Вітаю ў другой публікацыі цыкла артыкулаў, прысвечанаму Cisco ISE. У першай былі асветлены перавагі і адрозненні Network Access Control (NAC) рашэнняў ад стандартных ААА, унікальнасць Cisco ISE, архітэктура і працэс усталёўкі прадукта.
У дадзеным артыкуле мы паглыбімся ў стварэнне уліковых запісаў, даданню LDAP сервераў і інтэграцыю з Microsoft Active Directory, а таксама ў нюансы пры працы з PassiveID. Перад чытаннем настойліва рэкамендую азнаёміцца з .
1. Трохі тэрміналогіі
Ідэнтыфікацыя карыстальніка — уліковы запіс карыстальніка, які змяшчае інфармацыю пра карыстальніка і фарміруе яго ўліковыя дадзеныя для доступу да сеткі. Наступныя параметры, як правіла, паказваюцца ў User Identity: імя карыстальніка, адрас электроннай пошты, пароль, апісанне ўліковага запісу, групу карыстальнікаў і роля.
Групы карыстальнікаў - Групы карыстальнікаў - гэта сукупнасць асобных карыстальнікаў, якія маюць агульны набор прывілеяў, якія дазваляюць ім атрымліваць доступ да пэўнага набору сэрвісаў і функцый Cisco ISE.
User Identity Groups прадусталяваныя групы карыстальнікаў, якія ўжо маюць пэўную інфармацыю і ролі. Наступныя User Identity Groups існуюць па змаўчанні, у іх можна дадаваць карыстальнікаў і групы карыстальнікаў: Employee (супрацоўнік), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (спонсарскія ўлікі для кіравання гасцявым парталам), Guest (госць), ActivatedGu
User Role - роля карыстальніка - гэта набор дазволаў, якія вызначаюць, якія задачы можа выконваць карыстальнік і да якіх сэрвісаў можа атрымаць доступ. Часта роля карыстальніка звязана з групай карыстальнікаў.
Больш за тое, у кожнага карыстальніка і групы карыстальнікаў ёсць дадатковыя атрыбуты, якія дазваляюць вылучыць і больш канкрэтна вызначыць дадзенага карыстальніка (групу карыстальнікаў). Больш інфармацыі ў .
2. Стварэнне лакальных карыстальнікаў
1) У Cisco ISE ёсць магчымасць стварыць лакальных карыстальнікаў і выкарыстоўваць іх у палітыцы доступу ці нават даць ролю адміністравання прадуктам. Абярыце Administration → Identity Management → Identities → Users → Add.
Малюнак 1. Даданне лакальнага карыстальніка ў Cisco ISE
2) У якое з'явілася акне стварыце лакальнага карыстача, задайце яму пароль і іншыя зразумелыя параметры.
Малюнак 2. Стварэнне лакальнага карыстальніка ў Cisco ISE
3) Карыстальнікаў таксама можна імпартаваць. У гэтай жа ўкладцы Administration → Identity Management → Identities → Users абярыце опцыю Імпартаваць і загрузіце csv ці txt файлік з карыстальнікамі. Для таго, каб атрымаць шаблон абярыце Generate a Template, далей варта яго запоўніць інфармацыяй аб карыстальніках у прыдатным выглядзе.
Малюнак 3. Імпарт карыстальнікаў у Cisco ISE
3. Даданне LDAP сервераў
Нагадаю, што LDAP – папулярны пратакол прыкладнога ўзроўня, які дазваляе атрымліваць інфармацыю, вырабляць аўтэнтыфікацыю, шукаць уліковыя запісы ў каталогах LDAP сервераў, працуе па порце 389 або 636 (SS). Яскравымі прыкладамі LDAP сервераў з'яўляюцца Active Directory, Sun Directory, Novell eDirectory і OpenLDAP. Кожны запіс у каталогу LDAP вызначаецца DN (Distinguished Name) і для фармавання палітыкі доступу ўстае задача падцягвання (retrieval) уліковых запісаў, карыстацкіх груп і атрыбутаў.
У Cisco ISE магчыма наладзіць доступ да шматлікіх LDAP сервераў, тым самым рэалізуючы надмернасць. У выпадку, калі першасны (primary) LDAP сервер недаступны, то ISE паспрабуе звярнуцца да другаснага (secondary) і гэтак далей. Дадаткова, калі маецца 2 PAN, то для першаснай PAN можна зрабіць прыярытэтным адзін LDAP, а для другаснай PAN - іншы LDAP.
ISE падтрымлівае 2 тыпу лукапа (lookup) пры працы з LDAP серверамі: User Lookup і MAC Address Lookup. User Lookup дазваляе рабіць пошук карыстачу ў базе дадзеных LDAP і атрымліваць наступную інфармацыю без аўтэнтыфікацыі: карыстачы і іх атрыбуты, групы карыстачоў. MAC Address Lookup дазваляе гэтак жа без аўтэнтыфікацыі праводзіць пошук па MAC адрасе ў каталогах LDAP і атрымліваць інфармацыю аб прыладзе, групу прылад па MAC адрасах і іншыя спецыфічныя атрыбуты.
У якасці прыкладу інтэграцыі дадамо Active Directory у Cisco ISE у якасці LDAP сервера.
1) Зайдзіце ва ўкладку Administration → Identity Management → External Identity Sources → LDAP → Add.
Малюнак 4. Даданне LDAP сервера
2) У панэлі агульны укажыце імя LDAP сервера і схему (у нашым выпадку Active Directory).
Малюнак 5. Даданне LDAP сервера са схемай Active Directory
3) Далей перайдзіце ў Сувязі ўкладку і пазначце Hostname/IP address AD сервера, порт (389 – LDAP, 636 – SSL LDAP), уліковыя дадзеныя даменнага адміністратара (Admin DN – поўны DN), астатнія параметры можна пакінуць па змаўчанні.
Заўвага: выкарыстоўвайце дадзеныя дамен адміна, каб пазбегнуць патэнцыйных праблем.
Малюнак 6. Увод дадзеных LDAP сервера
4) Ва ўкладцы Directory Organization варта пазначыць вобласць каталогаў праз DN, адкуль выцягваць карыстачоў і групы карыстачоў.
Малюнак 7. Вызначэнне каталогаў, адкуль падцягнуцца групы карыстальнікаў
5) Перайдзіце ў акно Groups → Add → Select Groups From Directory для выбару падцягвання груп з LDAP сервера.
Малюнак 8. Даданне груп з LDAP сервера
6) У якое з'явілася акне націсніце Retrieve Groups. Калі групы падцягнуліся, значыць папярэднія крокі выкананы паспяхова. У адваротным выпадку, паспрабуйце іншага адміністратара і праверце даступнасць ISE з LDAP серверам па LDAP пратаколу.
Малюнак 9. Пералік падцягнутых груп карыстальнікаў
7) Ва ўкладцы Атрыбуты можна апцыянальна паказаць, якія атрыбуты з LDAP сервера варта падцягнуць, а ў акне Advanced Settings уключыць опцыю Enable Password Change, якая прымусіць карыстальнікаў змяніць пароль, калі ён скончыўся ці быў скінуты. У любым выпадку націсніце прадставіць для працягу.
8) LDAP сервер з'явіўся ў адпаведны ўкладцы і ў далейшым можа выкарыстоўвацца для фарміравання палітык доступу.
Малюнак 10. Пералік дададзеных LDAP сервераў
4. Інтэграцыя з Active Directory
1) Дадаўшы Microsoft Active Directory сервер у якасці LDAP сервера, мы атрымалі карыстачы, групы карыстачоў, але не логі. Далей прапаную наладзіць паўнавартасную інтэграцыю AD з Cisco ISE. Перайдзіце ва ўкладку Administration → Identity Management → External Identity Sources → Active Directory → Add.
Заўвага: для паспяховай інтэграцыі з AD ISE павінен знаходзіцца ў дамене і мець поўную складнасць з DNS, NTP і AD серверамі, у адваротным выпадку нічога не выйдзе.
Малюнак 11. Даданне сервера Active Directory
2) У якое з'явілася акне увядзіце дадзеныя адміністратара дамена і пастаўце галачку Store Credentials. Дадаткова вы можаце пазначыць OU (Organizational Unit), калі ISE знаходзіцца ў нейкім канкрэтным OU. Далей давядзецца выбраць ноды Cisco ISE, якія вы хочаце злучыць з даменам.
Малюнак 12. Увод уліковых дадзеных
3) Перад даданнем кантролераў дамена пераканайцеся, што на PSN ва ўкладцы Administration → System → Deployment уключана опцыя Passive Identity Service. PassiveID - Опцыя, якая дазваляе трансляваць User у IP і наадварот. PassiveID атрымлівае інфармацыю з AD праз WMI, спецыяльных AD агентаў або SPAN порт на камутатары (не лепшы варыянт).
Заўвага: для праверкі статусу Passive ID увядзіце ў кансолі ISE show application status ise | include PassiveID.
Малюнак 13. Уключэнне опцыі PassiveID
4) Перайдзіце ва ўкладку Administration → Identity Management → External Identity Sources → Active Directory → PassiveID і абярыце опцыю Add DCs. Далей абярыце галачкамі неабходныя кантролеры дамена і націсніце ОК.
Малюнак 14. Даданне кантролераў дамена
5) Абярыце дададзеныя DC і націсніце кнопку Змяніць. Пакажыце FQDN вашага DC, даменныя лагін і пароль, а таксама опцыю сувязі WMI або Агент. Абярыце WMI і націсніце ОК.
Малюнак 15. Увод дадзеных кантролера дамена
6) Калі WMI не з'яўляецца пераважным спосабам сувязі з Active Directory, то можна выкарыстоўваць ISE агентаў. Агенцкі спосаб заключаецца ў тым, што вы можаце ўсталяваць на серверы спецыяльныя агенты, якія будуць аддаваць login падзеі. Існуе 2 варыянты ўстаноўкі: аўтаматычны і ручны. Для аўтаматычнай усталёўкі агента ў той жа ўкладцы PassiveID абярыце пункт Add Agent → Deploy New Agent (DC павінен мець доступ у Інтэрнэт). Затым запоўніце абавязковыя палі (імя агента, FQDN сервера, лагін/пароль даменнага адміністратара) і націсніце ОК.
Малюнак 16. Аўтаматычная ўстаноўка ISE агента
7) Для ручной усталёўкі Cisco ISE агента патрабуецца абраць пункт Register Existing Agent. Дарэчы, спампаваць агента можна ва ўкладцы Work Centers → PassiveID → Providers → Agents → Download Agent.
Малюнак 17. Запампоўванне ISE агента
Важна: PassiveID не чытае падзеі logoff! Параметр які адказвае за тайм-аўт называецца user session aging time і складае 24 гадзін па змаўчанні. Таму варта альбо рабіць logoff самому па канчатку працоўнага дня, альбо ж пісаць нейкі скрыпт, які будзе рабіць аўтаматычны logoff усім залагіненым карыстачам.
Для атрымання інфармацыі logoff выкарыстоўваюцца "Endpoint probes" - канцавыя зонды. Endpoint probes у Cisco ISE існуе некалькі: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS probe з дапамогай CoA (Change of Authorization) пакетаў аддае інфармацыю аб змене правоў карыстальніка (для гэтага патрабуецца ўкаранёны 802.1X), а наладжаны на камутатарах доступу SNMP, дасць інфармацыю аб падлучаных і адключаных прыладах.
Ніжэй прыведзены прыклад, актуальны для канфігурацыі Cisco ISE+AD без 802.1X і RADIUS: карыстач залагінены на Windows машыне, не робячы logoff, лагініцца з іншага ПК па WiFi. У гэтым выпадку сесія на першым ПК па-ранейшаму будзе актыўная, пакуль не здарыцца тайм-аўт ці не адбудзецца прымусовы logoff. Тады калі ў прылад розныя правы, тая апошняя залагіненая прылада будзе ўжываць свае правы.
8) Дадаткова ва ўкладцы Administration → Identity Management → External Identity Sources → Active Directory → Groups → Add → Select Groups From Directory вы можаце выбраць групы з AD, якія жадаеце падцягнуць на ISE (у нашым выпадку гэта было зроблена ў пункце 3 "Даданне LDAP сервера"). Абярыце опцыю Retrieve Groups → OK.
Малюнак 18 а). Падцягванне груп карыстальнікаў з Active Directory
9) Ва ўкладцы Work Centers → PassiveID → Overview → Dashboard вы можаце назіраць колькасць актыўных сесій, колькасць крыніц дадзеных, агентаў і іншае.
Малюнак 19. Маніторынг актыўнасці даменных карыстальнікаў
10) Ва ўкладцы Сеансы ў прамым эфіры адлюстроўваюцца бягучыя сесіі. Інтэграцыя з AD настроена.
Малюнак 20. Актыўныя сесіі даменных карыстальнікаў
5. заключэнне
У дадзеным артыкуле былі разгледжаны тэмы стварэння лакальных карыстачоў у Cisco ISE, даданне LDAP сервераў і інтэграцыя з Microsoft Active Directory. У наступным артыкуле будзе асветлены гасцявы доступ у выглядзе залішняга гайда.
Калі ў вас з'явіліся пытанні па дадзенай тэматыцы ці ж патрабуецца дапамога ў тэставанні прадукта, звяртайцеся па .
Сачыце за абнаўленнямі ў нашых каналах (, , , , ).
Крыніца: habr.com