Bonvenon al la dua publikigo de serio de artikoloj dediĉitaj al Cisco ISE. En la unua la avantaĝoj kaj diferencoj de Network Access Control (NAC) solvoj de norma AAA, la unikeco de Cisco ISE, la arkitekturo kaj instala procezo de la produkto estis emfazitaj.
En ĉi tiu artikolo ni enprofundiĝos pri kreado de kontoj, aldono de LDAP-serviloj kaj integriĝo kun Microsoft Active Directory, kaj ankaŭ pri la nuancoj kiam vi laboras kun PassiveID. Antaŭ ol legi, mi forte rekomendas vin legi .
1. Iom da terminologio
Uzanto-Identeco — uzantkonto kiu enhavas informojn pri la uzanto kaj formas liajn akreditaĵojn por aliri la reton. La sekvaj parametroj estas kutime specifitaj en Uzantidenteco: uzantnomo, retadreso, pasvorto, konta priskribo, uzantgrupo kaj rolo.
Uzanto-Grupoj - Uzantgrupoj estas kolekto de individuaj uzantoj, kiuj havas komunan aron da privilegioj, kiuj permesas al ili aliri specifan aron de servoj kaj funkcioj de Cisco ISE.
Uzantaj Identecaj Grupoj - antaŭdifinitaj uzantgrupoj kiuj jam havas certajn informojn kaj rolojn. La sekvaj Uzantidentaj Grupoj ekzistas defaŭlte kaj vi povas aldoni uzantojn kaj uzantgrupojn al ili: Dungito, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsorkontoj por administri la gastan portalon), Gaston, Aktivigitan Gaston.
Uzanto-rolo - Uzantrolo estas aro de permesoj kiuj determinas kiajn taskojn uzanto povas plenumi kaj kiujn servojn uzanto povas aliri. Ofte uzantrolo estas rilata al grupo de uzantoj.
Krome, ĉiu uzanto kaj uzantgrupo havas pliajn atributojn, kiuj permesas vin reliefigi kaj pli specife difini difinitan uzanton (uzantgrupon). Pliaj informoj en .
2. Kreu lokajn uzantojn
1) En Cisco ISE eblas krei lokajn uzantojn kaj uzi ilin en alirpolitikoj aŭ eĉ doni al ili la produktadministran rolon. Elektu Administrado → Identeca Administrado → Identecoj → Uzantoj → Aldoni.
Figuro 1: Aldono de Loka Uzanto al Cisco ISE
2) En la fenestro, kiu aperas, kreu lokan uzanton, donu al li pasvorton kaj aliajn klarajn parametrojn.
Figuro 2. Krei lokan uzanton en Cisco ISE
3) Uzantoj ankaŭ povas esti importitaj. En la sama langeto Administrado → Identeca Administrado → Identecoj → Uzantoj elektu opcion import kaj alŝutu csv aŭ txt dosieron kun uzantoj. Por akiri la ŝablonon, elektu Generu Ŝablonon, tiam vi plenigu ĝin per informoj pri uzantoj en taŭga formo.
Figuro 3. Importi Uzantojn en Cisco ISE
3. Aldonante LDAP-servilojn
Mi memorigu vin, ke LDAP estas populara aplikaĵ-nivela protokolo, kiu ebligas al vi ricevi informojn, plenumi aŭtentikigon, serĉi kontojn en LDAP-servilaj dosierujoj kaj funkciigas sur haveno 389 aŭ 636 (SS). Elstaraj ekzemploj de LDAP-serviloj estas Active Directory, Sun Directory, Novell eDirectory kaj OpenLDAP. Ĉiu eniro en la LDAP-dosierujo estas difinita per DN (Distinguished Name) kaj por formuli alirpolitikon, la tasko preni kontojn, uzantgrupojn kaj atributojn ekestas.
En Cisco ISE eblas agordi aliron al multaj LDAP-serviloj, tiel realigante redundon. Se la primara LDAP-servilo estas neatingebla, ISE provos kontakti la malĉefajn, ktp. Plie, se ekzistas 2 PANoj, tiam unu LDAP povas esti prioritatita por la primara PAN, kaj alia LDAP povas esti prioritatita por la sekundara PAN.
ISE subtenas 2 specojn de serĉo dum laboro kun LDAP-serviloj: Serĉo de uzantoj kaj serĉo de MAC-adreso. Uzanto-Serĉo ebligas al vi serĉi uzanton en LDAP-datumbazo kaj retrovi la jenajn informojn sen aŭtentigo: uzantoj kaj iliaj atributoj, uzantgrupoj. Serĉu MAC-adreson ankaŭ permesas serĉi per MAC-adreso en LDAP-dosierujoj sen aŭtentigo kaj akiri informojn pri aparato, grupo de aparatoj per MAC-adresoj kaj aliaj specifaj atributoj.
Kiel ekzemplo de integriĝo, ni aldonu Aktivan Dosierujon al Cisco ISE kiel LDAP-servilo.
1) Iru al la langeto Administrado → Identeca Administrado → Eksteraj Identecaj Fontoj → LDAP → Aldoni.
Figuro 4. Aldono de LDAP-servilo
2) En la panelo Ĝenerala specifu la nomon kaj skemon de LDAP-servilo (en nia kazo Active Directory).
Figuro 5. Aldono de LDAP-servilo kun Active Directory-skemo
3) Poste iru al konekto langeto kaj specifu Gastnomo/IP-adreso Servilo AD, haveno (389 - LDAP, 636 - SSL LDAP), domajna administranto akreditaĵoj (Admin DN - plena DN), aliaj parametroj povas esti lasitaj kiel defaŭlte.
Примечание: Uzu la administrajn domajnan detalojn por eviti eblajn problemojn.
Figuro 6. Enigo de datumoj de LDAP-servilo
4) En langeto Dosierujo Organizo vi devus specifi la dosierujon per DN de kiu tiri uzantojn kaj uzantgrupojn.
Figuro 7. Determinante dosierujojn el kiuj tiri supren uzantgrupojn
5) Iru al la fenestro Grupoj → Aldoni → Elektu Grupojn El Dosierujo elekti tirajn grupojn de la LDAP-servilo.
Figuro 8. Aldonante grupojn de la LDAP-servilo
6) En la fenestro, kiu aperas, alklaku Reakiri Grupojn. Se la grupoj aliĝis, tiam la antaŭaj paŝoj estas sukcese plenumitaj. Alie, provu alian administranton kaj kontrolu la haveblecon de ISE per LDAP-servilo uzante la LDAP-protokolon.
Figuro 9. Listo de ebligitaj uzantgrupoj
7) En langeto atributoj vi povas laŭvole specifi kiuj atributoj de la LDAP-servilo devas esti tiritaj supren, kaj en la fenestro Altnivelaj agordoj ebligu opcion Ebligu Pasvortŝanĝon, kiu devigos uzantojn ŝanĝi sian pasvorton se ĝi eksvalidiĝis aŭ estis rekomencigita. Kiel ajn, klaku submetiĝi daŭrigi.
8) La LDAP-servilo aperas en la responda langeto kaj poste povas esti uzata por krei alirpolitikojn.
Figuro 10. Listo de aldonitaj LDAP-serviloj
4. Integriĝo kun Aktiva Dosierujo
1) Aldonante la servilon Microsoft Active Directory kiel LDAP-servilon, ni ricevis uzantojn, uzantgrupojn, sed ne protokolojn. Poste, mi sugestas agordi plenan AD-integriĝon kun Cisco ISE. Iru al la langeto Administrado → Identeca Administrado → Eksteraj Identecaj Fontoj → Aktiva Dosierujo → Aldoni.
Notu: Por sukcesa integriĝo kun AD, ISE devas esti en domajno kaj havi plenan konekteblecon kun DNS, NTP kaj AD-serviloj, alie nenio funkcios.
Figuro 11. Aldono de Active Directory-servilo
2) En la fenestro, kiu aperas, enigu la informojn pri domajna administranto kaj marku la skatolon Store Akreditaĵoj. Aldone, vi povas specifi OU (Organiza Unuo) se la ISE situas en specifa OU. Poste, vi devos elekti la Cisco ISE-nodojn, kiujn vi volas konekti al la domajno.
Figuro 12. Enigo de akreditaĵoj
3) Antaŭ ol aldoni domajnan regilojn, certigu, ke sur PSN en la langeto Administrado → Sistemo → Disvolviĝo opcio ebligita Servo de Pasiva Identeco. PasivaID — opcio kiu permesas traduki Uzanton al IP kaj inverse. PassiveID ricevas informojn de AD per WMI, specialaj AD-agentoj aŭ SPAN-haveno sur la ŝaltilo (ne la plej bona opcio).
Notu: por kontroli la Pasivan ID-statuson, eniru en la ISE-konzolon montri aplikan statuson estas | inkluzivi PassiveID.
Figuro 13. Ebligante la opcion PassiveID
4) Iru al langeto Administrado → Identeca Administrado → Eksteraj Identecaj Fontoj → Aktiva Dosierujo → PassiveID kaj elektu la opcion Aldonu DCojn. Poste, elektu la postulatajn domajnajn regilojn per markobutonoj kaj alklaku OK.
Figuro 14. Aldonante domajnaj regiloj
5) Elektu la aldonitajn DC-ojn kaj alklaku la butonon Redakti. Bonvolu indiki FQDN via DC, domajna ensaluto kaj pasvorto, kaj ankaŭ komunika opcio WMI aŭ Agento. Elektu WMI kaj alklaku OK.
Figuro 15. Enigo de domajna regilo informoj
6) Se WMI ne estas la preferata metodo de komunikado kun Aktiva Dosierujo, tiam ISE-agentoj povas esti uzataj. La agentmetodo estas, ke vi povas instali specialajn agentojn sur la servilo, kiu eldonos ensalutajn eventojn. Estas 2 instalaj opcioj: aŭtomata kaj manlibro. Por aŭtomate instali la agenton en la sama langeto PasivaID elektu eron Aldoni Agenton → Deploji Novan Agenton (DC devas havi Interretan aliron). Poste plenigu la postulatajn kampojn (agentnomo, servilo FQDN, domajna administranto ensaluto/pasvorto) kaj alklaku OK.
Figuro 16. Aŭtomata instalado de ISE-agento
7) Por permane instali Cisco ISE-agenton, vi devas elekti Registri Ekzistantan Agenton. Cetere, vi povas elŝuti la agenton en la langeto Laborcentroj → PassiveID → Provizantoj → Agentoj → Elŝuta Agento.
Figuro 17. Elŝutante la ISE-agenton
Gravas: PassiveID ne legas eventojn elsaluti! La parametro respondeca por la tempoforiro estas vokita uzanta sesio maljuniĝo tempo kaj estas egala al 24 horoj defaŭlte. Sekve, vi devus aŭ mem elsaluti je la fino de la labortago, aŭ skribi ian skripton, kiu aŭtomate elsalutis ĉiujn ensalutitajn uzantojn.
Por informoj elsaluti "Finpunkto-enketoj" estas uzataj. Estas pluraj finpunkto-sondiloj en Cisco ISE: RADIUSO, SNMP-Kaptilo, SNMP-Demando, DHCP, DNS, HTTP, Netflow, NMAP-Skanado. RADIUS sondi uzante CoA (Ŝanĝo de Rajtigo) pakaĵoj disponigas informojn pri ŝanĝado de uzantrajtoj (ĉi tio postulas enigitan 802.1X), kaj SNMP agordita sur alirŝaltiloj provizos informojn pri konektitaj kaj malkonektitaj aparatoj.
Malsupre estas grava ekzemplo por agordo de Cisco ISE + AD sen 802.1X kaj RADIUS: la uzanto estas ensalutinta sur Vindoza maŝino, sen fari elsaluti, ensalutu de alia komputilo per WiFi. En ĉi tiu kazo, la sesio sur la unua komputilo ankoraŭ estos aktiva ĝis tempoforiĝo okazas aŭ malvola malsukceso okazas. Tiam, se aparatoj havas malsamajn rajtojn, la lasta ensalutinta aparato aplikos siajn rajtojn.
8) Kromaĵoj en la langeto Administrado → Identeca Administrado → Eksteraj Identecaj Fontoj → Aktiva Dosierujo → Grupoj → Aldoni → Elektu Grupojn El Dosierujo vi povas elekti grupojn el AD, kiujn vi volas aldoni al ISE (en nia kazo, tio estis farita en la paŝo 3 "Aldono de LDAP-servilo"). Elektu opcion Prenu Grupojn → Bone.
Figuro 18 a). Tirante uzantgrupojn el Active Directory
9) En langeto Laborcentroj → PassiveID → Superrigardo → Panelo vi povas kontroli la nombron da aktivaj sesioj, la nombron da datumfontoj, agentoj kaj pli.
Figuro 19. Monitorado de domajna uzantagado
10) En langeto Vivaj Kunsidoj aktualaj sesioj estas montrataj. Integriĝo kun AD estas agordita.
Figuro 20. Aktivaj sesioj de domajnaj uzantoj
5. Konkludo
Ĉi tiu artikolo kovris la temojn pri kreado de lokaj uzantoj en Cisco ISE, aldonado de LDAP-serviloj kaj integriĝo kun Microsoft Active Directory. La sekva artikolo kovros gastan aliron en formo de redunda gvidilo.
Se vi havas demandojn pri ĉi tiu temo aŭ bezonas helpon por provi la produkton, bonvolu kontakti .
Restu agordita por ĝisdatigoj en niaj kanaloj (, , , , ).
fonto: www.habr.com