Misafir Networkünde Clearpass Fortigate Entegrasyonu

Bu makelede Clearpassden doğrulanan misafirlerin internet çıkışlarının fortigate üzerinden sağlanması durumunda firewallun userlari tanıyabilmesi için gereken entegrasyonu anlatacağim

örnek bir topolojiyi aşağıda görebilirsiniz

Kullanıcılar aruba access pointlerde yayınlanan guest ssidsine bağlandıklarında karşılarına clearpass guest modülü üzerinde hazirlanan misafir sayfası gelir bu sayfa üzerindeki self registration özelliği sayesinde kullanıcı kendine bir hesap oluşturur ve sisteme giriş sağlar burdaki configürasyonlar ayrı makalelerin konusu olduğu için bu alana girmeden fortigate entegrasyonundan başlıyorum

Clearpass tarafında userları firewalla göndermek için radius proxy özelliğini kullanacagiz, bu sayede access pointlerden gelen radius accounting verilerinin bir kopyası fortigate firewalla gönderilecektir gönderim sağlanırken orjninal mesaja radius ietf attributelerinden filter-id yi ekleyerek firewallun misafir kullanıcılarını bir grup altında toplamasını sağlayacağız

Clearpass tarafında ilk olarak radius proxy targets bölümünden fortigate ip adresi ve bir key girerek firewallu tanıtıyoruz

bu işlemden sonra misafirlerin doğrulandığı servis üzerinde oluşturduğumuz proxy targeti seçip filter-id attibuteünü ekleyeceğiz

ilgili serviste account proxy özelliğini açarak işleme başlıyoruz

sonrasında yukardaki tablarda aktif hale gelen accounting proxye girerek daha önce oluşturduğumuz firewall profilini seçip filter-id attribute eklemesini yapıyoruz

value bölümüne istediğiniz değeri girebilirsiniz fortigate tarafında da aynı değeri kullandıktan sonra sorun çıkmayacaktır.Clearpass tarafında yapılacak işlemler bu kadar şimdi fortigate tarafına geçelim

Fortigate firewallda ilk yapılması gereken işlem accounting bilgilerinin gelecegi interface altında Radius Accounting özelliğinin enable edilmesi olacaktır

Hemen sonrasında security fabric altında external connectors bölümünden radius sso agenti aktif ediyoruz ( fortigate 6.4 güncel versiyonlarda buradan aktif ediliyor daha eski versiyonlarda farklı menüler altında olabilir bunu unutmayın )

çıkan sayfada isim bölümüne istediğiniz bir değeri atayabilirsiniz ,shared secret clearpassde firewallu tanıtırken girdiğimiz secret key ile aynı olmalı ,send radius response butonunu da aktife çekiyoruz ( accounting verisinin alındıgını clearpassa bildirmek için )

gui üzerinden bu adımları tamamladıktan sonra cli üzerinden de bazı komutlar eklememiz gerekiyor şimdi de onlara bakalım

ilk olarak config user radius dedikten sonra show komutunu kullanarak guiden yapılan configürasyonun cli karşılığını görelim

yaptığımız tanıma ek komutlar ekleyebilmek için edit xxx ile içine giriyoruz ve resimdeki satırları ekliyoruz

ilk komutta clearpassdan gelecek filter-id değerine göre gruplama yapacagimizi 2 numaralı komutta da kullanıcı adlarının User-name attibute değerinden yakalanacağini bildirdik

şimdi de firewallda policy yazabilmek için gereken user group bilgisini oluşturalım

yeni grup oluştururken name bölümüne istediğiniz değeri girebilirsiniz radius attribute değeri clearpassde girilen filter-id parametresinde yazılanla aynı olmalı

grubu da oluşturduktan sonra artık internet çıkış kuralını yazabilirsiniz source bölümünde ilgili user group seçmeniz yeterli

Online userları ve doğru gruba atanıp atanmadıklarını fortigate user monitorden takip edebilirsiniz

bir veya birden fazla kullanıcıya daha geniş haklarda bir kural yazmak isterseniz o da mümkün ilk olarak bu kullanıcıların isimlerini user bölümünde oluşturuyoruz

3 numaralı adımda kullanıcı ismini 4 numaralı adımda da sso agenti seçerek aşağıdaki gibi işlemi tamamlıyoruz

artık ilgili user için bir üste yeni bir kural ekleyerek farklı bir policyden geçmesini sağlayabilirsiniz

makalemizin sonuna geldik her türlü görüşünüzü veya sorunuzu yorum bölümünden yazabilirsiniz



1 Yorum

Bir cevap yazın