Καλώς ήρθατε στη δεύτερη ανάρτηση της σειράς Cisco ISE. Κατά την πρώτη επισημάνθηκαν τα πλεονεκτήματα και οι διαφορές των λύσεων Network Access Control (NAC) από το τυπικό AAA, η μοναδικότητα του Cisco ISE, η αρχιτεκτονική και η διαδικασία εγκατάστασης του προϊόντος.
Σε αυτό το άρθρο, θα εμβαθύνουμε στη δημιουργία λογαριασμών, την προσθήκη διακομιστών LDAP και την ενοποίηση με το Microsoft Active Directory, καθώς και τις αποχρώσεις της εργασίας με το PassiveID. Πριν διαβάσετε, σας συνιστώ ανεπιφύλακτα να διαβάσετε .
1. Κάποια ορολογία
Ταυτότητα χρήστη - έναν λογαριασμό χρήστη που περιέχει πληροφορίες για τον χρήστη και δημιουργεί τα διαπιστευτήριά του για πρόσβαση στο δίκτυο. Οι ακόλουθες παράμετροι καθορίζονται συνήθως στην Ταυτότητα χρήστη: όνομα χρήστη, διεύθυνση email, κωδικός πρόσβασης, περιγραφή λογαριασμού, ομάδα χρηστών και ρόλος.
Ομάδες χρηστών - Οι ομάδες χρηστών είναι μια συλλογή μεμονωμένων χρηστών που έχουν ένα κοινό σύνολο προνομίων που τους επιτρέπουν να έχουν πρόσβαση σε ένα συγκεκριμένο σύνολο υπηρεσιών και λειτουργιών Cisco ISE.
Ομάδες ταυτότητας χρήστη - προκαθορισμένες ομάδες χρηστών που έχουν ήδη συγκεκριμένες πληροφορίες και ρόλους. Οι ακόλουθες Ομάδες Ταυτότητας Χρήστη υπάρχουν από προεπιλογή, μπορείτε να προσθέσετε χρήστες και ομάδες χρηστών σε αυτές: Υπάλληλος (υπάλληλος), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (λογαριασμοί χορηγών για τη διαχείριση της πύλης επισκεπτών), Επισκέπτης (επισκέπτης), ActivatedGuest (ενεργοποιημένος επισκέπτης).
ρόλος χρήστη- Ένας ρόλος χρήστη είναι ένα σύνολο δικαιωμάτων που καθορίζουν ποιες εργασίες μπορεί να εκτελέσει ένας χρήστης και ποιες υπηρεσίες μπορεί να έχει πρόσβαση. Συχνά ένας ρόλος χρήστη σχετίζεται με μια ομάδα χρηστών.
Επιπλέον, κάθε χρήστης και ομάδα χρηστών έχει πρόσθετα χαρακτηριστικά που σας επιτρέπουν να επιλέξετε και να ορίσετε πιο συγκεκριμένα αυτόν τον χρήστη (ομάδα χρηστών). Περισσότερες πληροφορίες στο .
2. Δημιουργήστε τοπικούς χρήστες
1) Το Cisco ISE έχει τη δυνατότητα να δημιουργεί τοπικούς χρήστες και να τους χρησιμοποιεί σε μια πολιτική πρόσβασης ή ακόμη και να δίνει ρόλο διαχείρισης προϊόντος. Επιλέγω Διαχείριση → Διαχείριση ταυτότητας → Ταυτότητες → Χρήστες → Προσθήκη.
Εικόνα 1 Προσθήκη τοπικού χρήστη στο Cisco ISE
2) Στο παράθυρο που εμφανίζεται, δημιουργήστε έναν τοπικό χρήστη, ορίστε έναν κωδικό πρόσβασης και άλλες κατανοητές παραμέτρους.
Εικόνα 2. Δημιουργία τοπικού χρήστη στο Cisco ISE
3) Οι χρήστες μπορούν επίσης να εισαχθούν. Στην ίδια καρτέλα Διαχείριση → Διαχείριση ταυτότητας → Ταυτότητες → Χρήστες επιλέξτε μια επιλογή εισαγωγή και ανεβάστε αρχείο csv ή txt με τους χρήστες. Για να λάβετε ένα πρότυπο επιλέξτε Δημιουργήστε ένα πρότυπο, τότε θα πρέπει να συμπληρωθεί με πληροφορίες σχετικά με τους χρήστες σε κατάλληλη φόρμα.
Εικόνα 3 Εισαγωγή χρηστών στο Cisco ISE
3. Προσθήκη διακομιστών LDAP
Επιτρέψτε μου να σας υπενθυμίσω ότι το LDAP είναι ένα δημοφιλές πρωτόκολλο σε επίπεδο εφαρμογής που σας επιτρέπει να λαμβάνετε πληροφορίες, να πραγματοποιείτε έλεγχο ταυτότητας, να αναζητάτε λογαριασμούς στους καταλόγους των διακομιστών LDAP, να λειτουργεί στη θύρα 389 ή 636 (SS). Εξέχοντα παραδείγματα διακομιστών LDAP είναι οι Active Directory, Sun Directory, Novell eDirectory και OpenLDAP. Κάθε καταχώρηση στον κατάλογο LDAP ορίζεται από ένα DN (Distinguished Name) και η εργασία ανάκτησης λογαριασμών, ομάδων χρηστών και χαρακτηριστικών αυξάνεται για να σχηματιστεί μια πολιτική πρόσβασης.
Στο Cisco ISE, είναι δυνατό να ρυθμίσετε την πρόσβαση σε πολλούς διακομιστές LDAP, υλοποιώντας έτσι τον πλεονασμό. Εάν ο κύριος (κύριος) διακομιστής LDAP δεν είναι διαθέσιμος, τότε το ISE θα προσπαθήσει να αποκτήσει πρόσβαση στον δευτερεύοντα (δευτερεύοντα) και ούτω καθεξής. Επιπλέον, εάν υπάρχουν 2 PAN, τότε μπορεί να δοθεί προτεραιότητα σε ένα LDAP για το κύριο PAN και σε ένα άλλο LDAP για το δευτερεύον PAN.
Το ISE υποστηρίζει 2 τύπους αναζήτησης (αναζήτησης) κατά την εργασία με διακομιστές LDAP: Αναζήτηση χρήστη και Αναζήτηση διεύθυνσης MAC. Η Αναζήτηση χρήστη σάς επιτρέπει να αναζητήσετε έναν χρήστη στη βάση δεδομένων LDAP και να λάβετε τις ακόλουθες πληροφορίες χωρίς έλεγχο ταυτότητας: χρήστες και τα χαρακτηριστικά τους, ομάδες χρηστών. Η Αναζήτηση διευθύνσεων MAC σάς επιτρέπει επίσης να πραγματοποιείτε αναζήτηση κατά διεύθυνση MAC σε καταλόγους LDAP χωρίς έλεγχο ταυτότητας και να λαμβάνετε πληροφορίες σχετικά με τη συσκευή, μια ομάδα συσκευών ανά διευθύνσεις MAC και άλλα συγκεκριμένα χαρακτηριστικά.
Ως παράδειγμα ενοποίησης, ας προσθέσουμε το Active Directory στο Cisco ISE ως διακομιστή LDAP.
1) Μεταβείτε στην καρτέλα Διαχείριση → Διαχείριση ταυτότητας → Εξωτερικές πηγές ταυτότητας → LDAP → Προσθήκη.
Εικόνα 4. Προσθήκη διακομιστή LDAP
2) Στον πίνακα General καθορίστε το όνομα και το σχήμα διακομιστή LDAP (στην περίπτωσή μας, Active Directory).
Εικόνα 5. Προσθήκη διακομιστή LDAP με σχήμα Active Directory
3) Στη συνέχεια, μεταβείτε στο σύνδεση καρτέλα και επιλέξτε Όνομα κεντρικού υπολογιστή/διεύθυνση IP Διακομιστής AD, θύρα (389 - LDAP, 636 - SSL LDAP), διαπιστευτήρια διαχειριστή τομέα (Admin DN - πλήρες DN), άλλες παράμετροι μπορούν να παραμείνουν ως προεπιλογή.
Σημείωση: χρησιμοποιήστε τα στοιχεία του τομέα διαχειριστή για να αποφύγετε πιθανά προβλήματα.
Εικόνα 6 Εισαγωγή δεδομένων διακομιστή LDAP
4) Στην καρτέλα Οργάνωση καταλόγου θα πρέπει να καθορίσετε την περιοχή καταλόγου μέσω του DN από όπου θα τραβήξετε χρήστες και ομάδες χρηστών.
Σχήμα 7. Προσδιορισμός καταλόγων από όπου μπορούν να ανασυρθούν ομάδες χρηστών
5) Μεταβείτε στο παράθυρο Ομάδες → Προσθήκη → Επιλογή Ομάδων από τον Κατάλογο για να επιλέξετε ομάδες έλξης από τον διακομιστή LDAP.
Εικόνα 8. Προσθήκη ομάδων από τον διακομιστή LDAP
6) Στο παράθυρο που εμφανίζεται, κάντε κλικ Ανάκτηση Ομάδων. Εάν οι ομάδες έχουν αποσυρθεί, τότε τα προκαταρκτικά βήματα έχουν ολοκληρωθεί με επιτυχία. Διαφορετικά, δοκιμάστε έναν άλλο διαχειριστή και ελέγξτε τη διαθεσιμότητα του ISE με τον διακομιστή LDAP μέσω του πρωτοκόλλου LDAP.
Εικόνα 9. Λίστα των ομάδων χρηστών που έχουν τραβήξει
7) Στην καρτέλα Γνωρίσματα μπορείτε προαιρετικά να καθορίσετε ποιες ιδιότητες από τον διακομιστή LDAP θα πρέπει να ανασυρθούν και στο παράθυρο Ρυθμίσεις για προχωρημένους ενεργοποίηση επιλογής Ενεργοποίηση αλλαγής κωδικού πρόσβασης, το οποίο θα αναγκάσει τους χρήστες να αλλάξουν τον κωδικό πρόσβασής τους εάν έχει λήξει ή επαναφερθεί. Τέλος πάντων, κάντε κλικ Υποβολη να συνεχίσει.
8) Ο διακομιστής LDAP εμφανίστηκε στην αντίστοιχη καρτέλα και μπορεί να χρησιμοποιηθεί για τη διαμόρφωση πολιτικών πρόσβασης στο μέλλον.
Εικόνα 10. Λίστα προστιθέμενων διακομιστών LDAP
4. Ενσωμάτωση με την υπηρεσία καταλόγου Active Directory
1) Με την προσθήκη του διακομιστή Microsoft Active Directory ως διακομιστή LDAP, έχουμε χρήστες, ομάδες χρηστών, αλλά όχι αρχεία καταγραφής. Στη συνέχεια, προτείνω να ρυθμίσετε την πλήρη ενοποίηση AD με το Cisco ISE. Μεταβείτε στην καρτέλα Διαχείριση → Διαχείριση ταυτότητας → Εξωτερικές πηγές ταυτότητας → Active Directory → Προσθήκη.
Σημείωση: για επιτυχή ενσωμάτωση με το AD, το ISE πρέπει να βρίσκεται σε έναν τομέα και να έχει πλήρη συνδεσιμότητα με διακομιστές DNS, NTP και AD, διαφορετικά δεν θα βγει τίποτα από αυτό.
Εικόνα 11. Προσθήκη διακομιστή Active Directory
2) Στο παράθυρο που εμφανίζεται, εισαγάγετε τα στοιχεία του διαχειριστή τομέα και επιλέξτε το πλαίσιο Διαπιστευτήρια καταστήματος. Επιπλέον, μπορείτε να καθορίσετε μια OU (Οργανωτική μονάδα) εάν η ISE βρίσκεται σε μια συγκεκριμένη OU. Στη συνέχεια, θα πρέπει να επιλέξετε τους κόμβους Cisco ISE που θέλετε να συνδέσετε στον τομέα.
Εικόνα 12. Εισαγωγή διαπιστευτηρίων
3) Πριν προσθέσετε ελεγκτές τομέα, βεβαιωθείτε ότι στο PSN στην καρτέλα Διαχείριση → Σύστημα → Ανάπτυξη ενεργοποιημένη επιλογή Υπηρεσία Παθητικής Ταυτότητας. Παθητική ταυτότητα - μια επιλογή που σας επιτρέπει να μεταφράζετε Χρήστη σε IP και αντίστροφα. Το PassiveID λαμβάνει πληροφορίες από το AD μέσω WMI, ειδικών πρακτόρων AD ή θύρας SPAN στον διακόπτη (όχι η καλύτερη επιλογή).
Σημείωση: για να ελέγξετε την κατάσταση του Παθητικού ID, πληκτρολογήστε την κονσόλα ISE εμφάνιση της κατάστασης της αίτησης ise | περιλαμβάνει το PassiveID.
Εικόνα 13. Ενεργοποίηση της επιλογής PassiveID
4) Μεταβείτε στην καρτέλα Διαχείριση → Διαχείριση ταυτότητας → Εξωτερικές πηγές ταυτότητας → Active Directory → Παθητικό αναγνωριστικό και επιλέξτε την επιλογή Προσθήκη DC. Στη συνέχεια, επιλέξτε τους απαραίτητους ελεγκτές τομέα με πλαίσια ελέγχου και κάντε κλικ Εντάξει.
Εικόνα 14. Προσθήκη ελεγκτών τομέα
5) Επιλέξτε τα DC που προστέθηκαν και κάντε κλικ στο κουμπί Επεξεργασία. προσδιορίζει FQDN Το DC σας, τη σύνδεση και τον κωδικό πρόσβασης στον τομέα σας και μια επιλογή σύνδεσης WMI ή Πράκτορας. Επιλέξτε WMI και κάντε κλικ Εντάξει.
Εικόνα 15 Εισαγωγή στοιχείων ελεγκτή τομέα
6) Εάν το WMI δεν είναι ο προτιμώμενος τρόπος επικοινωνίας με την υπηρεσία καταλόγου Active Directory, τότε μπορούν να χρησιμοποιηθούν πράκτορες ISE. Η μέθοδος agent είναι ότι μπορείτε να εγκαταστήσετε ειδικούς πράκτορες στους διακομιστές που θα εκπέμπουν συμβάντα σύνδεσης. Υπάρχουν 2 επιλογές εγκατάστασης: αυτόματη και χειροκίνητη. Για αυτόματη εγκατάσταση του πράκτορα στην ίδια καρτέλα Παθητική ταυτότητα επιλέξτε αντικείμενο Προσθήκη πράκτορα → Ανάπτυξη νέου παράγοντα (Το DC πρέπει να έχει πρόσβαση στο Διαδίκτυο). Στη συνέχεια συμπληρώστε τα απαιτούμενα πεδία (όνομα πράκτορα, FQDN διακομιστή, είσοδος/κωδικός πρόσβασης διαχειριστή τομέα) και κάντε κλικ Εντάξει.
Εικόνα 16. Αυτόματη εγκατάσταση του πράκτορα ISE
7) Για να εγκαταστήσετε μη αυτόματα τον παράγοντα Cisco ISE, επιλέξτε το στοιχείο Εγγραφή υπάρχοντος αντιπροσώπου. Παρεμπιπτόντως, μπορείτε να κάνετε λήψη του πράκτορα στην καρτέλα Κέντρα εργασίας → Παθητικό Αναγνωριστικό → Πάροχοι → Πράκτορες → Πράκτορας λήψης.
Εικόνα 17. Λήψη του πράκτορα ISE
Σημαντικό: Το PassiveID δεν διαβάζει συμβάντα αποσύνδεση! Η παράμετρος που είναι υπεύθυνη για το χρονικό όριο καλείται χρόνος γήρανσης της συνεδρίας χρήστη και ισούται με 24 ώρες από προεπιλογή. Επομένως, θα πρέπει είτε να αποσυνδεθείτε μόνοι σας στο τέλος της εργάσιμης ημέρας είτε να γράψετε κάποιο είδος σεναρίου που θα αποσυνδέει αυτόματα όλους τους συνδεδεμένους χρήστες.
Για πληροφορίες αποσύνδεση Χρησιμοποιούνται "τελικοί ανιχνευτές" - τερματικοί ανιχνευτές. Υπάρχουν αρκετοί ανιχνευτές τελικού σημείου στο Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. ΑΚΤΙΝΑ ΚΥΚΛΟΥ χρήση ανιχνευτή CoA Τα πακέτα (Αλλαγή εξουσιοδότησης) παρέχουν πληροφορίες σχετικά με την αλλαγή των δικαιωμάτων χρήστη (αυτό απαιτεί ενσωματωμένο 802.1X), και έχει διαμορφωθεί στους διακόπτες πρόσβασης SNMP, θα δώσει πληροφορίες για συνδεδεμένες και αποσυνδεδεμένες συσκευές.
Το ακόλουθο παράδειγμα είναι σχετικό για μια διαμόρφωση Cisco ISE + AD χωρίς 802.1X και RADIUS: ένας χρήστης είναι συνδεδεμένος σε υπολογιστή Windows, χωρίς να πραγματοποιήσει αποσύνδεση, συνδέεται από άλλον υπολογιστή μέσω WiFi. Σε αυτήν την περίπτωση, η περίοδος λειτουργίας στον πρώτο υπολογιστή θα εξακολουθεί να είναι ενεργή έως ότου παρουσιαστεί ένα χρονικό όριο λήξης ή μια αναγκαστική αποσύνδεση. Στη συνέχεια, εάν οι συσκευές έχουν διαφορετικά δικαιώματα, τότε η τελευταία συνδεδεμένη συσκευή θα εφαρμόσει τα δικαιώματά της.
8) Προαιρετικό στην καρτέλα Διαχείριση → Διαχείριση ταυτότητας → Εξωτερικές πηγές ταυτότητας → Active Directory → Ομάδες → Προσθήκη → Επιλογή ομάδων από τον κατάλογο μπορείτε να επιλέξετε ομάδες από το AD που θέλετε να δημιουργήσετε στο ISE (στην περίπτωσή μας, αυτό έγινε στο βήμα 3 «Προσθήκη διακομιστή LDAP»). Διάλεξε μια επιλογή Ανάκτηση Ομάδων → ΟΚ.
Εικόνα 18 α). Τραβήξτε ομάδες χρηστών από την υπηρεσία καταλόγου Active Directory
9) Στην καρτέλα Κέντρα εργασίας → Παθητικό αναγνωριστικό → Επισκόπηση → Πίνακας ελέγχου μπορείτε να παρατηρήσετε τον αριθμό των ενεργών περιόδων σύνδεσης, τον αριθμό των πηγών δεδομένων, των πρακτόρων και πολλά άλλα.
Εικόνα 19. Παρακολούθηση της δραστηριότητας των χρηστών domain
10) Στην καρτέλα Ζωντανές συνεδρίες εμφανίζονται οι τρέχουσες συνεδρίες. Η ενοποίηση με το AD έχει ρυθμιστεί.
Εικόνα 20. Ενεργές συνεδρίες χρηστών τομέα
5. Συμπέρασμα
Αυτό το άρθρο κάλυψε τα θέματα της δημιουργίας τοπικών χρηστών στο Cisco ISE, της προσθήκης διακομιστών LDAP και της ενσωμάτωσης με την υπηρεσία καταλόγου Active Directory της Microsoft. Το επόμενο άρθρο θα επισημάνει την πρόσβαση των επισκεπτών με τη μορφή ενός περιττού οδηγού.
Εάν έχετε ερωτήσεις σχετικά με αυτό το θέμα ή χρειάζεστε βοήθεια για τη δοκιμή του προϊόντος, επικοινωνήστε .
Μείνετε συντονισμένοι για ενημερώσεις στα κανάλια μας (, , , , ).
Πηγή: www.habr.com