Cisco ISE 2.3 Guest Portal
Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.
Bu işlemler sırayla ;
- Switchde ISE Server tanımı
- ISE Serverda switch tanımı
- ISE serverın Active Directory entegrasyonu
- Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.
Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.
Makalede işleyeceğimiz konu GUEST kısmıdır ,kullanıcı networke erişmek ister, formu doldurur , kendini tanımladıktan sonra bizim verdiğimiz yetkiyle networkte dolaşır.
Switch üzerinden yapacağımız ayarlar 2 adet ACL yazmak ve interface altında bunu ilişkilendirmek
Kullanıcıyı karşılayacak ,onlardan hangi bilgileri doldurmasını istediğimiz sonrasında hangi sayfaya yönlendirme işlemini yapacağımız kısım burasıdır
Aynı zamanda diğer makalelerimde işleyeceğim BYOD,Register Device gibi diğer CWA özelliklerini incelerken gene buradan devam ediyor olacağız.
Self Register Guest Portalı tıklayıp Duplicate diyoruz.
Burada alt alta tab bulunmakta sırayla anlatmaya çalışıcağım
Portal Settings:
Interface port ayarlarının yapıldığı kısımdır.
“Employees using portal as guests” bağlanacak kullanıcıya verdiğimiz yetkini süresinin belirlendiği kısımdır. Günlük Haftalık Aylık şeklinde düşünebilirsiniz.
Registration Form Settings:
Bağlanan kullanıcıların default hangi gruba ve bu hesapların ne kadar süre aktif olacağını belirlediğiz alan mevcut
Ekran görüntsünden de anlaşılacağı üzere kullanıcıdan adı, soyadı,mail adresi, telefon numarası gibi hazır tanımlar olduğu gibi yeni Field tanımlayıp TC no isteyebiliriz.
Sms authentication yapmak istiyorsak sms gateway tanımınıda bu tab üzerinde ekleyebiliriz.
İstenen bilgileri doldurduk sonraki ekranda giriş bilgilerini göstermesi için username ve password kutucuklarını işaretliyorum
Giriş başarılı bir şekilde gerçekleştikten sonra yönlendirilecek kurum web sayfasını belirtiyorum.
Misafir olarak gelen kullanıcıları hazırladığımız web sayfamıza nasıl yönlendireceğimize geldi sıra
Öncelikle dynamic-access-list DACL nedir onu açalım DACL ; ISE üzerinde hazırladığımız ACL leri switchlerimiz üzerinde ilişkilendirdiğimiz access-list türüdür
NOT: Sadece switchlere gönderebiliyoruz bu ACL leri, Wireless Lan Controllerlar üzerinde bu işlemi yapamıyoruz.
İki adet DACL yazacağız bunlardan birisi misafir ağına katılmak isteyen kullanıcıyı Guest Portal ekranına yönlendirmede kullanacağız , diğeri ise Networke giren kullanıcıya vereceğimiz sadece internete erişim ACL dir.
Bu işlem için sırayla Policy>Policy Elements> Results> Downloadable ACLs> New
Ip alabilmesi dns çözebilmesi ve ISE Guest Portal portuna izin veriyorum kalan tüm trafiği blokluyoruz
Diğer DACL networke giriş yapan cihazların networkumuzde erişim yetkileri neler olacağını belirlediğimiz DACLdir.
Oluşturduğum bu ACL leri birer Result la birleştireceğiz
WEB-AUT Result ;
DACL Name kısmında birönceki adımda oluşturduğum WEB-AUT adındaki DACL ımı seçiyoruz
Comman Tasks kısmında ise gene önceki adımlarda oluşturduğumuz Guest Portal sayfası olan Self Registered Guest Portal
ACL ise Switch üzerinde oluşturduğumuz REDIRECT adındaki ACL i seçiyoruz ardından SAVE .
INTERNET-ACCESS Result ;
Networke erişim sağlayan kullacılar için yazdığımız DACL_ONLY_INTERNET ACL yi burada bağlayıp SAVE diyoruz.
Vlan ataması yapmak istiyorsanız bu sayfadan vlan tabında gerekli atama işlemini yapabilirsiniz.
Authorization Policy ;
CWA ; Kullanıcı MAB (kablolu mac address baypass) dan geliyorsa WEB-AUT da tanımladığımız kimlik doğrulama sayfasına yönlendirilecek
GuestFlow; Kullanıcı kimlik denetimden geçtikten sonra network deki erişim iznini belirlediğimiz INTERNET-ACCESS Resulttur.
Kullanıcımızı test etmeye sıra geldi Misafir bilgisayarımıza network kablomuzu takıyoruz ve logları incelemeye başlıyoruz.
Sırayla switch ,ise, ve clientımızdaki duruma bakalım
Switch çıktımız da kullanıcının ip , mac adresi şuanda hangi ACL işliyor ve redicrect policymizin çalıştığını görüyoruz
Aynı loglara ISE üzerinden de görebiliriz.
Şimdi Kullanıcı Pc sinde formumuzu doldurup giriş yapmayı deneyelim
Bilgisayarımı network kablosunu taktığım zaman aşağıdaki ekran karşılıyor artık beni
Hesap oluşturmak için tıklıyoruz.
Doldurulmasını istediğimiz alanları makalenin başında belirlemiştik.
Artık bir kullanıcı adım ve şifrem var Sign On networke erişim sağlıyoruz.
Artık internet erişimim var.Switch ve ISE loglarına tekrar bakıyorum
ISE üzerinde oluşturduğumuz diğer ACL ye çarptığını görüyoruz artık
Son olarak ISE loglarınada baktığımzda csanli kullanıcısının networke erişimini sağladığını görüyoruz.
Bir sonraki ISE makalemde sizlere bu sayfayı nasıl custom yapabiliriz, hazır template kullanımı ISE Portal Builder kullanımını anlatıyor olacağım.
