Benvido á segunda publicación da serie Cisco ISE. No primeiro destacáronse as vantaxes e diferenzas das solucións de control de acceso á rede (NAC) do estándar AAA, a singularidade de Cisco ISE, a arquitectura e o proceso de instalación do produto.
Neste artigo, afondaremos na creación de contas, en engadir servidores LDAP e na integración con Microsoft Active Directory, así como nos matices de traballar con PassiveID. Antes de ler, recoméndoche encarecidamente que leas .
1. Algunha terminoloxía
Identidade do usuario - unha conta de usuario que contén información sobre o usuario e xera as súas credenciais para acceder á rede. Os seguintes parámetros adoitan especificarse en Identidade de usuario: nome de usuario, enderezo de correo electrónico, contrasinal, descrición da conta, grupo de usuarios e función.
Grupos de usuarios - Os grupos de usuarios son unha colección de usuarios individuais que teñen un conxunto común de privilexios que lles permiten acceder a un conxunto específico de servizos e funcións de Cisco ISE.
Grupos de identidade de usuario - grupos de usuarios predefinidos que xa teñen determinada información e roles. Os seguintes grupos de identidade de usuario existen por defecto, pode engadir usuarios e grupos de usuarios a eles: Employee (empregado), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (contas de patrocinador para xestionar o portal de convidados), Guest (convidado), ActivatedGuest (convidado activado).
rol de usuario- Un rol de usuario é un conxunto de permisos que determinan que tarefas pode realizar un usuario e a que servizos pode acceder. Moitas veces un rol de usuario está asociado a un grupo de usuarios.
Ademais, cada usuario e grupo de usuarios ten atributos adicionais que permiten seleccionar e definir máis concretamente este usuario (grupo de usuarios). Máis información en .
2. Crea usuarios locais
1) Cisco ISE ten a capacidade de crear usuarios locais e utilizalos nunha política de acceso ou incluso dar un papel de administración de produtos. Seleccione Administración → Xestión de identidades → Identidades → Usuarios → Engadir.
Figura 1 Engadir un usuario local a Cisco ISE
2) Na xanela que aparece, crea un usuario local, establece un contrasinal e outros parámetros comprensibles.
Figura 2. Creación dun usuario local en Cisco ISE
3) Tamén se poden importar usuarios. Na mesma pestana Administración → Xestión de identidades → Identidades → Usuarios seleccione unha opción Importar e cargar ficheiros csv ou txt cos usuarios. Para obter un modelo, seleccione Xerar un modelo, entón debería cubrirse con información sobre os usuarios nun formulario axeitado.
Figura 3 Importación de usuarios a Cisco ISE
3. Engadindo servidores LDAP
Permíteme lembrar que LDAP é un protocolo popular a nivel de aplicación que che permite recibir información, realizar autenticacións, buscar contas nos directorios dos servidores LDAP, traballar no porto 389 ou 636 (SS). Exemplos destacados de servidores LDAP son Active Directory, Sun Directory, Novell eDirectory e OpenLDAP. Cada entrada do directorio LDAP está definida por un DN (nome distinguido) e a tarefa de recuperar contas, grupos de usuarios e atributos lévase a formar unha política de acceso.
En Cisco ISE, é posible configurar o acceso a moitos servidores LDAP, implementando así a redundancia. Se o servidor LDAP principal (primario) non está dispoñible, entón ISE tentará acceder ao secundario (secundario) e así por diante. Ademais, se hai 2 PAN, pódese priorizar un LDAP para o PAN principal e outro LDAP para o PAN secundario.
ISE admite 2 tipos de buscas cando se traballa con servidores LDAP: Busca de usuarios e Busca de enderezos MAC. A busca de usuarios permítelle buscar un usuario na base de datos LDAP e obter a seguinte información sen autenticación: usuarios e os seus atributos, grupos de usuarios. A busca de enderezos MAC tamén lle permite buscar por enderezo MAC nos directorios LDAP sen autenticación e obter información sobre o dispositivo, un grupo de dispositivos por enderezos MAC e outros atributos específicos.
Como exemplo de integración, agreguemos Active Directory a Cisco ISE como servidor LDAP.
1) Vaia á pestana Administración → Xestión de identidades → Fontes de identidade externas → LDAP → Engadir.
Figura 4. Engadir un servidor LDAP
2) En panel xeral especifique o nome e o esquema do servidor LDAP (no noso caso, Active Directory).
Figura 5. Engadir un servidor LDAP cun esquema de Active Directory
3) A continuación vai a Conexión ficha e seleccione Nome de host/enderezo IP Servidor AD, porto (389 - LDAP, 636 - SSL LDAP), credenciais de administrador de dominio (Admin DN - DN completo), outros parámetros pódense deixar como predeterminados.
Nota: use os detalles do dominio de administración para evitar posibles problemas.
Figura 6 Introdución de datos do servidor LDAP
4) Nunha pestana Organización do directorio debes especificar a área de directorio a través do DN desde onde tirar usuarios e grupos de usuarios.
Figura 7. Determinación de directorios desde onde os grupos de usuarios poden extraer
5) Vaia á xanela Grupos → Engadir → Seleccionar grupos do directorio para seleccionar grupos de extracción do servidor LDAP.
Figura 8. Engadindo grupos desde o servidor LDAP
6) Na xanela que aparece, fai clic Recuperar grupos. Se os grupos se levantaron, os pasos preliminares completáronse con éxito. En caso contrario, proba con outro administrador e comprobe a dispoñibilidade do ISE co servidor LDAP mediante o protocolo LDAP.
Figura 9. Lista de grupos de usuarios tirados
7) Nunha pestana Atributos Opcionalmente, pode especificar que atributos do servidor LDAP se deben mostrar na xanela Opcións avanzadas opción habilitar Activa o cambio de contrasinal, o que obrigará aos usuarios a cambiar o seu contrasinal se este caducou ou se restableceu. De todos os xeitos prema someter Continuar.
8) O servidor LDAP apareceu na pestana correspondente e pódese usar para formar políticas de acceso no futuro.
Figura 10. Lista de servidores LDAP engadidos
4. Integración con Active Directory
1) Ao engadir o servidor Microsoft Active Directory como servidor LDAP, obtivemos usuarios, grupos de usuarios, pero sen rexistros. A continuación, propoño configurar a integración de AD completa con Cisco ISE. Vaia á pestana Administración → Xestión de identidades → Fontes de identidade externas → Active Directory → Engadir.
Nota: para unha integración exitosa con AD, ISE debe estar nun dominio e ter unha conectividade completa con servidores DNS, NTP e AD, se non, non sairá nada.
Figura 11. Engadir un servidor de Active Directory
2) Na xanela que aparece, introduza os detalles do administrador de dominio e marque a caixa Credenciais da tenda. Ademais, pode especificar unha OU (unidade organizativa) se o ISE está situado nunha OU específica. A continuación, terás que seleccionar os nodos de Cisco ISE que queres conectar ao dominio.
Figura 12. Introdución de credenciais
3) Antes de engadir controladores de dominio, asegúrate de que na pestana PSN Administración → Sistema → Implementación opción activada Servizo de identidade pasiva. ID pasivo - unha opción que che permite traducir Usuario a IP e viceversa. PassiveID obtén información de AD a través de WMI, axentes especiais de AD ou o porto SPAN no switch (non é a mellor opción).
Nota: para comprobar o estado do ID pasivo, escriba na consola ISE mostrar o estado da aplicación ise | inclúe PassiveID.
Figura 13. Activación da opción PassiveID
4) Vaia á pestana Administración → Xestión de identidades → Fontes de identidade externas → Directorio activo → ID pasivo e seleccione a opción Engadir DC. A continuación, seleccione os controladores de dominio necesarios coas caixas de verificación e prema Aceptar.
Figura 14. Engadindo controladores de dominio
5) Seleccione os DC engadidos e prema no botón Editar. Indíqueo FQDN o teu DC, inicio de sesión e contrasinal do dominio e unha opción de ligazón WMI ou Axente. Seleccione WMI e prema Aceptar.
Figura 15 Introdución dos detalles do controlador de dominio
6) Se WMI non é a forma preferida de comunicarse con Active Directory, pódense usar axentes ISE. O método do axente é que pode instalar axentes especiais nos servidores que emitirán eventos de inicio de sesión. Hai 2 opcións de instalación: automática e manual. Para instalar automaticamente o axente na mesma pestana ID pasivo seleccionar elemento Engadir axente → Implementar novo axente (DC debe ter acceso a Internet). A continuación, encha os campos obrigatorios (nome do axente, FQDN do servidor, inicio de sesión/contrasinal do administrador de dominio) e prema Aceptar.
Figura 16. Instalación automática do axente ISE
7) Para instalar manualmente o axente de Cisco ISE, seleccione o elemento Rexistrar o axente existente. Por certo, podes descargar o axente na pestana Centros de traballo → PassiveID → Provedores → Axentes → Axente de descarga.
Figura 17. Descarga do axente ISE
Importante: PassiveID non le eventos desconectarse! Chámase o parámetro responsable do tempo de espera tempo de envellecemento da sesión do usuario e é igual a 24 horas por defecto. Polo tanto, debes cerrar sesión ao final da xornada laboral ou escribir algún tipo de script que desconecte automaticamente todos os usuarios iniciados.
Para información desconectarse Utilízanse "sondas de punto final" - sondas terminais. Existen varias sondas de punto final en Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS sonda usando CoA Os paquetes (Cambio de autorización) ofrecen información sobre o cambio de dereitos de usuario (isto require un 802.1X), e configurado nos interruptores de acceso SNMP, dará información sobre os dispositivos conectados e desconectados.
O seguinte exemplo é relevante para unha configuración de Cisco ISE + AD sen 802.1X e RADIUS: un usuario inicia sesión nunha máquina con Windows, sen facer a sesión, inicia sesión desde outro PC a través de WiFi. Neste caso, a sesión no primeiro PC seguirá estando activa ata que se produza un tempo de espera ou se produza unha pechada forzada. Entón, se os dispositivos teñen dereitos diferentes, aplicará os seus dereitos o último dispositivo conectado.
8) Opcional na pestana Administración → Xestión de identidades → Fontes de identidade externas → Active Directory → Grupos → Engadir → Seleccionar grupos do directorio pode seleccionar grupos de AD que quere extraer en ISE (no noso caso, fíxose no paso 3 "Engadir un servidor LDAP"). Escolle unha opción Recuperar grupos → Aceptar.
Figura 18 a). Extraer grupos de usuarios de Active Directory
9) Nunha pestana Centros de traballo → ID pasivo → Visión xeral → Panel de control podes observar o número de sesións activas, o número de fontes de datos, axentes e moito máis.
Figura 19. Seguimento da actividade dos usuarios do dominio
10) Nunha pestana Sesións en directo móstranse as sesións actuais. A integración con AD está configurada.
Figura 20. Sesións activas dos usuarios do dominio
5. Conclusión
Este artigo cubriu os temas sobre a creación de usuarios locais en Cisco ISE, a adición de servidores LDAP e a integración con Microsoft Active Directory. O seguinte artigo destacará o acceso dos hóspedes en forma de guía redundante.
Se tes preguntas sobre este tema ou necesitas axuda para probar o produto, ponte en contacto .
Estade atentos ás novidades nas nosas canles (, , , , ).
Fonte: www.habr.com