Croeso i ail gyhoeddiad cyfres o erthyglau sy'n ymroddedig i Cisco ISE. Yn y cyntaf amlygwyd manteision a gwahaniaethau datrysiadau Rheoli Mynediad Rhwydwaith (NAC) o AAA safonol, unigrywiaeth Cisco ISE, pensaernïaeth a phroses gosod y cynnyrch.
Yn yr erthygl hon byddwn yn ymchwilio i greu cyfrifon, ychwanegu gweinyddwyr LDAP ac integreiddio â Microsoft Active Directory, yn ogystal â'r naws wrth weithio gyda PassiveID. Cyn darllen, rwy'n argymell yn gryf eich bod chi'n darllen .
1. Peth terminoleg
Hunaniaeth Defnyddiwr - cyfrif defnyddiwr sy'n cynnwys gwybodaeth am y defnyddiwr ac sy'n ffurfio ei gymwysterau ar gyfer cyrchu'r rhwydwaith. Mae'r paramedrau canlynol fel arfer yn cael eu nodi yn Hunaniaeth Defnyddiwr: enw defnyddiwr, cyfeiriad e-bost, cyfrinair, disgrifiad cyfrif, grŵp defnyddwyr, a rôl.
Grwpiau Defnyddwyr - Mae grwpiau defnyddwyr yn gasgliad o ddefnyddwyr unigol sydd â set gyffredin o freintiau sy'n caniatáu iddynt gael mynediad at set benodol o wasanaethau a nodweddion Cisco ISE.
Grwpiau Hunaniaeth Defnyddwyr - grwpiau defnyddwyr wedi'u diffinio ymlaen llaw sydd eisoes â gwybodaeth a rolau penodol. Mae'r Grwpiau Hunaniaeth Defnyddiwr canlynol yn bodoli yn ddiofyn a gallwch ychwanegu defnyddwyr a grwpiau defnyddwyr atynt: Gweithwyr,Cyfrif Noddwyr, Cyfrifon Grŵp Noddwyr, Cyfrifon Noddwyr (cyfrifon noddwyr ar gyfer rheoli'r porth gwesteion), Guest, ActivatedGuest.
Rôl Defnyddiwr - Mae rôl defnyddiwr yn set o ganiatadau sy'n pennu pa dasgau y gall defnyddiwr eu cyflawni a pha wasanaethau y gall defnyddiwr eu cyrchu. Yn aml mae rôl defnyddiwr yn gysylltiedig â grŵp o ddefnyddwyr.
Ar ben hynny, mae gan bob defnyddiwr a grŵp defnyddwyr nodweddion ychwanegol sy'n eich galluogi i amlygu a diffinio'n fwy penodol defnyddiwr penodol (grŵp defnyddwyr). Mwy o wybodaeth yn .
2. Creu defnyddwyr lleol
1) Yn Cisco ISE mae'n bosibl creu defnyddwyr lleol a'u defnyddio mewn polisïau mynediad neu hyd yn oed roi'r rôl gweinyddu cynnyrch iddynt. Dewiswch Gweinyddu → Rheoli Hunaniaeth → Hunaniaeth → Defnyddwyr → Ychwanegu.
Ffigur 1: Ychwanegu Defnyddiwr Lleol i Cisco ISE
2) Yn y ffenestr sy'n ymddangos, crëwch ddefnyddiwr lleol, rhowch gyfrinair iddo a pharamedrau clir eraill.
Ffigur 2. Creu defnyddiwr lleol yn Cisco ISE
3) Gall defnyddwyr hefyd gael eu mewnforio. Yn yr un tab Gweinyddu → Rheoli Hunaniaeth → Hunaniaeth → Defnyddwyr dewis opsiwn mewnforio a llwytho ffeil csv neu txt gyda defnyddwyr. I gael y templed, dewiswch Cynhyrchu Templed, yna dylech ei lenwi â gwybodaeth am ddefnyddwyr mewn ffurf addas.
Ffigur 3. Mewnforio Defnyddwyr i Cisco ISE
3. Ychwanegu gweinyddion LDAP
Gadewch imi eich atgoffa bod LDAP yn brotocol lefel cais poblogaidd sy'n eich galluogi i dderbyn gwybodaeth, perfformio dilysu, chwilio am gyfrifon yng nghyfeirlyfrau gweinydd LDAP, ac yn gweithredu ar borthladd 389 neu 636 (SS). Enghreifftiau amlwg o weinyddion LDAP yw Active Directory, Sun Directory, Novell eDirectory ac OpenLDAP. Mae pob cofnod yn y cyfeiriadur LDAP yn cael ei ddiffinio gan DN (Enw Nodedig) ac i lunio polisi mynediad, mae'r dasg o adalw cyfrifon, grwpiau defnyddwyr a phriodoleddau yn codi.
Yn Cisco ISE mae'n bosibl ffurfweddu mynediad i lawer o weinyddion LDAP, gan wireddu diswyddiad. Os nad yw'r gweinydd LDAP cynradd ar gael, bydd ISE yn ceisio cysylltu â'r un uwchradd, ac ati. Yn ogystal, os oes 2 PAN, yna gellir blaenoriaethu un LDAP ar gyfer y PAN cynradd, a LDAP arall yn cael ei flaenoriaethu ar gyfer y PAN uwchradd.
Mae ISE yn cefnogi 2 fath o chwilio wrth weithio gyda gweinyddwyr LDAP: User Lookup a MAC Address Lookup. Mae User Lookup yn eich galluogi i chwilio defnyddiwr mewn cronfa ddata LDAP ac adalw'r wybodaeth ganlynol heb ei dilysu: defnyddwyr a'u priodoleddau, grwpiau defnyddwyr. Mae MAC Address Lookup hefyd yn caniatáu ichi chwilio yn ôl cyfeiriad MAC mewn cyfeirlyfrau LDAP heb ddilysu a chael gwybodaeth am ddyfais, grŵp o ddyfeisiau yn ôl cyfeiriadau MAC a phriodoleddau penodol eraill.
Fel enghraifft o integreiddio, gadewch i ni ychwanegu Active Directory i Cisco ISE fel gweinydd LDAP.
1) Ewch i'r tab Gweinyddu → Rheoli Hunaniaeth → Ffynonellau Hunaniaeth Allanol → LDAP → Ychwanegu.
Ffigur 4. Ychwanegu gweinydd LDAP
2) Yn y panel cyffredinol nodwch enw a chynllun gweinydd LDAP (Active Directory yn ein hachos ni).
Ffigur 5. Ychwanegu gweinydd LDAP gyda sgema Active Directory
3) Nesaf ewch i Cysylltiad tab a nodi Enw gwesteiwr / cyfeiriad IP Gweinydd AD, porthladd (389 - LDAP, 636 - SSL LDAP), tystlythyrau gweinyddwr parth (Admin DN - DN llawn), gellir gadael paramedrau eraill fel rhagosodiad.
Nodyn: Defnyddiwch y manylion parth gweinyddol i osgoi problemau posibl.
Ffigur 6. Mewnbynnu data gweinydd LDAP
4) Mewn tab Sefydliad Cyfeiriadur dylech nodi'r ardal cyfeiriadur trwy DN i dynnu defnyddwyr a grwpiau defnyddwyr ohoni.
Ffigur 7. Pennu cyfeiriaduron i dynnu grwpiau defnyddwyr i fyny ohonynt
5) Ewch i'r ffenestr Grwpiau → Ychwanegu → Dewiswch Grwpiau O'r Cyfeiriadur i ddewis grwpiau tynnu o'r gweinydd LDAP.
Ffigur 8. Ychwanegu grwpiau o'r gweinydd LDAP
6) Yn y ffenestr sy'n ymddangos, cliciwch Adalw Grwpiau. Os yw'r grwpiau wedi ymuno, yna mae'r camau rhagarweiniol wedi'u cwblhau'n llwyddiannus. Fel arall, rhowch gynnig ar weinyddwr arall a gwiriwch argaeledd ISE gyda gweinydd LDAP gan ddefnyddio'r protocol LDAP.
Ffigur 9. Rhestr o grwpiau defnyddwyr sydd wedi'u galluogi
7) Mewn tab Priodoleddau gallwch ddewis yn ddewisol pa briodoleddau o'r gweinydd LDAP y dylid eu tynnu i fyny, ac yn y ffenestr Gosodiadau uwch opsiwn galluogi Galluogi Newid Cyfrinair, a fydd yn gorfodi defnyddwyr i newid eu cyfrinair os yw wedi dod i ben neu wedi'i ailosod. Y naill ffordd neu'r llall, cliciwch Cyflwyno i barhau.
8) Mae'r gweinydd LDAP yn ymddangos yn y tab cyfatebol a gellir ei ddefnyddio'n ddiweddarach i greu polisïau mynediad.
Ffigur 10. Rhestr o weinyddion LDAP ychwanegol
4. Integreiddio â Active Directory
1) Trwy ychwanegu gweinydd Microsoft Active Directory fel gweinydd LDAP, cawsom ddefnyddwyr, grwpiau defnyddwyr, ond nid logiau. Nesaf, rwy'n awgrymu sefydlu integreiddiad AD llawn gyda Cisco ISE. Ewch i'r tab Gweinyddu → Rheoli Hunaniaeth → Ffynonellau Hunaniaeth Allanol → Active Directory → Ychwanegu.
Nodyn: Er mwyn integreiddio'n llwyddiannus ag AD, rhaid i ISE fod mewn parth a bod â chysylltedd llawn â gweinyddwyr DNS, NTP ac AD, fel arall ni fydd dim yn gweithio.
Ffigur 11. Ychwanegu gweinydd Active Directory
2) Yn y ffenestr sy'n ymddangos, nodwch y wybodaeth gweinyddwr parth a thiciwch y blwch Manylion y Siop. Yn ogystal, gallwch nodi OU (Uned Sefydliadol) os yw'r ISE wedi'i leoli mewn OU penodol. Nesaf, bydd yn rhaid i chi ddewis y nodau Cisco ISE rydych chi am eu cysylltu â'r parth.
Ffigur 12. Mewnbynnu tystlythyrau
3) Cyn ychwanegu rheolwyr parth, gwnewch yn siŵr hynny ar PSN yn y tab Gweinyddu → System → Defnyddio opsiwn wedi'i alluogi Gwasanaeth Hunaniaeth Goddefol. ID goddefol — opsiwn sy'n eich galluogi i gyfieithu Defnyddiwr i IP ac i'r gwrthwyneb. Mae PassiveID yn derbyn gwybodaeth gan AD trwy WMI, asiantau AD arbennig, neu borthladd SPAN ar y switsh (nid yr opsiwn gorau).
Nodyn: i wirio statws ID Goddefol, nodwch yn y consol ISE dangos statws cais yw | cynnwys PassiveID.
Ffigur 13. Galluogi'r opsiwn PassiveID
4) Ewch i'r tab Gweinyddu → Rheoli Hunaniaeth → Ffynonellau Hunaniaeth Allanol → Active Directory → PassiveID a dewiswch yr opsiwn Ychwanegu DCs. Nesaf, dewiswch y rheolwyr parth gofynnol trwy flychau gwirio a chliciwch OK.
Ffigur 14. Ychwanegu rheolwyr parth
5) Dewiswch y DCs ychwanegol a chliciwch ar y botwm Golygu. Nodwch FQDN eich DC, mewngofnodi parth a chyfrinair, yn ogystal ag opsiwn cyfathrebu WMI neu asiant. Dewiswch WMI a chliciwch OK.
Ffigur 15. Mewnbynnu gwybodaeth rheolwr parth
6) Os nad WMI yw'r dull a ffefrir o gyfathrebu â Active Directory, yna gellir defnyddio asiantau ISE. Y dull asiant yw y gallwch chi osod asiantau arbennig ar y gweinydd a fydd yn cyhoeddi digwyddiadau mewngofnodi. Mae yna 2 opsiwn gosod: awtomatig a llaw. I osod yr asiant yn awtomatig yn yr un tab ID goddefol dewiswch Ychwanegu Asiant → Defnyddio Asiant Newydd (Rhaid i DC gael mynediad i'r Rhyngrwyd). Yna llenwch y meysydd gofynnol (enw asiant, gweinydd FQDN, mewngofnodi gweinyddwr parth / cyfrinair) a chliciwch OK.
Ffigur 16. Gosod asiant ISE yn awtomatig
7) I osod asiant Cisco ISE â llaw, mae angen i chi ddewis Cofrestru Asiant Presennol. Gyda llaw, gallwch chi lawrlwytho'r asiant yn y tab Canolfannau Gwaith → PassiveID → Darparwyr → Asiantau → Asiant Lawrlwytho.
Ffigur 17. Lawrlwytho'r asiant ISE
Pwysig: Nid yw PassiveID yn darllen digwyddiadau allgofnodi! Gelwir y paramedr sy'n gyfrifol am y terfyn amser amser heneiddio sesiwn defnyddiwr ac mae'n hafal i 24 awr yn ddiofyn. Felly, dylech naill ai allgofnodi eich hun ar ddiwedd y diwrnod gwaith, neu ysgrifennu rhyw fath o sgript a fydd yn allgofnodi'n awtomatig yr holl ddefnyddwyr sydd wedi mewngofnodi.
Er gwybodaeth allgofnodi Defnyddir “stilwyr diweddbwynt”. Mae yna sawl chwiliwr diweddbwynt yn Cisco ISE: RADIUS, SNMP Trap, Ymholiad SNMP, DHCP, DNS, HTTP, Netflow, Sgan NMAP. RADIWS chwiliedydd gan ddefnyddio CoA Mae pecynnau (Newid Awdurdodiad) yn darparu gwybodaeth am newid hawliau defnyddwyr (mae hyn yn gofyn am fewnosod 802.1X), a bydd SNMP wedi'i ffurfweddu ar switshis mynediad yn darparu gwybodaeth am ddyfeisiau cysylltiedig a dyfeisiau sydd wedi'u datgysylltu.
Isod mae enghraifft sy'n berthnasol ar gyfer cyfluniad Cisco ISE + AD heb 802.1X a RADIUS: mae'r defnyddiwr wedi mewngofnodi ar beiriant Windows, heb wneud allgofnod, mewngofnodwch o gyfrifiadur personol arall trwy WiFi. Yn yr achos hwn, bydd y sesiwn ar y cyfrifiadur cyntaf yn dal i fod yn weithredol hyd nes y bydd terfyn amser yn digwydd neu nes y bydd allgofnodi gorfodol yn digwydd. Yna, os oes gan ddyfeisiau hawliau gwahanol, bydd y ddyfais sydd wedi mewngofnodi ddiwethaf yn cymhwyso ei hawliau.
8) Extras yn y tab Gweinyddu → Rheoli Hunaniaeth → Ffynonellau Hunaniaeth Allanol → Active Directory → Grwpiau → Ychwanegu → Dewis Grwpiau O'r Cyfeiriadur gallwch ddewis grwpiau o AD yr ydych am eu hychwanegu at ISE (yn ein hachos ni, gwnaed hyn yng ngham 3 “Ychwanegu gweinydd LDAP”). Dewiswch opsiwn Adalw Grwpiau → Iawn.
Ffigur 18 a). Tynnu grwpiau defnyddwyr o Active Directory
9) Mewn tab Canolfannau Gwaith → PassiveID → Trosolwg → Dangosfwrdd gallwch fonitro nifer y sesiynau gweithredol, nifer y ffynonellau data, asiantau, a mwy.
Ffigur 19. Monitro gweithgaredd defnyddwyr parth
10) Mewn tab Sesiynau Byw sesiynau cyfredol yn cael eu harddangos. Mae integreiddio ag AD wedi'i ffurfweddu.
Ffigur 20. Sesiynau gweithredol defnyddwyr parth
5. Casgliad
Roedd yr erthygl hon yn ymdrin â phynciau creu defnyddwyr lleol yn Cisco ISE, ychwanegu gweinyddwyr LDAP ac integreiddio â Microsoft Active Directory. Bydd yr erthygl nesaf yn ymdrin â mynediad gwesteion ar ffurf canllaw segur.
Os oes gennych unrhyw gwestiynau ar y pwnc hwn neu os oes angen cymorth arnoch i brofi'r cynnyrch, cysylltwch â .
Cadwch lygad am ddiweddariadau yn ein sianeli (, , , , ).
Ffynhonnell: hab.com