Tere tulemast Cisco ISE seeria teise postitusse. Esimesel toodi välja Network Access Control (NAC) lahenduste eelised ja erinevused standardsest AAA-st, Cisco ISE unikaalsus, arhitektuur ja toote paigaldusprotsess.
Selles artiklis käsitleme kontode loomist, LDAP-serverite lisamist ja Microsoft Active Directoryga integreerimist, aga ka PassiveID-ga töötamise nüansse. Enne lugemist soovitan kindlasti lugeda .
1. Mõni terminoloogia
Kasutaja identiteet - kasutajakonto, mis sisaldab teavet kasutaja kohta ja genereerib tema mandaadid võrgule juurdepääsuks. Kasutaja identiteedis määratakse tavaliselt järgmised parameetrid: kasutajanimi, e-posti aadress, parool, konto kirjeldus, kasutajarühm ja roll.
Kasutaja Grupid - kasutajarühmad on üksikute kasutajate kogum, kellel on ühised õigused, mis võimaldavad neil pääseda juurde teatud Cisco ISE teenuste ja funktsioonide komplektile.
Kasutaja identiteedirühmad – eelmääratletud kasutajarühmad, millel on juba teatud teave ja rollid. Vaikimisi on olemas järgmised kasutajate identiteedirühmad, kuhu saab lisada kasutajaid ja kasutajagruppe: Töötaja (töötaja), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (külalisteportaali haldamise sponsorkontod), Külaline (külaline), ActivatedGuest (aktiveeritud külaline).
kasutaja roll- Kasutajaroll on õiguste kogum, mis määrab, milliseid ülesandeid kasutaja saab täita ja millistele teenustele on juurdepääs. Sageli on kasutaja roll seotud kasutajate rühmaga.
Lisaks on igal kasutajal ja kasutajarühmal täiendavad atribuudid, mis võimaldavad teil seda kasutajat (kasutajarühma) valida ja täpsemalt määratleda. Rohkem infot sisse .
2. Looge kohalikud kasutajad
1) Cisco ISE suudab luua kohalikke kasutajaid ja kasutada neid juurdepääsupoliitikas või isegi anda tootehalduri rolli. Valige Administreerimine → Identiteedihaldus → Identiteedid → Kasutajad → Lisa.
Joonis 1 Kohaliku kasutaja lisamine Cisco ISE-sse
2) Ilmuvas aknas looge kohalik kasutaja, määrake parool ja muud arusaadavad parameetrid.
Joonis 2. Kohaliku kasutaja loomine Cisco ISE-s
3) Kasutajaid saab ka importida. Samal vahekaardil Administreerimine → Identiteedihaldus → Identiteedid → Kasutajad valige suvand Import ja laadige kasutajatega üles csv- või txt-fail. Malli saamiseks valige Loo mall, siis tuleks see sobival kujul kasutajate infoga täita.
Joonis 3 Kasutajate importimine Cisco ISE-sse
3. LDAP-serverite lisamine
Tuletan meelde, et LDAP on populaarne rakendustaseme protokoll, mis võimaldab teil saada teavet, teostada autentimist, otsida kontosid LDAP-serverite kataloogidest, töötab pordil 389 või 636 (SS). Silmapaistvad näited LDAP-serveritest on Active Directory, Sun Directory, Novell eDirectory ja OpenLDAP. Iga kirje LDAP-kataloogis on määratletud DN-iga (Distinguished Name) ning kontode, kasutajarühmade ja atribuutide toomise ülesanne tõstatatakse juurdepääsupoliitika moodustamiseks.
Cisco ISE-s on võimalik konfigureerida juurdepääsu paljudele LDAP-serveritele, rakendades seeläbi koondamist. Kui esmane (esmane) LDAP-server pole saadaval, proovib ISE pääseda juurde sekundaarsele (sekundaarsele) jne. Lisaks, kui on 2 PAN-i, saab esmase PAN-i jaoks eelistada ühe LDAP-i ja teisese PAN-i jaoks teise LDAP-i.
ISE toetab LDAP-serveritega töötamisel kahte tüüpi otsingut (otsingut): kasutajaotsing ja MAC-aadressi otsing. User Lookup võimaldab otsida LDAP andmebaasist kasutajat ja saada ilma autentimiseta järgmist teavet: kasutajad ja nende atribuudid, kasutajarühmad. MAC-aadressi otsing võimaldab teil otsida ka MAC-aadressi järgi LDAP-kataloogidest ilma autentimiseta ning hankida teavet seadme, seadmete rühma kohta MAC-aadresside ja muude spetsiifiliste atribuutide järgi.
Integreerimise näitena lisame Active Directory Cisco ISE-sse LDAP-serverina.
1) Minge vahekaardile Administreerimine → Identiteedihaldus → Välised identiteediallikad → LDAP → Lisa.
Joonis 4. LDAP-serveri lisamine
2) paneelis Üldine määrake LDAP-serveri nimi ja skeem (meie puhul Active Directory).
Joonis 5. Active Directory skeemi LDAP-serveri lisamine
3) Järgmisena minge juurde Ühendus vahekaarti ja valige Hostinimi/IP-aadress Server AD, port (389 - LDAP, 636 - SSL LDAP), domeeni administraatori volikirjad (Admin DN - full DN), muud parameetrid saab jätta vaikimisi.
Märkus: kasutage võimalike probleemide vältimiseks administraatori domeeni üksikasju.
Joonis 6 LDAP-serveri andmete sisestamine
4) Vahekaardil Kataloogide organisatsioon peaksite määrama DN-i kaudu kataloogiala, kust kasutajaid ja kasutajarühmi tõmmata.
Joonis 7. Kataloogide määramine, kust kasutajarühmad saavad üles tõmmata
5) Mine aknasse Grupid → Lisa → Vali kataloogist rühmad LDAP-serverist tõmbamisrühmade valimiseks.
Joonis 8. Rühmade lisamine LDAP-serverist
6) Ilmuvas aknas klõpsake nuppu Rühmade toomine. Kui grupid on kokku saanud, siis on eeltoimingud edukalt sooritatud. Muul juhul proovige teist administraatorit ja kontrollige ISE saadavust LDAP-serveriga LDAP-protokolli kaudu.
Joonis 9. Tõmbatud kasutajarühmade loend
7) Vahekaardil Näitajad saate soovi korral määrata, millised LDAP-serveri atribuudid tuleks üles tõmmata ja aknas Täpsemad seaded lubamise valik Luba parooli muutmine, mis sunnib kasutajaid oma parooli muutma, kui see on aegunud või lähtestatud. Igatahes klõpsake LIITU jätkama.
8) LDAP-server ilmus vastavale vahelehele ja seda saab edaspidi kasutada juurdepääsupoliitikate moodustamiseks.
Joonis 10. Lisatud LDAP-serverite loend
4. Integreerimine Active Directoryga
1) Lisades Microsoft Active Directory serveri LDAP-serverina saime kasutajad, kasutajarühmad, kuid mitte ühtegi logi. Järgmisena teen ettepaneku luua täielik AD-integratsioon Cisco ISE-ga. Minge vahekaardile Administreerimine → Identiteedihaldus → Välised identiteediallikad → Active Directory → Lisa.
Märkus: edukaks integreerimiseks AD-ga peab ISE olema domeenis ja omama täielikku ühendust DNS-i, NTP- ja AD-serveritega, muidu ei tule sellest midagi välja.
Joonis 11. Active Directory serveri lisamine
2) Ilmuvas aknas sisestage domeeni administraatori andmed ja märkige ruut Salvesta mandaadid. Lisaks saate määrata OU (organisatsiooniüksuse), kui ISE asub konkreetses OU-s. Järgmisena peate valima Cisco ISE sõlmed, millega soovite domeeniga ühenduse luua.
Joonis 12. Mandaatide sisestamine
3) Enne domeenikontrollerite lisamist veenduge, et vahekaardil PSN Administreerimine → Süsteem → Juurutamine valik lubatud Passiivne identiteediteenus. Passiivne ID - valik, mis võimaldab teil tõlkida kasutaja IP-ks ja vastupidi. PassiveID saab AD-st teavet WMI, spetsiaalsete AD agentide või lüliti SPAN-pordi kaudu (pole parim valik).
Märkus: passiivse ID oleku kontrollimiseks tippige ISE konsooli näita rakenduse olekut ise | sisaldab passiivset ID-d.
Joonis 13. Suvandi PassiveID lubamine
4) Minge vahekaardile Administreerimine → Identiteedihaldus → Välised identiteediallikad → Active Directory → PassiveID ja valige suvand Lisa DC-d. Järgmisena valige vajalikud domeenikontrollerid koos märkeruutudega ja klõpsake nuppu OK.
Joonis 14. Domeenikontrollerite lisamine
5) Valige lisatud DC-d ja klõpsake nuppu Muuda Palun täpsustage KKK teie DC, domeeni sisselogimine ja parool ning linkimisvõimalus WMI või Agent. Valige WMI ja klõpsake OK.
Joonis 15 Domeenikontrolleri andmete sisestamine
6) Kui WMI ei ole eelistatud viis Active Directoryga suhtlemiseks, võib kasutada ISE agente. Agendi meetod seisneb selles, et saate installida sisselogimissündmusi väljastavatesse serveritesse spetsiaalseid agente. Paigaldusvõimalusi on 2: automaatne ja käsitsi. Agendi automaatseks installimiseks samale vahelehele Passiivne ID valima Lisa agent → juuruta uus agent (DC-l peab olema Interneti-juurdepääs). Seejärel täitke nõutud väljad (agendi nimi, serveri FQDN, domeeni administraatori sisselogimine/parool) ja klõpsake OK.
Joonis 16. ISE agendi automaatne installimine
7) Cisco ISE agendi käsitsi installimiseks valige üksus Registreerige olemasolev agent. Muide, saate agendi alla laadida vahekaardilt Töökeskused → PassiveID → Pakkujad → Agendid → Allalaadimisagent.
Joonis 17. ISE agendi allalaadimine
NB! PassiveID ei loe sündmusi väljalogimine! Kutsutakse välja aegumise eest vastutav parameeter kasutajaseansi vananemisaeg ja võrdub vaikimisi 24 tunniga. Seetõttu peaksite tööpäeva lõpus ise välja logima või kirjutama mingi skripti, mis kõik sisse loginud kasutajad automaatselt välja logib.
Teabe saamiseks väljalogimine Kasutatakse "otspunktisonde" - terminali sondid. Cisco ISE-s on mitu lõpp-punkti sondi: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS sondi kasutamine CoA (Change of Authorization) paketid annavad teavet kasutajaõiguste muutmise kohta (selleks on vaja manustatud 802.1X) ja konfigureeritud juurdepääsulülititele SNMP, annab teavet ühendatud ja lahti ühendatud seadmete kohta.
Järgmine näide on asjakohane Cisco ISE + AD konfiguratsiooni jaoks ilma 802.1X ja RADIUSeta: kasutaja logitakse sisse Windowsi masinasse, väljalogimata, logige sisse teisest arvutist WiFi kaudu. Sel juhul on esimese arvuti seanss endiselt aktiivne, kuni toimub ajalõpp või sunnitud väljalogimine. Kui seadmetel on erinevad õigused, siis rakendab oma õigusi viimati sisse logitud seade.
8) Vahekaardil valikuline Administreerimine → Identiteedihaldus → Välised identiteediallikad → Active Directory → Grupid → Lisa → Valige kataloogist rühmad saate AD-st valida rühmad, mida soovite ISE-s üles tõmmata (meie puhul tehti seda sammus 3 "LDAP-serveri lisamine"). Valige suvand Rühmade toomine → OK.
Joonis 18 a). Kasutajarühmade tõmbamine Active Directoryst
9) Vahekaardil Töökeskused → PassiveID → Ülevaade → Armatuurlaud saate jälgida aktiivsete seansside arvu, andmeallikate, agentide ja palju muud.
Joonis 19. Domeeni kasutajate aktiivsuse jälgimine
10) Vahekaardil Otseülekanded kuvatakse praegused seansid. Integreerimine AD-ga on konfigureeritud.
Joonis 20. Domeeni kasutajate aktiivsed seansid
5. Järeldus
See artikkel käsitles Cisco ISE kohalike kasutajate loomise, LDAP-serverite lisamise ja Microsoft Active Directoryga integreerimise teemasid. Järgmine artikkel tõstab esile külaliste juurdepääsu üleliigse juhendi kujul.
Kui teil on selle teema kohta küsimusi või vajate abi toote testimisel, võtke ühendust .
Olge kursis meie kanalite uudistega (, , , , ).
Allikas: www.habr.com