Vítejte u druhého příspěvku v sérii Cisco ISE. Zaprvé byly zdůrazněny výhody a rozdíly řešení Network Access Control (NAC) od standardních AAA, jedinečnost Cisco ISE, architektura a proces instalace produktu.
V tomto článku se ponoříme do vytváření účtů, přidávání serverů LDAP a integrace s Microsoft Active Directory a také na nuance práce s PassiveID. Před čtením důrazně doporučuji přečíst .
1. Nějaká terminologie
Identita uživatele - uživatelský účet, který obsahuje informace o uživateli a generuje jeho přihlašovací údaje pro přístup do sítě. V Identitě uživatele jsou obvykle uvedeny následující parametry: uživatelské jméno, e-mailová adresa, heslo, popis účtu, uživatelská skupina a role.
Skupiny uživatelů - skupiny uživatelů jsou kolekce jednotlivých uživatelů, kteří mají společnou sadu oprávnění, která jim umožňují přístup ke konkrétní sadě služeb a funkcí Cisco ISE.
Skupiny identity uživatelů – předdefinované skupiny uživatelů, které již mají určité informace a role. Ve výchozím nastavení existují následující skupiny identity uživatelů, můžete do nich přidávat uživatele a skupiny uživatelů: Zaměstnanec (zaměstnanec), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (účty sponzorů pro správu portálu pro hosty), Guest (host), ActivatedGuest (aktivovaný host).
uživatelská role- Uživatelská role je sada oprávnění, která určují, jaké úkoly může uživatel provádět a ke kterým službám má přístup. Často je uživatelská role spojena se skupinou uživatelů.
Každý uživatel a uživatelská skupina má navíc další atributy, které vám umožňují vybrat a konkrétněji definovat tohoto uživatele (skupinu uživatelů). Více informací v .
2. Vytvořte místní uživatele
1) Cisco ISE má schopnost vytvářet místní uživatele a používat je v politice přístupu nebo dokonce přidělit roli správy produktu. Vybrat Administrace → Správa identit → Identity → Uživatelé → Přidat.
Obrázek 1 Přidání místního uživatele do Cisco ISE
2) V okně, které se objeví, vytvořte lokálního uživatele, nastavte heslo a další srozumitelné parametry.
Obrázek 2. Vytvoření místního uživatele v Cisco ISE
3) Uživatelé mohou být také importováni. Ve stejné záložce Administrace → Správa identit → Identity → Uživatelé Vyberte možnost import a nahrajte soubor csv nebo txt s uživateli. Chcete-li získat šablonu, vyberte Vygenerujte šablonu, pak by měl být ve vhodné formě vyplněn informacemi o uživatelích.
Obrázek 3 Import uživatelů do Cisco ISE
3. Přidání serverů LDAP
Dovolte mi připomenout, že LDAP je populární protokol na aplikační úrovni, který vám umožňuje přijímat informace, provádět autentizaci, vyhledávat účty v adresářích serverů LDAP, pracuje na portu 389 nebo 636 (SS). Nejvýznamnějšími příklady serverů LDAP jsou Active Directory, Sun Directory, Novell eDirectory a OpenLDAP. Každá položka v adresáři LDAP je definována DN (Distinguished Name) a úloha získávání účtů, skupin uživatelů a atributů je povýšena na politiku přístupu.
V Cisco ISE je možné konfigurovat přístup k mnoha serverům LDAP, a tím implementovat redundanci. Pokud primární (primární) server LDAP není dostupný, pokusí se ISE o přístup k sekundárnímu (sekundárnímu) a tak dále. Kromě toho, pokud existují 2 sítě PAN, pak jeden LDAP může mít prioritu pro primární PAN a další LDAP pro sekundární PAN.
ISE podporuje 2 typy vyhledávání (lookup) při práci se servery LDAP: User Lookup a MAC Address Lookup. Vyhledávání uživatelů umožňuje vyhledat uživatele v databázi LDAP a získat následující informace bez ověření: uživatelé a jejich atributy, skupiny uživatelů. Vyhledávání MAC adres také umožňuje vyhledávat podle MAC adresy v adresářích LDAP bez ověřování a získat informace o zařízení, skupině zařízení podle MAC adres a dalších specifických atributech.
Jako příklad integrace přidáme Active Directory do Cisco ISE jako LDAP server.
1) Přejděte na kartu Správa → Správa identit → Externí zdroje identity → LDAP → Přidat.
Obrázek 4. Přidání serveru LDAP
2) V panelu obecně zadejte název a schéma serveru LDAP (v našem případě Active Directory).
Obrázek 5. Přidání serveru LDAP se schématem Active Directory
3) Dále přejděte na přípojka kartu a vyberte Název hostitele/IP adresa AD serveru, port (389 - LDAP, 636 - SSL LDAP), přihlašovací údaje správce domény (Admin DN - úplné DN), ostatní parametry lze ponechat jako výchozí.
Poznámka: použijte podrobnosti o doméně správce, abyste se vyhnuli potenciálním problémům.
Obrázek 6 Zadávání dat serveru LDAP
4) V tab Organizace adresáře měli byste zadat oblast adresáře prostřednictvím DN, odkud se mají stahovat uživatelé a skupiny uživatelů.
Obrázek 7. Určení adresářů, ze kterých se mohou skupiny uživatelů stahovat
5) Přejděte do okna Skupiny → Přidat → Vybrat skupiny z adresáře vyberte skupiny pro stahování ze serveru LDAP.
Obrázek 8. Přidání skupin ze serveru LDAP
6) V zobrazeném okně klikněte na Načíst skupiny. Pokud se skupiny zvedly, byly předběžné kroky úspěšně dokončeny. V opačném případě zkuste jiného správce a zkontrolujte dostupnost ISE se serverem LDAP prostřednictvím protokolu LDAP.
Obrázek 9. Seznam vytažených skupin uživatelů
7) V tab Atributy můžete volitelně určit, které atributy ze serveru LDAP se mají stáhnout, a v okně pokročilá nastavení možnost povolit Povolit změnu hesla, který donutí uživatele změnit své heslo, pokud jeho platnost vypršela nebo bylo resetováno. Každopádně klikni Odeslat pokračovat.
8) Server LDAP se objevil v příslušné záložce a lze jej v budoucnu použít k vytváření zásad přístupu.
Obrázek 10. Seznam přidaných serverů LDAP
4. Integrace s Active Directory
1) Přidáním serveru Microsoft Active Directory jako serveru LDAP jsme získali uživatele, skupiny uživatelů, ale žádné protokoly. Dále navrhuji nastavit plnohodnotnou integraci AD s Cisco ISE. Přejděte na kartu Administrace → Správa identit → Externí zdroje identity → Active Directory → Přidat.
Poznámka: pro úspěšnou integraci s AD musí být ISE v doméně a mít plnou konektivitu se servery DNS, NTP a AD, jinak z toho nic nebude.
Obrázek 11. Přidání serveru Active Directory
2) V okně, které se zobrazí, zadejte podrobnosti o správci domény a zaškrtněte políčko Pověření obchodu. Kromě toho můžete určit organizační jednotku (organizační jednotka), pokud se ISE nachází v konkrétní organizační jednotce. Dále budete muset vybrat uzly Cisco ISE, které chcete připojit k doméně.
Obrázek 12. Zadávání přihlašovacích údajů
3) Před přidáním řadičů domény se ujistěte, že na PSN v záložce Administrace → Systém → Nasazení možnost povolena Služba pasivní identity. Pasivní ID - možnost, která vám umožní přeložit uživatele na IP a naopak. PassiveID získává informace z AD přes WMI, speciální AD agenty nebo SPAN port na switchi (není nejlepší volba).
Poznámka: Chcete-li zkontrolovat stav pasivního ID, zadejte do konzoly ISE zobrazit stav aplikace ise | včetně PassiveID.
Obrázek 13. Povolení možnosti PassiveID
4) Přejděte na kartu Administrace → Správa identit → Externí zdroje identity → Active Directory → PassiveID a vyberte možnost Přidejte DC. Dále vyberte potřebné řadiče domény pomocí zaškrtávacích políček a klikněte OK.
Obrázek 14. Přidání řadičů domény
5) Vyberte přidané DC a klikněte na tlačítko Upravit. Uveďte FQDN váš DC, přihlašovací jméno a heslo domény a možnost odkazu WMI nebo Činidlo. Vyberte WMI a klikněte OK.
Obrázek 15 Zadání podrobností řadiče domény
6) Pokud WMI není upřednostňovaným způsobem komunikace se službou Active Directory, lze použít agenty ISE. Metoda agenta spočívá v tom, že můžete na servery nainstalovat speciální agenty, kteří budou vydávat události přihlášení. Existují 2 možnosti instalace: automatická a manuální. Chcete-li automaticky nainstalovat agenta na stejné kartě Pasivní ID vybrat Přidat agenta → Nasadit nového agenta (DC musí mít přístup k internetu). Poté vyplňte požadovaná pole (jméno agenta, FQDN serveru, přihlašovací jméno/heslo správce domény) a klikněte OK.
Obrázek 16. Automatická instalace agenta ISE
7) Chcete-li agenta Cisco ISE nainstalovat ručně, vyberte položku Zaregistrujte stávajícího agenta. Mimochodem, agenta si můžete stáhnout v záložce Work Centers → PassiveID → Providers → Agents → Download Agent.
Obrázek 17. Stažení agenta ISE
Je důležité, aby se: PassiveID nečte události odhlášení! Zavolá se parametr zodpovědný za časový limit doba stárnutí uživatelské relace a ve výchozím nastavení se rovná 24 hodinám. Proto byste se měli na konci pracovního dne buď odhlásit sami, nebo napsat nějaký skript, který automaticky odhlásí všechny přihlášené uživatele.
Pro informaci odhlášení Používají se „koncové sondy“ – koncové sondy. V Cisco ISE existuje několik sond pro koncové body: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. POLOMĚR pomocí sondy CoA Balíčky (Change of Authorization) poskytují informace o změně uživatelských práv (to vyžaduje embedded 802.1X), a nakonfigurované na přístupových přepínačích SNMP, budou poskytovat informace o připojených a odpojených zařízeních.
Následující příklad je relevantní pro konfiguraci Cisco ISE + AD bez 802.1X a RADIUS: uživatel je přihlášen na počítači se systémem Windows, aniž by se odhlašoval, přihlašuje se z jiného počítače přes WiFi. V tomto případě bude relace na prvním PC stále aktivní, dokud nedojde k vypršení časového limitu nebo k vynucenému odhlášení. Pokud mají zařízení různá práva, pak svá práva uplatní naposledy přihlášené zařízení.
8) Volitelné v záložce Administrace → Správa identit → Externí zdroje identity → Active Directory → Skupiny → Přidat → Vybrat skupiny z adresáře můžete vybrat skupiny z AD, které chcete stáhnout na ISE (v našem případě to bylo provedeno v kroku 3 „Přidání serveru LDAP“). Vyberte možnost Načíst skupiny → OK.
Obrázek 18 a). Stahování skupin uživatelů ze služby Active Directory
9) V tab Pracovní střediska → PassiveID → Přehled → Řídicí panel můžete vidět počet aktivních relací, počet zdrojů dat, agentů a další.
Obrázek 19. Sledování aktivity uživatelů domény
10) V tab Živé relace zobrazí se aktuální relace. Integrace s AD je nakonfigurována.
Obrázek 20. Aktivní relace uživatelů domény
5. Závěr
Tento článek se zabýval tématy vytváření místních uživatelů v Cisco ISE, přidávání serverů LDAP a integrace s Microsoft Active Directory. Příští článek upozorní na přístup hostů ve formě redundantního průvodce.
Pokud máte dotazy k tomuto tématu nebo potřebujete pomoc s testováním produktu, kontaktujte nás .
Zůstaňte naladěni na aktualizace na našich kanálech (, , , , ).
Zdroj: www.habr.com