Ongi etorri Cisco ISEri eskainitako artikulu sortaren bigarren argitalpenera. Lehenengoan AAA estandarretako Sareko Sarbide Kontroleko (NAC) soluzioen abantailak eta desberdintasunak, Cisco ISEren berezitasuna, arkitektura eta produktuaren instalazio prozesua nabarmendu ziren.
Artikulu honetan kontuak sortzean, LDAP zerbitzariak gehitzen eta Microsoft Active Directory-rekin integratzen sakonduko dugu, baita PassiveID-ekin lan egiteko ñabardurak ere. Irakurri aurretik, gomendatzen dizut irakurtzea .
1. Terminologia batzuk
Erabiltzaile-identitatea — erabiltzaileari buruzko informazioa duen eta sarera sartzeko bere kredentzialak osatzen dituen erabiltzaile-kontu bat. Erabiltzaile-identitatean parametro hauek zehazten dira normalean: erabiltzaile-izena, helbide elektronikoa, pasahitza, kontuaren deskribapena, erabiltzaile-taldea eta rola.
Erabiltzaile taldeak - Erabiltzaile taldeak Cisco ISE zerbitzu eta funtzio multzo zehatz batera sartzeko aukera ematen duten pribilegio-multzo komun bat duten banakako erabiltzaileen bilduma dira.
Erabiltzaile-identitate taldeak - aurrez zehaztutako erabiltzaile-taldeak, informazio eta rol jakin batzuk dituztenak. Erabiltzaile-identitate-talde hauek lehenespenez existitzen dira eta erabiltzaileak eta erabiltzaile-taldeak gehi ditzakezu haietara: Langilea, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (gonbidatuen ataria kudeatzeko babesle-kontuak), Guest, ActivatedGuest.
Erabiltzaile rola - Erabiltzaile rola erabiltzaile batek zer zeregin egin ditzakeen eta erabiltzaileak zer zerbitzu sar ditzakeen zehazten dituen baimen multzo bat da. Sarritan erabiltzaile-rola bat erabiltzaile talde batekin lotzen da.
Gainera, erabiltzaile eta erabiltzaile talde bakoitzak atributu gehigarriak ditu, erabiltzaile jakin bat (erabiltzaile talde) nabarmentzeko eta zehatzago definitzeko aukera ematen dutenak. Informazio gehiago atalean .
2. Sortu tokiko erabiltzaileak
1) Cisco ISEn posible da tokiko erabiltzaileak sortzea eta sarbide-politiketan erabiltzea edo baita produktuen administrazio-eginkizuna ematea ere. Hautatu Administrazioa → Identitatearen kudeaketa → Identitateak → Erabiltzaileak → Gehitu.
1. Irudia: Erabiltzaile lokal bat gehitzea Cisco ISE-ra
2) Agertzen den leihoan, sortu tokiko erabiltzaile bat, eman pasahitza eta beste parametro garbi batzuk.
2. Irudia. Erabiltzaile lokal bat sortzea Cisco ISEn
3) Erabiltzaileak ere inporta daitezke. Fitxa berean Administrazioa → Identitatearen kudeaketa → Identitateak → Erabiltzaileak hautatu aukera bat Inportatu eta igo csv edo txt fitxategi bat erabiltzaileekin. Txantiloia lortzeko, hautatu Sortu txantiloi bat, orduan erabiltzaileei buruzko informazioarekin bete beharko zenuke formulario egoki batean.
3. Irudia Erabiltzaileak Cisco ISEra inportatzea
3. LDAP zerbitzariak gehitzea
Gogorarazten dizut LDAP aplikazio-mailako protokolo ezagun bat dela, informazioa jasotzeko, autentifikazioa egiteko, LDAP zerbitzariaren direktorioetan kontuak bilatzeko eta 389 edo 636 (SS) portuan funtzionatzen duen aukera ematen dizuna. LDAP zerbitzarien adibide nabarmenak dira Active Directory, Sun Directory, Novell eDirectory eta OpenLDAP. LDAP direktorioko sarrera bakoitza DN (Izen bereizgarria) baten bidez definitzen da eta sarbide-politika bat formulatzeko, kontuak, erabiltzaile-taldeak eta atributuak berreskuratzeko zeregina sortzen da.
Cisco ISEn posible da LDAP zerbitzari askotarako sarbidea konfiguratzea, horrela erredundantzia gauzatuz. LDAP zerbitzari nagusia erabilgarri ez badago, ISE bigarren mailakoarekin harremanetan jartzen saiatuko da, eta abar. Gainera, 2 PAN badaude, LDAP bat lehenetsi ahal izango da PAN lehenerako, eta beste LDAP bat bigarren mailako PANerako.
ISEk 2 bilaketa mota onartzen ditu LDAP zerbitzariekin lan egiten duenean: Erabiltzaileen bilaketa eta MAC Helbideen bilaketa. Erabiltzaileen bilaketak aukera ematen du LDAP datu-base batean erabiltzaile bat bilatzeko eta informazio hau autentifikatu gabe berreskuratzeko: erabiltzaileak eta haien atributuak, erabiltzaile-taldeak. MAC Helbideen Bilaketak LDAP direktorioetan MAC helbidearen arabera bilatzeko aukera ematen du autentifikaziorik gabe eta gailu bati, gailu talde bati MAC helbideen eta beste atributu zehatz batzuen inguruko informazioa lortzeko.
Integrazioaren adibide gisa, gehi diezaiogun Active Directory Cisco ISEri LDAP zerbitzari gisa.
1) Joan fitxara Administrazioa → Identitatearen kudeaketa → Kanpoko identitate iturriak → LDAP → Gehitu.
4. irudia. LDAP zerbitzari bat gehitzea
2) Panelean General zehaztu LDAP zerbitzariaren izena eta eskema (gure kasuan Active Directory).
5. Irudia. LDAP zerbitzari bat gehitzea Active Directory eskema batekin
3) Hurrengora joan Konexioa fitxa eta zehaztu Ostalariaren izena/IP helbidea Zerbitzariaren AD, ataka (389 - LDAP, 636 - SSL LDAP), domeinu-administratzailearen kredentzialak (Admin DN - DN osoa), beste parametro batzuk lehenetsita utzi daitezke.
Kontuan izan: Erabili administratzailearen domeinuaren xehetasunak balizko arazoak ekiditeko.
6. irudia. LDAP zerbitzariaren datuak sartzea
4) Fitxa batean Direktorioaren Antolamendua DN bidezko direktorioa eremua zehaztu beharko zenuke erabiltzaileak eta erabiltzaile taldeak ateratzeko.
7. Irudia. Erabiltzaile-taldeak ateratzeko direktorioak zehaztea
5) Joan leihora Taldeak → Gehitu → Hautatu Taldeak direktoriotik LDAP zerbitzaritik tiraka-taldeak hautatzeko.
8. Irudia LDAP zerbitzaritik taldeak gehitzea
6) Agertzen den leihoan, egin klik Taldeak berreskuratu. Taldeak elkartu badira, aurretiazko urratsak behar bezala burutu dira. Bestela, saiatu beste administratzaile batekin eta egiaztatu ISEren erabilgarritasuna LDAP zerbitzari batekin LDAP protokoloa erabiliz.
9. Irudia Gaitutako erabiltzaile-taldeen zerrenda
7) Fitxa batean Attributes aukeran zehaztu dezakezu LDAP zerbitzariko zein atributu atera behar diren eta leihoan Ezarpen aurreratuak gaitu aukera Gaitu pasahitza aldatzea, erabiltzaileak pasahitza aldatzera behartuko du iraungi edo berrezarri bada. Edozein modutan, egin klik Bidali jarraitzeko.
8) LDAP zerbitzaria dagokion fitxan agertzen da eta gero sarbide-politikak sortzeko erabil daiteke.
10. Irudia. Gehitutako LDAP zerbitzarien zerrenda
4. Active Directory-rekin integratzea
1) Microsoft Active Directory zerbitzaria LDAP zerbitzari gisa gehituta, erabiltzaileak, erabiltzaile taldeak, baina ez erregistroak jaso ditugu. Ondoren, Cisco ISE-rekin AD integrazio osoa konfiguratzea proposatzen dut. Joan fitxara Administrazioa → Identitatearen kudeaketa → Kanpoko identitate-iturriak → Active Directory → Gehitu.
Oharra: AD-rekin integratzeko, ISEk domeinu batean egon behar du eta konektagarritasun osoa izan behar du DNS, NTP eta AD zerbitzariekin, bestela ez du ezerk funtzionatuko.
11. Irudia. Active Directory zerbitzari bat gehitzea
2) Agertzen den leihoan, sartu domeinu-administratzailearen informazioa eta markatu laukia Dendaren kredentzialak. Gainera, OU bat (Antolakuntza Unitatea) zehaztu dezakezu ISE OU zehatz batean kokatzen bada. Ondoren, domeinura konektatu nahi dituzun Cisco ISE nodoak hautatu beharko dituzu.
12. Irudia Kredentzialak sartzea
3) Domeinu-kontrolatzaileak gehitu aurretik, ziurtatu PSNn fitxan dagoela Administrazioa → Sistema → Hedapena aukera gaituta Nortasun Pasiboaren Zerbitzua. ID pasiboa — Erabiltzailea IPra itzultzeko aukera ematen dizu eta alderantziz. PassiveID ADren informazioa jasotzen du WMI, AD agente berezien bidez edo etengailuko SPAN ataka baten bidez (ez da aukerarik onena).
Oharra: ID pasiboaren egoera egiaztatzeko, sartu ISE kontsolan erakutsi aplikazioaren egoera | sartu PassiveID.
13. Irudia PassiveID aukera gaitzea
4) Joan fitxara Administrazioa → Identitatearen kudeaketa → Kanpoko identitate-iturriak → Direktorio aktiboa → ID pasiboa eta hautatu aukera Gehitu DCak. Ondoren, hautatu beharrezko domeinu-kontrolatzaileak kontrol-laukien bidez eta egin klik Ados.
14. Irudia. Domeinu-kontrolatzaileak gehitzea
5) Hautatu gehitutako DCak eta egin klik botoian Editatu. Mesedez, adierazi FQDN zure DC, domeinu-saioa eta pasahitza, baita komunikazio aukera bat ere WMI edo Agent. Hautatu WMI eta egin klik Ados.
15. Irudia. Domeinu-kontrolatzailearen informazioa sartzea
6) WMI ez bada Active Directory-rekin komunikatzeko metodo hobetsia, orduan ISE agenteak erabil daitezke. Agentearen metodoa da zerbitzarian agente bereziak instala ditzakezula saioa hasteko gertaerak emango dituena. 2 instalazio aukera daude: automatikoa eta eskuz. Agentea fitxa berean automatikoki instalatzeko ID pasiboa hautatu elementua Gehitu agentea → Inplementatu agente berria (DC-k Interneterako sarbidea izan behar du). Ondoren, bete behar diren eremuak (agentearen izena, zerbitzariaren FQDN, domeinu-administratzailearen saio-hasiera/pasahitza) eta egin klik Ados.
16. Irudia. ISE agentearen instalazio automatikoa
7) Cisco ISE agente eskuz instalatzeko, hautatu behar duzu Erregistratu lehendik dagoen agentea. Bide batez, agentea fitxan deskarga dezakezu Lan-zentroak → PassiveID → Hornitzaileak → Agenteak → Deskargatu agentea.
17. Irudia ISE agentea deskargatzea
Garrantzitsua: PassiveID-ek ez ditu gertaerak irakurtzen irten! Denbora-mugaz arduratzen den parametroari deitzen zaio erabiltzailearen saioaren zahartze-denbora eta 24 orduren berdina da lehenespenez. Hori dela eta, lanegunaren amaieran saioa amaitu beharko zenuke, edo saioa hasitako erabiltzaile guztiak automatikoki amaituko dituen script motaren bat idatzi.
Informaziorako irten "Endpoint probes" erabiltzen dira. Cisco ISEn hainbat amaierako zunda daude: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS zunda erabiliz KoA (Baimen aldaketa) paketeek erabiltzailearen eskubideak aldatzeari buruzko informazioa eskaintzen dute (horrek kapsulatutako bat behar du 802.1X), eta sarbide-etengailuetan konfiguratutako SNMPk konektatutako eta deskonektatutako gailuei buruzko informazioa emango du.
Jarraian, 802.1X eta RADIUS gabeko Cisco ISE + AD konfiguraziorako garrantzitsua da: erabiltzailea Windows makina batean saioa hasi da, saioa amaitu gabe, beste PC batetik hasi saioa WiFi bidez. Kasu honetan, lehen ordenagailuko saioa aktibo egongo da denbora-muga bat gertatu arte edo behartutako saioa amaitu arte. Ondoren, gailuek eskubide desberdinak badituzte, saioa hasitako azken gailuak bere eskubideak aplikatuko ditu.
8) Gehigarriak fitxan Administrazioa → Identitatearen kudeaketa → Kanpoko identitate-iturburuak → Active Directory → Taldeak → Gehitu → Hautatu taldeak direktoriotik ISEra gehitu nahi dituzun ADko taldeak hauta ditzakezu (gure kasuan, 3. urratsean egin zen "LDAP zerbitzari bat gehitzea"). Hautatu aukera bat Taldeak berreskuratu → Ados.
18. irudia a). Erabiltzaile-taldeak Active Directory-tik ateratzea
9) Fitxa batean Lan-zentroak → ID pasiboa → Ikuspegi orokorra → Arbel saio aktiboen kopurua, datu-iturri kopurua, agenteak eta abar kontrola ditzakezu.
19. Irudia. Domeinuko erabiltzaileen jardueraren jarraipena
10) Fitxa batean Zuzeneko saioak uneko saioak bistaratzen dira. AD-rekin integrazioa konfiguratuta dago.
20. Irudia. Domeinuko erabiltzaileen saio aktiboak
5. Ondorioa
Artikulu honek Cisco ISE-n tokiko erabiltzaileak sortzeari, LDAP zerbitzariak gehitzeari eta Microsoft Active Directory-ri integratzeari buruzko gaiak jorratu zituen. Hurrengo artikuluak gonbidatuen sarbidea izango du gida erredundante moduan.
Gai honi buruzko galderarik baduzu edo produktua probatzeko laguntza behar baduzu, jarri harremanetan .
Egon adi gure kanaletako eguneraketak (, , , , ).
Iturria: www.habr.com