COSLAT ve CISCO ISE Entegrasyonu
Bu makalemizde Coslat ve Cisco ISE entegrasyonu ile Coslat Hotspot kayıt olma özelliklerinin Cisco ISE ürününe nasıl entegre edileceğinden bahsedeceğiz.
Cisco ISE (Cisco Identity Services Engine)
Cisco ISE servisi kurumsal yapılarda kullanıcıların kurum ağına bağlantılarını kontrol eden bir servistir. Cisco ISE ağa yapılan tüm kablolu ve kablosuz bağlantılar ile uzak erişimler için merkezi yetkilendirme ve denetim işlemlerini yapmaktadır. NAC özelliği ile hangi kullanıcının hangi yetki ile kurum ağına bağlanabileceğini belirler.
Kablolu ya da kablosuz olarak ağa dahil olan bir istemci ilk olarak ISE tarafından karşılanır ve yetkilerine uygun şekilde ağa dahil edilir. Ağa bağlanan istemci Cisco ISE tarafından tanınmıyorsa Cisco ISE login ekranı istemciye gösterilir ve kullanıcı adı parola ile sisteme giriş yapması istenir. Kullanıcı adı ve parola ile sisteme giriş yapan istemci ağa kabul edilirken geçerli bir hesaba sahip olmayan istemciler kurum ağına dahil edilmezler.
Coslat ile Entegrasyon
Cisco ISE ürününü misafir ağlarında kullanmak isteyen kurumlarda; misafir istemcilerin ağa bağlanabilmeleri için kullanıcı hesabına sahip olmaları gerekmetedir. Bu kullanıcı hesapları sistem yöneticileri tarafından ISE üzerinde açılmakta ve daha sonra misafirlere kullanıcı adı ve parola bilgisi iletilmektedir.
Çok fazla ziyaretçi alan kurumsal yapılarda misafirler için hesapların açılması, hesap bilgilerinin misafirlere ulaştırılması ve süresi dolan hesapların kapatılması gibi işlemler sistem yöneticilerine fazladan iş yükü getirdiği gibi misafirlerin ağa bağlanma süreçlerini de oldukça uzatmakdatır.
Cslat Cisco ISE entegrasyonu bu sorunu çözmek için geliştirilmiş bir çözümdür. Coslat, Cisco ISE ile entegre çalışarak misafir ağlarındaki kullanıcıların sisteme kayıt olabilmesini sağlar.
Kayıt Seçenekleri
Misafir ağına bağlanan yeni bir kullanıcı Cisco ISE login ekranına yönlendirilir ve oturum açması istenir. Kullanıcı hesabı olmayan kullanıcı bu ekrandan “Kayıt Ol” seçeneği ile Coslat kayıt sayfasına yönlendirilir.
Kullanıcı Coslat üzerindeki kayıt formunu doldurarak kayıt olduğunda kullanıcı hesabı Cisco ISE üzerine oluşturulur ve tüm işlemler 5651 sayılı kanuna uygun olarak imzalanmak üzere log dosyalarına yazılır.
Kullanıcı kayıt seçenekleri kurum ihtiyacına göre yapılandırlabilecek şekilde esnektir. Bu seçeneklerden bir kaçı aşağıdaki gibidir.
Doğrudan Kayıt
Misafir kullanıcı kayıt formunda doğrudan bir kullanıcı adı ve parola belirleyerek Cisco ISE üzerine kayıt olabilir.
SMS Doğrulamalı Kayıt
Kayıt formunda girilen GSM numarasına kullanıcı hesap bilgileri SMS ile gönderilir. Bu seçenekte girilen GSM Numarası kullanıcı adı olarak kullanılır.
TC Kimlik Numarası Doğrulamalı
Kullanıcının girdiği TC Kimlik Numarası Nüfus ve Vatandaşlık İşlerinden kontrol edilerek kullanıcı hesabı oluşturulur. Bu seçenekte TC Kimlik Numarası kullanıcı adı olarak kullanılır ve kullanıcı parolasını kendisi belirleyebilir.
SMS ve TC Kimlik Numarası DoğrulamalıKullanıcının giridği TC Kimlik Numarası Nüfus ve Vatandaşlık İşlerinden kontrol edilerek kullanıcı hesabı oluşturulur. Kullanıcı adı olarak TC Kimlik Numarası kullanılır ve kullanıcı hesabı için rastgele parola üretilerek girilen GSM numarasına SMS olarak gönderilir.
Sponsorlu Kayıt
Kayıt olan misafir kullanıcı hesaplarının kurum çalışanları ya da sistem yöneticileri tarafından onaylanmasını gerektiren bu kayıt seçeneği diğer kayıt seçenekleri ile birlikte kullanılır.
Bir kullanıcı kayıt formunu doldurarak kayıt olduğunda kullanıcı hesabı Coslat üzerinde Onay Bekleyen Kullanıcılar grubuna açılır ve ev sahibi durumundaki sponsora aşağıdaki gibi bir onay e-postası gönderilir.
Sponsor onay vererek kayıt işlemini tamamlayabilir. Sponsor onay vermediği sürece Cisco ISE üzerine kullanıcı kayıt işlemi gerçekleşmez.
Statik Sponsor
Onay e-postaları Coslat üzerinde Statik sponsor olarak önceden tanımlanmış sabit adreslere gönderilir. Kullanıcı kayıt işlemlerinin belirli kişiler örneğin bilgi işlem personeli tarafından onaylanması istenilen durumlarda kullanılır.
Dinamik Sponsor
Kurum çalışanlarından her hangi birisinin kendisine gelen misafire ait hesabı onaylamasını sağlar. Misafir kullanıcı kayıt formunda ziyarete geldiği kurum personelinin e-posta adresini girerek onay e-postasının kurum personeline gönderilmesini sağlar. Personel kendisine gelen onay linkini kullanarak misafir hesabı onaylayabilir. Coslat üzerinde sponsor olabilecek e-posta adreslerinin bağlı bulunduğu alan adı tanımlanarak yalnızca belli bir alan adına ait e-posta hesaplarının sponsor olması sağlanabilir.
Tüm kurum çalışanlarının onaylama işlemi yapması istenmiyorsa Coslat üzerinde Active Directory/Ldap desteği aktif edilerek belirli bir Active Directory kullanıcı grubunun onay yetkisine sahip olması sağlanabilir.
Hesap Ömrü Belirlenmesi
Kayıt olan kullanıcı hesapları için ön tanımlı hesap ömrü 1 gündür. Bu ayar Coslat arayüzünden günlük ya da saatlik olarak değiştirilebilir.
Kayıt olan her kullanıcı ön tanımlı hesap ömrüne kadar geçerli kalır. Hesap ömrü dolan kullanıcılar sistemden otomatik olarak silinirler.
Sponsorlu kayıt seçeneğinde sponsorlara hesap örmünü değiştirme izni verilmişse sponsorlar kullanıcı hesap ömrünü değiştirebilir.
Yapılandırma
Cisco ISE Yapılandırması
ERS Servisinin (External RESTful Services) Aktif Edilmesi
Coslat ürününün Cisco ISE ile konuşabilmesi için öncelikle Cisco ISE üzerinde ERS (External RESTful Services) aktif edilmelidir. ERS Servisi HTTP olarak 9060 portunda çalışan bir REST API servisidir.
Bu servisi aktif etmek için Cisco ISE yönetim arayüzünde Administration > Settings > ERS Settings yolu takip edilerek ERS Settings sayfasına gelinir. Bu sayfada Enable ERS for Read/Write seçeneği işaretlenmeli ve Save butonu ile ayarlar kayıt edilmelidir.
ERS Admin Kullanıcının Oluşturulması
Cisco ISE yönetim arayüzünde Administration > Admin Access > Administrators > Admin Users yolu takip edilerek yönetici hesapların listelendiği Administrators sayfasına gelinmelidir. Bu sayfada artı (+) şeklindeki Add butonu kullanılarak “Create an Admin User” seçeneği ile yeni kullanıcı oluşturma sayfasına ulaşılabilir.
Bu sayfadaki Admin User başlığı altında Name alanına bir kullanıcı adı yazılmalıdır. Bu örnekte kullanıcı adı olarak coslat kullanılmıştır. Kullanıcının status durumunun Enabled olmasına dikkat edilmelidir.
Parola kısmında yeni kullanıcı hesabımız için parola tanımlanmalıdır. Bu kullanıcı Cisco ISE üzeride yönetici yetkilerine sahip olacağından güvenli bir parola kullanılmasına dikkat edilmelidir.
AdminGroups kısmından ise yeni kullanıcı hesabımızın ERS Admin yetkileri verilmelidir.
Coslat Yapılandırması
Bölge (Zone) Eklenmesi
Coslat arayüzünde Servisler menüsü altındaki Hizmet Portalı seçeneğine tıkladıktan sonra gelen Alan Ekle sayfasında bölge adı tanımlanır ve Kaydet & Devam Et butonuna tıklanarak yeni bir bölge (zone) eklenir.
Bu örnekte bölge adı ise olarak tanımlanmıştır. Bölge isimleri harfler, rakamlar ve alt çizgi (_) karakteri içerebilir ve sayı ile başlayamaz. Bu isimlendirme kurallarına uyulduğu sürece istenilen isim verilebilir.
Bölgeler (zone) birden fazla Cisco ISE ile çalışılacağı durumlarda kullanıllır. Her bir Cisco ISE için farklı bir bölge eklenebilir ve bu sayede tüm Cisco ISE bölgeleri için farklı yapılandırmalar kullanılabilir.
Bölge Yapılandırması
Eklenmiş olan bölgenin aktif edilmesi için Hizmet Portalını Etkinleştir onay kutusu işaretlenmeli ve bu bölge için hizmet verecek ağ arabirimi seçilmeli ve Kaydet butonuna tıklanarak ayarlar kayıt edilmelidir.
Bu örnekte WAN olarak isimlendirilen ağ arabirimi seçilmiştir. Seçilen ağ arabiriminin Cisco ISE ile iletişim kurabilecek şekilde yapılandırıldığından emin olunmalıdır.
Coslat Üzerinde ISE Ayarları
ISE Settings sekmesinde yer alan ISE Server Settings altında bağlanılacak Cisco ISE servisinin bilgileri tanımlanmalıdır.
ISE Version: Kullanılan Cisco ISE sürümüne göre uygun versiyon seçilmelidir.
ISE Server Username: Coslat’ın Cisco ISE a bağlanabilmesi için gerekli ERS Admin hesabı.
ISE Server Password: Cisco ISE a bağlanmak için kullanılacak ERS Admin hesabına ait parola.
ERS Admin Kullanıcının Oluşturulması başlığında tanımlanan coslat ERS Admin hesabına ait bilgiler Username ve Password alanlarına girilmelidir.
ISE Server Address: Cisco ISE tarafından kullanılan IP adresi
SMS Ayarları
SMS gönderirken kullanılacak operatöre/servise göre bu yapılandırma değişiklik göstermektedir. Operatör/Servis tarafından verilen teknik dokümantasyona göre aşağıdaki ayarların yapılması gerekmetedir.
SMS Request: SMS göndermek için operatör/servise gönderilecek olan istek bu alana girilmelidir.
SMS Username: Operatör/Servis tarafından verilen kullanıcı adı.
SMS Password: Operatör/Servis tarafından verilen parola.
İhtiyaç duyulması halinde Coslat Çağrı merkezinden teknik destek alarak kullandığınız operatör/servise göre yapılandırma tamamlanabilir.
Eline sağlık.