Bienvenido a la segunda publicación de la serie Cisco ISE. En el primero Se destacaron las ventajas y diferencias de las soluciones Network Access Control (NAC) del estándar AAA, la singularidad de Cisco ISE, la arquitectura y el proceso de instalación del producto.
En este artículo, profundizaremos en la creación de cuentas, la adición de servidores LDAP y la integración con Microsoft Active Directory, así como los matices de trabajar con PassiveID. Antes de leer, te recomiendo encarecidamente que leas .
1. Algo de terminología
Identidad de usuario - cuenta de usuario, que contiene información sobre el usuario y genera sus credenciales para acceder a la red. Los siguientes parámetros generalmente se especifican en la Identidad del usuario: nombre de usuario, dirección de correo electrónico, contraseña, descripción de la cuenta, grupo de usuarios y rol.
Grupos de Usuarios - los grupos de usuarios son una colección de usuarios individuales que tienen un conjunto común de privilegios que les permite acceder a un conjunto específico de servicios y funciones de Cisco ISE.
Grupos de identidad de usuario grupos de usuarios predefinidos que ya tienen cierta información y roles. Los siguientes grupos de identidad de usuario existen de forma predeterminada, puede agregarles usuarios y grupos de usuarios: Empleado (empleado), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (cuentas patrocinadoras para administrar el portal de invitados), Guest (invitado), ActivatedGuest (invitado activado).
rol del usuario- Un rol de usuario es un conjunto de permisos que determinan qué tareas puede realizar un usuario y a qué servicios puede acceder. A menudo, un rol de usuario está asociado con un grupo de usuarios.
Además, cada usuario y grupo de usuarios tiene atributos adicionales que le permiten seleccionar y definir más específicamente a este usuario (grupo de usuarios). Más información en .
2. Crear usuarios locales
1) Cisco ISE tiene la capacidad de crear usuarios locales y usarlos en una política de acceso o incluso otorgar una función de administración del producto. Seleccionar Administración → Gestión de identidades → Identidades → Usuarios → Agregar.
Figura 1 Adición de un usuario local a Cisco ISE
2) En la ventana que aparece, cree un usuario local, configure una contraseña y otros parámetros comprensibles.
Figura 2. Creación de un usuario local en Cisco ISE
3) Los usuarios también se pueden importar. En la misma pestaña Administración → Gestión de identidades → Identidades → Usuarios Seleccione una opción Importa y cargue el archivo csv o txt con los usuarios. Para obtener una plantilla seleccione Generar una Plantilla, entonces debe llenarse con información sobre los usuarios en un formulario adecuado.
Figura 3 Importación de usuarios a Cisco ISE
3. Agregar servidores LDAP
Permítame recordarle que LDAP es un protocolo popular a nivel de aplicación que le permite recibir información, realizar autenticación, buscar cuentas en los directorios de servidores LDAP, funciona en el puerto 389 o 636 (SS). Ejemplos destacados de servidores LDAP son Active Directory, Sun Directory, Novell eDirectory y OpenLDAP. Cada entrada en el directorio LDAP está definida por un DN (Nombre Distinguido) y la tarea de recuperar cuentas, grupos de usuarios y atributos se plantea para formar una política de acceso.
En Cisco ISE, es posible configurar el acceso a muchos servidores LDAP, implementando así la redundancia. Si el servidor LDAP primario (primario) no está disponible, ISE intentará acceder al secundario (secundario) y así sucesivamente. Además, si hay 2 PAN, se puede priorizar un LDAP para el PAN principal y otro LDAP para el PAN secundario.
ISE admite 2 tipos de búsqueda (búsqueda) cuando se trabaja con servidores LDAP: Búsqueda de usuarios y Búsqueda de direcciones MAC. Búsqueda de usuarios le permite buscar un usuario en la base de datos LDAP y obtener la siguiente información sin autenticación: usuarios y sus atributos, grupos de usuarios. La búsqueda de direcciones MAC también le permite buscar por dirección MAC en directorios LDAP sin autenticación y obtener información sobre el dispositivo, un grupo de dispositivos por direcciones MAC y otros atributos específicos.
Como ejemplo de integración, agreguemos Active Directory a Cisco ISE como un servidor LDAP.
1) Ir a la pestaña Administración → Gestión de identidades → Fuentes de identidades externas → LDAP → Agregar.
Figura 4. Adición de un servidor LDAP
2) En panel General especifique el nombre y el esquema del servidor LDAP (en nuestro caso, Active Directory).
Figura 5. Adición de un servidor LDAP con un esquema de Active Directory
3) A continuación, vaya a Conexión pestaña y seleccione Nombre de host/dirección IP Servidor AD, puerto (389 - LDAP, 636 - SSL LDAP), credenciales de administrador de dominio (Admin DN - DN completo), otros parámetros se pueden dejar como predeterminados.
Nota: use los detalles del dominio de administrador para evitar posibles problemas.
Figura 6 Ingreso de datos del servidor LDAP
4) En pestaña Organización del directorio debe especificar el área del directorio a través del DN desde donde extraer usuarios y grupos de usuarios.
Figura 7. Determinación de directorios desde donde pueden acceder los grupos de usuarios
5) Ir a la ventana Grupos → Agregar → Seleccionar grupos del directorio para seleccionar grupos de extracción del servidor LDAP.
Figura 8. Adición de grupos desde el servidor LDAP
6) En la ventana que aparece, haga clic en Recuperar grupos. Si los grupos se han detenido, entonces los pasos preliminares se han completado con éxito. De lo contrario, pruebe con otro administrador y verifique la disponibilidad del ISE con el servidor LDAP a través del protocolo LDAP.
Figura 9. Lista de grupos de usuarios extraídos
7) En pestaña Atributos Opcionalmente, puede especificar qué atributos del servidor LDAP deben extraerse, y en la ventana Configuración avanzada habilitar la opción Habilitar cambio de contraseña, que obligará a los usuarios a cambiar su contraseña si ha caducado o se ha restablecido. De todos modos haga clic Enviar continuar.
8) El servidor LDAP apareció en la pestaña correspondiente y puede usarse para formar políticas de acceso en el futuro.
Figura 10. Lista de servidores LDAP agregados
4. Integración con Directorio Activo
1) Al agregar el servidor Microsoft Active Directory como servidor LDAP, obtuvimos usuarios, grupos de usuarios, pero no registros. A continuación, propongo configurar una integración completa de AD con Cisco ISE. ir a la pestaña Administración → Gestión de identidad → Fuentes de identidad externas → Active Directory → Agregar.
Nota: para una integración exitosa con AD, ISE debe estar en un dominio y tener conectividad completa con servidores DNS, NTP y AD; de lo contrario, no resultará nada.
Figura 11. Adición de un servidor de Active Directory
2) En la ventana que aparece, ingrese los detalles del administrador del dominio y marque la casilla Almacenar Credenciales. Además, puede especificar una OU (unidad organizativa) si el ISE está ubicado en una OU específica. A continuación, deberá seleccionar los nodos Cisco ISE que desea conectar al dominio.
Figura 12. Ingreso de credenciales
3) Antes de agregar controladores de dominio, asegúrese de que en PSN en la pestaña Administración → Sistema → Despliegue opción habilitada Servicio de Identidad Pasiva. identificación pasiva - una opción que le permite traducir Usuario a IP y viceversa. PassiveID obtiene información de AD a través de WMI, agentes AD especiales o puerto SPAN en el conmutador (no es la mejor opción).
Nota: para comprobar el estado de la identificación pasiva, escriba en la consola ISE mostrar el estado de la aplicación ise | incluir identificación pasiva.
Figura 13. Habilitación de la opción PassiveID
4) Ir a la pestaña Administración → Gestión de identidad → Fuentes de identidad externas → Active Directory → PassiveID y seleccione la opción Agregar DC. A continuación, seleccione los controladores de dominio necesarios con casillas de verificación y haga clic en DE ACUERDO.
Figura 14. Adición de controladores de dominio
5) Seleccione los DC agregados y haga clic en el botón Editar. especificar FQDN su DC, nombre de usuario y contraseña de dominio, y una opción de enlace WMI o Agente. Seleccione WMI y haga clic en DE ACUERDO.
Figura 15 Ingresar detalles del controlador de dominio
6) Si WMI no es la forma preferida de comunicarse con Active Directory, se pueden usar agentes ISE. El método del agente es que puede instalar agentes especiales en los servidores que emitirán eventos de inicio de sesión. Hay 2 opciones de instalación: automática y manual. Para instalar automáticamente el agente en la misma pestaña identificación pasiva seleccionar Agregar agente → Implementar nuevo agente (DC debe tener acceso a Internet). Luego complete los campos obligatorios (nombre del agente, FQDN del servidor, nombre de usuario/contraseña del administrador del dominio) y haga clic en DE ACUERDO.
Figura 16. Instalación automática del agente ISE
7) Para instalar manualmente el agente Cisco ISE, seleccione el elemento Registrar agente existente. Por cierto, puedes descargar el agente en la pestaña Centros de Trabajo → PassiveID → Proveedores → Agentes → Descargar Agente.
Figura 17. Descarga del agente ISE
Importante: PassiveID no lee eventos cierre de sesión! El parámetro responsable del tiempo de espera se llama tiempo de vencimiento de la sesión de usuario y es igual a 24 horas por defecto. Por lo tanto, debe cerrar la sesión al final de la jornada laboral o escribir algún tipo de secuencia de comandos que cerrará automáticamente la sesión de todos los usuarios registrados.
Para información cierre de sesión Se utilizan "sondas de punto final" - sondas terminales. Hay varias sondas de punto final en Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIO sonda usando CoA (Cambio de autorización) proporciona información sobre cómo cambiar los derechos de usuario (esto requiere un 802.1X) y configurados en los conmutadores de acceso SNMP, darán información sobre los dispositivos conectados y desconectados.
El siguiente ejemplo es relevante para una configuración de Cisco ISE + AD sin 802.1X y RADIUS: un usuario inicia sesión en una máquina con Windows, sin cerrar sesión, inicia sesión desde otra PC a través de WiFi. En este caso, la sesión en la primera PC aún estará activa hasta que se agote el tiempo de espera o se produzca un cierre de sesión forzado. Luego, si los dispositivos tienen derechos diferentes, el último dispositivo que haya iniciado sesión aplicará sus derechos.
8) Opcional en la pestaña Administración → Gestión de identidades → Fuentes de identidades externas → Active Directory → Grupos → Agregar → Seleccionar grupos del directorio puede seleccionar grupos de AD que desea extraer en ISE (en nuestro caso, esto se hizo en el paso 3 "Agregar un servidor LDAP"). Elige una opcion Recuperar grupos → Aceptar.
Figura 18 a). Extraer grupos de usuarios de Active Directory
9) En pestaña Centros de trabajo → PassiveID → Resumen → Tablero puede observar la cantidad de sesiones activas, la cantidad de fuentes de datos, agentes y más.
Figura 19. Seguimiento de la actividad de los usuarios del dominio
10) En pestaña Sesiones en vivo Se muestran las sesiones actuales. La integración con AD está configurada.
Figura 20. Sesiones activas de usuarios del dominio
5. Заключение
Este artículo cubrió los temas de la creación de usuarios locales en Cisco ISE, la adición de servidores LDAP y la integración con Microsoft Active Directory. El siguiente artículo destacará el acceso de invitados en forma de una guía redundante.
Si tiene preguntas sobre este tema o necesita ayuda para probar el producto, comuníquese con .
Estén atentos a las actualizaciones en nuestros canales (, , , , ).
Fuente: habr.com