Добре дошли във втората публикация от поредицата Cisco ISE. В първия бяха подчертани предимствата и разликите на решенията за контрол на достъпа до мрежата (NAC) от стандартните AAA, уникалността на Cisco ISE, архитектурата и процеса на инсталиране на продукта.
В тази статия ще разгледаме създаването на акаунти, добавянето на LDAP сървъри и интегрирането с Microsoft Active Directory, както и нюансите на работа с PassiveID. Преди да прочетете, силно ви препоръчвам да прочетете .
1. Някои терминология
Потребителска самоличност - потребителски акаунт, който съдържа информация за потребителя и генерира неговите идентификационни данни за достъп до мрежата. Следните параметри обикновено се посочват в User Identity: потребителско име, имейл адрес, парола, описание на акаунта, потребителска група и роля.
Потребителски групи - потребителските групи са съвкупност от индивидуални потребители, които имат общ набор от привилегии, които им позволяват достъп до определен набор от услуги и функции на Cisco ISE.
Групи за самоличност на потребителя - предварително дефинирани потребителски групи, които вече имат определена информация и роли. Следните групи за идентичност на потребителите съществуват по подразбиране, можете да добавяте потребители и потребителски групи към тях: Employee (служител), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (спонсорски акаунти за управление на портала за гости), Guest (гост), ActivatedGuest (активиран гост).
потребителска роля- Потребителската роля е набор от разрешения, които определят какви задачи може да изпълнява потребителят и до какви услуги има достъп. Често потребителска роля се свързва с група потребители.
Освен това всеки потребител и потребителска група има допълнителни атрибути, които ви позволяват да изберете и по-конкретно да дефинирате този потребител (потребителска група). Повече информация в .
2. Създайте локални потребители
1) Cisco ISE има способността да създава локални потребители и да ги използва в политика за достъп или дори да дава роля на администриране на продукта. Изберете Администриране → Управление на самоличността → Самоличности → Потребители → Добавяне.
Фигура 1 Добавяне на локален потребител към Cisco ISE
2) В прозореца, който се показва, създайте локален потребител, задайте парола и други разбираеми параметри.
Фигура 2. Създаване на локален потребител в Cisco ISE
3) Потребителите също могат да бъдат импортирани. В същия раздел Администриране → Управление на самоличността → Самоличности → Потребители изберете опция внос и качете csv или txt файл с потребителите. За да получите шаблон изберете Генериране на шаблон, то трябва да се попълни с информация за потребителите в подходяща форма.
Фигура 3 Импортиране на потребители в Cisco ISE
3. Добавяне на LDAP сървъри
Позволете ми да ви напомня, че LDAP е популярен протокол на ниво приложение, който ви позволява да получавате информация, да извършвате удостоверяване, да търсите акаунти в директориите на LDAP сървъри, работи на порт 389 или 636 (SS). Известни примери за LDAP сървъри са Active Directory, Sun Directory, Novell eDirectory и OpenLDAP. Всеки запис в LDAP директорията се определя от DN (отличително име) и задачата за извличане на акаунти, потребителски групи и атрибути се повдига, за да се формира политика за достъп.
В Cisco ISE е възможно да се конфигурира достъп до много LDAP сървъри, като по този начин се реализира резервиране. Ако основният (първичният) LDAP сървър не е наличен, тогава ISE ще се опита да осъществи достъп до вторичния (вторичния) и т.н. Освен това, ако има 2 PAN, тогава един LDAP може да бъде приоритизиран за първичния PAN и друг LDAP за вторичния PAN.
ISE поддържа 2 вида търсене (търсене) при работа с LDAP сървъри: Търсене на потребител и Търсене на MAC адрес. User Lookup ви позволява да търсите потребител в LDAP базата данни и да получите следната информация без удостоверяване: потребители и техните атрибути, потребителски групи. Търсенето на MAC адрес също ви позволява да търсите по MAC адрес в LDAP директории без удостоверяване и да получавате информация за устройството, група устройства по MAC адреси и други специфични атрибути.
Като пример за интеграция, нека добавим Active Directory към Cisco ISE като LDAP сървър.
1) Отидете в раздела Администриране → Управление на идентичност → Външни източници на самоличност → LDAP → Добавяне.
Фигура 4. Добавяне на LDAP сървър
2) В панела общ посочете името и схемата на LDAP сървъра (в нашия случай Active Directory).
Фигура 5. Добавяне на LDAP сървър със схема на Active Directory
3) След това отидете на Връзка раздел и изберете Име на хост/IP адрес Сървър AD, порт (389 - LDAP, 636 - SSL LDAP), идентификационни данни на администратор на домейн (Admin DN - пълен DN), други параметри могат да бъдат оставени по подразбиране.
Внимание: използвайте подробностите за администраторския домейн, за да избегнете потенциални проблеми.
Фигура 6 Въвеждане на данни от LDAP сървъра
4) В табл Организация на справочника трябва да посочите областта на директорията чрез DN, откъдето да изтеглите потребители и потребителски групи.
Фигура 7. Определяне на директории, откъдето потребителските групи могат да изтеглят
5) Отидете до прозореца Групи → Добавяне → Избор на групи от директория за да изберете групи за изтегляне от LDAP сървъра.
Фигура 8. Добавяне на групи от LDAP сървъра
6) В прозореца, който се показва, щракнете Извличане на групи. Ако групите са се изтеглили, значи предварителните стъпки са изпълнени успешно. В противен случай опитайте с друг администратор и проверете наличността на ISE с LDAP сървъра чрез LDAP протокола.
Фигура 9. Списък на изтеглените потребителски групи
7) В табл Атрибути можете по желание да посочите кои атрибути от LDAP сървъра да бъдат изтеглени и в прозореца Разширени настройки опция за активиране Разрешете промяната на паролата, което ще принуди потребителите да променят паролата си, ако тя е изтекла или е била нулирана. Все пак щракнете Изпрати продължавам.
8) LDAP сървърът се появи в съответния раздел и може да се използва за формиране на политики за достъп в бъдеще.
Фигура 10. Списък на добавените LDAP сървъри
4. Интеграция с Active Directory
1) С добавянето на сървъра на Microsoft Active Directory като LDAP сървър получихме потребители, потребителски групи, но не и регистрационни файлове. След това предлагам да настроите пълноценна AD интеграция с Cisco ISE. Отидете в раздела Администриране → Управление на идентичност → Външни източници на идентичност → Active Directory → Добавяне.
Забележка: за успешна интеграция с AD, ISE трябва да е в домейн и да има пълна свързаност с DNS, NTP и AD сървъри, в противен случай нищо няма да излезе.
Фигура 11. Добавяне на сървър на Active Directory
2) В прозореца, който се показва, въведете данните за администратора на домейна и поставете отметка в квадратчето Съхраняване на идентификационни данни. Освен това можете да посочите OU (организационна единица), ако ISE се намира в конкретна OU. След това ще трябва да изберете Cisco ISE възлите, които искате да свържете към домейна.
Фигура 12. Въвеждане на идентификационни данни
3) Преди да добавите домейн контролери, уверете се, че на PSN в раздела Администриране → Система → Внедряване опцията е активирана Услуга за пасивна идентичност. Пасивен ID - опция, която ви позволява да преобразувате потребител в IP и обратно. PassiveID получава информация от AD чрез WMI, специални AD агенти или SPAN порт на комутатора (не е най-добрият вариант).
Забележка: за да проверите състоянието на Passive ID, въведете в конзолата на ISE показване на състоянието на приложението is | включват PassiveID.
Фигура 13. Активиране на опцията PassiveID
4) Отидете в раздела Администриране → Управление на самоличността → Външни източници на самоличност → Active Directory → PassiveID и изберете опцията Добавете DC. След това изберете необходимите домейн контролери с квадратчета за отметка и щракнете OK.
Фигура 14. Добавяне на домейн контролери
5) Изберете добавените DC и щракнете върху бутона Edit. Моля, посочете FQDN вашия DC, потребителско име и парола за домейн и опция за връзка WMI или Агент. Изберете WMI и щракнете OK.
Фигура 15 Въвеждане на подробности за домейн контролера
6) Ако WMI не е предпочитаният начин за комуникация с Active Directory, тогава могат да се използват ISE агенти. Методът на агента е, че можете да инсталирате специални агенти на сървърите, които ще излъчват събития за влизане. Има 2 опции за инсталиране: автоматичен и ръчен. За автоматично инсталиране на агента в същия раздел Пасивен ID изберете Добавяне на агент → Внедряване на нов агент (DC трябва да има достъп до интернет). След това попълнете задължителните полета (име на агент, FQDN на сървъра, вход/парола на администратор на домейн) и щракнете OK.
Фигура 16. Автоматично инсталиране на ISE агента
7) За да инсталирате ръчно Cisco ISE агента, изберете елемента Регистрирайте съществуващ агент. Между другото, можете да изтеглите агента в раздела Работни центрове → PassiveID → Доставчици → Агенти → Агент за изтегляне.
Фигура 17. Изтегляне на ISE агента
Важно: PassiveID не чете събития излизане! Извиква се параметърът, отговорен за таймаута време на стареене на потребителската сесия и се равнява на 24 часа по подразбиране. Следователно трябва или да излезете от системата в края на работния ден, или да напишете някакъв скрипт, който автоматично ще излезе от системата на всички влезли потребители.
За информация излизане Използват се "Endpoint probes" - терминални сонди. Има няколко сонди за крайна точка в Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS използване на сонда CoA (Change of Authorization) пакетите предоставят информация за промяна на потребителските права (това изисква вграден 802.1X), и конфигуриран на превключватели за достъп SNMP, ще даде информация за свързани и изключени устройства.
Следният пример е уместен за конфигурация на Cisco ISE + AD без 802.1X и RADIUS: потребител е влязъл на машина с Windows, без да прави излизане, влезте от друг компютър през WiFi. В този случай сесията на първия компютър ще продължи да бъде активна, докато не настъпи таймаут или не настъпи принудително излизане. След това, ако устройствата имат различни права, тогава последното влязло в системата устройство ще приложи своите права.
8) По избор в раздела Администриране → Управление на идентичност → Външни източници на самоличност → Active Directory → Групи → Добавяне → Избор на групи от директория можете да изберете групи от AD, които искате да изтеглите на ISE (в нашия случай това беше направено в стъпка 3 „Добавяне на LDAP сървър“). Избери опция Извличане на групи → OK.
Фигура 18 а). Изтегляне на потребителски групи от Active Directory
9) В табл Работни центрове → PassiveID → Преглед → Табло можете да наблюдавате броя на активните сесии, броя на източниците на данни, агентите и др.
Фигура 19. Наблюдение на активността на потребителите на домейна
10) В табл Сесии на живо се показват текущите сесии. Интеграцията с AD е конфигурирана.
Фигура 20. Активни сесии на потребители на домейн
5. заключение
Тази статия обхваща темите за създаване на локални потребители в Cisco ISE, добавяне на LDAP сървъри и интегриране с Microsoft Active Directory. Следващата статия ще подчертае достъпа за гости под формата на излишно ръководство.
Ако имате въпроси по тази тема или се нуждаете от помощ при тестване на продукта, моля, свържете се с .
Очаквайте актуализации в нашите канали (, , , , ).
Източник: www.habr.com