Tervetuloa Cisco ISE -sarjan toiseen viestiin. Ensimmäisessä NAC (Network Access Control) -ratkaisujen edut ja erot AAA-standardista, Cisco ISE:n ainutlaatuisuus, tuotteen arkkitehtuuri ja asennusprosessi korostettiin.
Tässä artikkelissa perehdymme tilien luomiseen, LDAP-palvelimien lisäämiseen ja integrointiin Microsoft Active Directoryn kanssa sekä PassiveID:n kanssa työskentelyn vivahteisiin. Ennen lukemista suosittelen lämpimästi lukemista .
1. Jotain terminologiaa
Käyttäjän identiteetti - käyttäjätili, joka sisältää tietoja käyttäjästä ja luo hänen kirjautumistiedot verkkoon pääsyä varten. Käyttäjätunnuksessa määritetään yleensä seuraavat parametrit: käyttäjänimi, sähköpostiosoite, salasana, tilin kuvaus, käyttäjäryhmä ja rooli.
Käyttäjäryhmät - käyttäjäryhmät ovat joukko yksittäisiä käyttäjiä, joilla on yhteiset oikeudet, joiden avulla he voivat käyttää tiettyä Cisco ISE -palveluiden ja -toimintojen joukkoa.
Käyttäjäidentiteettiryhmät - ennalta määritetyt käyttäjäryhmät, joilla on jo tiettyjä tietoja ja rooleja. Seuraavat käyttäjätunnusryhmät ovat olemassa oletuksena, joihin voit lisätä käyttäjiä ja käyttäjäryhmiä: Työntekijä (työntekijä), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsoritilit vierasportaalin hallintaan), Vieras (vieras), ActivatedGuest (aktivoitu vieras).
käyttäjärooli- Käyttäjärooli on joukko käyttöoikeuksia, jotka määrittävät, mitä tehtäviä käyttäjä voi suorittaa ja mitä palveluita voi käyttää. Usein käyttäjärooli liitetään käyttäjäryhmään.
Lisäksi jokaisella käyttäjällä ja käyttäjäryhmällä on lisämääritteitä, joiden avulla voit valita ja määritellä tarkemmin tämän käyttäjän (käyttäjäryhmän). Lisätietoa osoitteessa .
2. Luo paikallisia käyttäjiä
1) Cisco ISE pystyy luomaan paikallisia käyttäjiä ja käyttämään niitä käyttöoikeuskäytännöissä tai jopa antamaan tuotteen järjestelmänvalvojan roolin. Valitse Hallinta → Identiteettien hallinta → Henkilöllisyydet → Käyttäjät → Lisää.
Kuva 1 Paikallisen käyttäjän lisääminen Cisco ISEen
2) Luo näkyviin tulevassa ikkunassa paikallinen käyttäjä, aseta salasana ja muut ymmärrettävät parametrit.
Kuva 2. Paikallisen käyttäjän luominen Cisco ISE:ssä
3) Käyttäjiä voidaan myös tuoda. Samalla välilehdellä Hallinta → Identiteettien hallinta → Henkilöllisyydet → Käyttäjät Valitse vaihtoehto Tuo ja lataa csv- tai txt-tiedosto käyttäjien kanssa. Saat mallin valitsemalla Luo malli, se tulee täyttää käyttäjien tiedoilla sopivassa muodossa.
Kuva 3 Käyttäjien tuominen Cisco ISEen
3. LDAP-palvelimien lisääminen
Haluan muistuttaa, että LDAP on suosittu sovellustason protokolla, jonka avulla voit vastaanottaa tietoja, suorittaa todennusta, etsiä tilejä LDAP-palvelimien hakemistoista, toimii portissa 389 tai 636 (SS). Näkyviä esimerkkejä LDAP-palvelimista ovat Active Directory, Sun Directory, Novell eDirectory ja OpenLDAP. Jokainen LDAP-hakemiston merkintä määritellään DN:llä (Distinguished Name), ja tilien, käyttäjäryhmien ja attribuuttien hakutehtävä nostetaan muodostamaan käyttöoikeuskäytäntö.
Cisco ISE:ssä on mahdollista määrittää pääsy useille LDAP-palvelimille, mikä toteuttaa redundanssin. Jos ensisijainen (ensisijainen) LDAP-palvelin ei ole käytettävissä, ISE yrittää käyttää toissijaista (toissijaista) ja niin edelleen. Lisäksi, jos PANeja on 2, yksi LDAP voidaan priorisoida ensisijaiselle PANille ja toinen LDAP toissijaiselle PANille.
ISE tukee kahta hakutyyppiä (lookup) työskennellessään LDAP-palvelimien kanssa: User Lookup ja MAC Address Lookup. User Lookupin avulla voit etsiä käyttäjää LDAP-tietokannasta ja saada seuraavat tiedot ilman todennusta: käyttäjät ja heidän attribuutit, käyttäjäryhmät. MAC-osoitehaun avulla voit myös etsiä MAC-osoitteen perusteella LDAP-hakemistoista ilman todennusta ja saada tietoja laitteesta, laiteryhmästä MAC-osoitteiden ja muiden määritteiden perusteella.
Esimerkkinä integraatiosta lisätään Active Directory Cisco ISEen LDAP-palvelimeksi.
1) Siirry välilehdelle Hallinta → Identiteettien hallinta → Ulkoiset identiteettilähteet → LDAP → Lisää.
Kuva 4. LDAP-palvelimen lisääminen
2) Paneelissa general määritä LDAP-palvelimen nimi ja malli (tässä tapauksessa Active Directory).
Kuva 5. LDAP-palvelimen lisääminen Active Directory -skeemalla
3) Siirry seuraavaksi kohtaan Yhteys -välilehti ja valitse Isäntänimi/IP-osoite Palvelin AD, portti (389 - LDAP, 636 - SSL LDAP), toimialueen järjestelmänvalvojan tunnistetiedot (Admin DN - full DN), muut parametrit voidaan jättää oletusarvoiksi.
Huomata: käytä järjestelmänvalvojan verkkotunnuksen tietoja mahdollisten ongelmien välttämiseksi.
Kuva 6 LDAP-palvelintietojen syöttäminen
4) Välilehdellä Hakemistoorganisaatio sinun tulee määrittää DN:n kautta hakemistoalue, josta käyttäjät ja käyttäjäryhmät haetaan.
Kuva 7. Hakemistojen määrittäminen, joista käyttäjäryhmät voivat hakea
5) Mene ikkunaan Ryhmät → Lisää → Valitse ryhmät hakemistosta valitaksesi vetoryhmät LDAP-palvelimelta.
Kuva 8. Ryhmien lisääminen LDAP-palvelimelta
6) Napsauta näkyviin tulevassa ikkunassa Hae ryhmät. Jos ryhmät ovat vetäytyneet, niin esivaiheet on suoritettu onnistuneesti. Muussa tapauksessa kokeile toista järjestelmänvalvojaa ja tarkista ISE:n saatavuus LDAP-palvelimelta LDAP-protokollan kautta.
Kuva 9. Luettelo vedetyistä käyttäjäryhmistä
7) Välilehdellä Ominaisuudet Voit halutessasi määrittää, mitkä LDAP-palvelimen attribuutit noudetaan ylös ja ikkunassa Lisäasetukset Ota käyttöön vaihtoehto Ota salasanan vaihto käyttöön, joka pakottaa käyttäjät vaihtamaan salasanansa, jos se on vanhentunut tai nollattu. Napsauta joka tapauksessa Lähetä jatkaa.
8) LDAP-palvelin ilmestyi vastaavaan välilehteen, ja sitä voidaan käyttää pääsykäytäntöjen muodostamiseen tulevaisuudessa.
Kuva 10. Luettelo lisätyistä LDAP-palvelimista
4. Integrointi Active Directoryn kanssa
1) Lisäämällä Microsoft Active Directory -palvelimen LDAP-palvelimeksi saimme käyttäjiä, käyttäjäryhmiä, mutta ei lokeja. Seuraavaksi ehdotan täysimittaisen AD-integraation määrittämistä Cisco ISE:n kanssa. Siirry välilehteen Hallinta → Identiteettien hallinta → Ulkoiset identiteettilähteet → Active Directory → Lisää.
Huom: onnistunut integrointi AD:n kanssa edellyttää, että ISE on toimialueella ja sillä on oltava täydet yhteydet DNS-, NTP- ja AD-palvelimiin, muuten siitä ei tule mitään.
Kuva 11. Active Directory -palvelimen lisääminen
2) Anna näkyviin tulevassa ikkunassa verkkotunnuksen järjestelmänvalvojan tiedot ja valitse valintaruutu Tallenna kirjautumistiedot. Lisäksi voit määrittää OU:n (Organizational Unit), jos ISE sijaitsee tietyssä organisaatioyksikössä. Seuraavaksi sinun on valittava Cisco ISE -solmut, jotka haluat muodostaa yhteyden toimialueeseen.
Kuva 12. Tunnistetietojen syöttäminen
3) Ennen kuin lisäät toimialueen ohjaimia, varmista, että PSN:ssä välilehdellä Hallinta → Järjestelmä → Käyttöönotto vaihtoehto käytössä Passiivinen identiteettipalvelu. Passiivinen ID - vaihtoehto, jonka avulla voit kääntää käyttäjän IP-osoitteeksi ja päinvastoin. PassiveID saa tiedot AD:sta WMI:n, erityisten AD-agenttien tai kytkimen SPAN-portin kautta (ei paras vaihtoehto).
Huom: Tarkista passiivisen tunnuksen tila kirjoittamalla ISE-konsoliin näytä sovelluksen tila ise | sisältää PassiveID.
Kuva 13. PassiveID-vaihtoehdon käyttöönotto
4) Siirry välilehdelle Hallinta → Identiteettihallinta → Ulkoiset identiteettilähteet → Active Directory → PassiveID ja valitse vaihtoehto Lisää DC:t. Valitse seuraavaksi tarvittavat toimialueen ohjaimet valintaruuduilla ja napsauta OK.
Kuva 14. Toimialueen ohjauskoneiden lisääminen
5) Valitse lisätyt DC:t ja napsauta -painiketta Muokata. eritellä FQDN DC, verkkotunnuksen kirjautumistunnus ja salasana sekä linkkivaihtoehto WMI tai Agentti. Valitse WMI ja napsauta OK.
Kuva 15 Toimialueen ohjaimen tietojen syöttäminen
6) Jos WMI ei ole ensisijainen tapa kommunikoida Active Directoryn kanssa, voidaan käyttää ISE-agentteja. Agenttimenetelmä on, että voit asentaa erikoisagentteja palvelimille, jotka lähettävät kirjautumistapahtumia. Asennusvaihtoehtoja on kaksi: automaattinen ja manuaalinen. Asenna agentti automaattisesti samaan välilehteen Passiivinen ID valita Lisää agentti → Ota uusi agentti käyttöön (DC:llä on oltava Internet-yhteys). Täytä sitten vaaditut kentät (agentin nimi, palvelimen FQDN, verkkotunnuksen järjestelmänvalvojan kirjautuminen/salasana) ja napsauta OK.
Kuva 16. ISE-agentin automaattinen asennus
7) Asenna Cisco ISE -agentti manuaalisesti valitsemalla kohde Rekisteröi olemassa oleva edustaja. Muuten, voit ladata agentin välilehdeltä Työkeskukset → Passiivinen ID → Palveluntarjoajat → Edustajat → Latausagentti.
Kuva 17. ISE-agentin lataaminen
Tärkeää: PassiveID ei lue tapahtumia liikemerkki! Aikakatkaisusta vastaava parametri kutsutaan käyttäjäistunnon ikääntymisaika ja oletuksena on 24 tuntia. Siksi sinun tulee joko kirjautua ulos itse työpäivän lopussa tai kirjoittaa jonkinlainen komentosarja, joka kirjautuu automaattisesti ulos kaikista sisäänkirjautuneista käyttäjistä.
Tiedoksi liikemerkki Käytetään "päätepisteantureita" - terminaaliantureita. Cisco ISE:ssä on useita päätepisteantureita: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. SÄDE anturin käyttäminen CoA (Change of Authorization) -paketit antavat tietoa käyttäjäoikeuksien muuttamisesta (tämä vaatii upotetun 802.1X) ja määritetty pääsykytkimiin SNMP, antaa tietoja liitetyistä ja irrotetuista laitteista.
Seuraava esimerkki koskee Cisco ISE + AD -kokoonpanoa ilman 802.1X:ää ja RADIUSTA: käyttäjä kirjautuu sisään Windows-koneeseen ilman uloskirjautumista, kirjautuu sisään toisesta tietokoneesta WiFin kautta. Tässä tapauksessa istunto ensimmäisessä PC:ssä on edelleen aktiivinen, kunnes tapahtuu aikakatkaisu tai pakotettu uloskirjautuminen tapahtuu. Jos laitteilla on sitten erilaiset oikeudet, viimeksi kirjautunut laite käyttää oikeuksiaan.
8) Valinnainen välilehdellä Hallinta → Identiteettihallinta → Ulkoiset identiteetin lähteet → Active Directory → Ryhmät → Lisää → Valitse ryhmät hakemistosta voit valita AD:sta ryhmät, jotka haluat noutaa ISE:ssä (meidän tapauksessamme tämä tehtiin vaiheessa 3 “LDAP-palvelimen lisääminen”). Valitse vaihtoehto Hae ryhmät → OK.
Kuva 18 a). Käyttäjäryhmien vetäminen Active Directorysta
9) Välilehdellä Työkeskukset → PassiveID → Yleiskatsaus → Kojelauta voit tarkkailla aktiivisten istuntojen määrää, tietolähteiden, agenttien ja paljon muuta.
Kuva 19. Verkkoalueen käyttäjien toiminnan seuranta
10) Välilehdellä Live-istunnot nykyiset istunnot näytetään. Integrointi AD:n kanssa on määritetty.
Kuva 20. Verkkotunnuksen käyttäjien aktiiviset istunnot
5. Päätelmä
Tässä artikkelissa käsiteltiin paikallisten käyttäjien luomista Cisco ISE:ssä, LDAP-palvelimien lisäämistä ja integrointia Microsoft Active Directoryn kanssa. Seuraava artikkeli korostaa vieraiden pääsyä tarpeettoman oppaan muodossa.
Jos sinulla on kysyttävää tästä aiheesta tai tarvitset apua tuotteen testaamiseen, ota yhteyttä .
Pysy kuulolla kanavien päivityksistä (, , , , ).
Lähde: will.com