Willkommen zum zweiten Beitrag der Cisco ISE-Reihe. In der ersten Hervorgehoben wurden die Vorteile und Unterschiede von Network Access Control (NAC)-Lösungen gegenüber Standard-AAA, die Einzigartigkeit von Cisco ISE, die Architektur und der Installationsprozess des Produkts.
In diesem Artikel befassen wir uns mit der Erstellung von Konten, dem Hinzufügen von LDAP-Servern und der Integration mit Microsoft Active Directory sowie mit den Nuancen der Arbeit mit PassiveID. Vor dem Lesen empfehle ich Ihnen dringend, es zu lesen .
1. Einige Terminologie
Benutzeridentität - ein Benutzerkonto, das Informationen über den Benutzer enthält und seine Anmeldeinformationen für den Zugriff auf das Netzwerk generiert. Die folgenden Parameter werden normalerweise in der Benutzeridentität angegeben: Benutzername, E-Mail-Adresse, Passwort, Kontobeschreibung, Benutzergruppe und Rolle.
Benutzergruppen - Benutzergruppen sind eine Sammlung einzelner Benutzer, die über gemeinsame Berechtigungen verfügen, die ihnen den Zugriff auf einen bestimmten Satz von Cisco ISE-Diensten und -Funktionen ermöglichen.
Benutzeridentitätsgruppen – vordefinierte Benutzergruppen, die bereits über bestimmte Informationen und Rollen verfügen. Die folgenden Benutzeridentitätsgruppen sind standardmäßig vorhanden, Sie können ihnen Benutzer und Benutzergruppen hinzufügen: Employee (Mitarbeiter), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (Sponsorkonten zur Verwaltung des Gastportals), Guest (Gast), ActivatedGuest (aktivierter Gast).
Benutzer-Rolle- Eine Benutzerrolle ist eine Reihe von Berechtigungen, die bestimmen, welche Aufgaben ein Benutzer ausführen und auf welche Dienste er zugreifen kann. Oftmals ist eine Benutzerrolle einer Gruppe von Benutzern zugeordnet.
Darüber hinaus verfügt jeder Benutzer und jede Benutzergruppe über zusätzliche Attribute, die es Ihnen ermöglichen, diesen Benutzer (Benutzergruppe) auszuwählen und genauer zu definieren. Weitere Informationen unter .
2. Erstellen Sie lokale Benutzer
1) Cisco ISE bietet die Möglichkeit, lokale Benutzer zu erstellen und diese in einer Zugriffsrichtlinie zu verwenden oder ihnen sogar eine Produktadministrationsrolle zuzuweisen. Wählen Verwaltung → Identitätsmanagement → Identitäten → Benutzer → Hinzufügen.
Abbildung 1: Hinzufügen eines lokalen Benutzers zu Cisco ISE
2) Erstellen Sie im angezeigten Fenster einen lokalen Benutzer, legen Sie ein Passwort und andere verständliche Parameter fest.
Abbildung 2. Erstellen eines lokalen Benutzers in Cisco ISE
3) Benutzer können auch importiert werden. Auf derselben Registerkarte Verwaltung → Identitätsmanagement → Identitäten → Benutzer Wähle eine Option Import und laden Sie eine CSV- oder TXT-Datei mit Benutzern hoch. Um eine Vorlage zu erhalten, wählen Sie Generieren Sie eine Vorlage, dann sollte es in geeigneter Form mit Informationen über Benutzer gefüllt werden.
Abbildung 3: Importieren von Benutzern in Cisco ISE
3. LDAP-Server hinzufügen
Ich möchte Sie daran erinnern, dass LDAP ein beliebtes Protokoll auf Anwendungsebene ist, mit dem Sie Informationen empfangen, eine Authentifizierung durchführen und in den Verzeichnissen von LDAP-Servern nach Konten suchen können. Es funktioniert auf Port 389 oder 636 (SS). Prominente Beispiele für LDAP-Server sind Active Directory, Sun Directory, Novell eDirectory und OpenLDAP. Jeder Eintrag im LDAP-Verzeichnis wird durch einen DN (Distinguished Name) definiert und die Aufgabe, Konten, Benutzergruppen und Attribute abzurufen, wird zur Bildung einer Zugriffsrichtlinie erhoben.
In Cisco ISE ist es möglich, den Zugriff auf viele LDAP-Server zu konfigurieren und so Redundanz zu implementieren. Wenn der primäre (primäre) LDAP-Server nicht verfügbar ist, versucht die ISE, auf den sekundären (sekundären) Server zuzugreifen usw. Wenn außerdem zwei PANs vorhanden sind, kann ein LDAP für die primäre PAN und ein anderes LDAP für die sekundäre PAN priorisiert werden.
ISE unterstützt zwei Arten der Suche (Suche) bei der Arbeit mit LDAP-Servern: Benutzersuche und MAC-Adressensuche. Mit der Benutzersuche können Sie in der LDAP-Datenbank nach einem Benutzer suchen und ohne Authentifizierung die folgenden Informationen abrufen: Benutzer und ihre Attribute, Benutzergruppen. Mit der MAC-Adressensuche können Sie auch ohne Authentifizierung nach MAC-Adressen in LDAP-Verzeichnissen suchen und Informationen über das Gerät, eine Gruppe von Geräten nach MAC-Adressen und andere spezifische Attribute abrufen.
Als Integrationsbeispiel fügen wir Active Directory als LDAP-Server zu Cisco ISE hinzu.
1) Gehen Sie zur Registerkarte Verwaltung → Identitätsmanagement → Externe Identitätsquellen → LDAP → Hinzufügen.
Abbildung 4. Hinzufügen eines LDAP-Servers
2) Im Panel Allgemeines Geben Sie den Namen und das Schema des LDAP-Servers an (in unserem Fall Active Directory).
Abbildung 5. Hinzufügen eines LDAP-Servers mit einem Active Directory-Schema
3) Als nächstes gehen Sie zu Sichere Tab und wählen Sie aus Hostname/IP-Adresse Server-AD, Port (389 – LDAP, 636 – SSL LDAP), Anmeldeinformationen des Domänenadministrators (Admin-DN – vollständiger DN), andere Parameter können als Standard belassen werden.
Beachten: Verwenden Sie die Details der Admin-Domäne, um potenzielle Probleme zu vermeiden.
Abbildung 6: Eingabe der LDAP-Serverdaten
4) In Tab Verzeichnisorganisation Sie sollten den Verzeichnisbereich über den DN angeben, von dem aus Benutzer und Benutzergruppen abgerufen werden sollen.
Abbildung 7. Bestimmung der Verzeichnisse, aus denen Benutzergruppen zugreifen können
5) Gehen Sie zum Fenster Gruppen → Hinzufügen → Gruppen aus Verzeichnis auswählen um Pull-Gruppen vom LDAP-Server auszuwählen.
Abbildung 8. Gruppen vom LDAP-Server hinzufügen
6) Klicken Sie im angezeigten Fenster auf Gruppen abrufen. Wenn die Gruppen angekommen sind, sind die vorbereitenden Schritte erfolgreich abgeschlossen. Andernfalls versuchen Sie es mit einem anderen Administrator und prüfen Sie die Verfügbarkeit der ISE mit dem LDAP-Server über das LDAP-Protokoll.
Abbildung 9. Liste der gezogenen Benutzergruppen
7) In Tab Attributes Sie können optional angeben, welche Attribute vom LDAP-Server abgerufen werden sollen, und zwar im Fenster Erweiterte Einstellungen Option aktivieren Passwortänderung aktivieren, wodurch Benutzer gezwungen werden, ihr Passwort zu ändern, wenn es abgelaufen ist oder zurückgesetzt wurde. Wie auch immer, klicken Sie Absenden weitermachen.
8) Der LDAP-Server wurde in der entsprechenden Registerkarte angezeigt und kann künftig zur Erstellung von Zugriffsrichtlinien verwendet werden.
Abbildung 10. Liste der hinzugefügten LDAP-Server
4. Integration mit Active Directory
1) Durch das Hinzufügen des Microsoft Active Directory-Servers als LDAP-Server erhielten wir Benutzer, Benutzergruppen, aber keine Protokolle. Als nächstes schlage ich vor, eine vollwertige AD-Integration mit Cisco ISE einzurichten. Gehen Sie zur Registerkarte Verwaltung → Identitätsmanagement → Externe Identitätsquellen → Active Directory → Hinzufügen.
Hinweis: Für eine erfolgreiche Integration mit AD muss sich die ISE in einer Domäne befinden und über vollständige Konnektivität mit DNS-, NTP- und AD-Servern verfügen, sonst wird nichts dabei herauskommen.
Abbildung 11. Hinzufügen eines Active Directory-Servers
2) Geben Sie im angezeigten Fenster die Details des Domänenadministrators ein und aktivieren Sie das Kontrollkästchen Anmeldeinformationen speichern. Darüber hinaus können Sie eine OU (Organisationseinheit) angeben, wenn sich die ISE in einer bestimmten OU befindet. Als Nächstes müssen Sie die Cisco ISE-Knoten auswählen, die Sie mit der Domäne verbinden möchten.
Abbildung 12. Anmeldeinformationen eingeben
3) Stellen Sie vor dem Hinzufügen von Domänencontrollern sicher, dass auf der Registerkarte PSN angegeben ist Verwaltung → System → Bereitstellung Option aktiviert Passiver Identitätsdienst. PassiveID – eine Option, mit der Sie Benutzer in IP umwandeln können und umgekehrt. PassiveID erhält Informationen von AD über WMI, spezielle AD-Agenten oder den SPAN-Port am Switch (nicht die beste Option).
Hinweis: Um den Status der Passiv-ID zu überprüfen, geben Sie in der ISE-Konsole Folgendes ein Bewerbungsstatus anzeigen ise | PassiveID einschließen.
Abbildung 13. Aktivieren der PassiveID-Option
4) Gehen Sie zur Registerkarte Verwaltung → Identitätsmanagement → Externe Identitätsquellen → Active Directory → PassiveID und wählen Sie die Option aus DCs hinzufügen. Wählen Sie anschließend die erforderlichen Domänencontroller mit Kontrollkästchen aus und klicken Sie auf OK.
Abbildung 14. Domänencontroller hinzufügen
5) Wählen Sie die hinzugefügten DCs aus und klicken Sie auf die Schaltfläche Bearbeiten. angeben FQDN Ihr DC, Domänen-Login und Passwort sowie eine Link-Option WMI oder Makler. Wählen Sie WMI und klicken Sie OK.
Abbildung 15: Eingabe der Domänencontrollerdetails
6) Wenn WMI nicht die bevorzugte Art der Kommunikation mit Active Directory ist, können ISE-Agenten verwendet werden. Die Agentenmethode besteht darin, dass Sie spezielle Agenten auf den Servern installieren können, die Anmeldeereignisse ausgeben. Es gibt zwei Installationsoptionen: automatisch und manuell. Um den Agent automatisch auf derselben Registerkarte zu installieren PassiveID Menüpunkt wählen Agent hinzufügen → Neuen Agent bereitstellen (DC muss über einen Internetzugang verfügen). Füllen Sie dann die erforderlichen Felder aus (Agentenname, Server-FQDN, Anmeldename/Passwort des Domänenadministrators) und klicken Sie OK.
Abbildung 16. Automatische Installation des ISE-Agenten
7) Um den Cisco ISE-Agenten manuell zu installieren, wählen Sie das Element aus Vorhandenen Agenten registrieren. Übrigens können Sie den Agenten im Tab herunterladen Arbeitszentren → PassiveID → Anbieter → Agenten → Agent herunterladen.
Abbildung 17. Herunterladen des ISE-Agenten
Wichtig: PassiveID liest keine Ereignisse Abmelde! Der für den Timeout verantwortliche Parameter wird aufgerufen Alterungszeit der Benutzersitzung und beträgt standardmäßig 24 Stunden. Daher sollten Sie sich am Ende des Arbeitstages entweder selbst abmelden oder ein Skript schreiben, das alle angemeldeten Benutzer automatisch abmeldet.
Zur Information Abmelde Es werden „Endpoint Probes“ verwendet – Terminal Probes. Es gibt mehrere Endpunkt-Probes in Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS Sonde mit CoA (Change of Authorization)-Pakete geben Auskunft über die Änderung von Benutzerrechten (dies erfordert eine eingebettete Version). 802.1X) und auf SNMP-Zugriffsschaltern konfiguriert, geben Informationen über verbundene und getrennte Geräte.
Das folgende Beispiel ist für eine Cisco ISE + AD-Konfiguration ohne 802.1X und RADIUS relevant: Ein Benutzer ist auf einem Windows-Computer angemeldet, ohne sich abzumelden, und meldet sich von einem anderen PC über WLAN an. In diesem Fall bleibt die Sitzung auf dem ersten PC weiterhin aktiv, bis ein Timeout auftritt oder eine erzwungene Abmeldung erfolgt. Wenn die Geräte dann unterschiedliche Rechte haben, übernimmt das zuletzt angemeldete Gerät seine Rechte.
8) Optional in der Registerkarte Verwaltung → Identitätsmanagement → Externe Identitätsquellen → Active Directory → Gruppen → Hinzufügen → Gruppen aus Verzeichnis auswählen Sie können Gruppen aus AD auswählen, die Sie auf der ISE abrufen möchten (in unserem Fall wurde dies in Schritt 3 „Hinzufügen eines LDAP-Servers“ durchgeführt). Wähle eine Option Gruppen abrufen → OK.
Abbildung 18 a). Benutzergruppen aus Active Directory abrufen
9) In Tab Arbeitsplätze → PassiveID → Übersicht → Dashboard Sie können die Anzahl der aktiven Sitzungen, die Anzahl der Datenquellen, Agenten und mehr beobachten.
Abbildung 19. Überwachung der Aktivität von Domänenbenutzern
10) In Tab Live-Sitzungen Aktuelle Sitzungen werden angezeigt. Die Integration mit AD ist konfiguriert.
Abbildung 20. Aktive Sitzungen von Domänenbenutzern
5. Заключение
In diesem Artikel wurden die Themen zum Erstellen lokaler Benutzer in Cisco ISE, zum Hinzufügen von LDAP-Servern und zur Integration mit Microsoft Active Directory behandelt. Der nächste Artikel wird den Gastzugang in Form eines redundanten Leitfadens hervorheben.
Wenn Sie Fragen zu diesem Thema haben oder Hilfe beim Testen des Produkts benötigen, wenden Sie sich bitte an .
Bleiben Sie dran für Updates in unseren Kanälen (, , , , ).
Source: habr.com