Welkom by die tweede publikasie van 'n reeks artikels gewy aan Cisco ISE. In die eerste die voordele en verskille van Network Access Control (NAC)-oplossings van standaard AAA, die uniekheid van Cisco ISE, die argitektuur en installasieproses van die produk is uitgelig.
In hierdie artikel sal ons delf na die skep van rekeninge, die byvoeging van LDAP-bedieners en integrasie met Microsoft Active Directory, sowel as die nuanses wanneer u met PassiveID werk. Voordat jy lees, beveel ek sterk aan dat jy lees .
1. Sommige terminologie
Gebruikersidentiteit — 'n gebruikersrekening wat inligting oor die gebruiker bevat en sy geloofsbriewe vorm vir toegang tot die netwerk. Die volgende parameters word tipies in Gebruikersidentiteit gespesifiseer: gebruikersnaam, e-posadres, wagwoord, rekeningbeskrywing, gebruikergroep en rol.
Gebruikergroepe - Gebruikersgroepe is 'n versameling individuele gebruikers wat 'n gemeenskaplike stel voorregte het wat hulle toelaat om toegang tot 'n spesifieke stel Cisco ISE-dienste en -funksies te verkry.
Gebruikersidentiteitsgroepe - voorafbepaalde gebruikersgroepe wat reeds sekere inligting en rolle het. Die volgende gebruikersidentiteitsgroepe bestaan by verstek en jy kan gebruikers en gebruikersgroepe daarby voeg: Werknemer, BorgAllerekening, BorgGroeprekeninge, BorgOwnRekeninge (borgrekeninge vir die bestuur van die gasportaal), Gas, ActivatedGuest.
Gebruikersrol - 'n Gebruikersrol is 'n stel toestemmings wat bepaal watter take 'n gebruiker kan verrig en tot watter dienste 'n gebruiker toegang het. Dikwels word 'n gebruikersrol met 'n groep gebruikers geassosieer.
Boonop het elke gebruiker en gebruikersgroep bykomende eienskappe wat jou toelaat om 'n gegewe gebruiker (gebruikersgroep) uit te lig en meer spesifiek te definieer. Meer inligting in .
2. Skep plaaslike gebruikers
1) In Cisco ISE is dit moontlik om plaaslike gebruikers te skep en dit in toegangsbeleide te gebruik of selfs die produkadministrasierol aan hulle te gee. Kies Administrasie → Identiteitsbestuur → Identiteite → Gebruikers → Voeg by.
Figuur 1: Voeg 'n plaaslike gebruiker by Cisco ISE
2) Skep 'n plaaslike gebruiker in die venster wat verskyn, gee hom 'n wagwoord en ander duidelike parameters.
Figuur 2. Skep 'n plaaslike gebruiker in Cisco ISE
3) Gebruikers kan ook ingevoer word. In dieselfde blad Administrasie → Identiteitsbestuur → Identiteite → Gebruikers kies 'n opsie invoer en laai 'n csv- of txt-lêer saam met gebruikers op. Om die sjabloon te kry, kies Genereer 'n sjabloon, dan moet jy dit vul met inligting oor gebruikers in 'n geskikte vorm.
Figuur 3. Gebruikers invoer in Cisco ISE
3. Voeg LDAP-bedieners by
Laat ek jou daaraan herinner dat LDAP 'n gewilde toepassingsvlakprotokol is wat jou toelaat om inligting te ontvang, stawing uit te voer, rekeninge in LDAP-bedienergidse te soek en op poort 389 of 636 (SS) te werk. Prominente voorbeelde van LDAP-bedieners is Active Directory, Sun Directory, Novell eDirectory en OpenLDAP. Elke inskrywing in die LDAP-gids word gedefinieer deur 'n DN (Distinguished Name) en om 'n toegangsbeleid te formuleer, ontstaan die taak om rekeninge, gebruikersgroepe en eienskappe te herwin.
In Cisco ISE is dit moontlik om toegang tot baie LDAP-bedieners op te stel en sodoende oortolligheid te realiseer. As die primêre LDAP-bediener nie beskikbaar is nie, sal ISE probeer om die sekondêre een te kontak, ensovoorts. Daarbenewens, as daar 2 PAN'e is, kan een LDAP geprioritiseer word vir die primêre PAN, en 'n ander LDAP kan geprioritiseer word vir die sekondêre PAN.
ISE ondersteun 2 tipes opsoek wanneer daar met LDAP-bedieners gewerk word: Gebruikersopsoek en MAC-adresopsoek. Gebruikersoektog laat jou toe om 'n gebruiker in 'n LDAP-databasis te soek en die volgende inligting sonder verifikasie op te haal: gebruikers en hul eienskappe, gebruikersgroepe. MAC-adresopsoek laat jou ook toe om volgens MAC-adres in LDAP-gidse te soek sonder verifikasie en inligting oor 'n toestel, 'n groep toestelle volgens MAC-adresse en ander spesifieke eienskappe te bekom.
As 'n voorbeeld van integrasie, kom ons voeg Active Directory by Cisco ISE as 'n LDAP-bediener.
1) Gaan na die blad Administrasie → Identiteitsbestuur → Eksterne identiteitsbronne → LDAP → Voeg by.
Figuur 4. Voeg 'n LDAP-bediener by
2) In die paneel algemene spesifiseer die LDAP-bedienernaam en -skema (in ons geval Active Directory).
Figuur 5. Byvoeging van 'n LDAP-bediener met 'n Active Directory-skema
3) Gaan dan na verband oortjie en spesifiseer Gasheernaam/IP-adres Bediener AD, poort (389 - LDAP, 636 - SSL LDAP), domeinadministrateur geloofsbriewe (Admin DN - volle DN), ander parameters kan as verstek gelaat word.
Let daarop: Gebruik die admin-domeinbesonderhede om potensiële probleme te vermy.
Figuur 6. Invoer van LDAP-bedienerdata
4) In die blad Gids organisasie jy moet die gidsarea via DN spesifiseer waaruit gebruikers en gebruikersgroepe moet trek.
Figuur 7. Bepaling van gidse waaruit gebruikersgroepe opgetrek moet word
5) Gaan na die venster Groepe → Voeg by → Kies groepe uit gids om trekgroepe van die LDAP-bediener te kies.
Figuur 8. Voeg groepe vanaf die LDAP-bediener by
6) Klik in die venster wat verskyn Haal groepe op. As die groepe aangesluit het, is die voorlopige stappe suksesvol voltooi. Andersins, probeer 'n ander administrateur en kontroleer die beskikbaarheid van ISE met 'n LDAP-bediener wat die LDAP-protokol gebruik.
Figuur 9. Lys van geaktiveerde gebruikersgroepe
7) In die blad eienskappe jy kan opsioneel spesifiseer watter eienskappe van die LDAP-bediener opgetrek moet word, en in die venster Gevorderde instellings aktiveer opsie Aktiveer wagwoordverandering, wat gebruikers sal dwing om hul wagwoord te verander as dit verval het of teruggestel is. Hoe dit ook al sy, klik Stuur om voort te gaan.
8) Die LDAP-bediener verskyn in die ooreenstemmende oortjie en kan later gebruik word om toegangsbeleide te skep.
Figuur 10. Lys van bygevoegde LDAP-bedieners
4. Integrasie met Active Directory
1) Deur die Microsoft Active Directory-bediener as 'n LDAP-bediener by te voeg, het ons gebruikers, gebruikersgroepe ontvang, maar nie logs nie. Vervolgens stel ek voor dat u volledige AD-integrasie met Cisco ISE opstel. Gaan na die oortjie Administrasie → Identiteitsbestuur → Eksterne identiteitsbronne → Active Directory → Voeg by.
Let wel: Vir suksesvolle integrasie met AD moet ISE in 'n domein wees en volle konnektiwiteit met DNS-, NTP- en AD-bedieners hê, anders sal niks werk nie.
Figuur 11. Voeg 'n Active Directory-bediener by
2) In die venster wat verskyn, voer die domeinadministrateurinligting in en merk die blokkie Stoor geloofsbriewe. Daarbenewens kan jy 'n OE (Organisasie-eenheid) spesifiseer as die ISE in 'n spesifieke OE geleë is. Vervolgens moet u die Cisco ISE-nodusse kies wat u aan die domein wil koppel.
Figuur 12. Invoer van geloofsbriewe
3) Voordat jy domeinbeheerders byvoeg, maak seker dat op PSN in die oortjie Administrasie → Stelsel → Ontplooiing opsie geaktiveer Passiewe Identiteitsdiens. Passiewe ID - 'n opsie waarmee u gebruiker na IP kan vertaal en omgekeerd. PassiveID ontvang inligting van AD via WMI, spesiale AD-agente, of 'n SPAN-poort op die skakelaar (nie die beste opsie nie).
Let wel: om die Passiewe ID-status na te gaan, voer in die ISE-konsole in wys aansoekstatus is | sluit Passiewe ID in.
Figuur 13. Aktivering van die PassiveID-opsie
4) Gaan na die blad Administrasie → Identiteitsbestuur → Eksterne identiteitsbronne → Active Directory → Passiewe ID en kies die opsie Voeg DC's by. Kies dan die vereiste domeinbeheerders deur die merkblokkies en klik OK.
Figuur 14. Byvoeging van domeinbeheerders
5) Kies die bygevoegde DC's en klik op die knoppie Wysig. Dui asseblief aan FQDN jou DC, domeinaanmelding en wagwoord, sowel as 'n kommunikasie-opsie WMI of Agent. Kies WMI en klik OK.
Figuur 15. Invoer van domeinbeheerderinligting
6) As WMI nie die voorkeurmetode is om met Active Directory te kommunikeer nie, kan ISE-agente gebruik word. Die agentmetode is dat u spesiale agente op die bediener kan installeer wat aanmeldgebeurtenisse sal uitreik. Daar is 2 installasie-opsies: outomaties en handmatig. Om die agent outomaties in dieselfde oortjie te installeer Passiewe ID kies item Voeg agent by → Ontplooi nuwe agent (DC moet internettoegang hê). Vul dan die vereiste velde in (agent naam, bediener FQDN, domein administrateur login/wagwoord) en klik OK.
Figuur 16. Outomatiese installasie van ISE-agent
7) Om Cisco ISE-agent handmatig te installeer, moet jy kies Registreer Bestaande Agent. Terloops, jy kan die agent in die blad aflaai Werksentrums → Passiewe ID → Verskaffers → Agente → Laai Agent af.
Figuur 17. Laai die ISE-agent af
Belangrik: Passiewe ID lees nie gebeure nie afteken! Die parameter verantwoordelik vir die uitteltyd word genoem verouderingstyd van die gebruikersessie en is by verstek gelyk aan 24 uur. Daarom moet jy óf self aan die einde van die werksdag afmeld, óf 'n soort skrif skryf wat outomaties alle aangemelde gebruikers sal afmeld.
Vir inligting afteken "Eindpunt probes" word gebruik. Daar is verskeie eindpuntprobes in Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS sonde gebruik KoA (Verandering van magtiging)-pakkette verskaf inligting oor die verandering van gebruikersregte (dit vereis 'n ingebedde 802.1X), en SNMP wat op toegangskakelaars opgestel is, sal inligting verskaf oor gekoppelde en ontkoppelde toestelle.
Hieronder is 'n voorbeeld wat relevant is vir 'n Cisco ISE + AD-konfigurasie sonder 802.1X en RADIUS: die gebruiker is aangemeld op 'n Windows-masjien, sonder om af te meld, meld aan vanaf 'n ander rekenaar via WiFi. In hierdie geval sal die sessie op die eerste rekenaar steeds aktief wees totdat 'n time-out plaasvind of 'n gedwonge afmelding plaasvind. Dan, as toestelle verskillende regte het, sal die toestel wat laas aangemeld is, sy regte toepas.
8) Ekstras in die blad Administrasie → Identiteitsbestuur → Eksterne identiteitsbronne → Active Directory → Groepe → Voeg by → Kies groepe uit gids jy kan groepe uit AD kies wat jy by ISE wil voeg (in ons geval is dit gedoen in stap 3 "Voeg 'n LDAP-bediener by"). Kies 'n opsie Haal groepe op → OK.
Figuur 18 a). Trek gebruikersgroepe uit Active Directory
9) In die blad Werksentrums → Passiewe ID → Oorsig → Dashboard jy kan die aantal aktiewe sessies, die aantal databronne, agente en meer monitor.
Figuur 19. Monitering van domeingebruikeraktiwiteit
10) In die blad Lewende sessies huidige sessies word vertoon. Integrasie met AD is opgestel.
Figuur 20. Aktiewe sessies van domeingebruikers
5. gevolgtrekking
Hierdie artikel het die onderwerpe gedek oor die skep van plaaslike gebruikers in Cisco ISE, die byvoeging van LDAP-bedieners en integrasie met Microsoft Active Directory. Die volgende artikel sal gaste se toegang in die vorm van 'n oortollige gids dek.
As jy enige vrae oor hierdie onderwerp het of hulp benodig om die produk te toets, kontak asseblief .
Bly ingeskakel vir opdaterings in ons kanale (, , , , ).
Bron: will.com