Cisco ISE: ব্যবহারকারী তৈরি করা, LDAP সার্ভার যোগ করা, AD এর সাথে একীভূত করা। অংশ ২

Cisco ISE সিরিজের দ্বিতীয় পোস্টে স্বাগতম। প্রথমে প্রবন্ধ  স্ট্যান্ডার্ড AAA থেকে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (NAC) সমাধানের সুবিধা এবং পার্থক্য, Cisco ISE এর স্বতন্ত্রতা, আর্কিটেকচার এবং পণ্যের ইনস্টলেশন প্রক্রিয়া হাইলাইট করা হয়েছে।

এই নিবন্ধে, আমরা অ্যাকাউন্ট তৈরি করা, LDAP সার্ভার যোগ করা এবং মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরির সাথে একীভূত করা, সেইসাথে প্যাসিভআইডি-এর সাথে কাজ করার সূক্ষ্মতা নিয়ে আলোচনা করব। পড়ার আগে, আমি দৃঢ়ভাবে আপনাকে পড়ার পরামর্শ দিই অগ্রভাগ.

1. কিছু পরিভাষা

ব্যবহারকারীর পরিচয় - একটি ব্যবহারকারীর অ্যাকাউন্ট যা ব্যবহারকারী সম্পর্কে তথ্য ধারণ করে এবং নেটওয়ার্ক অ্যাক্সেস করার জন্য তার শংসাপত্র তৈরি করে। নিম্নলিখিত পরামিতিগুলি সাধারণত ব্যবহারকারীর পরিচয়ে নির্দিষ্ট করা হয়: ব্যবহারকারীর নাম, ইমেল ঠিকানা, পাসওয়ার্ড, অ্যাকাউন্টের বিবরণ, ব্যবহারকারী গোষ্ঠী এবং ভূমিকা।

ব্যবহারকারী গ্রুপ - ব্যবহারকারী গোষ্ঠীগুলি হল স্বতন্ত্র ব্যবহারকারীদের একটি সংকলন যাদের একটি সাধারণ সুবিধা রয়েছে যা তাদের Cisco ISE পরিষেবা এবং ফাংশনগুলির একটি নির্দিষ্ট সেট অ্যাক্সেস করতে দেয়৷

ব্যবহারকারী পরিচয় গোষ্ঠী - পূর্বনির্ধারিত ব্যবহারকারী গোষ্ঠী যাদের ইতিমধ্যে নির্দিষ্ট তথ্য এবং ভূমিকা রয়েছে। নিম্নলিখিত ব্যবহারকারী পরিচয় গোষ্ঠীগুলি ডিফল্টরূপে বিদ্যমান, আপনি তাদের সাথে ব্যবহারকারী এবং ব্যবহারকারী গোষ্ঠীগুলিকে যুক্ত করতে পারেন: কর্মচারী (কর্মচারী), স্পন্সরঅ্যালঅ্যাকাউন্ট, স্পন্সর গ্রুপ অ্যাকাউন্ট, স্পন্সরঅনঅ্যাকাউন্টস (অতিথি পোর্টাল পরিচালনার জন্য স্পনসর অ্যাকাউন্ট), অতিথি (অতিথি), সক্রিয় অতিথি (অ্যাক্টিভেটেড গেস্ট)।

ব্যবহারকারীর ভূমিকা- ব্যবহারকারীর ভূমিকা হল অনুমতির একটি সেট যা নির্ধারণ করে যে একজন ব্যবহারকারী কোন কাজগুলি সম্পাদন করতে পারে এবং কোন পরিষেবাগুলি অ্যাক্সেস করতে পারে। প্রায়শই একটি ব্যবহারকারীর ভূমিকা ব্যবহারকারীদের একটি গ্রুপের সাথে যুক্ত থাকে।

তাছাড়া, প্রতিটি ব্যবহারকারী এবং ব্যবহারকারী গোষ্ঠীর অতিরিক্ত বৈশিষ্ট্য রয়েছে যা আপনাকে এই ব্যবহারকারী (ব্যবহারকারী গোষ্ঠী) নির্বাচন করতে এবং আরও নির্দিষ্টভাবে সংজ্ঞায়িত করতে দেয়। আরও তথ্য গাইড.

2. স্থানীয় ব্যবহারকারী তৈরি করুন

1) Cisco ISE-এর স্থানীয় ব্যবহারকারী তৈরি করার এবং একটি অ্যাক্সেস নীতিতে তাদের ব্যবহার করার বা এমনকি পণ্য প্রশাসনের ভূমিকা দেওয়ার ক্ষমতা রয়েছে। নির্বাচন করুন অ্যাডমিনিস্ট্রেশন → আইডেন্টিটি ম্যানেজমেন্ট → আইডেন্টিটিস → ইউজার → অ্যাড.

চিত্র 1 Cisco ISE-তে স্থানীয় ব্যবহারকারী যোগ করা হচ্ছে

2) প্রদর্শিত উইন্ডোতে, একটি স্থানীয় ব্যবহারকারী তৈরি করুন, একটি পাসওয়ার্ড এবং অন্যান্য বোধগম্য পরামিতি সেট করুন।

চিত্র 2. Cisco ISE-তে একটি স্থানীয় ব্যবহারকারী তৈরি করা

3) ব্যবহারকারীদেরও আমদানি করা যেতে পারে। একই ট্যাবে প্রশাসন → আইডেন্টিটি ম্যানেজমেন্ট → আইডেন্টিটিস → ব্যবহারকারী যেকোনো একটি নির্বাচন করুন আমদানি এবং ব্যবহারকারীদের সাথে csv বা txt ফাইল আপলোড করুন। একটি টেমপ্লেট পেতে নির্বাচন করুন একটি টেমপ্লেট তৈরি করুন, তারপর এটি একটি উপযুক্ত ফর্ম ব্যবহারকারীদের সম্পর্কে তথ্য দিয়ে পূরণ করা উচিত.

চিত্র 3 Cisco ISE-তে ব্যবহারকারীদের আমদানি করা হচ্ছে

3. LDAP সার্ভার যোগ করা হচ্ছে

আমি আপনাকে মনে করিয়ে দিই যে LDAP হল একটি জনপ্রিয় অ্যাপ্লিকেশন-স্তরের প্রোটোকল যা আপনাকে তথ্য পেতে, প্রমাণীকরণ করতে, LDAP সার্ভারের ডিরেক্টরিতে অ্যাকাউন্ট অনুসন্ধান করতে, পোর্ট 389 বা 636 (SS) এ কাজ করতে দেয়। এলডিএপি সার্ভারগুলির বিশিষ্ট উদাহরণ হল অ্যাক্টিভ ডিরেক্টরি, সান ডিরেক্টরি, নভেল ইডিরেক্টরি এবং ওপেনএলডিএপি। LDAP ডিরেক্টরির প্রতিটি এন্ট্রি একটি DN (বিশিষ্ট নাম) দ্বারা সংজ্ঞায়িত করা হয় এবং অ্যাকাউন্ট, ব্যবহারকারী গোষ্ঠী এবং বৈশিষ্ট্যগুলি পুনরুদ্ধার করার কাজটি একটি অ্যাক্সেস নীতি গঠনের জন্য উত্থাপিত হয়।

Cisco ISE-তে, অনেক LDAP সার্ভারে অ্যাক্সেস কনফিগার করা সম্ভব, যার ফলে রিডানড্যান্সি কার্যকর হয়। যদি প্রাথমিক (প্রাথমিক) LDAP সার্ভার উপলব্ধ না হয়, তাহলে ISE সেকেন্ডারি (সেকেন্ডারি) ইত্যাদি অ্যাক্সেস করার চেষ্টা করবে। অতিরিক্তভাবে, যদি 2টি PAN থাকে, তাহলে প্রাথমিক PAN-এর জন্য একটি LDAP এবং মাধ্যমিক PAN-এর জন্য অন্য LDAP-কে অগ্রাধিকার দেওয়া যেতে পারে৷

LDAP সার্ভারগুলির সাথে কাজ করার সময় ISE 2 ধরনের লুকআপ (লুকআপ) সমর্থন করে: ব্যবহারকারীর সন্ধান এবং MAC ঠিকানা লুকআপ। ইউজার লুকআপ আপনাকে LDAP ডাটাবেসে একজন ব্যবহারকারীকে অনুসন্ধান করতে এবং প্রমাণীকরণ ছাড়াই নিম্নলিখিত তথ্য পেতে দেয়: ব্যবহারকারী এবং তাদের বৈশিষ্ট্য, ব্যবহারকারী গোষ্ঠী। MAC ঠিকানা লুকআপ আপনাকে প্রমাণীকরণ ছাড়াই LDAP ডিরেক্টরিতে MAC ঠিকানা দ্বারা অনুসন্ধান করতে এবং ডিভাইস, MAC ঠিকানাগুলির দ্বারা ডিভাইসগুলির একটি গ্রুপ এবং অন্যান্য নির্দিষ্ট বৈশিষ্ট্য সম্পর্কে তথ্য পেতে দেয়।

একটি ইন্টিগ্রেশন উদাহরণ হিসাবে, আসুন একটি LDAP সার্ভার হিসাবে Cisco ISE-তে সক্রিয় ডিরেক্টরি যোগ করি।

1) ট্যাবে যান অ্যাডমিনিস্ট্রেশন → আইডেন্টিটি ম্যানেজমেন্ট → এক্সটার্নাল আইডেন্টিটি সোর্স → এলডিএপি → অ্যাড। 

চিত্র 4. একটি LDAP সার্ভার যোগ করা হচ্ছে

2) প্যানেলে সাধারণ LDAP সার্ভারের নাম এবং স্কিম নির্দিষ্ট করুন (আমাদের ক্ষেত্রে, সক্রিয় ডিরেক্টরি)। 

চিত্র 5. একটি অ্যাক্টিভ ডিরেক্টরি স্কিমার সাথে একটি LDAP সার্ভার যোগ করা হচ্ছে

3) পরবর্তী যান সংযোগ ট্যাব এবং নির্বাচন করুন হোস্টনাম/আইপি ঠিকানা সার্ভার AD, পোর্ট (389 - LDAP, 636 - SSL LDAP), ডোমেন অ্যাডমিনিস্ট্রেটর শংসাপত্র (অ্যাডমিন DN - সম্পূর্ণ DN), অন্যান্য প্যারামিটারগুলি ডিফল্ট হিসাবে রেখে দেওয়া যেতে পারে।

মন্তব্য: সম্ভাব্য সমস্যা এড়াতে অ্যাডমিন ডোমেনের বিবরণ ব্যবহার করুন।

চিত্র 6 LDAP সার্ভার ডেটা প্রবেশ করানো হচ্ছে

4) ট্যাবে ডিরেক্টরি সংস্থা আপনি DN এর মাধ্যমে ডিরেক্টরি এলাকা নির্দিষ্ট করুন যেখান থেকে ব্যবহারকারী এবং ব্যবহারকারী গোষ্ঠী টানবেন।

চিত্র 7. ডাইরেক্টরি নির্ধারণ করা যেখান থেকে ব্যবহারকারী গোষ্ঠী টানতে পারে

5) উইন্ডোতে যান গোষ্ঠী → যুক্ত করুন → ডিরেক্টরি থেকে গোষ্ঠী নির্বাচন করুন LDAP সার্ভার থেকে পুল গ্রুপ নির্বাচন করতে।

চিত্র 8. LDAP সার্ভার থেকে গ্রুপ যোগ করা হচ্ছে

6) প্রদর্শিত উইন্ডোতে ক্লিক করুন গ্রুপ পুনরুদ্ধার করুন. যদি দলগুলো এগিয়ে থাকে, তাহলে প্রাথমিক ধাপগুলো সফলভাবে সম্পন্ন হয়েছে। অন্যথায়, অন্য প্রশাসক চেষ্টা করুন এবং LDAP প্রোটোকলের মাধ্যমে LDAP সার্ভারের সাথে ISE-এর উপলব্ধতা পরীক্ষা করুন।

চিত্র 9. টানা ব্যবহারকারী গ্রুপের তালিকা

7) ট্যাবে আরোপ করা আপনি ঐচ্ছিকভাবে উল্লেখ করতে পারেন যে LDAP সার্ভার থেকে কোন বৈশিষ্ট্যগুলি টেনে আনতে হবে এবং উইন্ডোতে উন্নত সেটিংস বিকল্প সক্রিয় করুন পাসওয়ার্ড পরিবর্তন সক্ষম করুন, যা ব্যবহারকারীদের তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করবে যদি এটি মেয়াদ শেষ হয়ে যায় বা পুনরায় সেট করা হয়। যাইহোক ক্লিক করুন জমা দিন অবিরত রাখতে.

8) LDAP সার্ভার সংশ্লিষ্ট ট্যাবে উপস্থিত হয়েছে এবং ভবিষ্যতে অ্যাক্সেস নীতি তৈরি করতে ব্যবহার করা যেতে পারে।

চিত্র 10. যোগ করা LDAP সার্ভারের তালিকা

4. সক্রিয় ডিরেক্টরির সাথে ইন্টিগ্রেশন

1) একটি LDAP সার্ভার হিসাবে মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরি সার্ভার যোগ করার মাধ্যমে, আমরা ব্যবহারকারী, ব্যবহারকারী গোষ্ঠী পেয়েছি, কিন্তু কোন লগ নেই। এর পরে, আমি Cisco ISE-এর সাথে সম্পূর্ণ AD ইন্টিগ্রেশন সেট আপ করার প্রস্তাব করছি। ট্যাবে যান অ্যাডমিনিস্ট্রেশন → আইডেন্টিটি ম্যানেজমেন্ট → এক্সটার্নাল আইডেন্টিটি সোর্স → অ্যাক্টিভ ডিরেক্টরি → অ্যাড. 

দ্রষ্টব্য: AD এর সাথে সফল ইন্টিগ্রেশনের জন্য, ISE অবশ্যই একটি ডোমেনে থাকতে হবে এবং DNS, NTP এবং AD সার্ভারের সাথে সম্পূর্ণ সংযোগ থাকতে হবে, অন্যথায় এটি থেকে কিছুই আসবে না।

চিত্র 11. একটি সক্রিয় ডিরেক্টরি সার্ভার যোগ করা হচ্ছে

2) প্রদর্শিত উইন্ডোতে, ডোমেন প্রশাসকের বিবরণ লিখুন এবং বাক্সটি চেক করুন শংসাপত্র সংরক্ষণ করুন। অতিরিক্তভাবে, আপনি একটি OU (সাংগঠনিক ইউনিট) নির্দিষ্ট করতে পারেন যদি ISE একটি নির্দিষ্ট OU-তে থাকে। এর পরে, আপনাকে সিস্কো আইএসই নোডগুলি নির্বাচন করতে হবে যা আপনি ডোমেনের সাথে সংযোগ করতে চান৷

চিত্র 12. শংসাপত্র প্রবেশ করানো হচ্ছে

3) ডোমেন কন্ট্রোলার যোগ করার আগে, নিশ্চিত করুন যে ট্যাবে PSN-এ আছে প্রশাসন → সিস্টেম → স্থাপনা বিকল্প সক্রিয় প্যাসিভ আইডেন্টিটি সার্ভিস. প্যাসিভআইডি - একটি বিকল্প যা আপনাকে ব্যবহারকারীকে আইপিতে অনুবাদ করতে দেয় এবং এর বিপরীতে। প্যাসিভআইডি AD থেকে WMI, বিশেষ AD এজেন্ট বা সুইচের স্প্যান পোর্টের মাধ্যমে তথ্য পায় (সর্বোত্তম বিকল্প নয়)।

দ্রষ্টব্য: প্যাসিভ আইডির স্থিতি পরীক্ষা করতে, ISE কনসোলে টাইপ করুন আবেদন স্থিতি ise দেখান | প্যাসিভআইডি অন্তর্ভুক্ত করুন।

চিত্র 13. প্যাসিভআইডি বিকল্প সক্রিয় করা হচ্ছে

4) ট্যাবে যান অ্যাডমিনিস্ট্রেশন → আইডেন্টিটি ম্যানেজমেন্ট → এক্সটার্নাল আইডেন্টিটি সোর্স → অ্যাক্টিভ ডিরেক্টরি → প্যাসিভআইডি এবং বিকল্পটি নির্বাচন করুন ডিসি যোগ করুন. এরপরে, চেকবক্স সহ প্রয়োজনীয় ডোমেন কন্ট্রোলার নির্বাচন করুন এবং ক্লিক করুন ঠিক আছে.

চিত্র 14. ডোমেন কন্ট্রোলার যোগ করা হচ্ছে

5) যোগ করা ডিসি নির্বাচন করুন এবং বোতামে ক্লিক করুন সম্পাদনা করুন। দয়া করে নির্দেশ করুন এফকিউডিএন আপনার ডিসি, ডোমেইন লগইন এবং পাসওয়ার্ড এবং একটি লিঙ্ক বিকল্প WMI বা প্রতিনিধি. WMI নির্বাচন করুন এবং ক্লিক করুন ঠিক আছে.

চিত্র 15 ডোমেন কন্ট্রোলারের বিবরণ প্রবেশ করানো হচ্ছে

6) যদি অ্যাক্টিভ ডিরেক্টরির সাথে যোগাযোগ করার জন্য WMI পছন্দের উপায় না হয়, তাহলে ISE এজেন্ট ব্যবহার করা যেতে পারে। এজেন্ট পদ্ধতি হল যে আপনি সার্ভারগুলিতে বিশেষ এজেন্ট ইনস্টল করতে পারেন যা লগইন ইভেন্টগুলি নির্গত করবে। 2টি ইনস্টলেশন বিকল্প রয়েছে: স্বয়ংক্রিয় এবং ম্যানুয়াল। একই ট্যাবে স্বয়ংক্রিয়ভাবে এজেন্ট ইনস্টল করতে প্যাসিভআইডি নির্বাচন করা এজেন্ট যোগ করুন → নতুন এজেন্ট স্থাপন করুন (ডিসি ইন্টারনেট অ্যাক্সেস থাকতে হবে)। তারপর প্রয়োজনীয় ক্ষেত্রগুলি পূরণ করুন (এজেন্টের নাম, সার্ভার FQDN, ডোমেন প্রশাসক লগইন/পাসওয়ার্ড) এবং ক্লিক করুন ঠিক আছে.

চিত্র 16. ISE এজেন্টের স্বয়ংক্রিয় ইনস্টলেশন

7) ম্যানুয়ালি সিস্কো আইএসই এজেন্ট ইনস্টল করতে, আইটেমটি নির্বাচন করুন বিদ্যমান এজেন্ট নিবন্ধন করুন. যাইহোক, আপনি ট্যাবে এজেন্ট ডাউনলোড করতে পারেন কাজের কেন্দ্র → প্যাসিভআইডি → প্রদানকারী → এজেন্ট → ডাউনলোড এজেন্ট।

চিত্র 17. ISE এজেন্ট ডাউনলোড করা হচ্ছে

এটি বর্তমানে এমন গুরুত্বপূর্ণ: প্যাসিভআইডি ইভেন্টগুলি পড়ে না লগ অফ! সময়সীমার জন্য দায়ী প্যারামিটার বলা হয় ব্যবহারকারী সেশন বার্ধক্য সময় এবং ডিফল্টরূপে 24 ঘন্টা সমান। অতএব, আপনার হয় কার্যদিবসের শেষে নিজেকে লগঅফ করা উচিত, অথবা এমন কিছু স্ক্রিপ্ট লিখতে হবে যা স্বয়ংক্রিয়ভাবে লগইন করা সমস্ত ব্যবহারকারীকে লগঅফ করবে৷ 

তথ্যের জন্য লগ অফ "এন্ডপয়েন্ট প্রোব" ব্যবহার করা হয় - টার্মিনাল প্রোব। সিসকো আইএসই-তে বেশ কয়েকটি এন্ডপয়েন্ট প্রোব রয়েছে: RADIUS, SNMP ট্র্যাপ, SNMP ক্যোয়ারী, DHCP, DNS, HTTP, Netflow, NMAP স্ক্যান। ব্যাসার্ধ ব্যবহার করে অনুসন্ধান CoA (অনুমোদনের পরিবর্তন) প্যাকেজগুলি ব্যবহারকারীর অধিকার পরিবর্তন করার বিষয়ে তথ্য দেয় (এর জন্য একটি এমবেড করা প্রয়োজন 802.1X), এবং SNMP অ্যাক্সেস সুইচগুলিতে কনফিগার করা, সংযুক্ত এবং সংযোগ বিচ্ছিন্ন ডিভাইস সম্পর্কে তথ্য দেবে।

নিম্নলিখিত উদাহরণটি 802.1X এবং RADIUS ছাড়া একটি Cisco ISE + AD কনফিগারেশনের জন্য প্রাসঙ্গিক: একজন ব্যবহারকারী একটি উইন্ডোজ মেশিনে লগ ইন করেছেন, লগঅফ না করে, অন্য পিসি থেকে WiFi এর মাধ্যমে লগ ইন করুন৷ এই ক্ষেত্রে, প্রথম পিসিতে সেশনটি এখনও সক্রিয় থাকবে যতক্ষণ না একটি টাইমআউট ঘটে বা জোর করে লগঅফ না হয়। তারপর যদি ডিভাইসগুলির বিভিন্ন অধিকার থাকে তবে সর্বশেষ লগ ইন করা ডিভাইসটি তার অধিকার প্রয়োগ করবে।

8) ট্যাবে ঐচ্ছিক অ্যাডমিনিস্ট্রেশন → আইডেন্টিটি ম্যানেজমেন্ট → এক্সটার্নাল আইডেন্টিটি সোর্স → অ্যাক্টিভ ডিরেক্টরি → গ্রুপ → অ্যাড → ডিরেক্টরি থেকে গ্রুপ সিলেক্ট করুন আপনি AD থেকে গ্রুপগুলি নির্বাচন করতে পারেন যেগুলি আপনি ISE-তে টেনে আনতে চান (আমাদের ক্ষেত্রে, এটি করা হয়েছে ধাপ 3 "একটি LDAP সার্ভার যোগ করা")। একটি বিকল্প নির্বাচন করুন গ্রুপ পুনরুদ্ধার করুন → ঠিক আছে. 

চিত্র 18 ক)। সক্রিয় ডিরেক্টরি থেকে ব্যবহারকারী গোষ্ঠী টানা হচ্ছে

9) ট্যাবে কাজের কেন্দ্র → প্যাসিভআইডি → ওভারভিউ → ড্যাশবোর্ড আপনি সক্রিয় সেশনের সংখ্যা, ডেটা উত্সের সংখ্যা, এজেন্ট এবং আরও অনেক কিছু পর্যবেক্ষণ করতে পারেন।

চিত্র 19. ডোমেন ব্যবহারকারীদের কার্যকলাপ নিরীক্ষণ

10) ট্যাবে লাইভ সেশনস বর্তমান সেশনগুলি প্রদর্শিত হয়। AD এর সাথে ইন্টিগ্রেশন কনফিগার করা হয়েছে।

চিত্র 20. ডোমেন ব্যবহারকারীদের সক্রিয় সেশন

5। উপসংহার

এই নিবন্ধটি সিসকো আইএসই-তে স্থানীয় ব্যবহারকারী তৈরি করা, এলডিএপি সার্ভার যোগ করা এবং মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরির সাথে সংহত করার বিষয়গুলিকে কভার করেছে। পরবর্তী নিবন্ধটি একটি অপ্রয়োজনীয় নির্দেশিকা আকারে অতিথি অ্যাক্সেস হাইলাইট করবে।

আপনার যদি এই বিষয়ে প্রশ্ন থাকে বা পণ্যটি পরীক্ষা করার জন্য সাহায্যের প্রয়োজন হয়, অনুগ্রহ করে যোগাযোগ করুন লিংক.

আমাদের চ্যানেলে আপডেট পেতে সাথে থাকুন (Telegram, ফেসবুক, VK, টিএস সমাধান ব্লগ, ইয়ানডেক্স জেন).

উত্স: www.habr.com