Welina mai i ka lua o ka pou ma ka Cisco ISE series. I ka mua nā mea maikaʻi a me nā ʻokoʻa o nā hāmeʻa Network Access Control (NAC) mai ka AAA maʻamau, ka ʻokoʻa o Cisco ISE, ka hoʻolālā ʻana a me ke kaʻina hana o ka huahana.
Ma kēia ʻatikala, e ʻimi mākou i ka hana ʻana i nā moʻokāki, ka hoʻohui ʻana i nā kikowaena LDAP, a me ka hoʻohui ʻana me Microsoft Active Directory, a me nā nuances o ka hana ʻana me PassiveID. Ma mua o ka heluhelu ʻana, paipai nui wau iā ʻoe e heluhelu .
1. Kekahi mau huaolelo
Mea hoʻohana - he moʻokāki mea hoʻohana i loaʻa ka ʻike e pili ana i ka mea hoʻohana a hoʻopuka i kāna mau hōʻoia no ke komo ʻana i ka pūnaewele. Hōʻike pinepine ʻia nā ʻāpana ma lalo o ka mea hoʻohana: inoa inoa, leka uila, ʻōlelo huna, wehewehe moʻokāki, hui mea hoʻohana, a me ke kuleana.
mea hoʻohana Groups - nā pūʻulu mea hoʻohana he hōʻiliʻili o nā mea hoʻohana ponoʻī i loaʻa kahi hoʻonohonoho maʻamau o nā pono e hiki ai iā lākou ke komo i kahi pūʻulu kikoʻī o nā lawelawe a me nā hana Cisco ISE.
Nā Pūʻulu ʻIke Mea hoʻohana - nā pūʻulu mea hoʻohana i koho mua ʻia i loaʻa kekahi ʻike a me nā kuleana. Aia nā Pūʻulu Identity Mea hoʻohana ma ka paʻamau, hiki iā ʻoe ke hoʻohui i nā mea hoʻohana a me nā hui mea hoʻohana iā lākou: Employee (employee), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (nā moʻokāki kākoʻo no ka hoʻokele ʻana i ka puka malihini), Guest (guest), ActivatedGuest (manukane hoʻāla ʻia).
mea hoʻohana- ʻO kahi mea hoʻohana he pūʻulu o nā ʻae e hoʻoholo ai i nā hana a ka mea hoʻohana e hana ai a me nā lawelawe e hiki ke komo. Hoʻohui pinepine ʻia kahi kuleana mea hoʻohana me kahi hui o nā mea hoʻohana.
Eia kekahi, loaʻa i kēlā me kēia mea hoʻohana a me nā pūʻulu mea hoʻohana nā hiʻohiʻona hou e hiki ai iā ʻoe ke koho a wehewehe kikoʻī i kēia mea hoʻohana (hui hoʻohana). ʻIke hou aku ma .
2. Hana i nā mea hoʻohana kūloko
1) Hiki iā Cisco ISE ke hana i nā mea hoʻohana kūloko a hoʻohana iā lākou i kahi kulekele komo a hāʻawi i kahi kuleana hoʻokele huahana. E koho Administration → Identity Management → Identities → Users → Add.
Kiʻi 1 Hoʻohui i kahi mea hoʻohana kūloko iā Cisco ISE
2) Ma ka puka aniani e hōʻike ʻia, hana i kahi mea hoʻohana kūloko, hoʻonohonoho i kahi ʻōlelo huna a me nā ʻāpana ʻē aʻe e hoʻomaopopo ʻia.
Kiʻi 2. Ke hana ʻana i kahi mea hoʻohana kūloko ma Cisco ISE
3) Hiki ke lawe ʻia mai nā mea hoʻohana. Ma ka papa like Administration → Identity Management → Identities → Mea hoʻohana koho i kahi koho Import a hoʻouka i ka faila csv a i ʻole txt me nā mea hoʻohana. No ke kiʻi ʻana i kahi mamana koho E hana i kahi la'ana, a laila pono e hoʻopiha ʻia me ka ʻike e pili ana i nā mea hoʻohana ma kahi ʻano kūpono.
Kiʻi 3 Ka lawe ʻana i nā mea hoʻohana i Cisco ISE
3. Hoʻohui i nā kikowaena LDAP
E hoʻomanaʻo au iā ʻoe he protocol pae noi kaulana ʻo LDAP e hiki ai iā ʻoe ke loaʻa ka ʻike, hana i ka hōʻoia, ʻimi i nā moʻokāki ma nā papa kuhikuhi o nā kikowaena LDAP, hana ma ke awa 389 a i ʻole 636 (SS). ʻO nā hiʻohiʻona kaulana o nā kikowaena LDAP ʻo Active Directory, Sun Directory, Novell eDirectory, a me OpenLDAP. Ua wehewehe ʻia kēlā me kēia komo ʻana i ka papa kuhikuhi LDAP e kahi DN (Distinguished Name) a hoʻāla ʻia ka hana o ka hoʻihoʻi ʻana i nā moʻokāki, nā hui mea hoʻohana a me nā ʻano e hana i kahi kulekele komo.
Ma Cisco ISE, hiki ke hoʻonohonoho i ke komo ʻana i nā kikowaena LDAP he nui, a laila e hoʻokō i ka redundancy. Inā ʻaʻole i loaʻa ke kikowaena LDAP mua (kumu mua), a laila e hoʻāʻo ʻo ISE e komo i ke kula kiʻekiʻe (kekona) a pēlā aku. Eia hou, inā he 2 PAN, a laila hiki ke koho mua ʻia kekahi LDAP no ka PAN mua a me kekahi LDAP no ka PAN lua.
Kākoʻo ʻo ISE i 2 mau ʻano o ka nānā ʻana (nānā) i ka wā e hana pū ai me nā kikowaena LDAP: Nānā Mea hoʻohana a me ka nānā ʻana i ka leka uila MAC. Hiki iā ʻoe ke ʻimi i kahi mea hoʻohana ma ka waihona LDAP a loaʻa i kēia ʻike me ka ʻole o ka hōʻoia: nā mea hoʻohana a me kā lākou mau ʻano, nā hui mea hoʻohana. ʻAe ʻo MAC Address Lookup iā ʻoe e ʻimi ma ka helu MAC ma nā papa kuhikuhi LDAP me ka ʻole o ka hōʻoia ʻana a loaʻa ka ʻike e pili ana i ka hāmeʻa, kahi hui o nā hāmeʻa ma nā helu MAC, a me nā ʻano kikoʻī ʻē aʻe.
Ma ke ʻano he laʻana hoʻohui, e hoʻohui i ka Active Directory iā Cisco ISE ma ke ʻano he kikowaena LDAP.
1) E hele i ka pā Hoʻoponopono → Hoʻokele Identity → Nā Puna ʻIke Kūwaho → LDAP → Hoʻohui.
Kiʻi 4. Hoʻohui i kahi kikowaena LDAP
2) Ma ka papa Nui E kuhikuhi i ka inoa kikowaena LDAP a me ka hoʻolālā (ma kā mākou hihia, Active Directory).
Kiʻi 5. Hoʻohui i kahi kikowaena LDAP me kahi papa kuhikuhi Active Directory
3) A laila hele i Hoʻohui pā a koho Ka inoa hoʻokipa/ IP address Server AD, awa (389 - LDAP, 636 - SSL LDAP), nā hōʻoia luna hoʻomalu (Admin DN - piha DN), hiki ke waiho ʻia nā ʻāpana ʻē aʻe ma ke ʻano he paʻamau.
i hoʻopuka: e hoʻohana i nā kikoʻī domain admin e pale aku i nā pilikia.
Kiʻi 6 Ke komo ʻana i ka ʻikepili kikowaena LDAP
4) Ma ka pā Hui Papa kuhikuhi pono ʻoe e kuhikuhi i ka wahi papa kuhikuhi ma o ka DN mai kahi e huki ai i nā mea hoʻohana a me nā hui mea hoʻohana.
Kiʻi 7. Ka hoʻoholo ʻana o nā papa kuhikuhi mai kahi e hiki ai i nā hui mea hoʻohana ke huki i luna
5) E hele i ka pukaaniani Nā Pūʻulu → Hoʻohui → Koho i nā Pūʻulu mai ka Papa kuhikuhi e koho i nā hui huki mai ke kikowaena LDAP.
Kiʻi 8. Hoʻohui pūʻulu mai ke kikowaena LDAP
6) Ma ka puka aniani e kū mai ana, kaomi E kiʻi i nā hui. Inā ua huki nā pūʻulu, a laila ua hoʻopau maikaʻi ʻia nā pae mua. A i ʻole, e hoʻāʻo i kahi luna ʻē aʻe a nānā i ka loaʻa ʻana o ka ISE me ka server LDAP ma o ka protocol LDAP.
Kiʻi 9. Ka papa inoa o nā hui mea hoʻohana huki
7) Ma ka pā ʻAno hiki iā ʻoe ke koho i nā ʻano mai ka kikowaena LDAP e huki ʻia i luna, a ma ka pukaaniani Nā Paena Kūlana kiʻekiʻe hiki ke koho E hoʻololi i ka ʻōlelo huna, ka mea e koi ai i nā mea hoʻohana e hoʻololi i kā lākou ʻōlelo huna inā ua pau a hoʻonohonoho hou ʻia. Eia naʻe, kaomi waiho i e hoomau.
8) Ua ʻike ʻia ke kikowaena LDAP ma ka ʻaoʻao pili a hiki ke hoʻohana ʻia e hana i nā kulekele komo i ka wā e hiki mai ana.
Kiʻi 10. Ka papa inoa o nā kikowaena LDAP i hoʻohui ʻia
4. Hoʻohui me Active Directory
1) Ma ka hoʻohui ʻana i ke kikowaena Microsoft Active Directory ma ke ʻano he kikowaena LDAP, loaʻa iā mākou nā mea hoʻohana, nā hui mea hoʻohana, akā ʻaʻohe lāʻau. A laila, manaʻo wau e hoʻonohonoho i ka hoʻohui piha ʻana o AD me Cisco ISE. E hele i ka pā Hoʻoponopono → Hoʻokele Identity → Nā Puna ʻIke Kūwaho → Active Directory → Add.
'Ōlelo Aʻo: no ka hoʻohui maikaʻi ʻana me AD, pono ʻo ISE ma kahi kikowaena a loaʻa ka pilina piha me nā kikowaena DNS, NTP a me AD, inā ʻaʻole ʻaʻohe mea e hiki mai.
Kiʻi 11. Hoʻohui i kahi kikowaena Active Directory
2) Ma ka puka aniani i hōʻike ʻia, e hoʻokomo i nā kikoʻī o ka luna hoʻomalu a nānā i ka pahu Hōʻoiaʻiʻo Hale kūʻai. Eia hou, hiki iā ʻoe ke kuhikuhi i kahi OU (Organizational Unit) inā aia ka ISE ma kahi OU kikoʻī. A laila, pono ʻoe e koho i nā nodes Cisco ISE āu e makemake ai e hoʻopili i ka domain.
Kiʻi 12. Ke komo ʻana i nā palapala hōʻoia
3) Ma mua o ka hoʻohui ʻana i nā mea hoʻokele domain, e hōʻoia i ka PSN i ka pā Hoʻoponopono → Pūnaehana → Hoʻolālā hiki ke koho ʻOihana ʻIke Paʻa. PassiveID - he koho e hiki ai iā ʻoe ke unuhi i ka Mea hoʻohana i ka IP a me ka hope. Loaʻa iā PassiveID ka ʻike mai AD ma o WMI, nā ʻelele AD kūikawā a i ʻole ke awa SPAN ma ke kī (ʻaʻole ke koho maikaʻi loa).
'Ōlelo Aʻo: e nānā i ke kūlana o ka Passive ID, e hoʻokomo i ka console ISE hōʻike i ke kūlana noi ise | komo i ka PassiveID.
Kiʻi 13. E ʻae ana i ka koho PassiveID
4) E hele i ka pā Hoʻoponopono → Hoʻokele Identity → Nā Puna ʻIke Kūwaho → Active Directory → PassiveID a koho i ke koho Hoʻohui i nā DC. A laila, koho i nā mea hoʻoponopono domain pono me nā pahu pahu a kaomi OK.
Kiʻi 14. Hoʻohui i nā mea hoʻokele domain
5) E koho i nā DC i hoʻohui ʻia a kaomi i ke pihi Hoʻololi. E ʻoluʻolu e hōʻike FQDN kāu DC, ka inoa inoa a me ka ʻōlelo huna, a me kahi koho loulou WMI ai ole ia, hope paha. E koho iā WMI a kaomi OK.
Kiʻi 15 Ke hoʻokomo nei i nā kikoʻī hoʻomalu domain
6) Inā ʻaʻole ʻo WMI ke ala makemake e kamaʻilio me Active Directory, a laila hiki ke hoʻohana ʻia nā ʻelele ISE. ʻO ke ʻano o ka ʻelele hiki iā ʻoe ke hoʻokomo i nā ʻelele kūikawā ma nā kikowaena e hoʻopuka i nā hanana login. Aia nā koho hoʻonohonoho 2: aunoa a me ka manual. No ka hoʻokomo 'akomi i ka ʻelele ma ka pā like PassiveID koho i Hoʻohui i ka Agena → Hoʻokomo i ka Agena Hou (Pono e loaʻa iā DC ke komo pūnaewele). A laila e hoʻopiha i nā kahua i koi ʻia (inoa ʻelele, server FQDN, inoa inoa inoa / password) a kaomi OK.
Kiʻi 16. Hoʻokomo 'akomi i ka mea hana ISE
7) No ka hoʻokomo lima i ka luna Cisco ISE, koho i ka mea Kakau i ka Agena e noho nei. Ma ke ala, hiki iā ʻoe ke hoʻoiho i ka ʻelele ma ka pā Nā Hale Hana → PassiveID → Mea hoʻolako → Agents → Download Agent.
Kiʻi 17. Ke hoʻoiho ʻana i ka luna ISE
He nui no: ʻAʻole heluhelu ʻo PassiveID i nā hanana ʻeʻe! Ua kapa ʻia ka ʻāpana kuleana no ka manawa pau ka wā kahiko o ka mea hoʻohana a ua like ia me 24 mau hola ma ka paʻamau. No laila, pono ʻoe e haʻalele iā ʻoe iho i ka pau ʻana o ka lā hana, a i ʻole e kākau i kekahi ʻano palapala e hoʻopau koke i nā mea hoʻohana a pau.
No ka ike ʻeʻe Hoʻohana ʻia nā "ʻimi hoʻopau hope" - nā ʻimi terminal. Nui nā ʻimi hoʻopaʻa hope ma Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS hoʻohana ʻana i ka ʻimi KoA Hāʻawi nā pūʻolo (Change of Authorization) i ka ʻike e pili ana i ka hoʻololi ʻana i nā kuleana mea hoʻohana (pono kēia i kahi hoʻokomo 802.1X), a hoʻonohonoho ʻia i nā hoʻololi komo SNMP, e hāʻawi i ka ʻike e pili ana i nā mea pili a me nā mea i hoʻokuʻu ʻia.
ʻO kēia hiʻohiʻona e pili ana i kahi hoʻonohonoho Cisco ISE + AD me ka ʻole o 802.1X a me RADIUS: ua hoʻokomo ʻia kahi mea hoʻohana ma kahi mīkini Windows, me ka ʻole e hana logoff, e komo mai kahi PC ʻē aʻe ma o WiFi. I kēia hihia, e hoʻomau ʻia ke kau ma ka PC mua a hiki i ka wā e pau ai a i ʻole ka hoʻopaʻa ʻia ʻana. A laila inā he ʻokoʻa nā kuleana o nā mea hana, a laila e hoʻopili ka mea i hoʻopaʻa inoa hope i kāna mau kuleana.
8) He koho ma ka pā Administration → Identity Management → External Identity Sources → Active Directory → Groups → Add → Koho i nā Pūʻulu mai ka Papa kuhikuhi. hiki iā ʻoe ke koho i nā pūʻulu mai AD āu e makemake ai e huki i luna ma ISE (i kā mākou hihia, ua hana ʻia kēia ma ka pae 3 "Hoʻohui i kahi kikowaena LDAP"). E koho i kahi koho E kiʻi i nā pūʻulu → OK.
Helu 18 a). Ke huki nei i nā pūʻulu mea hoʻohana mai Active Directory
9) Ma ka pā Nā kikowaena hana → PassiveID → Nānā nui → Dashboard hiki iā ʻoe ke nānā i ka helu o nā kau hana, ka helu o nā kumu ʻikepili, nā mea hana, a me nā mea hou aku.
Kiʻi 19. Ka nānā ʻana i ka hana a nā mea hoʻohana domain
10) Ma ka pā Nā ʻOihana Ola hōʻike ʻia nā kau o kēia manawa. Hoʻonohonoho ʻia ka hoʻohui ʻana me AD.
Kiʻi 20. Nā kau hana o nā mea hoʻohana domain
5. Panina
Ua uhi kēia ʻatikala i nā kumuhana o ka hana ʻana i nā mea hoʻohana kūloko ma Cisco ISE, hoʻohui i nā kikowaena LDAP, a hoʻohui pū me Microsoft Active Directory. E hōʻike ka ʻatikala aʻe i ke komo ʻana o nā malihini ma ke ʻano o kahi alakaʻi redundant.
Inā he mau nīnau kāu e pili ana i kēia kumuhana a makemake ʻoe i kōkua e hoʻāʻo i ka huahana, e ʻoluʻolu e kelepona .
E hoʻomau no nā mea hou i kā mākou kahawai (, , , , ).
Source: www.habr.com