Dobrodošli u drugi post iz Cisco ISE serije. U prvom Istaknute su prednosti i razlike rješenja Network Access Control (NAC) od standardnog AAA, jedinstvenost Cisco ISE, arhitektura i proces instalacije proizvoda.
U ovom članku ćemo se pozabaviti kreiranjem naloga, dodavanjem LDAP servera i integracijom sa Microsoft Active Directory, kao i nijansama rada sa PassiveID-om. Prije čitanja, toplo preporučujem da pročitate .
1. Neka terminologija
Korisnički identitet — korisnički nalog koji sadrži informacije o korisniku i formira njegove akreditive za pristup mreži. Sljedeći parametri se obično navode u korisničkom identitetu: korisničko ime, adresa e-pošte, lozinka, opis naloga, korisnička grupa i uloga.
Korisničke grupe - korisničke grupe su skup pojedinačnih korisnika koji imaju zajednički skup privilegija koje im omogućavaju pristup određenom skupu Cisco ISE usluga i funkcija.
Grupe korisničkih identiteta - unaprijed definirane grupe korisnika koje već imaju određene informacije i uloge. Sljedeće grupe korisničkih identiteta postoje prema zadanim postavkama, možete im dodati korisnike i korisničke grupe: Employee (zaposlenik), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponzorski nalozi za upravljanje portalom za goste), Gost (gost), ActivatedGuest (aktivirani gost).
korisnička uloga- Korisnička uloga je skup dozvola koje određuju koje zadatke korisnik može obavljati i kojim uslugama može pristupiti. Često je uloga korisnika povezana sa grupom korisnika.
Štaviše, svaki korisnik i korisnička grupa imaju dodatne atribute koji vam omogućavaju da odaberete i konkretnije definirate ovog korisnika (korisničku grupu). Više informacija u .
2. Kreirajte lokalne korisnike
1) U Cisco ISE je moguće kreirati lokalne korisnike i koristiti ih u politikama pristupa ili im čak dati ulogu administracije proizvoda. Odaberite Administracija → Upravljanje identitetima → Identiteti → Korisnici → Dodaj.
Slika 1 Dodavanje lokalnog korisnika u Cisco ISE
2) U prozoru koji se pojavi kreirajte lokalnog korisnika, postavite lozinku i druge razumljive parametre.
Slika 2. Kreiranje lokalnog korisnika u Cisco ISE
3) Korisnici također mogu biti uvezeni. U istoj kartici Administracija → Upravljanje identitetima → Identiteti → Korisnici odaberite opciju uvoz i otpremite csv ili txt fajl sa korisnicima. Da biste dobili šablon odaberite Generirajte predložak, onda ga treba popuniti podacima o korisnicima u odgovarajućem obliku.
Slika 3 Uvoz korisnika u Cisco ISE
3. Dodavanje LDAP servera
Da vas podsjetim da je LDAP popularan protokol na nivou aplikacije koji vam omogućava primanje informacija, provjeru autentičnosti, traženje naloga u direktorijima LDAP servera, radi na portu 389 ili 636 (SS). Istaknuti primjeri LDAP servera su Active Directory, Sun Directory, Novell eDirectory i OpenLDAP. Svaki unos u LDAP direktoriju definiran je DN-om (Distinguished Name) i zadatak dohvaćanja naloga, korisničkih grupa i atributa se postavlja da formira politiku pristupa.
U Cisco ISE, moguće je konfigurisati pristup mnogim LDAP serverima, čime se implementira redundantnost. Ako primarni (primarni) LDAP server nije dostupan, tada će ISE pokušati pristupiti sekundarnom (sekundarnom) i tako dalje. Dodatno, ako postoje 2 PAN-a, tada se jedan LDAP može dati prioritet za primarni PAN, a drugi LDAP za sekundarni PAN.
ISE podržava 2 tipa traženja pri radu sa LDAP serverima: traženje korisnika i traženje MAC adrese. User Lookup vam omogućava da pretražite korisnika u LDAP bazi podataka i dohvatite sljedeće informacije bez provjere autentičnosti: korisnici i njihovi atributi, korisničke grupe. Pronalaženje MAC adrese također vam omogućava da pretražujete po MAC adresi u LDAP imenicima bez autentifikacije i dobijete informacije o uređaju, grupi uređaja prema MAC adresama i drugim specifičnim atributima.
Kao primjer integracije, dodajmo Active Directory u Cisco ISE kao LDAP server.
1) Idite na karticu Administracija → Upravljanje identitetom → Eksterni izvori identiteta → LDAP → Dodaj.
Slika 4. Dodavanje LDAP servera
2) U panelu Opšti navedite ime i šemu LDAP servera (u našem slučaju Active Directory).
Slika 5. Dodavanje LDAP servera sa šemom Active Directory
3) Zatim idite na priključak karticu i izaberite Ime hosta/IP adresa Server AD, port (389 - LDAP, 636 - SSL LDAP), akreditivi administratora domena (Admin DN - puni DN), ostali parametri se mogu ostaviti kao zadani.
primjedba: Koristite detalje administratorske domene da biste izbjegli potencijalne probleme.
Slika 6. Unos podataka LDAP servera
4) U tab Organizacija imenika trebali biste specificirati područje direktorija kroz DN odakle ćete povući korisnike i korisničke grupe.
Slika 7. Određivanje direktorija odakle se grupe korisnika mogu povući
5) Idite na prozor Grupe → Dodaj → Odaberite grupe iz imenika da izaberete grupe za povlačenje sa LDAP servera.
Slika 8. Dodavanje grupa sa LDAP servera
6) U prozoru koji se pojavi kliknite Dohvati grupe. Ako su se grupe povukle, onda su preliminarni koraci uspješno završeni. U suprotnom, pokušajte s drugim administratorom i provjerite dostupnost ISE-a sa LDAP serverom putem LDAP protokola.
Slika 9. Lista omogućenih korisničkih grupa
7) U tab atributi opciono možete odrediti koje atribute sa LDAP servera treba povući, iu prozoru Napredne postavke omogući opciju Omogući promjenu lozinke, koji će primorati korisnike da promijene svoju lozinku ako je istekla ili je bila resetirana. U svakom slučaju kliknite podnijeti nastaviti.
8) LDAP server se pojavio u odgovarajućoj kartici i može se koristiti za formiranje politika pristupa u budućnosti.
Slika 10. Lista dodanih LDAP servera
4. Integracija sa Active Directory
1) Dodavanjem Microsoft Active Directory servera kao LDAP servera, dobili smo korisnike, korisničke grupe, ali ne i logove. Zatim predlažem da se uspostavi potpuna AD integracija sa Cisco ISE. Idi na karticu Administracija → Upravljanje identitetom → Eksterni izvori identiteta → Active Directory → Dodaj.
Napomena: za uspješnu integraciju sa AD, ISE mora biti u domenu i imati punu povezanost sa DNS, NTP i AD serverima, inače od toga neće biti ništa.
Slika 11. Dodavanje Active Directory servera
2) U prozoru koji se pojavi unesite informacije o administratoru domene i označite polje Store Credentials. Dodatno, možete specificirati OU (Organizacionu jedinicu) ako se ISE nalazi u određenom OU. Zatim ćete morati da izaberete Cisco ISE čvorove koje želite da povežete na domen.
Slika 12. Unos akreditiva
3) Prije dodavanja kontrolera domena, provjerite da li je na PSN-u u kartici Administracija → Sistem → Postavljanje opcija omogućena Usluga pasivnog identiteta. Pasivni ID - opcija koja vam omogućava da prevedete korisnika u IP i obrnuto. PassiveID prima informacije od AD preko WMI-a, specijalnih AD agenata ili SPAN porta na prekidaču (nije najbolja opcija).
Napomena: da biste provjerili status pasivnog ID-a, ukucajte u ISE konzolu prikaži status aplikacije ise | uključuje PassiveID.
Slika 13. Omogućavanje opcije PassiveID
4) Idite na karticu Administracija → Upravljanje identitetom → Eksterni izvori identiteta → Active Directory → PassiveID i odaberite opciju Dodaj DC-ove. Zatim odaberite potrebne kontrolere domene s potvrdnim okvirima i kliknite OK.
Slika 14. Dodavanje kontrolera domena
5) Odaberite dodane DC-ove i kliknite na dugme Uredi. Molimo navedite FQDN vaš DC, prijavu i lozinku za domenu i opciju veze WMI ili agent. Odaberite WMI i kliknite OK.
Slika 15. Unošenje detalja o kontroleru domene
6) Ako WMI nije poželjan način za komunikaciju sa Active Directory-om, onda se mogu koristiti ISE agenti. Metod agenta je da možete instalirati posebne agente na servere koji će emitovati događaje prijave. Postoje 2 opcije instalacije: automatska i ručna. Za automatsku instalaciju agenta na istoj kartici Pasivni ID odaberite stavku Dodaj agenta → Postavi novog agenta (DC mora imati pristup Internetu). Zatim popunite potrebna polja (ime agenta, FQDN servera, prijavu/lozinku administratora domene) i kliknite OK.
Slika 16. Automatska instalacija ISE agenta
7) Da biste ručno instalirali Cisco ISE agent, izaberite stavku Registrirajte postojećeg agenta. Usput, agenta možete preuzeti na kartici Radni centri → PassiveID → Dobavljači → Agenti → Agent za preuzimanje.
Slika 17. Preuzimanje ISE agenta
Važno je da se: PassiveID ne čita događaje odjaviti se! Poziva se parametar odgovoran za timeout vrijeme starenja korisničke sesije i podrazumevano je 24 sata. Stoga se trebate ili sami odjaviti na kraju radnog dana, ili napisati neku vrstu skripte koja će automatski odjaviti sve prijavljene korisnike.
Za informaciju odjaviti se Koriste se "Endpoint sonde" - terminalne sonde. Postoji nekoliko sondi krajnjih tačaka u Cisco ISE: RADIUS, SNMP zamka, SNMP upit, DHCP, DNS, HTTP, Netflow, NMAP skeniranje. RADIUS korišćenje sonde CoA (Promjena autorizacije) paketi daju informacije o promjeni korisničkih prava (za ovo je potreban ugrađeni 802.1X), a SNMP konfigurisan na pristupnim prekidačima će pružiti informacije o povezanim i isključenim uređajima.
Sledeći primer je relevantan za konfiguraciju Cisco ISE + AD bez 802.1X i RADIUS-a: korisnik je prijavljen na Windows mašini, bez odjave, prijavi se sa drugog računara preko WiFi-a. U ovom slučaju, sesija na prvom računaru će i dalje biti aktivna sve dok ne dođe do isteka vremena ili do prisilnog odjave. Zatim, ako uređaji imaju različita prava, tada će posljednji prijavljen uređaj primijeniti svoja prava.
8) Dodaci u kartici Administracija → Upravljanje identitetom → Eksterni izvori identiteta → Active Directory → Grupe → Dodaj → Odaberite grupe iz direktorija možete odabrati grupe iz AD koje želite dodati u ISE (u našem slučaju, to je učinjeno u koraku 3 “Dodavanje LDAP servera”). Odaberite opciju Preuzmi grupe → OK.
Slika 18 a). Povlačenje korisničkih grupa iz Active Directory
9) U tab Radni centri → PassiveID → Pregled → Kontrolna tabla možete pratiti broj aktivnih sesija, broj izvora podataka, agenata i još mnogo toga.
Slika 19. Praćenje aktivnosti korisnika domena
10) U tab Sesije uživo prikazane su trenutne sesije. Integracija sa AD je konfigurisana.
Slika 20. Aktivne sesije korisnika domena
5. Zaključak
Ovaj članak je pokrio teme kreiranja lokalnih korisnika u Cisco ISE, dodavanja LDAP servera i integracije sa Microsoft Active Directory. Sljedeći članak će istaknuti pristup gostiju u obliku suvišnog vodiča.
Ako imate pitanja o ovoj temi ili vam je potrebna pomoć u testiranju proizvoda, kontaktirajte .
Pratite novosti na našim kanalima (, , , , ).
izvor: www.habr.com