સિસ્કો ISE: વપરાશકર્તાઓ બનાવવા, LDAP સર્વર્સ ઉમેરવા, AD સાથે સંકલન. ભાગ 2

સિસ્કો ISE શ્રેણીની બીજી પોસ્ટમાં આપનું સ્વાગત છે. પ્રથમ માં લેખ  પ્રમાણભૂત AAA માંથી નેટવર્ક એક્સેસ કંટ્રોલ (NAC) સોલ્યુશનના ફાયદા અને તફાવતો, સિસ્કો ISE ની વિશિષ્ટતા, આર્કિટેક્ચર અને ઉત્પાદનની ઇન્સ્ટોલેશન પ્રક્રિયાને પ્રકાશિત કરવામાં આવી હતી.

આ લેખમાં, અમે એકાઉન્ટ્સ બનાવવા, LDAP સર્વર્સ ઉમેરવા અને માઇક્રોસોફ્ટ એક્ટિવ ડિરેક્ટરી સાથે સંકલિત કરવા તેમજ PassiveID સાથે કામ કરવાની ઘોંઘાટ વિશે વિચાર કરીશું. વાંચતા પહેલા, હું ભારપૂર્વક ભલામણ કરું છું કે તમે વાંચો પ્રથમ ભાગ.

1. કેટલીક પરિભાષા

વપરાશકર્તા ઓળખ - એક વપરાશકર્તા ખાતું જેમાં વપરાશકર્તા વિશેની માહિતી હોય છે અને નેટવર્કને ઍક્સેસ કરવા માટે તેના ઓળખપત્રો જનરેટ કરે છે. નીચેના પરિમાણો સામાન્ય રીતે વપરાશકર્તા ઓળખમાં નિર્દિષ્ટ કરવામાં આવે છે: વપરાશકર્તા નામ, ઇમેઇલ સરનામું, પાસવર્ડ, એકાઉન્ટ વર્ણન, વપરાશકર્તા જૂથ અને ભૂમિકા.

વપરાશકર્તા જૂથો - વપરાશકર્તા જૂથો એ વ્યક્તિગત વપરાશકર્તાઓનો સંગ્રહ છે જેમની પાસે વિશેષાધિકારોનો સામાન્ય સમૂહ છે જે તેમને Cisco ISE સેવાઓ અને કાર્યોના ચોક્કસ સેટને ઍક્સેસ કરવાની મંજૂરી આપે છે.

વપરાશકર્તા ઓળખ જૂથો - પૂર્વવ્યાખ્યાયિત વપરાશકર્તા જૂથો કે જેની પાસે પહેલેથી ચોક્કસ માહિતી અને ભૂમિકાઓ છે. નીચેના વપરાશકર્તા ઓળખ જૂથો મૂળભૂત રીતે અસ્તિત્વમાં છે, તમે તેમાં વપરાશકર્તાઓ અને વપરાશકર્તા જૂથો ઉમેરી શકો છો: કર્મચારી (કર્મચારી), પ્રાયોજક બધા ખાતા, પ્રાયોજક જૂથ ખાતાઓ, પ્રાયોજક ઓન એકાઉન્ટ્સ (અતિથિ પોર્ટલનું સંચાલન કરવા માટેના પ્રાયોજક એકાઉન્ટ્સ), અતિથિ (અતિથિ), સક્રિય મહેમાન (સક્રિય મહેમાન).

વપરાશકર્તાની ભૂમિકા- વપરાશકર્તા ભૂમિકા એ પરવાનગીઓનો સમૂહ છે જે નિર્ધારિત કરે છે કે વપરાશકર્તા કયા કાર્યો કરી શકે છે અને કઈ સેવાઓ ઍક્સેસ કરી શકે છે. ઘણીવાર વપરાશકર્તાની ભૂમિકા વપરાશકર્તાઓના જૂથ સાથે સંકળાયેલી હોય છે.

તદુપરાંત, દરેક વપરાશકર્તા અને વપરાશકર્તા જૂથમાં વધારાના લક્ષણો છે જે તમને આ વપરાશકર્તા (વપરાશકર્તા જૂથ) ને પસંદ કરવા અને વધુ વિશિષ્ટ રીતે વ્યાખ્યાયિત કરવાની મંજૂરી આપે છે. માં વધુ માહિતી માર્ગદર્શન.

2. સ્થાનિક વપરાશકર્તાઓ બનાવો

1) Cisco ISE પાસે સ્થાનિક વપરાશકર્તાઓ બનાવવાની અને ઍક્સેસ નીતિમાં તેનો ઉપયોગ કરવાની અથવા ઉત્પાદન વહીવટની ભૂમિકા પણ આપવાની ક્ષમતા છે. પસંદ કરો વહીવટ → ઓળખ સંચાલન → ઓળખ → વપરાશકર્તાઓ → ઉમેરો.

આકૃતિ 1 સિસ્કો ISE માં સ્થાનિક વપરાશકર્તાને ઉમેરવું

2) દેખાતી વિંડોમાં, સ્થાનિક વપરાશકર્તા બનાવો, પાસવર્ડ અને અન્ય સમજી શકાય તેવા પરિમાણો સેટ કરો.

આકૃતિ 2. સિસ્કો ISE માં સ્થાનિક વપરાશકર્તા બનાવી રહ્યા છે

3) વપરાશકર્તાઓને પણ આયાત કરી શકાય છે. એ જ ટેબમાં વહીવટ → ઓળખ સંચાલન → ઓળખ → વપરાશકર્તાઓ એક વિકલ્પ પસંદ કરો આયાત અને વપરાશકર્તાઓ સાથે csv અથવા txt ફાઇલ અપલોડ કરો. નમૂના મેળવવા માટે પસંદ કરો એક ટેમ્પલેટ જનરેટ કરો, પછી તે યોગ્ય ફોર્મમાં વપરાશકર્તાઓ વિશેની માહિતીથી ભરેલું હોવું જોઈએ.

આકૃતિ 3 સિસ્કો ISE માં વપરાશકર્તાઓને આયાત કરી રહ્યાં છે

3. LDAP સર્વર્સ ઉમેરી રહ્યા છે

હું તમને યાદ કરાવું કે LDAP એ એક લોકપ્રિય એપ્લિકેશન-સ્તરનો પ્રોટોકોલ છે જે તમને માહિતી પ્રાપ્ત કરવા, પ્રમાણીકરણ કરવા, LDAP સર્વરની ડિરેક્ટરીઓમાં એકાઉન્ટ્સ શોધવા, પોર્ટ 389 અથવા 636 (SS) પર કામ કરવાની મંજૂરી આપે છે. એલડીએપી સર્વર્સના અગ્રણી ઉદાહરણો એક્ટિવ ડિરેક્ટરી, સન ડિરેક્ટરી, નોવેલ ઇડિરેક્ટરી અને ઓપનએલડીએપી છે. LDAP ડિરેક્ટરીમાં દરેક એન્ટ્રીને DN (વિશિષ્ટ નામ) દ્વારા વ્યાખ્યાયિત કરવામાં આવે છે અને એકાઉન્ટ્સ, વપરાશકર્તા જૂથો અને વિશેષતાઓ પુનઃપ્રાપ્ત કરવાનું કાર્ય ઍક્સેસ નીતિ બનાવવા માટે ઉભું કરવામાં આવે છે.

સિસ્કો ISE માં, ઘણા LDAP સર્વરની ઍક્સેસને રૂપરેખાંકિત કરવાનું શક્ય છે, જેનાથી રિડન્ડન્સી અમલમાં આવે છે. જો પ્રાથમિક (પ્રાથમિક) LDAP સર્વર ઉપલબ્ધ ન હોય, તો ISE ગૌણ (ગૌણ) અને તેથી વધુને ઍક્સેસ કરવાનો પ્રયાસ કરશે. વધુમાં, જો ત્યાં 2 PAN હોય, તો એક LDAP પ્રાથમિક PAN માટે અને બીજા LDAPને ગૌણ PAN માટે પ્રાથમિકતા આપી શકાય છે.

LDAP સર્વર્સ સાથે કામ કરતી વખતે ISE 2 પ્રકારના લુકઅપ (લુકઅપ) ને સપોર્ટ કરે છે: વપરાશકર્તા લુકઅપ અને MAC એડ્રેસ લુકઅપ. વપરાશકર્તા લુકઅપ તમને LDAP ડેટાબેઝમાં વપરાશકર્તાને શોધવા અને પ્રમાણીકરણ વિના નીચેની માહિતી મેળવવા માટે પરવાનગી આપે છે: વપરાશકર્તાઓ અને તેમના લક્ષણો, વપરાશકર્તા જૂથો. MAC એડ્રેસ લુકઅપ તમને પ્રમાણીકરણ વિના LDAP ડિરેક્ટરીઓમાં MAC એડ્રેસ દ્વારા શોધવા અને ઉપકરણ વિશેની માહિતી, MAC સરનામાંઓ દ્વારા ઉપકરણોનું જૂથ અને અન્ય વિશિષ્ટ વિશેષતાઓ મેળવવાની પણ પરવાનગી આપે છે.

એકીકરણના ઉદાહરણ તરીકે, ચાલો સિસ્કો ISE માં LDAP સર્વર તરીકે એક્ટિવ ડિરેક્ટરી ઉમેરીએ.

1) ટેબ પર જાઓ વહીવટ → ઓળખ સંચાલન → બાહ્ય ઓળખ સ્ત્રોતો → LDAP → ઉમેરો. 

આકૃતિ 4. LDAP સર્વર ઉમેરી રહ્યા છે

2) પેનલમાં જનરલ LDAP સર્વર નામ અને યોજના સ્પષ્ટ કરો (અમારા કિસ્સામાં, સક્રિય ડિરેક્ટરી). 

આકૃતિ 5. સક્રિય ડિરેક્ટરી સ્કીમા સાથે LDAP સર્વરને ઉમેરી રહ્યા છે

3) આગળ જાઓ કનેક્શન ટેબ અને પસંદ કરો હોસ્ટનામ/IP સરનામું સર્વર AD, પોર્ટ (389 - LDAP, 636 - SSL LDAP), ડોમેન એડમિનિસ્ટ્રેટર ઓળખપત્ર (એડમિન DN - સંપૂર્ણ DN), અન્ય પરિમાણોને ડિફોલ્ટ તરીકે છોડી શકાય છે.

નોંધણી: સંભવિત સમસ્યાઓ ટાળવા માટે એડમિન ડોમેન વિગતોનો ઉપયોગ કરો.

આકૃતિ 6 LDAP સર્વર ડેટા દાખલ કરી રહ્યું છે

4) ટેબમાં ડિરેક્ટરી સંસ્થા તમારે DN દ્વારા નિર્દેશિકા વિસ્તારનો ઉલ્લેખ કરવો જોઈએ જ્યાંથી વપરાશકર્તાઓ અને વપરાશકર્તા જૂથોને ખેંચવા.

આકૃતિ 7. ડિરેક્ટરીઓનું નિર્ધારણ જ્યાંથી વપરાશકર્તા જૂથો ખેંચી શકે છે

5) વિન્ડો પર જાઓ જૂથો → ઉમેરો → ડિરેક્ટરીમાંથી જૂથો પસંદ કરો LDAP સર્વરમાંથી પુલ જૂથો પસંદ કરવા માટે.

આકૃતિ 8. LDAP સર્વરમાંથી જૂથો ઉમેરી રહ્યા છે

6) દેખાતી વિન્ડોમાં, ક્લિક કરો જૂથો પુનઃપ્રાપ્ત કરો. જો જૂથો ખેંચાઈ ગયા છે, તો પ્રારંભિક પગલાં સફળતાપૂર્વક પૂર્ણ થયા છે. નહિંતર, બીજા એડમિનિસ્ટ્રેટરનો પ્રયાસ કરો અને LDAP પ્રોટોકોલ દ્વારા LDAP સર્વર સાથે ISE ની ઉપલબ્ધતા તપાસો.

આકૃતિ 9. ખેંચાયેલા વપરાશકર્તા જૂથોની સૂચિ

7) ટેબમાં લક્ષણો તમે વૈકલ્પિક રીતે સ્પષ્ટ કરી શકો છો કે LDAP સર્વરમાંથી કઈ વિશેષતાઓ ખેંચવી જોઈએ, અને વિન્ડોમાં વિગતવાર સેટિંગ્સ વિકલ્પ સક્ષમ કરો પાસવર્ડ ફેરફાર સક્ષમ કરો, જે વપરાશકર્તાઓને તેમનો પાસવર્ડ બદલવાની ફરજ પાડશે જો તેની સમયસીમા સમાપ્ત થઈ ગઈ હોય અથવા ફરીથી સેટ કરવામાં આવી હોય. કોઈપણ રીતે ક્લિક કરો સબમિટ ચાલુ રાખવા માટે.

8) LDAP સર્વર અનુરૂપ ટેબમાં દેખાયો અને તેનો ઉપયોગ ભવિષ્યમાં ઍક્સેસ નીતિઓ બનાવવા માટે થઈ શકે છે.

આકૃતિ 10. ઉમેરાયેલ LDAP સર્વરોની યાદી

4. સક્રિય ડિરેક્ટરી સાથે એકીકરણ

1) માઈક્રોસોફ્ટ એક્ટિવ ડિરેક્ટરી સર્વરને LDAP સર્વર તરીકે ઉમેરીને, અમને વપરાશકર્તાઓ, વપરાશકર્તા જૂથો મળ્યા, પરંતુ કોઈ લૉગ્સ નહીં. આગળ, હું Cisco ISE સાથે સંપૂર્ણ સુવિધાયુક્ત AD એકીકરણ સેટ કરવાનો પ્રસ્તાવ મૂકું છું. ટેબ પર જાઓ વહીવટ → ઓળખ સંચાલન → બાહ્ય ઓળખ સ્ત્રોતો → સક્રિય નિર્દેશિકા → ઉમેરો. 

ઉદાહરણ: AD સાથે સફળ એકીકરણ માટે, ISE એ ડોમેનમાં હોવું જોઈએ અને તેની પાસે DNS, NTP અને AD સર્વર્સ સાથે સંપૂર્ણ કનેક્ટિવિટી હોવી જોઈએ, અન્યથા તેનાથી કંઈપણ આવશે નહીં.

આકૃતિ 11. સક્રિય ડિરેક્ટરી સર્વર ઉમેરી રહ્યા છે

2) દેખાતી વિંડોમાં, ડોમેન એડમિનિસ્ટ્રેટર વિગતો દાખલ કરો અને બૉક્સને ચેક કરો સ્ટોર પ્રમાણપત્રો. વધારામાં, જો ISE ચોક્કસ OU માં સ્થિત હોય તો તમે OU (સંગઠન એકમ) નો ઉલ્લેખ કરી શકો છો. આગળ, તમારે સિસ્કો ISE નોડ્સ પસંદ કરવા પડશે જેને તમે ડોમેન સાથે કનેક્ટ કરવા માંગો છો.

આકૃતિ 12. ઓળખપત્ર દાખલ કરી રહ્યા છીએ

3) ડોમેન નિયંત્રકો ઉમેરતા પહેલા, ખાતરી કરો કે ટેબમાં PSN પર છે વહીવટ → સિસ્ટમ → જમાવટ વિકલ્પ સક્ષમ નિષ્ક્રિય ઓળખ સેવા. નિષ્ક્રિય ID - એક વિકલ્પ જે તમને વપરાશકર્તાને IP અને તેનાથી વિપરીત ભાષાંતર કરવાની મંજૂરી આપે છે. PassiveID AD થી WMI, સ્પેશિયલ AD એજન્ટ્સ અથવા સ્પિન પોર્ટ દ્વારા સ્વીચ પરની માહિતી મેળવે છે (શ્રેષ્ઠ વિકલ્પ નથી).

ઉદાહરણ: નિષ્ક્રિય ID ની સ્થિતિ તપાસવા માટે, ISE કન્સોલમાં ટાઈપ કરો એપ્લિકેશન સ્થિતિ ise બતાવો | PassiveID નો સમાવેશ કરો.

આકૃતિ 13. PassiveID વિકલ્પ સક્રિય કરી રહ્યા છીએ

4) ટેબ પર જાઓ વહીવટ → ઓળખ સંચાલન → બાહ્ય ઓળખ સ્ત્રોતો → સક્રિય નિર્દેશિકા → નિષ્ક્રિય ID અને વિકલ્પ પસંદ કરો ડીસી ઉમેરો. આગળ, ચેકબોક્સ સાથે જરૂરી ડોમેન નિયંત્રકો પસંદ કરો અને ક્લિક કરો ઠીક છે.

આકૃતિ 14. ડોમેન નિયંત્રકો ઉમેરી રહ્યા છે

5) ઉમેરાયેલ ડીસી પસંદ કરો અને બટન પર ક્લિક કરો સંપાદિત કરો. કૃપા કરીને સૂચવો FQDN તમારું ડીસી, ડોમેન લોગીન અને પાસવર્ડ અને લિંક વિકલ્પ ડબલ્યુએમઆઈ અથવા એજન્ટ. WMI પસંદ કરો અને ક્લિક કરો ઠીક છે.

આકૃતિ 15 ડોમેન નિયંત્રક વિગતો દાખલ કરી રહ્યા છીએ

6) જો WMI એ એક્ટિવ ડિરેક્ટરી સાથે વાતચીત કરવાની પસંદગીની રીત નથી, તો ISE એજન્ટનો ઉપયોગ કરી શકાય છે. એજન્ટ પદ્ધતિ એ છે કે તમે સર્વર્સ પર વિશિષ્ટ એજન્ટો ઇન્સ્ટોલ કરી શકો છો જે લોગિન ઇવેન્ટ્સ બહાર કાઢશે. ત્યાં 2 ઇન્સ્ટોલેશન વિકલ્પો છે: સ્વચાલિત અને મેન્યુઅલ. એજ ટેબમાં એજન્ટને આપમેળે ઇન્સ્ટોલ કરવા માટે નિષ્ક્રિય ID પસંદ એજન્ટ ઉમેરો → નવો એજન્ટ જમાવો (ડીસીમાં ઈન્ટરનેટ એક્સેસ હોવી જોઈએ). પછી જરૂરી ફીલ્ડ્સ ભરો (એજન્ટનું નામ, સર્વર FQDN, ડોમેન એડમિનિસ્ટ્રેટર લોગિન/પાસવર્ડ) અને ક્લિક કરો ઠીક છે.

આકૃતિ 16. ISE એજન્ટનું સ્વચાલિત સ્થાપન

7) સિસ્કો ISE એજન્ટને મેન્યુઅલી ઇન્સ્ટોલ કરવા માટે, આઇટમ પસંદ કરો હાલના એજન્ટની નોંધણી કરો. માર્ગ દ્વારા, તમે ટેબમાં એજન્ટને ડાઉનલોડ કરી શકો છો કાર્ય કેન્દ્રો → PassiveID → પ્રદાતાઓ → એજન્ટો → એજન્ટ ડાઉનલોડ કરો.

આકૃતિ 17. ISE એજન્ટ ડાઉનલોડ કરી રહ્યું છે

તે મહત્વપૂર્ણ છે: PassiveID ઇવેન્ટ્સ વાંચતું નથી લોગoffફ! સમયસમાપ્તિ માટે જવાબદાર પરિમાણ કહેવાય છે વપરાશકર્તા સત્ર વૃદ્ધત્વ સમય અને મૂળભૂત રીતે 24 કલાક બરાબર છે. તેથી, તમારે કાં તો કામકાજના દિવસના અંતે જાતે લોગઓફ કરવું જોઈએ, અથવા અમુક પ્રકારની સ્ક્રિપ્ટ લખવી જોઈએ જે આપમેળે લૉગ ઇન થયેલા તમામ વપરાશકર્તાઓને લૉગઑફ કરશે. 

માહિતી માટે લોગoffફ "એન્ડપોઇન્ટ પ્રોબ્સ" નો ઉપયોગ થાય છે - ટર્મિનલ પ્રોબ્સ. સિસ્કો ISE માં અનેક એન્ડપોઇન્ટ પ્રોબ્સ છે: RADIUS, SNMP ટ્રેપ, SNMP ક્વેરી, DHCP, DNS, HTTP, Netflow, NMAP સ્કેન. રેડિયસ ઉપયોગ કરીને તપાસ CoA (અધિકૃતતામાં ફેરફાર) પેકેજો વપરાશકર્તા અધિકારો બદલવા વિશે માહિતી આપે છે (આ માટે એમ્બેડેડની જરૂર છે 802.1X), અને એસએનએમપી એક્સેસ સ્વિચ પર ગોઠવેલ, કનેક્ટેડ અને ડિસ્કનેક્ટ થયેલ ઉપકરણો વિશે માહિતી આપશે.

નીચેનું ઉદાહરણ 802.1X અને RADIUS વિના સિસ્કો ISE + AD રૂપરેખાંકન માટે સુસંગત છે: વપરાશકર્તા વિન્ડોઝ મશીન પર લૉગ ઇન કરે છે, લૉગઑફ કર્યા વિના, WiFi દ્વારા બીજા PC માંથી લોગ ઇન કરે છે. આ કિસ્સામાં, સમય સમાપ્ત થાય અથવા ફરજિયાત લોગઓફ થાય ત્યાં સુધી પ્રથમ PC પરનું સત્ર હજી પણ સક્રિય રહેશે. પછી જો ઉપકરણો પાસે અલગ-અલગ અધિકારો હોય, તો છેલ્લે લૉગ ઇન થયેલ ઉપકરણ તેના અધિકારો લાગુ કરશે.

8) ટેબમાં વૈકલ્પિક વહીવટ → ઓળખ સંચાલન → બાહ્ય ઓળખ સ્ત્રોતો → સક્રિય ડિરેક્ટરી → જૂથો → ઉમેરો → ડિરેક્ટરીમાંથી જૂથો પસંદ કરો તમે AD માંથી જૂથો પસંદ કરી શકો છો કે જેને તમે ISE પર ખેંચવા માંગો છો (અમારા કિસ્સામાં, આ પગલું 3 "એલડીએપી સર્વર ઉમેરવું" માં કરવામાં આવ્યું હતું). એક વિકલ્પ પસંદ કરો જૂથો પુનઃપ્રાપ્ત કરો → બરાબર. 

આકૃતિ 18 a). સક્રિય ડિરેક્ટરીમાંથી વપરાશકર્તા જૂથોને ખેંચી રહ્યાં છે

9) ટેબમાં કાર્ય કેન્દ્રો → PassiveID → વિહંગાવલોકન → ડેશબોર્ડ તમે સક્રિય સત્રોની સંખ્યા, ડેટા સ્ત્રોતોની સંખ્યા, એજન્ટો અને વધુનું અવલોકન કરી શકો છો.

આકૃતિ 19. ડોમેન વપરાશકર્તાઓની પ્રવૃત્તિનું નિરીક્ષણ

10) ટેબમાં જીવંત સત્રો વર્તમાન સત્રો પ્રદર્શિત થાય છે. AD સાથે એકીકરણ ગોઠવેલ છે.

આકૃતિ 20. ડોમેન વપરાશકર્તાઓના સક્રિય સત્રો

5. નિષ્કર્ષ

આ લેખમાં સિસ્કો ISE માં સ્થાનિક વપરાશકર્તાઓ બનાવવા, LDAP સર્વર્સ ઉમેરવા અને Microsoft Active Directory સાથે એકીકૃત કરવાના વિષયો આવરી લેવામાં આવ્યા છે. આગલો લેખ અતિથિ ઍક્સેસને બિનજરૂરી માર્ગદર્શિકાના રૂપમાં પ્રકાશિત કરશે.

જો તમને આ વિષય વિશે પ્રશ્નો હોય અથવા ઉત્પાદનના પરીક્ષણમાં મદદની જરૂર હોય, તો કૃપા કરીને સંપર્ક કરો કડી.

અમારી ચેનલોમાં અપડેટ્સ માટે ટ્યુન રહો (Telegram, ફેસબુક, VK, ટીએસ સોલ્યુશન બ્લોગ, યાન્ડેક્ષ ઝેન).

સોર્સ: www.habr.com