مرحبًا بك في المنشور الثاني في سلسلة Cisco ISE. في الاول تم تسليط الضوء على مزايا واختلافات حلول التحكم في الوصول إلى الشبكة (NAC) عن حلول AAA القياسية ، وتفرد Cisco ISE ، والبنية وعملية التثبيت للمنتج.
في هذه المقالة ، سوف نتعمق في إنشاء الحسابات ، وإضافة خوادم LDAP ، والتكامل مع Microsoft Active Directory ، بالإضافة إلى الفروق الدقيقة في العمل مع PassiveID. قبل القراءة ، أوصي بشدة أن تقرأ .
1. بعض المصطلحات
هوية المستخدم - حساب المستخدم ، الذي يحتوي على معلومات حول المستخدم ويولد بيانات اعتماده للوصول إلى الشبكة. عادةً ما يتم تحديد المعلمات التالية في "هوية المستخدم": اسم المستخدم وعنوان البريد الإلكتروني وكلمة المرور ووصف الحساب ومجموعة المستخدمين والدور.
مجموعات المستخدمين - مجموعات المستخدمين هي مجموعة من المستخدمين الفرديين الذين لديهم مجموعة مشتركة من الامتيازات التي تسمح لهم بالوصول إلى مجموعة محددة من خدمات Cisco ISE ووظائفها.
مجموعات هوية المستخدم - مجموعات مستخدمين محددة مسبقًا تحتوي بالفعل على معلومات وأدوار معينة. توجد مجموعات هوية المستخدم التالية افتراضيًا ، يمكنك إضافة مستخدمين ومجموعات مستخدمين إليها: الموظف (الموظف) ، الراعي الكل ، الراعي ، الحسابات الراعية (حسابات الراعي لإدارة بوابة الضيف) ، الضيف (الضيف) ، ActivatedGuest (الضيف المنشط).
دور المستخدم- دور المستخدم هو مجموعة من الأذونات التي تحدد المهام التي يمكن للمستخدم القيام بها والخدمات التي يمكن الوصول إليها. غالبًا ما يرتبط دور المستخدم بمجموعة من المستخدمين.
علاوة على ذلك ، لكل مستخدم ومجموعة مستخدمين سمات إضافية تتيح لك تحديد هذا المستخدم (مجموعة المستخدمين) وتعريفه بشكل أكثر تحديدًا. مزيد من المعلومات في .
2. إنشاء مستخدمين محليين
1) لدى Cisco ISE القدرة على إنشاء مستخدمين محليين واستخدامهم في سياسة الوصول أو حتى إعطاء دور إدارة المنتج. يختار الإدارة ← إدارة الهوية ← الهويات ← المستخدمون ← إضافة.
الشكل 1 إضافة مستخدم محلي إلى Cisco ISE
2) في النافذة التي تظهر ، أنشئ مستخدمًا محليًا ، وقم بتعيين كلمة مرور ومعلمات أخرى مفهومة.
الشكل 2. إنشاء مستخدم محلي في Cisco ISE
3) يمكن أيضًا استيراد المستخدمين. في نفس علامة التبويب الإدارة ← إدارة الهوية ← الهويات ← المستخدمون حدد اختيارا استيراد وتحميل ملف csv أو txt مع المستخدمين. للحصول على قالب حدد قم بإنشاء قالب، ثم يجب ملؤها بمعلومات عن المستخدمين في نموذج مناسب.
الشكل 3 استيراد المستخدمين إلى Cisco ISE
3. إضافة خوادم LDAP
دعني أذكرك أن LDAP هو بروتوكول شائع على مستوى التطبيق يسمح لك بتلقي المعلومات وإجراء المصادقة والبحث عن الحسابات في أدلة خوادم LDAP ويعمل على المنفذ 389 أو 636 (SS). الأمثلة البارزة لخوادم LDAP هي Active Directory و Sun Directory و Novell eDirectory و OpenLDAP. يتم تحديد كل إدخال في دليل LDAP بواسطة DN (الاسم المميز) ويتم رفع مهمة استرداد الحسابات ومجموعات المستخدمين والسمات لتشكيل سياسة وصول.
في Cisco ISE ، من الممكن تكوين الوصول إلى العديد من خوادم LDAP ، وبالتالي تنفيذ التكرار. إذا لم يكن خادم LDAP الأساسي (الأساسي) متاحًا ، فسيحاول ISE الوصول إلى الخادم الثانوي (الثانوي) وما إلى ذلك. بالإضافة إلى ذلك ، إذا كان هناك 2 PANs ، فيمكن إعطاء الأولوية لـ LDAP واحد لـ PAN الأساسي و LDAP آخر لـ PAN الثانوي.
يدعم ISE نوعين من البحث (البحث) عند العمل مع خوادم LDAP: User Lookup و MAC Address Lookup. يسمح لك User Lookup بالبحث عن مستخدم في قاعدة بيانات LDAP والحصول على المعلومات التالية بدون مصادقة: المستخدمون وسماتهم ومجموعات المستخدمين. يسمح لك بحث عنوان MAC أيضًا بالبحث عن طريق عنوان MAC في دلائل LDAP بدون مصادقة والحصول على معلومات حول الجهاز ، ومجموعة من الأجهزة حسب عناوين MAC ، وسمات أخرى محددة.
كمثال للتكامل ، دعنا نضيف Active Directory إلى Cisco ISE كخادم LDAP.
1) انتقل إلى علامة التبويب الإدارة ← إدارة الهوية ← مصادر الهوية الخارجية ← LDAP ← إضافة.
الشكل 4. إضافة خادم LDAP
2) في لوحة العلاجات العامة حدد اسم ومخطط خادم LDAP (في حالتنا ، Active Directory).
الشكل 5. إضافة خادم LDAP مع مخطط Active Directory
3) انتقل بعد ذلك إلى الاتصال علامة التبويب وحدد اسم المضيف / عنوان IP الخادم AD ، المنفذ (389 - LDAP ، 636 - SSL LDAP) ، بيانات اعتماد مسؤول المجال (Admin DN - Full DN) ، يمكن ترك معلمات أخرى كإعداد افتراضي.
لاحظ: استخدم تفاصيل مجال المسؤول لتجنب المشاكل المحتملة.
الشكل 6 إدخال بيانات خادم LDAP
4) في علامة التبويب منظمة الدليل يجب عليك تحديد منطقة الدليل من خلال DN حيث يتم سحب المستخدمين ومجموعات المستخدمين.
الشكل 7. تحديد الدلائل من حيث يمكن لمجموعات المستخدمين الانسحاب
5) اذهب إلى النافذة مجموعات → إضافة → حدد مجموعات من الدليل لتحديد مجموعات السحب من خادم LDAP.
الشكل 8. إضافة مجموعات من خادم LDAP
6) في النافذة التي تظهر ، انقر فوق استرجاع المجموعات. إذا انسحبت المجموعات ، فهذا يعني أن الخطوات الأولية قد اكتملت بنجاح. بخلاف ذلك ، جرب مسؤولًا آخر وتحقق من توفر ISE مع خادم LDAP عبر بروتوكول LDAP.
الشكل 9. قائمة مجموعات المستخدمين المسحوبة
7) في علامة التبويب السمات يمكنك اختياريا تحديد السمات التي يجب سحبها من خادم LDAP ، وفي النافذة إعدادات متقدمة تمكين الخيار تفعيل تغيير كلمة المرور، مما سيجبر المستخدمين على تغيير كلمة المرور الخاصة بهم إذا انتهت صلاحيتها أو تمت إعادة تعيينها. على أي حال انقر فوق تقدم لاستكمال.
8) ظهر خادم LDAP في علامة التبويب المقابلة ويمكن استخدامه لتشكيل سياسات الوصول في المستقبل.
الشكل 10. قائمة خوادم LDAP المضافة
4. التكامل مع Active Directory
1) من خلال إضافة خادم Microsoft Active Directory كخادم LDAP ، حصلنا على مستخدمين ومجموعات مستخدمين ، ولكن لا توجد سجلات. بعد ذلك ، أقترح إعداد تكامل AD كامل مع Cisco ISE. انتقل إلى علامة التبويب الإدارة ← إدارة الهوية ← مصادر الهوية الخارجية ← الدليل النشط ← إضافة.
ملاحظة: من أجل التكامل الناجح مع AD ، يجب أن يكون ISE في مجال ولديه اتصال كامل بخوادم DNS و NTP و AD ، وإلا فلن يأتي شيء منه.
الشكل 11. إضافة خادم Active Directory
2) في النافذة التي تظهر ، أدخل تفاصيل مسؤول المجال وحدد المربع أوراق اعتماد المتجر. بالإضافة إلى ذلك ، يمكنك تحديد OU (وحدة تنظيمية) إذا كان ISE موجودًا في وحدة تنظيمية معينة. بعد ذلك ، سيتعين عليك تحديد عُقد Cisco ISE التي تريد توصيلها بالمجال.
الشكل 12. إدخال بيانات الاعتماد
3) قبل إضافة وحدات تحكم المجال ، تأكد من ذلك على PSN في علامة التبويب الإدارة ← النظام ← النشر تمكين الخيار خدمة الهوية السلبية. معرف سلبي - خيار يسمح لك بترجمة المستخدم إلى IP والعكس صحيح. يحصل PassiveID على معلومات من AD عبر WMI أو وكلاء AD خاصين أو منفذ SPAN على المحول (ليس الخيار الأفضل).
ملاحظة: للتحقق من حالة المعرف الخامل ، اكتب في وحدة تحكم ISE عرض حالة الطلب هو | تشمل PassiveID.
الشكل 13. تمكين خيار PassiveID
4) انتقل إلى علامة التبويب الإدارة ← إدارة الهوية ← مصادر الهوية الخارجية ← الدليل النشط ← الهوية السلبية وحدد الخيار أضف البلدان النامية. بعد ذلك ، حدد وحدات تحكم المجال الضرورية مع مربعات الاختيار وانقر فوق حسنا.
الشكل 14. إضافة وحدات تحكم المجال
5) حدد DC المضافة وانقر فوق الزر تحرير. تعليق FQDN DC الخاص بك ، تسجيل الدخول إلى المجال وكلمة المرور ، وخيار الارتباط WMI أو الوكيل. حدد WMI وانقر فوق حسنا.
الشكل 15 إدخال تفاصيل وحدة تحكم المجال
6) إذا لم يكن WMI هو الطريقة المفضلة للتواصل مع Active Directory ، فيمكن استخدام وكلاء ISE. طريقة الوكيل هي أنه يمكنك تثبيت وكلاء خاصين على الخوادم التي ستبعث أحداث تسجيل الدخول. يوجد خياران للتثبيت: تلقائي ويدوي. لتثبيت الوكيل تلقائيًا في نفس علامة التبويب معرف سلبي حدد البند إضافة وكيل → نشر وكيل جديد (يجب أن يكون DC الوصول إلى الإنترنت). ثم املأ الحقول المطلوبة (اسم الوكيل ، خادم FQDN ، تسجيل دخول مسؤول المجال / كلمة المرور) وانقر حسنا.
الشكل 16. التثبيت التلقائي لعامل ISE
7) لتثبيت وكيل Cisco ISE يدويًا ، حدد العنصر تسجيل الوكيل الحالي. بالمناسبة ، يمكنك تنزيل الوكيل في علامة التبويب مراكز العمل ← PassiveID ← المزودون ← الوكلاء ← تنزيل الوكيل.
الشكل 17. تنزيل عامل ISE
هام: لا يقرأ PassiveID الأحداث الانقطاع! يتم استدعاء المعلمة المسؤولة عن المهلة وقت شيخوخة جلسة المستخدم ويساوي 24 ساعة بشكل افتراضي. لذلك ، يجب عليك إما تسجيل الخروج بنفسك في نهاية يوم العمل ، أو كتابة نوع من البرامج النصية التي ستقوم تلقائيًا بتسجيل خروج جميع المستخدمين الذين قاموا بتسجيل الدخول.
للحصول على معلومات الانقطاع يتم استخدام "تحقيقات نقطة النهاية" - تحقيقات المحطة. هناك العديد من تحقيقات نقطة النهاية في Cisco ISE: RADIUS و SNMP Trap و SNMP Query و DHCP و DNS و HTTP و Netflow و NMAP Scan. نصف القطر استخدام المسبار شهادة توثيق البرامج توفر حزم (تغيير التخويل) معلومات حول تغيير حقوق المستخدم (وهذا يتطلب تضمين 802.1X) ، والتي تم تكوينها على مفاتيح الوصول SNMP ، ستقدم معلومات حول الأجهزة المتصلة وغير المتصلة.
المثال التالي مناسب لتكوين Cisco ISE + AD بدون 802.1X و RADIUS: يتم تسجيل دخول المستخدم على جهاز يعمل بنظام Windows ، دون تسجيل الخروج ، وتسجيل الدخول من كمبيوتر آخر عبر WiFi. في هذه الحالة ، ستظل الجلسة على جهاز الكمبيوتر الأول نشطة حتى تنتهي المهلة أو يحدث تسجيل الخروج الإجباري. ثم إذا كان للأجهزة حقوق مختلفة ، فسيطبق آخر جهاز تم تسجيل الدخول عليه حقوقه.
8) اختياري في علامة التبويب الإدارة ← إدارة الهوية ← مصادر الهوية الخارجية ← الدليل النشط ← المجموعات ← إضافة ← اختر المجموعات من الدليل يمكنك تحديد مجموعات من AD التي تريد سحبها على ISE (في حالتنا ، تم ذلك في الخطوة 3 "إضافة خادم LDAP"). إختر خيار استرداد المجموعات → موافق.
الشكل 18 أ). سحب مجموعات المستخدمين من Active Directory
9) في علامة التبويب مراكز العمل → PassiveID → نظرة عامة → لوحة القيادة يمكنك ملاحظة عدد الجلسات النشطة وعدد مصادر البيانات والوكلاء والمزيد.
الشكل 19. مراقبة نشاط مستخدمي المجال
10) في علامة التبويب جلسات مباشرة يتم عرض الجلسات الحالية. تم تكوين التكامل مع م.
الشكل 20. الجلسات النشطة لمستخدمي المجال
5. الخلاصة
تناولت هذه المقالة موضوعات إنشاء مستخدمين محليين في Cisco ISE ، وإضافة خوادم LDAP ، والتكامل مع Microsoft Active Directory. ستسلط المقالة التالية الضوء على وصول الضيف في شكل دليل فائض عن الحاجة.
إذا كانت لديك أسئلة حول هذا الموضوع أو تحتاج إلى مساعدة في اختبار المنتج ، فيرجى الاتصال بـ .
ترقبوا التحديثات في قنواتنا (, , , , ).
المصدر: www.habr.com