Velkommen til det andet indlæg i Cisco ISE-serien. Først og fremmest fordelene og forskellene ved Network Access Control (NAC) løsninger fra standard AAA, det unikke ved Cisco ISE, arkitekturen og installationsprocessen af produktet blev fremhævet.
I denne artikel vil vi dykke ned i at oprette konti, tilføje LDAP-servere og integrere med Microsoft Active Directory, samt nuancerne ved at arbejde med PassiveID. Før du læser, anbefaler jeg stærkt, at du læser .
1. Noget terminologi
Brugeridentitet - en brugerkonto, der indeholder oplysninger om brugeren og genererer dennes legitimationsoplysninger for at få adgang til netværket. Følgende parametre er typisk angivet i brugeridentitet: brugernavn, e-mailadresse, adgangskode, kontobeskrivelse, brugergruppe og rolle.
Brugergrupper - brugergrupper er en samling af individuelle brugere, der har et fælles sæt privilegier, der giver dem adgang til et specifikt sæt Cisco ISE-tjenester og -funktioner.
Brugeridentitetsgrupper - foruddefinerede brugergrupper, der allerede har visse oplysninger og roller. Følgende brugeridentitetsgrupper findes som standard, du kan tilføje brugere og brugergrupper til dem: Medarbejder (medarbejder), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsorkonti til styring af gæsteportalen), Gæst (gæst), ActivatedGuest (aktiveret gæst).
bruger-rolle- En brugerrolle er et sæt tilladelser, der bestemmer, hvilke opgaver en bruger kan udføre, og hvilke tjenester der har adgang til. Ofte er en brugerrolle knyttet til en gruppe brugere.
Desuden har hver bruger og brugergruppe yderligere attributter, der giver dig mulighed for at vælge og mere specifikt definere denne bruger (brugergruppe). Mere information i .
2. Opret lokale brugere
1) Cisco ISE har mulighed for at oprette lokale brugere og bruge dem i en adgangspolitik eller endda give en produktadministrationsrolle. Vælg Administration → Identitetsstyring → Identiteter → Brugere → Tilføj.
Figur 1 Tilføjelse af en lokal bruger til Cisco ISE
2) I det vindue, der vises, skal du oprette en lokal bruger, indstille en adgangskode og andre forståelige parametre.
Figur 2. Oprettelse af en lokal bruger i Cisco ISE
3) Brugere kan også importeres. I samme fane Administration → Identitetsstyring → Identiteter → Brugere vælge en mulighed Importere og upload csv- eller txt-fil med brugerne. Vælg for at få en skabelon Generer en skabelon, så skal den udfyldes med oplysninger om brugere i en passende form.
Figur 3 Import af brugere til Cisco ISE
3. Tilføjelse af LDAP-servere
Lad mig minde dig om, at LDAP er en populær protokol på applikationsniveau, der giver dig mulighed for at modtage information, udføre godkendelse, søge efter konti i bibliotekerne på LDAP-servere, fungerer på port 389 eller 636 (SS). Fremtrædende eksempler på LDAP-servere er Active Directory, Sun Directory, Novell eDirectory og OpenLDAP. Hver post i LDAP-biblioteket er defineret af et DN (Distinguished Name), og opgaven med at hente konti, brugergrupper og attributter er rejst til at danne en adgangspolitik.
I Cisco ISE er det muligt at konfigurere adgang til mange LDAP-servere og derved implementere redundans. Hvis den primære (primære) LDAP-server ikke er tilgængelig, vil ISE forsøge at få adgang til den sekundære (sekundære) og så videre. Derudover, hvis der er 2 PAN'er, så kan én LDAP prioriteres til den primære PAN og en anden LDAP til den sekundære PAN.
ISE understøtter 2 typer opslag (opslag), når du arbejder med LDAP-servere: Brugeropslag og MAC-adresseopslag. Brugeropslag giver dig mulighed for at søge efter en bruger i LDAP-databasen og få følgende oplysninger uden godkendelse: brugere og deres attributter, brugergrupper. MAC Address Lookup giver dig også mulighed for at søge efter MAC-adresse i LDAP-biblioteker uden godkendelse og få oplysninger om enheden, en gruppe af enheder efter MAC-adresser og andre specifikke attributter.
Som et eksempel på integration, lad os tilføje Active Directory til Cisco ISE som en LDAP-server.
1) Gå til fanen Administration → Identitetsstyring → Eksterne identitetskilder → LDAP → Tilføj.
Figur 4. Tilføjelse af en LDAP-server
2) I panel Generelt angiv LDAP-serverens navn og skema (i vores tilfælde Active Directory).
Figur 5. Tilføjelse af en LDAP-server med et Active Directory-skema
3) Gå derefter til Forbindelse fanen og vælg Værtsnavn/IP-adresse Server AD, port (389 - LDAP, 636 - SSL LDAP), domæneadministratorlegitimationsoplysninger (Admin DN - fuld DN), andre parametre kan efterlades som standard.
Bemærk: brug admin domæne detaljer for at undgå potentielle problemer.
Figur 6 Indtastning af LDAP-serverdata
4) I fanen Directory Organisation du bør angive biblioteksområdet gennem DN, hvorfra brugere og brugergrupper skal hentes.
Figur 7. Bestemmelse af mapper, hvorfra brugergrupper kan trække op
5) Gå til vinduet Grupper → Tilføj → Vælg grupper fra adressekartotek for at vælge pull-grupper fra LDAP-serveren.
Figur 8. Tilføjelse af grupper fra LDAP-serveren
6) Klik på i det vindue, der vises Hent grupper. Hvis grupperne er trukket op, er de indledende trin gennemført med succes. Ellers prøv en anden administrator og kontroller tilgængeligheden af ISE med LDAP-serveren via LDAP-protokollen.
Figur 9. Liste over trukket brugergrupper
7) I fanen Attributter du kan valgfrit angive hvilke attributter fra LDAP-serveren der skal trækkes op, og i vinduet Avancerede indstillinger aktivere mulighed Aktiver ændring af adgangskode, hvilket vil tvinge brugere til at ændre deres adgangskode, hvis det er udløbet eller blevet nulstillet. I hvert fald klik Indsend at fortsætte.
8) LDAP-serveren dukkede op på den tilsvarende fane og kan bruges til at danne adgangspolitikker i fremtiden.
Figur 10. Liste over tilføjede LDAP-servere
4. Integration med Active Directory
1) Ved at tilføje Microsoft Active Directory-serveren som en LDAP-server fik vi brugere, brugergrupper, men ingen logfiler. Dernæst foreslår jeg at opsætte fuldgyldig AD-integration med Cisco ISE. Gå til fanen Administration → Identitetsstyring → Eksterne identitetskilder → Active Directory → Tilføj.
Note: for vellykket integration med AD skal ISE være i et domæne og have fuld forbindelse med DNS, NTP og AD servere, ellers kommer der ikke noget ud af det.
Figur 11. Tilføjelse af en Active Directory-server
2) I det vindue, der vises, skal du indtaste domæneadministratoroplysningerne og markere afkrydsningsfeltet Gem legitimationsoplysninger. Derudover kan du angive en OU (Organisationsenhed), hvis ISE'en er placeret i en specifik OU. Dernæst skal du vælge de Cisco ISE-noder, som du vil forbinde til domænet.
Figur 12. Indtastning af legitimationsoplysninger
3) Før du tilføjer domænecontrollere, skal du sørge for, at på PSN i fanen Administration → System → Implementering mulighed aktiveret Passiv identitetsservice. Passivt ID - en mulighed, der giver dig mulighed for at oversætte bruger til IP og omvendt. PassiveID får information fra AD via WMI, specielle AD-agenter eller SPAN-port på switchen (ikke den bedste mulighed).
Note: for at kontrollere status for det passive ID skal du indtaste ISE-konsollen vis ansøgningsstatus ise | inkludere PassiveID.
Figur 13. Aktivering af indstillingen PassiveID
4) Gå til fanen Administration → Identitetsstyring → Eksterne identitetskilder → Active Directory → PassiveID og vælg indstillingen Tilføj DC'er. Vælg derefter de nødvendige domænecontrollere med afkrydsningsfelter og klik OK.
Figur 14. Tilføjelse af domænecontrollere
5) Vælg de tilføjede DC'er, og klik på knappen Redigere. specificere FQDN din DC, domæne login og adgangskode og en linkmulighed WMI eller Agent. Vælg WMI og klik OK.
Figur 15 Indtastning af domænecontrolleroplysninger
6) Hvis WMI ikke er den foretrukne måde at kommunikere med Active Directory på, kan ISE-agenter bruges. Agentmetoden er, at du kan installere specielle agenter på de servere, der udsender login-hændelser. Der er 2 installationsmuligheder: automatisk og manuel. For automatisk at installere agenten i samme fane Passivt ID vælg element Tilføj agent → Implementer ny agent (DC skal have internetadgang). Udfyld derefter de påkrævede felter (agentnavn, server FQDN, login/adgangskode for domæneadministrator) og klik OK.
Figur 16. Automatisk installation af ISE-agenten
7) Vælg elementet for manuelt at installere Cisco ISE-agenten Registrer eksisterende agent. I øvrigt kan du downloade agenten i fanen Arbejdscentre → Passivt ID → Udbydere → Agenter → Downloadagent.
Figur 17. Download af ISE-agenten
Vigtigt: PassiveID læser ikke begivenheder logoff! Den parameter, der er ansvarlig for timeout, kaldes ældningstid for brugersession og svarer som standard til 24 timer. Derfor bør du enten selv logge af sidst på arbejdsdagen, eller skrive en form for script, der automatisk vil logge af alle loggede brugere.
Til orientering logoff "Endpoint prober" bruges - terminal prober. Der er flere endepunktsonder i Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS sonde ved hjælp af CoA (Change of Authorization)-pakker giver information om ændring af brugerrettigheder (dette kræver en indlejret 802.1X), og konfigureret på adgangsswitches SNMP, vil give oplysninger om tilsluttede og afbrudte enheder.
Følgende eksempel er relevant for en Cisco ISE + AD-konfiguration uden 802.1X og RADIUS: en bruger er logget ind på en Windows-maskine, uden at logge af, log ind fra en anden pc via WiFi. I dette tilfælde vil sessionen på den første pc stadig være aktiv, indtil der opstår en timeout, eller der opstår et tvunget logoff. Så hvis enhederne har forskellige rettigheder, vil den sidst loggede enhed anvende sine rettigheder.
8) Valgfrit i fanen Administration → Identitetsstyring → Eksterne identitetskilder → Active Directory → Grupper → Tilføj → Vælg grupper fra bibliotek du kan vælge grupper fra AD, som du vil trække op på ISE (i vores tilfælde blev dette gjort i trin 3 "Tilføjelse af en LDAP-server"). Vælg en mulighed Hent grupper → OK.
Figur 18 a). Trækker brugergrupper fra Active Directory
9) I fanen Arbejdscentre → Passivt ID → Oversigt → Dashboard du kan observere antallet af aktive sessioner, antallet af datakilder, agenter og mere.
Figur 19. Overvågning af domænebrugeres aktivitet
10) I fanen Live sessioner aktuelle sessioner vises. Integration med AD er konfigureret.
Figur 20. Aktive sessioner af domænebrugere
5. Konklusion
Denne artikel dækkede emnerne om oprettelse af lokale brugere i Cisco ISE, tilføjelse af LDAP-servere og integration med Microsoft Active Directory. Den næste artikel vil fremhæve gæsteadgang i form af en overflødig guide.
Hvis du har spørgsmål om dette emne eller har brug for hjælp til at teste produktet, så kontakt venligst .
Følg med for opdateringer i vores kanaler (, , , , ).
Kilde: www.habr.com