Benvenuti à u sicondu postu in a serie Cisco ISE. In u primu i vantaghji è e differenze di e soluzioni di Network Access Control (NAC) da u standard AAA, l'unicità di Cisco ISE, l'architettura è u prucessu di stallazione di u pruduttu sò stati evidenziati.
In questu articulu, andemu in a creazione di cunti, aghjunghje servitori LDAP, è integrazione cù Microsoft Active Directory, è ancu i sfumaturi di travaglià cù PassiveID. Prima di leghje, vi cunsigliu assai di leghje .
1. Qualchì terminologia
Identità d'utilizatore - un contu d'utilizatore chì cuntene infurmazioni nantu à l'utilizatore è genera e so credenziali per accede à a reta. I seguenti parametri sò tipicamente specificati in User Identity: username, email address, password, account description, user group, and role.
Gruppi di Utenti - i gruppi d'utilizatori sò una cullizzioni di l'utilizatori individuali chì anu un settore cumunu di privilegi chì li permettenu di accede à un settore specificu di servizii è funzioni Cisco ISE.
Gruppi d'identità d'utilizatori - gruppi d'utilizatori predefiniti chì anu digià certe informazioni è roli. I seguenti Gruppi di Identità d'Usuariu esistenu per difettu, pudete aghjunghje l'utilizatori è i gruppi d'utilizatori à elli: Employee (impiigatu), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (conti di sponsor per a gestione di u portale d'ospiti), Guest (guest), ActivatedGuest (invitatu attivatu).
rolu d'utilizatore- Un rolu d'utilizatore hè un inseme di permessi chì determinanu quali funzioni un utilizatore pò fà è chì servizii ponu accede. Spessu un rolu d'utilizatore hè assuciatu cù un gruppu di utilizatori.
Inoltre, ogni utilizatore è gruppu d'utilizatori hà attributi supplementari chì permettenu di selezziunà è più specificamente definisce stu utilizatore (gruppu d'utilizatori). Più infurmazione in .
2. Crea utilizatori lucali
1) Cisco ISE hà a capacità di creà utilizatori lucali è l'utilizanu in una pulitica d'accessu o ancu dà un rolu di amministrazione di u produttu. Selezziunà Amministrazione → Gestione di l'identità → Identità → Users → Add.
Figura 1 Aghjunghjendu un utilizatore locale à Cisco ISE
2) In a finestra chì appare, crea un utilizatore locale, stabilisce una password è altri paràmetri comprensibili.
Figura 2. Crea un User Local in Cisco ISE
3) L'utilizatori ponu ancu esse impurtati. In a stessa tabulazione Amministrazione → Gestione di l'identità → Identità → Utenti selezziunà una opzione Impurtanza è carica un schedariu csv o txt cù l'utilizatori. Per uttene un mudellu selezziunate Generate un Template, Tandu deve esse cumpletu cù infurmazioni nantu à l'utilizatori in una forma adattata.
Figura 3 Importing Users in Cisco ISE
3. Adding servers LDAP
Lasciami ricurdà chì LDAP hè un protokollu populari à u livellu di l'applicazione chì vi permette di riceve infurmazione, eseguisce l'autentificazione, cercate cunti in i repertorii di servitori LDAP, travaglia nantu à u portu 389 o 636 (SS). Esempi prominenti di servitori LDAP sò Active Directory, Sun Directory, Novell eDirectory è OpenLDAP. Ogni entrata in u repertoriu LDAP hè definitu da un DN (Nome Distinguished) è u compitu di ricuperà cunti, gruppi d'utilizatori è attributi hè risuscitatu per furmà una pulitica d'accessu.
In Cisco ISE, hè pussibule cunfigurà l'accessu à parechji servitori LDAP, implementendu cusì a redundanza. Se u servitore LDAP primariu (primariu) ùn hè micca dispunibule, allora ISE pruvà à accede à u secundariu (secundariu) è cusì. Inoltre, se ci sò 2 PAN, allora un LDAP pò esse prioritizatu per u PAN primariu è un altru LDAP per u PAN secundariu.
ISE supporta 2 tipi di ricerca quandu travaglia cù i servitori LDAP: Ricerca d'utilizatori è Ricerca di l'indirizzu MAC. User Lookup permette di circà un utilizatore in a basa di dati LDAP è uttene l'infurmazioni seguenti senza autentificazione: utilizatori è i so attributi, gruppi d'utilizatori. MAC Address Lookup permette ancu di circà per l'indirizzu MAC in cartulari LDAP senza autentificazione è uttene infurmazioni nantu à u dispusitivu, un gruppu di dispusitivi per indirizzi MAC, è altri attributi specifichi.
Cum'è un esempiu di integrazione, aghjunghjemu Active Directory à Cisco ISE cum'è un servitore LDAP.
1) Andà à a tabulazione Amministrazione → Gestione di l'identità → Fonti d'identità esterne → LDAP → Add.
Figura 4. Aghjunghjendu un servitore LDAP
2) In panel General specificà u nome di u servitore LDAP è u schema (in u nostru casu, Active Directory).
Figura 5. Aghjunghjendu un servitore LDAP cù un schema di Active Directory
3) Dopu andate à A cunnessione tabulazione è selezziunate Hostname / indirizzu IP Server AD, portu (389 - LDAP, 636 - SSL LDAP), credenziali di amministratore di duminiu (Admin DN - DN full), altri paràmetri ponu esse lasciati predeterminati.
Vita: utilizate i dettagli di u duminiu amministratore per evità prublemi potenziali.
Figura 6 Ingressu di dati di u servitore LDAP
4) In tab L'urganizazione di u repertoriu duvete specificà l'area di u repertoriu attraversu u DN da induve tirà l'utilizatori è i gruppi d'utilizatori.
Figura 7. Determinazione di cartulari da induve i gruppi d'utilizatori ponu tirà
5) Andà à a finestra Gruppi → Add → Select Groups From Directory per selezziunà i gruppi di pull da u servitore LDAP.
Figura 8. Adding groups from the LDAP server
6) In a finestra chì appare, cliccate Ritruvà i gruppi. Se i gruppi anu tiratu, allora i passi preliminari sò stati cumpletati cù successu. Altrimenti, pruvate un altru amministratore è verificate a dispunibilità di l'ISE cù u servitore LDAP via u protocolu LDAP.
Figura 9. Lista di i gruppi d'utilizatori tirati
7) In tab in preghiera pudete opzione specificà quale attributi da u servitore LDAP deve esse tiratu, è in a finestra Avanzate Avanzate attiva l'opzione Abilita u cambiamentu di password, chì furzà l'utilizatori à cambià a so password s'ellu hè scadutu o hè statu resettatu. In ogni casu, cliccate cunfirmate per cuntinuà.
8) U servitore LDAP apparsu in a tabulazione currispondente è pò esse usatu per furmà pulitiche d'accessu in u futuru.
Figura 10. Lista di servitori LDAP aghjuntu
4. Integrazione cù Active Directory
1) Aghjunghjendu u servitore Microsoft Active Directory cum'è un servitore LDAP, avemu avutu utilizatori, gruppi d'utilizatori, ma micca logs. In seguitu, prupongu à stallà l'integrazione AD piena cù Cisco ISE. Andà à a tabulazione Amministrazione → Gestione di l'identità → Fonti d'identità esterne → Active Directory → Add.
Nutate bè: per una integrazione riescita cù AD, ISE deve esse in un duminiu è avè una cunnessione completa cù i servitori DNS, NTP è AD, altrimenti nunda ùn vene da questu.
Figura 11. Adding an Active Directory server
2) In a finestra chì appare, entre i dettagli di l'amministratore di u duminiu è verificate a casella Credenziali di Store. Inoltre, pudete specificà una OU (Unità Organizativa) se l'ISE si trova in una OU specifica. In seguitu, avete da selezziunate i nodi Cisco ISE chì vulete cunnette à u duminiu.
Figura 12. Ingressu credenziali
3) Prima di aghjunghje i controller di duminiu, assicuratevi chì in PSN in a tabulazione Amministrazione → Sistema → Implementazione opzione attivata Serviziu d'identità passiva. ID passiva - una opzione chì permette di traduce User à IP è vice versa. PassiveID riceve infurmazioni da AD via WMI, agenti AD speciali o portu SPAN nantu à u switch (micca a megliu opzione).
Nutate bè: per verificà u statutu di l'ID Passive, scrive in a cunsola ISE mostra u statutu di l'applicazione ise | include PassiveID.
Figura 13. Abilitazione di l'opzione PassiveID
4) Andà à a tabulazione Amministrazione → Gestione di l'identità → Fonti d'identità esterne → Active Directory → PassiveID è selezziunate l'opzione Aghjunghjite DC. Dopu, selezziunate i cuntrolli di duminiu necessarii cù checkboxes è cliccate OK.
Figura 14. Adding controllers di duminiu
5) Selezziunate i DC aghjuntu è cliccate u buttone Edità. Indicate FQDN u vostru DC, login di duminiu è password, è una opzione di ligame WMI o Agente. Sceglite WMI è cliccate OK.
Figura 15 Ingressu i dettagli di u controller di duminiu
6) Se WMI ùn hè micca u modu preferitu per cumunicà cù Active Directory, allora l'agenti ISE ponu esse utilizati. U metudu di l'agente hè chì pudete installà agenti speciali nantu à i servitori chì emettenu avvenimenti di login. Ci hè 2 opzioni di installazione: automatica è manuale. Per installà automaticamente l'agente in a stessa tabulazione ID passiva selezziunate l'articulu Add Agent → Implementa un novu agente (DC deve avè accessu à Internet). Dopu compie i campi richiesti (nome di l'agente, FQDN di u servitore, login / password di l'amministratore di u duminiu) è cliccate OK.
Figura 16. Installazione automatica di l'agent ISE
7) Per installà manualmente l'agente Cisco ISE, selezziunate l'elementu Registra l'agente esistente. In modu, pudete scaricà l'agente in a tabulazione Centri di travagliu → PassiveID → Providers → Agents → Download Agent.
Figura 17. Scaricatu l'agent ISE
Hè impurtante di: PassiveID ùn leghje micca avvenimenti disconnessione! U paràmetru rispunsevuli di u timeout hè chjamatu tempu d'età di sessione d'utilizatore è uguali à 24 ore per difettu. Per quessa, duvete sia logoff à a fine di a ghjurnata di travagliu, o scrivite un tipu di script chì automaticamente logoff tutti l'utilizatori cunnessi.
Per infurmazione disconnessione "Endpoint probes" sò usati - sonde terminal. Ci hè parechje sonde endpoint in Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS aduprendu sonda CoA I pacchetti (Cambia di l'Autorizazione) dà infurmazione nantu à cambià i diritti di l'utilizatori (questu richiede un incrustatu 802.1X), è cunfigurati nantu à i switch d'accessu SNMP, darà infurmazioni nantu à i dispositi cunnessi è disconnected.
L'esempiu seguitu hè pertinente per una cunfigurazione Cisco ISE + AD senza 802.1X è RADIUS: un utilizatore hè logatu in una macchina Windows, senza fà u logoff, accede da un altru PC via WiFi. In questu casu, a sessione nantu à u primu PC serà sempre attivu finu à chì si verifica un timeout o un logoff forzatu. Allora s'è i dispusitivi hannu diritti differente, allura l 'ultimu logged in dispusitivu vi applicà i so diritti.
8) Opzionale in a tabulazione Amministrazione → Gestione di l'identità → Fonti d'identità esterne → Active Directory → Gruppi → Add → Select Groups From Directory pudete selezziunà i gruppi da l'AD chì vulete tirà in ISE (in u nostru casu, questu hè statu fattu in u passu 3 "Aghjunghje un servitore LDAP"). Sceglite una opzione Ritruvà Gruppi → OK.
Figura 18 a). Tirà gruppi di utilizatori da Active Directory
9) In tab Centri di travagliu → PassiveID → Panoramica → Dashboard pudete osservà u numeru di sessioni attive, u numeru di fonti di dati, agenti è più.
Figura 19. Monitoring l'attività di l'utilizatori di u duminiu
10) In tab Sessioni in diretta e sessioni attuali sò visualizate. L'integrazione cù AD hè cunfigurata.
Figura 20. Sessioni attivi di l'utilizatori di duminiu
5. Chjave
Questu articulu hà trattatu i temi di creazione d'utilizatori lucali in Cisco ISE, aghjunghje servitori LDAP, è integrazione cù Microsoft Active Directory. U prossimu articulu mette in risaltu l'accessu di l'ospiti in forma di una guida redundante.
Sì avete dumande nantu à questu tema o avete bisognu di aiutu per pruvà u pruduttu, per piacè cuntattate .
State sintonizzati per l'aghjurnamenti in i nostri canali (, , , , ).
Source: www.habr.com