Cisco ISE seriyasındakı ikinci yazıya xoş gəlmisiniz. Birincidə Şəbəkə Girişinə Nəzarət (NAC) həllərinin standart AAA-dan üstünlükləri və fərqləri, Cisco ISE-nin unikallığı, məhsulun arxitekturası və quraşdırılması prosesi vurğulanmışdır.
Bu yazıda biz hesabların yaradılması, LDAP serverlərinin əlavə edilməsi və Microsoft Active Directory ilə inteqrasiya, həmçinin PassiveID ilə işləməyin nüanslarını araşdıracağıq. Oxumadan əvvəl oxumağınızı şiddətlə tövsiyə edirəm .
1. Bəzi terminologiya
İstifadəçi Kimliyi - istifadəçi haqqında məlumatları ehtiva edən və şəbəkəyə daxil olmaq üçün onun etimadnaməsini yaradan istifadəçi hesabı. Aşağıdakı parametrlər adətən İstifadəçi Kimliyində müəyyən edilir: istifadəçi adı, e-poçt ünvanı, parol, hesab təsviri, istifadəçi qrupu və rol.
İstifadəçi qrupları - istifadəçi qrupları onlara Cisco ISE xidmət və funksiyalarının xüsusi dəstinə daxil olmağa imkan verən ümumi imtiyazlar dəstinə malik olan fərdi istifadəçilər toplusudur.
İstifadəçi Kimliyi Qrupları - artıq müəyyən məlumat və rolları olan əvvəlcədən təyin edilmiş istifadəçi qrupları. Aşağıdakı İstifadəçi Kimliyi Qrupları standart olaraq mövcuddur, onlara istifadəçilər və istifadəçi qrupları əlavə edə bilərsiniz: İşçi (işçi), SponsorAllAccounts, SponsorAllAccounts, SponsorOwnAccounts (qonaq portalını idarə etmək üçün sponsor hesabları), Qonaq (qonaq), ActivatedGuest (aktivləşdirilmiş qonaq).
istifadəçi rolu- İstifadəçi rolu istifadəçinin hansı vəzifələri yerinə yetirə biləcəyini və hansı xidmətlərə daxil ola biləcəyini müəyyən edən icazələr toplusudur. Çox vaxt istifadəçi rolu bir qrup istifadəçi ilə əlaqələndirilir.
Üstəlik, hər bir istifadəçi və istifadəçi qrupunda bu istifadəçini (istifadəçi qrupunu) seçməyə və daha dəqiq müəyyən etməyə imkan verən əlavə atributlar var. Ətraflı məlumatda .
2. Yerli istifadəçilər yaradın
1) Cisco ISE yerli istifadəçilər yaratmaq və onlardan giriş siyasətində istifadə etmək və ya hətta məhsulun idarə edilməsi rolunu vermək qabiliyyətinə malikdir. seçin İdarəetmə → Şəxsiyyət İdarəetmə → Şəxsiyyətlər → İstifadəçilər → Əlavə et.
Şəkil 1 Cisco ISE-yə Yerli İstifadəçinin Əlavə edilməsi
2) Görünən pəncərədə yerli istifadəçi yaradın, parol və digər başa düşülən parametrləri təyin edin.
Şəkil 2. Cisco ISE-də Yerli İstifadəçinin yaradılması
3) İstifadəçilər də idxal edilə bilər. Eyni tabda İdarəetmə → Şəxsiyyət İdarəetmə → Şəxsiyyətlər → İstifadəçilər seçim seçin Idxal və csv və ya txt faylını istifadəçilərlə yükləyin. Şablon almaq üçün seçin Şablon yaradın, sonra uyğun formada istifadəçilər haqqında məlumatla doldurulmalıdır.
Şəkil 3 İstifadəçilərin Cisco ISE-yə idxalı
3. LDAP serverlərinin əlavə edilməsi
Nəzərinizə çatdırım ki, LDAP sizə məlumat qəbul etməyə, autentifikasiyanı həyata keçirməyə, LDAP serverlərinin kataloqlarında hesablar axtarmağa imkan verən, 389 və ya 636 (SS) portunda işləyən populyar proqram səviyyəli protokoldur. LDAP serverlərinin görkəmli nümunələri Active Directory, Sun Directory, Novell eDirectory və OpenLDAP-dır. LDAP qovluğundakı hər bir giriş DN (Fərqli Ad) ilə müəyyən edilir və giriş siyasətini formalaşdırmaq üçün hesabların, istifadəçi qruplarının və atributların bərpası vəzifəsi qaldırılır.
Cisco ISE-də bir çox LDAP serverlərinə girişi konfiqurasiya etmək və bununla da artıqlığı həyata keçirmək mümkündür. Əgər əsas (əsas) LDAP server mövcud deyilsə, onda ISE ikincil (ikinci dərəcəli) və s.-ə daxil olmağa çalışacaq. Əlavə olaraq, 2 PAN varsa, bir LDAP əsas PAN üçün, digər LDAP isə ikincil PAN üçün prioritetləşdirilə bilər.
ISE LDAP serverləri ilə işləyərkən 2 növ axtarışı (axtarış) dəstəkləyir: İstifadəçi Axtarışı və MAC Ünvan Axtarışı. İstifadəçi Axtarışı LDAP verilənlər bazasında istifadəçini axtarmağa və autentifikasiya olmadan aşağıdakı məlumatları əldə etməyə imkan verir: istifadəçilər və onların atributları, istifadəçi qrupları. MAC Ünvan Axtarışı, həmçinin identifikasiyası olmadan LDAP qovluqlarında MAC ünvanı ilə axtarış etməyə və cihaz, MAC ünvanları üzrə cihazlar qrupu və digər spesifik atributlar haqqında məlumat əldə etməyə imkan verir.
İnteqrasiya nümunəsi olaraq Active Directory-ni Cisco ISE-yə LDAP serveri kimi əlavə edək.
1) Nişana keçin İdarəetmə → Şəxsiyyət İdarəetmə → Xarici Kimlik Mənbələri → LDAP → Əlavə et.
Şəkil 4. LDAP serverinin əlavə edilməsi
2) Paneldə Ümumi LDAP server adını və sxemini göstərin (bizim vəziyyətimizdə Active Directory).
Şəkil 5. Active Directory sxemi ilə LDAP serverinin əlavə edilməsi
3) Sonra gedin DeBloc | XNUMX + On,es tab və seçin Host adı/IP ünvanı Server AD, port (389 - LDAP, 636 - SSL LDAP), domen administratoru etimadnamələri (Admin DN - tam DN), digər parametrlər defolt olaraq buraxıla bilər.
Qeyd: potensial problemlərin qarşısını almaq üçün admin domen təfərrüatlarından istifadə edin.
Şəkil 6 LDAP Server verilənlərinin daxil edilməsi
4) Nişanda Kataloq təşkilatı istifadəçiləri və istifadəçi qruplarını çəkmək üçün DN vasitəsilə kataloq sahəsini təyin etməlisiniz.
Şəkil 7. İstifadəçi qruplarının yuxarı çəkilə biləcəyi kataloqların müəyyən edilməsi
5) Pəncərəyə keçin Qruplar → Əlavə et → Kataloqdan Qruplar seçin LDAP serverindən çəkmə qruplarını seçmək üçün.
Şəkil 8. LDAP serverindən qrupların əlavə edilməsi
6) Görünən pəncərədə klikləyin Qrupları əldə edin. Qruplar yuxarı çəkilibsə, ilkin addımlar uğurla başa çatıb. Əks halda, başqa administratoru sınayın və LDAP protokolu vasitəsilə LDAP serveri ilə İSE-nin mövcudluğunu yoxlayın.
Şəkil 9. Çəkilmiş istifadəçi qruplarının siyahısı
7) Nişanda Features isteğe bağlı olaraq, LDAP serverindən hansı atributların çəkilməli olduğunu və pəncərədə təyin edə bilərsiniz Ətraflı Ayarlar seçimi aktivləşdirin Parol dəyişikliyini aktivləşdirin, bu, parolun müddəti bitmiş və ya sıfırlanmışsa, istifadəçiləri parollarını dəyişməyə məcbur edəcək. Hər halda klikləyin təqdim davam etmək.
8) LDAP serveri müvafiq tabda göründü və gələcəkdə giriş siyasətlərini formalaşdırmaq üçün istifadə edilə bilər.
Şəkil 10. Əlavə edilmiş LDAP serverlərinin siyahısı
4. Active Directory ilə inteqrasiya
1) Microsoft Active Directory serverini LDAP serveri kimi əlavə etməklə biz istifadəçilər, istifadəçi qrupları əldə etdik, lakin qeydlər yoxdur. Sonra, mən Cisco ISE ilə tam hüquqlu AD inteqrasiyasını qurmağı təklif edirəm. Taba keçin İdarəetmə → Şəxsiyyət İdarəetmə → Xarici Kimlik Mənbələri → Active Directory → Əlavə et.
Qeyd: AD ilə uğurlu inteqrasiya üçün ISE bir domendə olmalı və DNS, NTP və AD serverləri ilə tam əlaqəyə malik olmalıdır, əks halda ondan heç nə alınmayacaq.
Şəkil 11. Active Directory serverinin əlavə edilməsi
2) Görünən pəncərədə domen administratoru məlumatlarını daxil edin və qutunu işarələyin Mağaza Etibarnamələri. Əlavə olaraq, İMKB müəyyən bir OU-da yerləşirsə, siz OU (Təşkilat Vahidi) təyin edə bilərsiniz. Sonra, domenə qoşulmaq istədiyiniz Cisco ISE qovşaqlarını seçməli olacaqsınız.
Şəkil 12. Etibarnamələrin daxil edilməsi
3) Domen nəzarətçiləri əlavə etməzdən əvvəl, nişanda PSN-də olduğundan əmin olun İdarəetmə → Sistem → Yerləşdirmə seçim aktivdir Passiv Şəxsiyyət Xidməti. PassiveID - İstifadəçini IP-yə və əksinə tərcümə etməyə imkan verən seçim. PassiveID WMI, xüsusi AD agentləri və ya keçiddəki SPAN portu vasitəsilə AD-dən məlumat alır (ən yaxşı seçim deyil).
Qeyd: Passiv ID statusunu yoxlamaq üçün ISE konsoluna yazın proqram statusunu göstərmək ise | PassiveID daxildir.
Şəkil 13. PassiveID seçimini aktivləşdirmək
4) Nişana keçin İdarəetmə → Şəxsiyyət İdarəetmə → Xarici Kimlik Mənbələri → Active Directory → PassiveID və seçimi seçin DC əlavə edin. Sonra, onay qutuları ilə lazımi domen nəzarətçilərini seçin və vurun OK.
Şəkil 14. Domen kontrollerlərinin əlavə edilməsi
5) Əlavə edilmiş DC-ləri seçin və düyməni basın Düzəliş edin. Zəhmət olmasa göstərin FQDN DC, domen loqin və parol və keçid seçimi WMI və ya Agent. WMI seçin və vurun OK.
Şəkil 15 Domen nəzarətçisi təfərrüatlarının daxil edilməsi
6) Active Directory ilə əlaqə qurmaq üçün WMI üstünlük verilən üsul deyilsə, o zaman ISE agentlərindən istifadə edilə bilər. Agent metodu ondan ibarətdir ki, giriş hadisələrini yayan serverlərə xüsusi agentlər quraşdıra bilərsiniz. 2 quraşdırma variantı var: avtomatik və əl ilə. Agenti avtomatik olaraq eyni tabda quraşdırmaq üçün PassiveID seçmək Agent əlavə et → Yeni Agenti yerləşdir (DC-nin İnternetə çıxışı olmalıdır). Sonra tələb olunan sahələri doldurun (agent adı, server FQDN, domen administratorunun giriş/parol) və klikləyin OK.
Şəkil 16. ISE agentinin avtomatik quraşdırılması
7) Cisco ISE agentini əl ilə quraşdırmaq üçün elementi seçin Mövcud Agenti qeydiyyatdan keçirin. Yeri gəlmişkən, tabda agenti yükləyə bilərsiniz İş Mərkəzləri → PassiveID → Provayderlər → Agentlər → Agenti yükləyin.
Şəkil 17. ISE agentinin yüklənməsi
Mühüm: PassiveID hadisələri oxumur çıxmaq! Taymout üçün cavabdeh olan parametr çağırılır istifadəçi sessiyasının yaşlanma vaxtı və standart olaraq 24 saata bərabərdir. Buna görə də, ya iş gününün sonunda özünüzdən çıxmalısınız, ya da daxil olan bütün istifadəçiləri avtomatik olaraq söndürəcək bir növ skript yazmalısınız.
Məlumat üçün çıxmaq "Son nöqtə probları" istifadə olunur - terminal probları. Cisco ISE-də bir neçə son nöqtə zondları var: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS prob istifadə edərək CoA (Avtorizasiyanın dəyişdirilməsi) paketləri istifadəçi hüquqlarının dəyişdirilməsi haqqında məlumat verir (bunun üçün daxili 802.1X) və SNMP giriş açarlarında konfiqurasiya edilmiş, qoşulmuş və ayrılmış cihazlar haqqında məlumat verəcəkdir.
Aşağıdakı nümunə 802.1X və RADIUS olmadan Cisco ISE + AD konfiqurasiyası üçün uyğundur: istifadəçi Windows maşınına daxil olub, sistemdən çıxmadan, WiFi vasitəsilə başqa kompüterdən daxil olun. Bu halda, ilk PC-də seans fasilə yaranana və ya məcburi çıxış baş verənə qədər aktiv olacaq. Sonra cihazların fərqli hüquqları varsa, o zaman sonuncu daxil olan cihaz öz hüquqlarını tətbiq edəcək.
8) Nişanda isteğe bağlıdır İdarəetmə → Şəxsiyyət İdarəetmə → Xarici Kimlik Mənbələri → Active Directory → Qruplar → Əlavə et → Kataloqdan Qrupları Seç siz AD-dən ISE-də qaldırmaq istədiyiniz qrupları seçə bilərsiniz (bizim vəziyyətimizdə bu, “LDAP serverinin əlavə edilməsi” 3-cü addımda edildi). Seçim seçin Qrupları geri götür → OK.
Şəkil 18 a). İstifadəçi qruplarının Active Directory-dən çıxarılması
9) Nişanda İş Mərkəzləri → PassiveID → Baxış → İdarə Paneli aktiv seansların sayını, məlumat mənbələrinin sayını, agentləri və s.
Şəkil 19. Domen istifadəçilərinin fəaliyyətinin monitorinqi
10) Nişanda Canlı Sessiyalar cari seanslar göstərilir. AD ilə inteqrasiya konfiqurasiya edilmişdir.
Şəkil 20. Domen istifadəçilərinin aktiv seansları
5. Nəticə
Bu məqalə Cisco ISE-də yerli istifadəçilərin yaradılması, LDAP serverlərinin əlavə edilməsi və Microsoft Active Directory ilə inteqrasiya mövzularını əhatə edirdi. Növbəti məqalədə əlavə bələdçi şəklində qonaq girişi vurğulanacaqdır.
Bu mövzu ilə bağlı suallarınız varsa və ya məhsulu sınaqdan keçirmək üçün köməyə ehtiyacınız varsa, əlaqə saxlayın .
Yeniliklərdən xəbərdar olmaq üçün kanallarımızı izləyin (, , , , ).
Mənbə: www.habr.com