Welcome sa ikaduhang publikasyon sa serye sa mga artikulo nga gipahinungod sa Cisco ISE. Sa una ang mga bentaha ug mga kalainan sa Network Access Control (NAC) nga mga solusyon gikan sa standard AAA, ang pagkatalagsaon sa Cisco ISE, ang arkitektura ug proseso sa pag-instalar sa produkto gipasiugda.
Niini nga artikulo atong susihon ang paghimo og mga account, pagdugang sa mga server sa LDAP ug pag-integrate sa Microsoft Active Directory, ingon man ang mga nuances sa pagtrabaho sa PassiveID. Sa wala pa magbasa, kusganon kong girekomenda nga magbasa ka .
1. Pipila ka terminolohiya
Identidad sa Gumagamit — usa ka account sa gumagamit nga adunay sulud nga kasayuran bahin sa tiggamit ug nagporma sa iyang mga kredensyal alang sa pag-access sa network. Ang mosunod nga mga parametro kasagarang gipiho sa User Identity: username, email address, password, paghulagway sa account, user group, ug papel.
Mga Grupo sa Gumagamit - Ang mga grupo sa tiggamit usa ka koleksyon sa mga indibidwal nga tiggamit nga adunay usa ka komon nga hugpong sa mga pribilehiyo nga nagtugot kanila sa pag-access sa usa ka piho nga hugpong sa mga serbisyo ug mga bahin sa Cisco ISE.
Mga Grupo sa Identidad sa Gumagamit - gitakda nang daan nga mga grupo sa tiggamit nga adunay piho nga kasayuran ug mga tahas. Ang mosunod nga User Identity Groups anaa sa default ug mahimo nimong idugang ang mga user ug user group ngadto kanila: Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsor accounts para sa pagdumala sa guest portal), Guest, ActivatedGuest.
Papel sa Gumagamit - Ang tahas sa tiggamit usa ka hugpong sa mga pagtugot nga nagtino kung unsang mga buluhaton ang mahimo sa usa ka tiggamit ug kung unsang mga serbisyo ang ma-access sa usa ka user. Kasagaran ang usa ka tahas sa tiggamit nalangkit sa usa ka grupo sa mga tiggamit.
Dugang pa, ang matag user ug user nga grupo adunay dugang nga mga hiyas nga nagtugot kanimo sa pag-highlight ug mas espesipikong paghubit sa usa ka gihatag nga user (grupo sa tiggamit). Dugang impormasyon sa .
2. Paghimo lokal nga tiggamit
1) Sa Cisco ISE posible nga maghimo ug lokal nga mga tiggamit ug gamiton kini sa mga palisiya sa pag-access o bisan paghatag kanila sa papel sa pagdumala sa produkto. Pagpili Administrasyon → Pagdumala sa Identidad → Mga Identidad → Mga Gumagamit → Idugang.
Figure 1: Pagdugang og Lokal nga Gumagamit sa Cisco ISE
2) Sa bintana nga makita, paghimo usa ka lokal nga tiggamit, hatagan siya usa ka password ug uban pang klaro nga mga parameter.
Figure 2. Paghimo og lokal nga user sa Cisco ISE
3) Ang mga tiggamit mahimo usab nga ma-import. Sa parehas nga tab Administrasyon → Pagdumala sa Identidad → Mga Identidad → Mga Gumagamit pagpili og kapilian Import ug pag-upload og csv o txt file uban sa mga tiggamit. Aron makuha ang template, pilia Paghimo ug Template, unya kinahanglan nimong pun-on kini sa impormasyon bahin sa mga tiggamit sa angay nga porma.
Figure 3. Pag-import sa mga Gumagamit sa Cisco ISE
3. Pagdugang sa mga LDAP server
Tugoti ko nga pahinumdoman ka nga ang LDAP usa ka sikat nga protocol sa lebel sa aplikasyon nga nagtugot kanimo nga makadawat og impormasyon, magpahigayon og authentication, mangita sa mga account sa mga direktoryo sa LDAP server, ug naglihok sa port 389 o 636 (SS). Ang mga prominenteng pananglitan sa LDAP servers mao ang Active Directory, Sun Directory, Novell eDirectory ug OpenLDAP. Ang matag entry sa direktoryo sa LDAP gihubit sa usa ka DN (Distinguished Name) ug aron maporma ang usa ka palisiya sa pag-access, ang tahas sa pagkuha sa mga account, mga grupo sa tiggamit ug mga kinaiya mitungha.
Sa Cisco ISE posible nga ma-configure ang pag-access sa daghang mga LDAP server, sa ingon makaamgo sa kadaghanon. Kung ang panguna nga LDAP server dili magamit, ang ISE mosulay sa pagkontak sa ikaduha, ug uban pa. Dugang pa, kung adunay 2 ka PAN, unya ang usa ka LDAP mahimong unahon alang sa panguna nga PAN, ug ang lain nga LDAP mahimong unahon alang sa ikaduha nga PAN.
Gisuportahan sa ISE ang 2 nga klase sa pagpangita kung nagtrabaho kauban ang mga server sa LDAP: Pagpangita sa Gumagamit ug Pagpangita sa MAC Address. Ang User Lookup nagtugot kanimo sa pagpangita sa usa ka user sa usa ka LDAP database ug pagkuha sa mosunod nga impormasyon nga walay authentication: mga user ug ilang mga attribute, user nga mga grupo. Ang MAC Address Lookup nagtugot usab kanimo sa pagpangita pinaagi sa MAC address sa LDAP nga mga direktoryo nga walay panghimatuud ug pagkuha og impormasyon mahitungod sa usa ka device, usa ka grupo sa mga device pinaagi sa MAC addresses ug uban pang piho nga mga kinaiya.
Isip usa ka pananglitan sa integrasyon, atong idugang ang Active Directory sa Cisco ISE isip LDAP server.
1) Adto sa tab Administration → Identity Management → External Identity Sources → LDAP → Add.
Figure 4. Pagdugang og LDAP server
2) Sa panel Kinatibuk-ang ipiho ang LDAP server name ug scheme (sa among kaso Active Directory).
Figure 5. Pagdugang og LDAP server nga adunay Active Directory schema
3) Sunod adto sa Koneksyon tab ug ipiho Hostname/IP address Server AD, pantalan (389 - LDAP, 636 - SSL LDAP), mga kredensyal sa tagdumala sa domain (Admin DN - bug-os nga DN), ang ubang mga parameter mahimong ibilin isip default.
Примечание: Gamita ang mga detalye sa domain sa admin aron malikayan ang posibleng mga problema.
Figure 6. Pagsulod sa LDAP server data
4) Sa tab Organisasyon sa Direktoryo kinahanglan nimong ipiho ang lugar sa direktoryo pinaagi sa DN diin makuha ang mga tiggamit ug mga grupo sa tiggamit.
Figure 7. Pagdeterminar sa mga direktoryo gikan diin makuha ang mga grupo sa tiggamit
5) Adto sa bintana Mga Grupo → Idugang → Pagpili Mga Grupo Gikan sa Direktoryo sa pagpili sa pagbira nga mga grupo gikan sa LDAP server.
Figure 8. Pagdugang og mga grupo gikan sa LDAP server
6) Sa bintana nga makita, i-klik Kuhaa ang mga Grupo. Kung ang mga grupo miapil, nan ang pasiuna nga mga lakang malampuson nga nahuman. Kung dili, pagsulay og laing administrador ug susiha ang pagkaanaa sa ISE gamit ang LDAP server gamit ang LDAP protocol.
Figure 9. Listahan sa mga grupo sa mga user nga naka-enable
7) Sa tab mga hiyas mahimo nimong ipiho kung unsang mga hiyas gikan sa LDAP server ang kinahanglan kuhaon, ug sa bintana Advanced Settings mahimo nga kapilian Enable Password Change, nga mopugos sa mga tiggamit sa pag-usab sa ilang password kon kini na-expire na o gi-reset. Bisan hain nga paagi, pag-klik Isumiter sa pagpadayon.
8) Ang LDAP server makita sa katugbang nga tab ug mahimong gamiton sa ulahi sa paghimo og mga polisiya sa pag-access.
Figure 10. Listahan sa gidugang nga LDAP servers
4. Paghiusa sa Active Directory
1) Pinaagi sa pagdugang sa Microsoft Active Directory server isip LDAP server, nakadawat kami og mga tiggamit, mga grupo sa tiggamit, apan dili mga log. Sunod, gisugyot nako ang pag-set up sa hingpit nga panagsama sa AD sa Cisco ISE. Adto sa tab Administration → Identity Management → External Identity Sources → Active Directory → Add.
Mubo nga sulat: Alang sa malampuson nga paghiusa sa AD, ang ISE kinahanglan nga naa sa usa ka domain ug adunay hingpit nga koneksyon sa DNS, NTP ug AD nga mga server, kung dili, wala’y mahimo.
Figure 11. Pagdugang ug Active Directory server
2) Sa bintana nga makita, isulod ang impormasyon sa tagdumala sa domain ug susiha ang kahon Mga Kredensyal sa Tindahan. Dugang pa, mahimo nimong ipiho ang usa ka OU (Organizational Unit) kung ang ISE nahimutang sa usa ka piho nga OU. Sunod, kinahanglan nimo nga pilion ang Cisco ISE nodes nga gusto nimong ikonektar sa domain.
Figure 12. Pagsulod sa mga kredensyal
3) Sa dili pa idugang ang mga tigkontrol sa domain, siguruha nga sa PSN sa tab Administrasyon → Sistema → Deployment gipalihok ang opsyon Passive Identity Service. PassiveID — usa ka kapilian nga nagtugot kanimo sa paghubad sa User sa IP ug vice versa. Ang PassiveID nakadawat og impormasyon gikan sa AD pinaagi sa WMI, espesyal nga mga ahente sa AD, o usa ka SPAN port sa switch (dili ang pinakamaayo nga opsyon).
Mubo nga sulat: aron masusi ang status sa Passive ID, pagsulod sa ISE console ipakita ang kahimtang sa aplikasyon kay | naglakip sa PassiveID.
Figure 13. Pag-enable sa PassiveID nga opsyon
4) Lakaw ngadto sa tab Administration → Identity Management → External Identity Sources → Active Directory → PassiveID ug pilia ang kapilian Idugang ang mga DC. Sunod, pilia ang gikinahanglan nga mga tigkontrol sa domain pinaagi sa mga checkbox ug i-klik OK.
Figure 14. Pagdugang domain controllers
5) Pilia ang gidugang nga mga DC ug i-klik ang buton Usba. Palihug isulti FQDN imong DC, domain login ug password, ingon man usa ka kapilian sa komunikasyon WMI o ahente. Pilia ang WMI ug i-klik OK.
Figure 15. Pagsulod sa impormasyon sa domain controller
6) Kung ang WMI dili ang gusto nga pamaagi sa pagpakigsulti sa Active Directory, nan ang mga ahente sa ISE mahimong magamit. Ang pamaagi sa ahente mao nga mahimo nimong i-install ang mga espesyal nga ahente sa server nga mag-isyu sa mga panghitabo sa pag-login. Adunay 2 nga kapilian sa pag-install: awtomatiko ug manwal. Aron awtomatiko nga i-install ang ahente sa parehas nga tab PassiveID pagpili Idugang ang Ahente → I-deploy ang Bag-ong Ahente (Ang DC kinahanglan adunay access sa Internet). Dayon pun-a ang gikinahanglan nga mga field (ngalan sa ahente, server FQDN, domain administrator login/password) ug i-klik OK.
Figure 16. Awtomatikong pag-instalar sa ahente sa ISE
7) Aron mano-mano nga i-install ang ahente sa Cisco ISE, kinahanglan nimo nga pilion Pagrehistro sa Naglungtad nga Ahente. Pinaagi sa dalan, mahimo nimo i-download ang ahente sa tab Mga Sentro sa Trabaho → PassiveID → Mga Provider → Mga Ahente → Pag-download sa Ahente.
Figure 17. Pag-download sa ahente sa ISE
Kini mao ang importante sa: Ang PassiveID wala magbasa sa mga panghitabo pagpangunikan! Ang parameter nga responsable sa timeout gitawag panahon sa pagkatigulang sa sesyon sa tiggamit ug katumbas sa 24 oras nga default. Busa, kinahanglan nimo nga i-logoff ang imong kaugalingon sa katapusan sa adlaw sa pagtrabaho, o isulat ang usa ka matang sa script nga awtomatiko nga mag-logoff sa tanan nga naka-log in nga tiggamit.
Para sa impormasyon pagpangunikan Ang "endpoint probes" gigamit. Adunay ubay-ubay nga endpoint probes sa Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. radyos probe gamit Si CoA (Pagbag-o sa Awtorisasyon) nga mga pakete naghatag og impormasyon mahitungod sa pagbag-o sa mga katungod sa user (kini nagkinahanglan og usa ka embedded 802.1X), ug ang SNMP nga gi-configure sa mga switch sa pag-access maghatag kasayuran bahin sa konektado ug wala’y koneksyon nga mga aparato.
Sa ubos mao ang usa ka pananglitan nga may kalabutan alang sa usa ka Cisco ISE + AD configuration nga walay 802.1X ug RADIUS: ang user naka-log in sa usa ka Windows machine, nga walay logoff, log in gikan sa laing PC pinaagi sa WiFi. Sa kini nga kaso, ang sesyon sa unang PC aktibo gihapon hangtod mahitabo ang timeout o mahitabo ang pinugos nga pag-logoff. Unya, kung ang mga aparato adunay lainlaing mga katungod, ang katapusan nga na-log in nga aparato magamit ang mga katungod niini.
8) Mga ekstra sa tab Administration → Identity Management → External Identity Sources → Active Directory → Groups → Add → Select Groups Gikan sa Directory makapili ka og mga grupo gikan sa AD nga gusto nimong idugang sa ISE (sa among kaso, gihimo kini sa lakang 3 "Pagdugang og LDAP server"). Pagpili og opsyon Kuhaa ang mga Grupo → OK.
Hulagway 18 a). Pagbira sa mga grupo sa tiggamit gikan sa Active Directory
9) Sa tab Mga Work Center → PassiveID → Overview → Dashboard mahimo nimong bantayan ang gidaghanon sa mga aktibong sesyon, ang gidaghanon sa mga tinubdan sa datos, mga ahente, ug uban pa.
Figure 19. Pag-monitor sa kalihokan sa tiggamit sa domain
10) Sa tab Mga Live nga Session ang kasamtangan nga mga sesyon gipakita. Ang panagsama sa AD gi-configure.
Figure 20. Aktibo nga mga sesyon sa mga tiggamit sa domain
5. Panapos
Kini nga artikulo naglangkob sa mga hilisgutan sa paghimo sa mga lokal nga tiggamit sa Cisco ISE, pagdugang sa mga server sa LDAP ug pag-integrate sa Microsoft Active Directory. Ang sunod nga artikulo maglakip sa pag-access sa bisita sa porma sa usa ka sobra nga giya.
Kung naa kay pangutana bahin sa kini nga hilisgutan o nanginahanglan tabang sa pagsulay sa produkto, palihug kontaka .
Pagbantay alang sa mga update sa among mga channel (, , , , ).
Source: www.habr.com