Fàilte don dàrna foillseachadh de shreath artaigilean coisrigte do Cisco ISE. Anns a' chiad chaidh buannachdan agus eadar-dhealachaidhean fuasglaidhean Network Access Control (NAC) bho AAA àbhaisteach, cho sònraichte ‘s a tha Cisco ISE, ailtireachd agus pròiseas stàlaidh an toraidh a chomharrachadh.
San artaigil seo nì sinn sgrùdadh air cruthachadh chunntasan, cuir ri frithealaichean LDAP agus amalachadh le Microsoft Active Directory, a bharrachd air na h-nursaichean nuair a bhios tu ag obair le PassiveID. Mus leugh thu, tha mi a’ moladh gu làidir gun leugh thu .
1. Beagan briathrachais
Dearbh-aithne Cleachdaiche - cunntas cleachdaiche anns a bheil fiosrachadh mun neach-cleachdaidh agus a ghineadh na teisteanasan aige airson faighinn chun lìonra. Mar as trice tha na paramadairean a leanas air an sònrachadh ann an Dearbh-aithne Cleachdaiche: ainm-cleachdaidh, seòladh puist-d, facal-faire, tuairisgeul cunntais, buidheann luchd-cleachdaidh, agus dreuchd.
buidhnean cleachdaidh - Tha buidhnean luchd-cleachdaidh nan cruinneachadh de luchd-cleachdaidh fa leth aig a bheil seata cumanta de shochairean a leigeas leotha faighinn gu seata sònraichte de sheirbheisean agus feartan Cisco ISE.
Buidhnean dearbh-aithne luchd-cleachdaidh - buidhnean luchd-cleachdaidh ro-mhìnichte aig a bheil fiosrachadh agus dreuchdan sònraichte mu thràth. Tha na Buidhnean Dearbh-aithne Cleachdaiche a leanas ann gu bunaiteach agus faodaidh tu luchd-cleachdaidh agus buidhnean luchd-cleachdaidh a chur riutha: Neach-obrach, Urrasachd, Cunntasan Urrasachd, Cunntasan Urrasachd (cunntasan urrasachd airson a bhith a’ stiùireadh portal nan aoighean), Guest, ActivatedGuest.
neach-cleachdaidh- Is e dreuchd neach-cleachdaidh seata de cheadan a bhios a’ dearbhadh dè na gnìomhan as urrainn do neach-cleachdaidh a choileanadh agus dè na seirbheisean a gheibh neach-cleachdaidh. Gu tric bidh dreuchd neach-cleachdaidh co-cheangailte ri buidheann de luchd-cleachdaidh.
A bharrachd air an sin, tha buadhan a bharrachd aig gach buidheann cleachdaiche is cleachdaiche a leigeas leat an cleachdaiche seo (buidheann luchd-cleachdaidh) a thaghadh agus a mhìneachadh gu sònraichte. Tuilleadh fiosrachaidh ann an .
2. Cruthaich luchd-cleachdaidh ionadail
1) Tha comas aig Cisco ISE luchd-cleachdaidh ionadail a chruthachadh agus an cleachdadh ann am poileasaidh ruigsinneachd no eadhon dreuchd rianachd toraidh a thoirt seachad. Tagh Rianachd → Riaghladh Aithne → Dearbh-aithne → Luchd-cleachdaidh → Cuir ris.
Figear 1: A 'cur cleachdaiche ionadail ri Cisco ISE
2) Anns an uinneag a nochdas, cruthaich neach-cleachdaidh ionadail, thoir dha facal-faire agus paramadairean soilleir eile.
Figear 2. Cruthachadh Cleachdaiche Ionadail ann an Cisco ISE
3) Faodar luchd-cleachdaidh a thoirt a-steach cuideachd. Anns an aon tab Rianachd → Riaghladh Aithne → Dearbh-aithne → Luchd-cleachdaidh tagh roghainn Import agus luchdaich suas faidhle csv no txt le luchd-cleachdaidh. Gus teamplaid fhaighinn tagh Cruthaich Teamplaid, an uairsin bu chòir dhut a lìonadh le fiosrachadh mu luchd-cleachdaidh ann an cruth iomchaidh.
Figear 3 A’ toirt a-steach luchd-cleachdaidh gu Cisco ISE
3. A' cur frithealaichean LDAP ris
Leig leam do chuir an cuimhne gur e protocol ìre tagraidh mòr-chòrdte a th’ ann an LDAP a leigeas leat fiosrachadh fhaighinn, dearbhadh a dhèanamh, cunntasan a lorg ann an clàran frithealaiche LDAP, agus obrachadh air port 389 no 636 (SS). Is e eisimpleirean follaiseach de luchd-frithealaidh LDAP Active Directory, Sun Directory, Novell eDirectory agus OpenLDAP. Tha gach inntrig ann an eòlaire LDAP air a mhìneachadh le DN (Ainm Cliùiteach) agus gus poileasaidh ruigsinneachd a chuir ri chèile, thig an obair gus cunntasan fhaighinn air ais, buidhnean luchd-cleachdaidh agus buadhan.
Ann an Cisco ISE, tha e comasach ruigsinneachd a rèiteachadh gu mòran de luchd-frithealaidh LDAP, agus mar sin a’ cur an gnìomh call obrach. Mura h-eil am frithealaiche LDAP bun-sgoile (bun-sgoile) ri fhaighinn, feuchaidh ISE ri faighinn chun àrd-sgoil (àrd-sgoil) is mar sin air adhart. A bharrachd air an sin, ma tha 2 PAN ann, faodar prìomhachas a thoirt do aon LDAP airson a’ phrìomh PAN agus LDAP eile airson PAN àrd-sgoile.
Tha ISE a’ toirt taic do dhà sheòrsa lorg nuair a bhios iad ag obair le frithealaichean LDAP: User Lookup agus MAC Address Lookup. Leigidh User Lookup leat neach-cleachdaidh a sgrùdadh ann an stòr-dàta LDAP agus am fiosrachadh a leanas fhaighinn gun dearbhadh: luchd-cleachdaidh agus na feartan aca, buidhnean luchd-cleachdaidh. Leigidh MAC Address Lookup cuideachd dhut sgrùdadh a dhèanamh le seòladh MAC ann an clàran LDAP gun dearbhadh agus fiosrachadh fhaighinn mu inneal, buidheann de dh’ innealan a rèir seòlaidhean MAC agus buadhan sònraichte eile.
Mar eisimpleir de aonachadh, leig dhuinn Active Directory a chur ri Cisco ISE mar fhrithealaiche LDAP.
1) Rach don tab Rianachd → Riaghladh Aithne → Stòran Aithne Taobh a-muigh → LDAP → Cuir ris.
Figear 4. A 'cur ri frithealaiche LDAP
2) Anns a 'phannal Coitcheann sònraich ainm agus sgeama frithealaiche LDAP (anns a’ chùis againn, Active Directory).
Figear 5. A' cur ri frithealaiche LDAP le sgeama Active Directory
3) An uairsin rachaibh gu Ceangal tab agus tagh Ainm aoigheachd / seòladh IP Server AD, port (389 - LDAP, 636 - SSL LDAP), teisteanasan rianadair fearainn (Rianachd DN - làn DN), faodar paramadairean eile fhàgail mar an àbhaist.
thuirt: cleachd mion-fhiosrachadh an àrainn rianachd gus duilgheadasan a sheachnadh.
Figear 6 A’ dol a-steach dàta frithealaiche LDAP
4) Ann an tab Buidheann eòlaire bu chòir dhut an raon eòlaire a shònrachadh tron DN far an tarraing thu luchd-cleachdaidh agus buidhnean luchd-cleachdaidh.
Figear 7. A' dearbhadh chlàran às an tèid buidhnean luchd-cleachdaidh a tharraing suas
5) Rach don uinneig Buidhnean → Cuir ris → Tagh Buidhnean bhon chlàr gus buidhnean tarraing a thaghadh bhon fhrithealaiche LDAP.
Figear 8. A 'cur buidhnean bhon fhrithealaiche LDAP
6) Anns an uinneag a nochdas, cliog Faigh air ais Buidhnean. Ma tha na buidhnean air tarraing suas, tha na ceumannan tòiseachaidh air an coileanadh gu soirbheachail. Air neo, feuch rianadair eile agus thoir sùil air a bheil an ISE ri fhaighinn leis an t-seirbheisiche LDAP tro phròtacal LDAP.
Figear 9. Liosta de bhuidhnean luchd-cleachdaidh comasach
7) Ann an tab buadhan faodaidh tu gu roghnach sònrachadh dè na buadhan bhon t-seirbheisiche LDAP a bu chòir a tharraing suas, agus san uinneig Roghainnean adhartach roghainn comas Dèan comas air atharrachadh facal-faire, a bheir air luchd-cleachdaidh am facal-faire atharrachadh ma tha e air tighinn gu crìch no ma chaidh ath-shuidheachadh. Co-dhiù cliog Cuir a-steach a leantainn.
8) Bidh am frithealaiche LDAP a’ nochdadh anns an taba fhreagarrach agus faodar a chleachdadh nas fhaide air adhart gus poileasaidhean ruigsinneachd a chruthachadh.
Figear 10. Liosta de luchd-frithealaidh LDAP a chaidh a chur ris
4. Amalachadh le Active Directory
1) Le bhith a’ cur frithealaiche Microsoft Active Directory ris mar fhrithealaiche LDAP, fhuair sinn luchd-cleachdaidh, buidhnean luchd-cleachdaidh, ach gun logaichean. An uairsin, tha mi a’ moladh amalachadh AD làn-chuimseach a stèidheachadh le Cisco ISE. Rach gu tab Rianachd → Riaghladh Aithne → Stòran Aithne Taobh a-muigh → Active Directory → Cuir ris.
Note: airson amalachadh soirbheachail le AD, feumaidh ISE a bhith ann an raon agus làn cheangal a bhith aige ri frithealaichean DNS, NTP agus AD, air neo cha tig dad às.
Figear 11. A 'cur ri frithealaiche Active Directory
2) Anns an uinneag a nochdas, cuir a-steach mion-fhiosrachadh rianadair an àrainn agus thoir sùil air a’ bhogsa Teisteanasan Stòr. A bharrachd air an sin, faodaidh tu OU (Aonad Eagrachaidh) a shònrachadh ma tha an ISE suidhichte ann an OU sònraichte. An ath rud, feumaidh tu na nodan Cisco ISE a thaghadh a tha thu airson ceangal ris an àrainn.
Figear 12. A 'dol a-steach teisteanasan
3) Mus cuir thu riaghladairean fearainn ris, dèan cinnteach gu bheil sin air PSN anns an taba Rianachd → Siostam → Cleachdadh roghainn air a chomasachadh Seirbheis Aithneachaidh Fulangach. ID fulangach - roghainn a leigeas leat cleachdaiche eadar-theangachadh gu IP agus a chaochladh. Bidh PassiveID a’ faighinn fiosrachadh bho AD tro WMI, riochdairean AD sònraichte, no port SPAN air an suidse (chan e an roghainn as fheàrr).
Note: gus sgrùdadh a dhèanamh air inbhe ID fulangach, cuir a-steach don consol ISE seall inbhe an tagraidh ise | toirt a-steach PassiveID.
Figear 13. A 'comasachadh an roghainn PassiveID
4) Rach gu tab Rianachd → Riaghladh Aithne → Stòran Aithne Taobh a-muigh → Active Directory → PassiveID agus tagh an roghainn Cuir DCs ris. An uairsin, tagh na riaghladairean àrainn riatanach le bogsaichean sgrùdaidh agus cliog OK.
Figear 14. A 'cur ri riaghladairean fearainn
5) Tagh na DCan a bharrachd agus cliog air a’ phutan Deasaich. Sònraichibh FQDN an DC agad, logadh a-steach fearainn agus facal-faire, a bharrachd air roghainn conaltraidh WMI no àidseant. Tagh WMI agus cliog OK.
Figear 15. A 'dol a-steach fiosrachadh rianadair fearainn
6) Mura h-e WMI an dòigh as fheàrr air conaltradh le Active Directory, faodar riochdairean ISE a chleachdadh. Is e an dòigh àidseant gun urrainn dhut riochdairean sònraichte a chuir a-steach air na frithealaichean a chuireas a-mach tachartasan logadh a-steach. Tha 2 roghainn stàlaidh ann: fèin-ghluasadach agus làimhe. Gus an àidseant a chuir a-steach gu fèin-ghluasadach san aon tab ID fulangach tagh Cuir àidseant ris → Cuir an gnìomhaiche ùr (Feumaidh ruigsinneachd eadar-lìn a bhith aig DC). An uairsin lìon a-steach na raointean riatanach (ainm àidseant, frithealaiche FQDN, logadh a-steach rianadair fearainn / facal-faire) agus cliog OK.
Figear 16. Stàladh fèin-ghluasadach àidseant ISE
7) Gus an neach-ionaid Cisco ISE a stàladh le làimh, tagh an rud Clàraich an riochdaire a th’ ann mar-thà. Air an t-slighe, faodaidh tu an neach-ionaid a luchdachadh sìos anns an taba Ionadan Obrach → PassiveID → Luchd-solair → Luchd-ionaid luchdaich sìos.
Figear 17. A 'luchdachadh sìos an neach-ionaid ISE
Tha e cudromach gu: Cha leugh PassiveID tachartasan suaicheantas! Canar am paramadair a tha an urra ris an ùine-ama seisean cleachdaiche àm aosda agus co-ionann ri 24 uairean gu bunaiteach. Mar sin, bu chòir dhut an dàrna cuid logadh a-steach ort fhèin aig deireadh an latha-obrach, no sgrìobhadh de sheòrsa air choreigin a bheir suaicheantas gu fèin-ghluasadach don h-uile neach-cleachdaidh a tha air logadh a-steach.
Airson fiosrachadh suaicheantas Bithear a’ cleachdadh “deireadh-phuingean”. Tha grunn probes crìochnachaidh ann an Cisco ISE: RADIUS, SNMP Trap, Ceist SNMP, DHCP, DNS, HTTP, Netflow, NMAP Scan. radius cleachdadh probe CoA (Atharrachadh Ùghdarrachaidh) a’ toirt seachad fiosrachadh mu bhith ag atharrachadh chòraichean neach-cleachdaidh (feumaidh seo còd freumhaichte 802.1X), agus air a rèiteachadh air suidsichean ruigsinneachd SNMP, bheir e seachad fiosrachadh mu innealan ceangailte agus neo-cheangailte.
Tha an eisimpleir a leanas buntainneach airson rèiteachadh Cisco ISE + AD gun 802.1X agus RADIUS: tha neach-cleachdaidh air logadh a-steach air inneal Windows, gun a bhith a’ dèanamh logoff, log a-steach bho PC eile tro WiFi. Anns a ’chùis seo, bidh an seisean air a’ chiad PC fhathast gnìomhach gus an tachair ùine a-mach no gun tachair logadh èiginneach. An uairsin ma tha còraichean eadar-dhealaichte aig na h-innealan, cuiridh an inneal logadh a-steach mu dheireadh a chòraichean an sàs.
8) Roghainneil anns an taba Rianachd → Riaghladh dearbh-aithne → Stòran dearbh-aithne bhon taobh a-muigh → Active Directory → Buidhnean → Cuir ris → Tagh Buidhnean bhon chlàr faodaidh tu buidhnean a thaghadh bho AD a tha thu airson a tharraing suas air ISE (anns a’ chùis againn, chaidh seo a dhèanamh ann an ceum 3 “A’ cur frithealaiche LDAP ris”). Tagh roghainn Faigh Buidhnean air ais → Ceart gu leòr.
Figear 18 a). A’ tarraing buidhnean luchd-cleachdaidh bhon Active Directory
9) Ann an tab Ionadan obrach → PassiveID → Sealladh farsaing → Dashboard faodaidh tu sùil a chumail air an àireamh de sheiseanan gnìomhach, an àireamh de stòran dàta, àidseantan, agus barrachd.
Figear 19. A 'cumail sùil air gnìomhachd luchd-cleachdaidh fearainn
10) Ann an tab Seiseanan Beò tha seiseanan làithreach air an taisbeanadh. Tha amalachadh le AD air a rèiteachadh.
Figear 20. Seiseanan gnìomhach de luchd-cleachdaidh fearainn
5. Co-dhùnadh
Chòmhdaich an artaigil seo na cuspairean mu bhith a’ cruthachadh luchd-cleachdaidh ionadail ann an Cisco ISE, a’ cur frithealaichean LDAP ris, agus ag aonachadh le Microsoft Active Directory. Bidh an ath artaigil a’ soilleireachadh ruigsinneachd aoighean ann an cruth iùl gun fheum.
Ma tha ceist sam bith agad mun chuspair seo no ma tha feum agad air cuideachadh ann a bhith a’ dèanamh deuchainn air an toradh, cuir fios thugainn .
Cum sùil air airson ùrachaidhean anns na seanailean againn (, , , , ).
Source: www.habr.com