Wolkom by de twadde publikaasje fan in rige artikels wijd oan Cisco ISE. Yn de earste de foardielen en ferskillen fan Network Access Control (NAC) oplossings út standert AAA, de eigenheid fan Cisco ISE, de arsjitektuer en ynstallaasje proses fan it produkt waarden markearre.
Yn dit artikel sille wy ferdjipje yn it meitsjen fan akkounts, tafoegjen fan LDAP-tsjinners en yntegraasje mei Microsoft Active Directory, lykas de nuânses by it wurkjen mei PassiveID. Foardat jo lêze, advisearje ik jo sterk te lêzen .
1. Guon terminology
User Identity - in brûkersaccount dat ynformaasje befettet oer de brûker en syn referinsjes foarmet foar tagong ta it netwurk. De folgjende parameters wurde typysk spesifisearre yn brûkersidentiteit: brûkersnamme, e-mailadres, wachtwurd, akkountbeskriuwing, brûkersgroep en rol.
Brûkersgroepen - Brûkersgroepen binne in kolleksje fan yndividuele brûkers dy't in mienskiplike set privileezjes hawwe wêrmei se tagong krije ta in spesifike set Cisco ISE tsjinsten en funksjes.
Brûkersidentiteitsgroepen - foarôf definieare brûkersgroepen dy't al bepaalde ynformaasje en rollen hawwe. De folgjende brûkersidentiteitsgroepen besteane standert en jo kinne brûkers en brûkersgroepen oan har tafoegje: Meiwurker, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsorakkounts foar it behearen fan it gastportaal), Gast, ActivatedGuest.
Brûkersrol - In brûkersrol is in set fan tagongsrjochten dy't bepale hokker taken in brûker kin útfiere en hokker tsjinsten in brûker tagong hat. Faak wurdt in brûkersrol ferbûn mei in groep brûkers.
Boppedat hat elke brûker en brûkersgroep ekstra attributen wêrmei jo in bepaalde brûker (brûkersgroep) markearje en mear spesifyk definiearje kinne. Mear ynformaasje yn .
2. Meitsje lokale brûkers
1) Yn Cisco ISE is it mooglik om lokale brûkers te meitsjen en se te brûken yn tagongsbelied of sels de rol fan produktadministraasje te jaan. Útkieze Behear → Identiteitsbehear → Identiteiten → Brûkers → Taheakje.
figuer 1: It tafoegjen fan in lokale brûker oan Cisco ISE
2) Meitsje yn it finster dat ferskynt in lokale brûker, jou him in wachtwurd en oare dúdlike parameters.
figuer 2. It meitsjen fan in lokale brûker yn Cisco ISE
3) Brûkers kinne ek wurde ymportearre. Yn deselde ljepper Behear → Identiteitsbehear → Identiteiten → Brûkers selektearje in opsje Ymport en upload in csv- of txt-bestân mei brûkers. Om it sjabloan te krijen, selektearje Generearje in sjabloan, dan moatte jo it ynfolje mei ynformaasje oer brûkers yn in gaadlike foarm.
figuer 3. Ymportearje brûkers yn Cisco ISE
3. It tafoegjen fan LDAP-tsjinners
Lit my jo herinnerje dat LDAP in populêr protokol op tapassingsnivo is wêrmei jo ynformaasje kinne ûntfange, autentikaasje útfiere, sykje nei akkounts yn LDAP-tsjinnermappen, en wurket op poarte 389 of 636 (SS). Promininte foarbylden fan LDAP-tsjinners binne Active Directory, Sun Directory, Novell eDirectory en OpenLDAP. Elke yngong yn 'e LDAP-map wurdt definieare troch in DN (Distinguished Name) en om in tagongsbelied te formulearjen, ûntstiet de taak om akkounts, brûkersgroepen en attributen op te heljen.
Yn Cisco ISE is it mooglik om te konfigurearjen tagong ta in protte LDAP tsjinners, dêrmei realisearje oerstallich. As de primêre LDAP-tsjinner net beskikber is, sil ISE besykje kontakt te meitsjen mei de sekundêre, ensfh. Derneist, as d'r 2 PAN's binne, dan kin ien LDAP prioritearre wurde foar de primêre PAN, en in oare LDAP kin prioritearre wurde foar de sekundêre PAN.
ISE stipet 2 soarten opsykjen by it wurkjen mei LDAP-tsjinners: User Lookup en MAC Address Lookup. Meidogger Lookup lit jo in brûker sykje yn in LDAP-database en de folgjende ynformaasje ophelje sûnder autentikaasje: brûkers en har attributen, brûkersgroepen. MAC Address Lookup lit jo ek sykje op MAC-adres yn LDAP-mappen sûnder autentikaasje en ynformaasje krije oer in apparaat, in groep apparaten troch MAC-adressen en oare spesifike attributen.
As foarbyld fan yntegraasje, lit ús tafoegje Active Directory oan Cisco ISE as in LDAP-tsjinner.
1) Gean nei de ljepper Behear → Identiteitsbehear → Eksterne identiteitsboarnen → LDAP → Taheakje.
figuer 4. It tafoegjen fan in LDAP tsjinner
2) Yn it paniel Algemien spesifisearje de LDAP-tsjinner namme en skema (yn ús gefal Active Directory).
figuer 5. It tafoegjen fan in LDAP-tsjinner mei in Active Directory-skema
3) Folgjende gean nei Ferbining ljepper en spesifisearje Hostnamme / IP-adres Tsjinner AD, poarte (389 - LDAP, 636 - SSL LDAP), domeinbehearder credentials (Admin DN - folsleine DN), oare parameters kinne wurde oerlitten as standert.
remark: Brûk de details fan it admin-domein om potinsjele problemen te foarkommen.
figuer 6. It ynfieren fan LDAP tsjinner gegevens
4) In tab Directory Organisaasje jo moatte it mapgebiet opjaan fia DN wêrút brûkers en brûkersgroepen kinne lûke.
figuer 7. Bepale mappen út dêr't te lûken up brûkersgroepen
5) Gean nei it finster Groepen → Taheakje → Selektearje groepen út map om lûkgroepen fan 'e LDAP-tsjinner te selektearjen.
figuer 8. It tafoegjen fan groepen fan de LDAP-tsjinner
6) Klikje yn it finster dat ferskynt Groepen ophelje. As de groepen lid binne, dan binne de foarriedige stappen mei súkses foltôge. Besykje oars in oare behearder en kontrolearje de beskikberens fan ISE mei in LDAP-tsjinner mei it LDAP-protokol.
figuer 9. List fan ynskeakele brûker groepen
7) In tab attributen jo kinne opsjoneel oantsjutte hokker attributen fan de LDAP-tsjinner moatte wurde oplutsen, en yn it finster Avansearre ynstellings opsje ynskeakelje Wachtwurdferoaring ynskeakelje, dy't brûkers twinge om har wachtwurd te feroarjen as it ferrûn is of weromset is. Hoe dan ek, klik Submit trochgean.
8) De LDAP-tsjinner ferskynt yn 'e oerienkommende ljepper en kin letter brûkt wurde om tagongsbelied te meitsjen.
figuer 10. List fan tafoege LDAP tsjinners
4. Yntegraasje mei Active Directory
1) Troch de Microsoft Active Directory-tsjinner ta te foegjen as in LDAP-tsjinner, krigen wy brûkers, brûkersgroepen, mar gjin logs. Folgjende stel ik foar in opsetten fan folsleine AD-yntegraasje mei Cisco ISE. Gean nei de ljepper Behear → Identiteitsbehear → Eksterne identiteitsboarnen → Active Directory → Taheakje.
Tink derom: Foar suksesfolle yntegraasje mei AD moat ISE yn in domein wêze en folsleine ferbining hawwe mei DNS-, NTP- en AD-tsjinners, oars sil neat wurkje.
figuer 11. It tafoegjen fan in Active Directory tsjinner
2) Fier yn it finster dat ferskynt de domeinbehearderynformaasje yn en selektearje it fakje Store Credentials. Derneist kinne jo in OU (Organizational Unit) opjaan as de ISE yn in spesifike OU leit. Dêrnei moatte jo de Cisco ISE-knooppunten selektearje dy't jo wolle ferbine mei it domein.
figuer 12. It ynfieren fan bewiisbrieven
3) Foardat jo domeincontrollers tafoegje, soargje derfoar dat op PSN yn 'e ljepper Behear → Systeem → Ynset opsje ynskeakele Passive Identity Service. PassiveID - in opsje wêrmei jo brûkers kinne oersette nei IP en oarsom. PassiveID ûntfangt ynformaasje fan AD fia WMI, spesjale AD-aginten, of in SPAN-poarte op 'e switch (net de bêste opsje).
Tink derom: om de Passive ID-status te kontrolearjen, ynfiere yn 'e ISE-konsole show applikaasje status is | befetsje PassiveID.
figuer 13. It ynskeakeljen fan de PassiveID opsje
4) Gean nei tab Behear → Identiteitsbehear → Eksterne identiteitsboarnen → Active Directory → PassiveID en selektearje de opsje Foegje DCs ta. Selektearje dan de fereaske domeincontrollers troch karfakjes en klikje OK.
figuer 14. It tafoegjen fan domein controllers
5) Selektearje de tafoege DC's en klikje op de knop Bewurkje. Graach oanjaan FQDN dyn DC, domein login en wachtwurd, likegoed as in kommunikaasje opsje WMI of Agint. Selektearje WMI en klikje OK.
figuer 15. It ynfieren fan domein controller ynformaasje
6) As WMI net de foarkar metoade is om te kommunisearjen mei Active Directory, dan kinne ISE-aginten brûkt wurde. De agintmetoade is dat jo spesjale aginten kinne ynstallearje op 'e tsjinner dy't login-eveneminten sil útjaan. Der binne 2 ynstallaasje opsjes: automatysk en hânmjittich. Om automatysk de agint yn deselde ljepper te ynstallearjen PassiveID selektearje item Agent tafoegje → Nije agint ynsette (DC moat ynternet tagong hawwe). Folje dan de fereaske fjilden yn (agintnamme, server FQDN, login/wachtwurd fan domeinbehearder) en klikje op OK.
figuer 16. Automatyske ynstallaasje fan ISE agent
7) Foar in hânmjittich ynstallearje Cisco ISE agent, Jo moatte selektearje Registrearje Besteande Agent. Trouwens, jo kinne de agent downloade yn 'e ljepper Wurksintra → PassiveID → Oanbieders → Aginten → Download Agent.
figuer 17. It ynladen fan de ISE agint
It is wichtich foar: PassiveID lêst gjin eveneminten útlogge! De parameter ferantwurdlik foar de timeout wurdt neamd brûker sesje fergrizing tiid en is standert gelyk oan 24 oeren. Dêrom moatte jo josels oan 'e ein fan' e wurkdei ôfmelde, of in soarte fan skript skriuwe dat automatysk alle oanmelde brûkers sil ôfmelde.
Foar ynformaasje útlogge "Eindpuntprobes" wurde brûkt. D'r binne ferskate einpuntprobes yn Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. radius sonde brûke CoA (feroaring fan autorisaasje) pakketten jouwe ynformaasje oer it feroarjen fan brûkersrjochten (dit fereasket in ynbêde 802.1X), en SNMP konfigureare op tagongswikselers sil ynformaasje jaan oer ferbûne en loskeppele apparaten.
Hjirûnder is in foarbyld relevant foar in Cisco ISE + AD konfiguraasje sûnder 802.1X en RADIUS: de brûker is oanmeld op in Windows masine, sûnder dwaan in ôfmelden, oanmelde fan in oare PC fia WiFi. Yn dit gefal sil de sesje op 'e earste PC noch aktyf wêze oant in time-out optreedt of in twongen ôfmelden komt. Dan, as apparaten oare rjochten hawwe, sil it lêste oanmelde apparaat syn rjochten tapasse.
8) Ekstra yn 'e ljepper Behear → Identiteitsbehear → Eksterne identiteitsboarnen → Active Directory → Groepen → Taheakje → Selektearje groepen út map jo kinne groepen fan AD selektearje dy't jo taheakje wolle oan ISE (yn ús gefal waard dit dien yn stap 3 "Tafoegjen fan in LDAP-tsjinner"). Selektearje in opsje Groepen ophelje → OK.
figuer 18a). It lûken fan brûkersgroepen út Active Directory
9) In tab Wurksintra → PassiveID → Oersjoch → Dashboard jo kinne it oantal aktive sesjes, it oantal gegevensboarnen, aginten, en mear kontrolearje.
figuer 19. Monitoring domein brûker aktiviteit
10) In tab Live sesjes aktuele sesjes wurde werjûn. Yntegraasje mei AD is konfigurearre.
Figure 20. Aktive sesjes fan domein brûkers
5. Fermelding
Dit artikel behannele de ûnderwerpen fan it meitsjen fan lokale brûkers yn Cisco ISE, it tafoegjen fan LDAP-tsjinners en yntegrearjen mei Microsoft Active Directory. It folgjende artikel sil de tagong fan gasten yn 'e foarm fan in oerstallige gids.
As jo fragen hawwe oer dit ûnderwerp of help nedich hawwe by it testen fan it produkt, nim dan kontakt op .
Bliuw op 'e hichte foar updates yn ús kanalen (, , , , ).
Boarne: www.habr.com