если вы выбрали вариант саморегистрации, то одноразовые данные для входа можно отправить на почту, через СМС или же распечатать.

26) Во вкладке RADIUS > Live Logs на Cisco ISE вы увидите соответствующие логи входа.

6. Заключение

В данной долгой статьей мы успешно настроили гостевой доступ на Cisco ISE, где в качестве контроллера точек доступа выступает FortiGate, а в качестве точки доступа FortiAP. Получилась этакая нетривиальная интеграция, что в очередной раз доказывает широкое применение ISE.

Для тестирования Cisco ISE обращайтесь по ссылке, а также следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).