به دومین انتشار از سری مقالات اختصاص داده شده به Cisco ISE خوش آمدید. در ابتدا مزایا و تفاوت های راه حل های کنترل دسترسی به شبکه (NAC) از استاندارد AAA، منحصر به فرد بودن سیسکو ISE، معماری و فرآیند نصب محصول برجسته شد.
در این مقاله به ایجاد حسابها، افزودن سرورهای LDAP و ادغام با Microsoft Active Directory و همچنین تفاوتهای ظریف هنگام کار با PassiveID خواهیم پرداخت. قبل از خواندن، اکیداً توصیه می کنم مطالعه کنید .
1. برخی از اصطلاحات
هویت کاربر - یک حساب کاربری که حاوی اطلاعاتی در مورد کاربر است و اعتبار او را برای دسترسی به شبکه تشکیل می دهد. پارامترهای زیر معمولاً در شناسه کاربری مشخص می شوند: نام کاربری، آدرس ایمیل، رمز عبور، توضیحات حساب، گروه کاربری و نقش.
گروه کاربری - گروه های کاربری مجموعه ای از کاربران فردی هستند که دارای مجموعه ای از امتیازات مشترک هستند که به آنها امکان دسترسی به مجموعه خاصی از خدمات و ویژگی های Cisco ISE را می دهد.
گروه های هویت کاربر - گروه های کاربری از پیش تعریف شده که قبلاً اطلاعات و نقش های خاصی دارند. گروههای هویت کاربر زیر بهطور پیشفرض وجود دارند و میتوانید کاربران و گروههای کاربری را به آنها اضافه کنید: Employee، SponsorAllAccount، SponsorGroupAccounts، SponsorOwnAccounts (حسابهای حامی برای مدیریت پورتال مهمان)، مهمان، ActivatedGuest.
نقش کاربر - نقش کاربر مجموعه ای از مجوزها است که تعیین می کند کاربر چه وظایفی را می تواند انجام دهد و به چه خدماتی دسترسی دارد. اغلب نقش کاربر با گروهی از کاربران مرتبط است.
علاوه بر این، هر کاربر و گروه کاربری دارای ویژگی های اضافی است که به شما امکان می دهد یک کاربر خاص (گروه کاربری) را برجسته کنید و به طور خاص تعریف کنید. اطلاعات بیشتر در .
2. کاربران محلی ایجاد کنید
1) در Cisco ISE امکان ایجاد کاربران محلی و استفاده از آنها در سیاست های دسترسی یا حتی دادن نقش مدیریت محصول به آنها وجود دارد. انتخاب کنید مدیریت → مدیریت هویت → هویت ها → کاربران → افزودن.
شکل 1: افزودن یک کاربر محلی به Cisco ISE
2) در پنجره ای که ظاهر می شود، یک کاربر محلی ایجاد کنید، رمز عبور و سایر پارامترهای واضح را به او بدهید.
شکل 2. ایجاد یک کاربر محلی در Cisco ISE
3) کاربران همچنین می توانند وارد شوند. در همان تب مدیریت → مدیریت هویت → هویت ها → کاربران یک گزینه را انتخاب کنید وارد كردن و یک فایل csv یا txt را با کاربران آپلود کنید. برای دریافت الگو، را انتخاب کنید یک الگو ایجاد کنید، سپس باید آن را با اطلاعات مربوط به کاربران در فرم مناسب پر کنید.
شکل 3. وارد کردن کاربران به Cisco ISE
3. اضافه کردن سرورهای LDAP
اجازه دهید به شما یادآوری کنم که LDAP یک پروتکل محبوب در سطح برنامه است که به شما امکان می دهد اطلاعات را دریافت کنید، احراز هویت را انجام دهید، حساب ها را در فهرست های سرور LDAP جستجو کنید و در پورت 389 یا 636 (SS) کار می کند. نمونه های بارز سرورهای LDAP عبارتند از: Active Directory، Sun Directory، Novell eDirectory و OpenLDAP. هر ورودی در فهرست LDAP با یک DN (نام متمایز) تعریف می شود و برای تدوین یک خط مشی دسترسی، وظیفه بازیابی حساب ها، گروه های کاربر و ویژگی ها مطرح می شود.
در Cisco ISE می توان دسترسی به بسیاری از سرورهای LDAP را پیکربندی کرد و از این طریق به افزونگی پی برد. اگر سرور LDAP اولیه در دسترس نباشد، ISE سعی می کند با سرور ثانویه تماس بگیرد و غیره. علاوه بر این، اگر 2 PAN وجود داشته باشد، می توان یک LDAP را برای PAN اولیه و LDAP دیگر را برای PAN ثانویه اولویت بندی کرد.
ISE هنگام کار با سرورهای LDAP از 2 نوع جستجو پشتیبانی می کند: جستجوی کاربر و جستجوی آدرس MAC. جستجوی کاربر به شما امکان می دهد کاربر را در پایگاه داده LDAP جستجو کنید و اطلاعات زیر را بدون احراز هویت بازیابی کنید: کاربران و ویژگی های آنها، گروه های کاربری. MAC Address Lookup همچنین به شما امکان می دهد تا با آدرس MAC در فهرست های LDAP بدون احراز هویت جستجو کنید و اطلاعات مربوط به یک دستگاه، گروهی از دستگاه ها را بر اساس آدرس های MAC و سایر ویژگی های خاص به دست آورید.
به عنوان مثالی از ادغام، اجازه دهید Active Directory را به Cisco ISE به عنوان یک سرور LDAP اضافه کنیم.
1) به برگه بروید مدیریت → مدیریت هویت → منابع هویت خارجی → LDAP → افزودن.
شکل 4. افزودن یک سرور LDAP
2) در پنل سوالات عمومی نام و طرح سرور LDAP (در مورد ما Active Directory) را مشخص کنید.
شکل 5. افزودن یک سرور LDAP با طرح اکتیو دایرکتوری
3) بعد برو به اتصال را برگه و مشخص کنید نام میزبان/آدرس IP سرور AD، پورت (389 - LDAP، 636 - SSL LDAP)، اعتبار مدیر دامنه (Admin DN - DN کامل)، سایر پارامترها را می توان به عنوان پیش فرض باقی گذاشت.
یادداشت: برای جلوگیری از مشکلات احتمالی از جزئیات دامنه مدیریت استفاده کنید.
شکل 6. وارد کردن داده های سرور LDAP
4) در برگه سازمان دایرکتوری شما باید ناحیه دایرکتوری را از طریق DN مشخص کنید تا کاربران و گروه های کاربری را از آن بیرون بکشید.
شکل 7. تعیین دایرکتوری هایی که از آنها می توان گروه های کاربری را بالا کشید
5) به پنجره بروید گروه ها → افزودن → گروه ها را از فهرست انتخاب کنید برای انتخاب گروه های کششی از سرور LDAP.
شکل 8. افزودن گروه ها از سرور LDAP
6) در پنجره ظاهر شده کلیک کنید بازیابی گروه ها اگر گروه ها ملحق شده اند، مراحل اولیه با موفقیت انجام شده است. در غیر این صورت، مدیر دیگری را امتحان کنید و با استفاده از پروتکل LDAP، در دسترس بودن ISE را با سرور LDAP بررسی کنید.
شکل 9. فهرست گروه های کاربر فعال
7) در برگه خواص شما می توانید به صورت اختیاری مشخص کنید که کدام ویژگی ها از سرور LDAP باید به سمت بالا کشیده شوند، و در پنجره تنظیمات پیشرفته فعال کردن گزینه تغییر رمز عبور را فعال کنید، که کاربران را مجبور می کند در صورت منقضی شده یا بازنشانی رمز عبور خود را تغییر دهند. در هر صورت، کلیک کنید ارسال ادامه.
8) سرور LDAP در تب مربوطه ظاهر می شود و بعداً می تواند برای ایجاد سیاست های دسترسی استفاده شود.
شکل 10. لیست سرورهای LDAP اضافه شده
4. یکپارچه سازی با Active Directory
1) با افزودن سرور Microsoft Active Directory به عنوان یک سرور LDAP، کاربران، گروه های کاربری، اما لاگ دریافت نکردیم. در مرحله بعد، من پیشنهاد می کنم یکپارچگی کامل AD را با Cisco ISE تنظیم کنید. به برگه بروید Administration → Identity Management → External Identity Sources → Active Directory → Add.
توجه: برای ادغام موفقیت آمیز با AD، ISE باید در یک دامنه باشد و با سرورهای DNS، NTP و AD ارتباط کامل داشته باشد، در غیر این صورت هیچ چیز کار نخواهد کرد.
شکل 11. افزودن یک سرور Active Directory
2) در پنجره ظاهر شده، اطلاعات مدیر دامنه را وارد کرده و کادر را علامت بزنید اعتبار فروشگاه علاوه بر این، اگر ISE در یک OU خاص قرار دارد، می توانید یک OU (واحد سازمانی) را مشخص کنید. در مرحله بعد، باید گره های Cisco ISE را که می خواهید به دامنه متصل کنید، انتخاب کنید.
شکل 12. وارد کردن اعتبار
3) قبل از اضافه کردن کنترلرهای دامنه، مطمئن شوید که در PSN در تب مدیریت → سیستم → استقرار گزینه فعال شد سرویس هویت منفعل. شناسه غیرفعال - گزینه ای که به شما امکان می دهد کاربر را به IP و بالعکس ترجمه کنید. PassiveID اطلاعات را از AD از طریق WMI، عوامل خاص AD یا یک پورت SPAN روی سوئیچ دریافت می کند (بهترین گزینه نیست).
توجه: برای بررسی وضعیت Passive ID، وارد کنسول ISE شوید نمایش وضعیت درخواست است | شامل PassiveID
شکل 13. فعال کردن گزینه PassiveID
4) به تب بروید Administration → مدیریت هویت → منابع هویت خارجی → Active Directory → PassiveID و گزینه را انتخاب کنید دی سی ها را اضافه کنید. در مرحله بعد، دامین کنترلرهای مورد نیاز را با چک باکس انتخاب کرده و کلیک کنید OK را بزنید.
شکل 14. اضافه کردن کنترل کننده های دامنه
5) DC های اضافه شده را انتخاب کرده و روی دکمه کلیک کنید ویرایش کنید. نشان دادن FQDN DC شما، ورود به سیستم دامنه و رمز عبور، و همچنین یک گزینه ارتباطی WMI یا عامل. WMI را انتخاب کرده و کلیک کنید OK را بزنید.
شکل 15. وارد کردن اطلاعات کنترل کننده دامنه
6) اگر WMI روش ترجیحی برای برقراری ارتباط با اکتیو دایرکتوری نیست، می توان از عوامل ISE استفاده کرد. روش نماینده به این صورت است که می توانید عوامل خاصی را روی سرور نصب کنید که رویدادهای ورود را صادر می کنند. 2 گزینه نصب وجود دارد: خودکار و دستی. برای نصب خودکار عامل در همان تب شناسه غیرفعال را انتخاب کنید افزودن عامل → استقرار عامل جدید (دی سی باید به اینترنت دسترسی داشته باشد). سپس فیلدهای مورد نیاز (نام عامل، سرور FQDN، ورود به سیستم / رمز عبور مدیر دامنه) را پر کرده و کلیک کنید OK را بزنید.
شکل 16. نصب خودکار عامل ISE
7) برای نصب دستی Cisco ISE agent، باید انتخاب کنید ثبت نماینده موجود. به هر حال، شما می توانید عامل را در تب دانلود کنید Work Centers → PassiveID → Providers → Agents → Download Agent.
شکل 17. دانلود عامل ISE
مهم: PassiveID رویدادها را نمی خواند خروج! پارامتر مسئول تایم اوت فراخوانی می شود زمان پیری جلسه کاربر و به صورت پیش فرض برابر با 24 ساعت است. بنابراین، یا باید خودتان در پایان روز کاری از سیستم خارج شوید یا نوعی اسکریپت بنویسید که به طور خودکار همه کاربران وارد شده را از سیستم خارج کند.
برای اطلاعات خروج از "کاوشگرهای نقطه پایانی" استفاده می شود. چندین پروب نقطه پایانی در Cisco ISE وجود دارد: RADIUS، SNMP Trap، SNMP Query، DHCP، DNS، HTTP، Netflow، NMAP Scan. شعاع کاوشگر با استفاده از CoA بستههای (تغییر مجوز) اطلاعاتی در مورد تغییر حقوق کاربر ارائه میدهند (این به یک جاسازی شده نیاز دارد 802.1X، و SNMP پیکربندی شده روی سوئیچ های دسترسی اطلاعاتی را در مورد دستگاه های متصل و قطع شده ارائه می دهد.
در زیر یک مثال مربوط به پیکربندی Cisco ISE + AD بدون 802.1X و RADIUS آورده شده است: کاربر در یک دستگاه ویندوز وارد شده است، بدون انجام خروج از سیستم، از رایانه دیگری از طریق WiFi وارد سیستم می شود. در این حالت، جلسه در اولین رایانه شخصی همچنان فعال خواهد بود تا زمانی که یک بازه زمانی رخ دهد یا خروج اجباری رخ دهد. سپس، اگر دستگاه ها دارای حقوق متفاوتی باشند، آخرین دستگاهی که وارد سیستم شده است، حقوق خود را اعمال می کند.
8) موارد اضافی در برگه مدیریت → مدیریت هویت → منابع هویت خارجی → اکتیو دایرکتوری → گروه ها → افزودن → انتخاب گروه ها از دایرکتوری می توانید گروه هایی را از AD انتخاب کنید که می خواهید به ISE اضافه کنید (در مورد ما، این کار در مرحله 3 "افزودن یک سرور LDAP" انجام شد). یک گزینه را انتخاب کنید بازیابی گروه ها → OK.
شکل 18 الف). کشیدن گروه های کاربری از اکتیو دایرکتوری
9) در برگه مراکز کار → شناسه غیرفعال → نمای کلی → داشبورد می توانید تعداد جلسات فعال، تعداد منابع داده، نمایندگان و موارد دیگر را نظارت کنید.
شکل 19. نظارت بر فعالیت کاربر دامنه
10) در برگه جلسات زنده جلسات جاری نمایش داده می شود. ادغام با AD پیکربندی شده است.
شکل 20. جلسات فعال کاربران دامنه
5. نتیجه گیری
این مقاله به موضوعات ایجاد کاربران محلی در Cisco ISE، افزودن سرورهای LDAP و ادغام با Microsoft Active Directory پرداخته است. مقاله بعدی دسترسی مهمان را در قالب یک راهنمای اضافی پوشش خواهد داد.
اگر در مورد این موضوع سوالی دارید یا برای آزمایش محصول نیاز به کمک دارید، لطفاً تماس بگیرید .
کانال های ما را برای به روز رسانی دنبال کنید (, , , , ).
منبع: www.habr.com