Zoo siab txais tos rau qhov thib ob tshaj tawm ntawm cov kab lus uas tau mob siab rau Cisco ISE. Hauv thawj qhov zoo thiab qhov sib txawv ntawm Network Access Control (NAC) cov kev daws teeb meem los ntawm tus qauv AAA, qhov tshwj xeeb ntawm Cisco ISE, cov qauv tsim thiab kev teeb tsa ntawm cov khoom tau hais txog.
Hauv tsab xov xwm no peb yuav delve rau hauv kev tsim cov nyiaj, ntxiv LDAP servers thiab kev koom ua ke nrog Microsoft Active Directory, nrog rau cov nuances thaum ua haujlwm nrog PassiveID. Ua ntej nyeem ntawv, kuv xav kom koj nyeem .
1. Qee cov ntsiab lus
Tus neeg siv ID - tus neeg siv tus account uas muaj cov ntaub ntawv hais txog tus neeg siv thiab tsim nws daim ntawv pov thawj rau kev nkag mus rau lub network. Cov kev txwv hauv qab no feem ntau tau teev tseg hauv Tus Neeg Siv Khoom: username, email address, password, account description, user group, and role.
Cov Pab Pawg Siv - Cov pab pawg neeg siv yog ib qho kev sau los ntawm ib tus neeg siv uas muaj ntau txoj cai uas tso cai rau lawv nkag mus rau cov txheej txheem tshwj xeeb ntawm Cisco ISE cov kev pabcuam thiab cov yam ntxwv.
Pawg neeg siv ID - predefined pawg neeg siv uas twb muaj tej yam ntaub ntawv thiab lub luag hauj lwm. Cov pab pawg neeg siv hauv qab no muaj nyob ntawm lub neej ntawd thiab koj tuaj yeem ntxiv cov neeg siv thiab pab pawg neeg siv rau lawv: Cov Neeg Ua Haujlwm, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsor accounts rau tswj tus qhua portal), Guest, ActivatedGuest.
Tus neeg siv lub luag haujlwm - Tus neeg siv lub luag haujlwm yog ib qho kev tso cai uas txiav txim siab seb cov haujlwm twg tus neeg siv tuaj yeem ua tau thiab cov kev pabcuam twg tus neeg siv tuaj yeem nkag tau. Feem ntau tus neeg siv lub luag haujlwm yog txuam nrog ib pab pawg neeg siv.
Ntxiv mus, txhua tus neeg siv thiab cov neeg siv pab pawg muaj cov cwj pwm ntxiv uas tso cai rau koj kom pom tseeb thiab tshwj xeeb tshaj yog txhais tus neeg siv (cov neeg siv pab pawg). Xav paub ntau ntxiv hauv .
2. Tsim cov neeg siv hauv zos
1) Hauv Cisco ISE nws muaj peev xwm tsim cov neeg siv hauv zos thiab siv lawv hauv cov cai nkag lossis txawm muab lawv lub luag haujlwm tswj hwm cov khoom. Xaiv Kev Tswj → Kev Tswj Tus Kheej → Tus Kheej → Cov Neeg Siv → Ntxiv.
Daim duab 1: Ntxiv cov neeg siv hauv zos rau Cisco ISE
2) Hauv lub qhov rais uas tshwm sim, tsim ib tus neeg siv hauv zos, muab tus password rau nws thiab lwm yam tsis meej.
Daim duab 2. Tsim cov neeg siv hauv zos hauv Cisco ISE
3) Cov neeg siv kuj tuaj yeem raug xa tawm. Hauv tib lub tab Kev Tswj Xyuas → Kev Tswj Tus Kheej → Tus Kheej → Cov Neeg Siv xaiv ib qho kev xaiv Ntshuam thiab upload cov ntaub ntawv csv lossis txt nrog cov neeg siv. Kom tau txais cov qauv, xaiv Tsim ib tug Template, ces koj yuav tsum sau nws nrog cov ntaub ntawv hais txog cov neeg siv nyob rau hauv ib tug haum daim ntawv.
Daim duab 3. Importing cov neeg siv rau hauv Cisco ISE
3. Ntxiv LDAP servers
Cia kuv ceeb toom rau koj tias LDAP yog ib daim ntawv thov-theem raws tu qauv uas tso cai rau koj kom tau txais cov ntaub ntawv, ua pov thawj, tshawb xyuas cov nyiaj hauv LDAP cov npe neeg rau zaub mov, thiab ua haujlwm ntawm chaw nres nkoj 389 lossis 636 (SS). Cov piv txwv tseem ceeb ntawm LDAP servers yog Active Directory, Sun Directory, Novell eDirectory thiab OpenLDAP. Txhua qhov nkag hauv LDAP cov npe yog txhais los ntawm DN (Distinguished Name) thiab tsim txoj cai nkag mus, txoj haujlwm ntawm kev khaws cov nyiaj, pab pawg neeg siv thiab cov yam ntxwv tshwm sim.
Hauv Cisco ISE nws tuaj yeem teeb tsa kev nkag mus rau ntau lub LDAP servers, yog li paub txog kev rov ua dua. Yog tias thawj LDAP server tsis muaj, ISE yuav sim hu rau tus thib ob, thiab lwm yam. Tsis tas li ntawd, yog tias muaj 2 PANs, ces ib qho LDAP tuaj yeem ua qhov tseem ceeb rau thawj PAN, thiab lwm tus LDAP tuaj yeem ua qhov tseem ceeb rau PAN thib ob.
ISE txhawb nqa 2 hom kev tshawb nrhiav thaum ua haujlwm nrog LDAP servers: Tus Neeg Saib Xyuas thiab MAC Chaw Nyob Nrhiav. User Lookup tso cai rau koj los tshawb nrhiav tus neeg siv hauv LDAP database thiab khaws cov ntaub ntawv hauv qab no yam tsis muaj kev lees paub: cov neeg siv thiab lawv cov cwj pwm, pab pawg neeg siv. MAC Address Lookup tseem tso cai rau koj tshawb nrhiav los ntawm MAC chaw nyob hauv LDAP cov npe yam tsis muaj kev lees paub thiab tau txais cov ntaub ntawv hais txog lub cuab yeej, pab pawg ntawm cov khoom siv los ntawm MAC chaw nyob thiab lwm yam khoom tshwj xeeb.
Ua piv txwv ntawm kev sib koom ua ke, cia peb ntxiv Active Directory rau Cisco ISE ua LDAP server.
1) Mus rau tab Kev Tswj Xyuas → Kev Tswj Xyuas Tus Kheej → Sab Nraud Tus Kheej Qhov Chaw → LDAP → Ntxiv.
Daim duab 4. Ntxiv rau LDAP server
2) Hauv vaj huam sib luag General qhia lub npe LDAP server thiab cov tswv yim (hauv peb cov ntaub ntawv Active Directory).
Daim duab 5. Ntxiv LDAP server nrog Active Directory schema
3) Tom ntej no mus rau Kev twb kev txuas tab thiab qhia Hostname / IP chaw nyob Server AD, chaw nres nkoj (389 - LDAP, 636 - SSL LDAP), tus thawj tswj hwm daim ntawv pov thawj (Admin DN - tag nrho DN), lwm yam tsis tuaj yeem tso tseg raws li lub neej ntawd.
Примечание: Siv cov ntaub ntawv sau npe admin kom tsis txhob muaj teeb meem.
Daim duab 6. Nkag mus rau LDAP cov ntaub ntawv server
4) Se tab Directory Organization koj yuav tsum qhia kom meej cov npe ntawm cheeb tsam ntawm DN los ntawm kev rub cov neeg siv thiab pab pawg neeg siv.
Daim duab 7. Kev txiav txim siab cov npe uas yuav rub cov neeg siv pawg
5) Mus rau qhov rais Pawg → Ntxiv → Xaiv Pawg Los Ntawm Phau Ntawv Qhia xaiv rub pawg los ntawm LDAP server.
Daim duab 8. Ntxiv pab pawg los ntawm LDAP server
6) Hauv qhov rai uas tshwm, nyem Rov qab pab pawg. Yog tias cov pab pawg tau koom nrog, ces cov kauj ruam ua ntej tau ua tiav tiav. Txwv tsis pub, sim lwm tus thawj coj thiab tshawb xyuas qhov muaj ntawm ISE nrog LDAP server siv LDAP raws tu qauv.
Daim duab 9. Daim ntawv teev cov pab pawg neeg siv tau qhib
7) Se tab Tej cwj pwm koj tuaj yeem xaiv tau hais tias tus cwj pwm twg los ntawm LDAP server yuav tsum rub tawm, thiab hauv qhov rai Advanced Chaw pab kev xaiv Pab kom hloov tus password, uas yuav yuam kom cov neeg siv hloov lawv tus password yog tias nws tau tas sij hawm lossis rov pib dua. Txawm li cas los xij, nyem Xa mus txuas ntxiv.
8) LDAP neeg rau zaub mov tshwm nyob rau hauv cov tab sib raug thiab tuaj yeem siv tom qab los tsim cov cai nkag.
Daim duab 10. Daim ntawv teev cov LDAP ntxiv
4. Kev koom ua ke nrog Active Directory
1) Los ntawm kev ntxiv Microsoft Active Directory server ua LDAP server, peb tau txais cov neeg siv, pab pawg neeg siv, tab sis tsis teev. Tom ntej no, kuv xav kom teeb tsa tag nrho AD kev koom ua ke nrog Cisco ISE. Mus rau lub tab Kev tswj hwm → Kev Tswj Tus Kheej → Sab Nraud Tus Kheej Qhov Chaw → Active Directory → Ntxiv.
Nco ntsoov: Rau kev ua tiav kev koom ua ke nrog AD, ISE yuav tsum nyob hauv ib lub npe thiab muaj kev sib txuas tag nrho nrog DNS, NTP thiab AD servers, txwv tsis pub tsis muaj dab tsi yuav ua haujlwm.
Daim duab 11. Ntxiv rau Active Directory server
2) Hauv qhov rai uas tshwm, nkag mus rau cov ntaub ntawv tus thawj tswj hwm thiab kos lub thawv Khaws Daim Ntawv Pov Thawj. Tsis tas li ntawd, koj tuaj yeem qhia txog OU (Lub Koom Haum Pabcuam) yog tias ISE nyob hauv ib qho OU. Tom ntej no, koj yuav tau xaiv Cisco ISE nodes uas koj xav mus txuas rau lub sau.
Daim duab 12. Nkag mus rau daim ntawv pov thawj
3) Ua ntej ntxiv cov tswj hwm, nco ntsoov tias ntawm PSN hauv tab Tswj → System → Deployment kev xaiv enabled Passive Identity Service. PassiveID - ib qho kev xaiv uas tso cai rau koj los txhais Cov Neeg Siv rau IP thiab rov ua dua. PassiveID tau txais cov ntaub ntawv los ntawm AD ntawm WMI, tus neeg sawv cev tshwj xeeb AD, lossis SPAN chaw nres nkoj ntawm qhov hloov pauv (tsis yog qhov kev xaiv zoo tshaj).
Nco ntsoov: txhawm rau txheeb xyuas cov xwm txheej Passive ID, nkag mus rau hauv ISE console qhia daim ntawv thov xwm txheej yog | suav nrog PassiveID.
Daim duab 13. Ua kom muaj kev xaiv PassiveID
4) Mus rau tab Kev tswj hwm → Kev Tswj Tus Kheej → Sab Nraud Tus Kheej Qhov Chaw → Active Directory → PassiveID thiab xaiv qhov kev xaiv Ntxiv DCs. Tom ntej no, xaiv qhov yuav tsum tau tswj hwm los ntawm checkboxes thiab nyem OK.
Daim duab 14. Ntxiv domain controllers
5) Xaiv cov DCs ntxiv thiab nyem lub pob Kho kom raug. Thov qhia FQDN koj DC, sau npe nkag thiab lo lus zais, nrog rau kev xaiv kev sib txuas lus WMI los yog Tus neeg saib xyuas. Xaiv WMI thiab nias OK.
Daim duab 15. Nkag mus rau cov ntaub ntawv tswj hwm tus kheej
6) Yog tias WMI tsis yog txoj kev nyiam ntawm kev sib txuas lus nrog Active Directory, ces ISE cov neeg sawv cev tuaj yeem siv. Tus neeg sawv cev txoj kev yog tias koj tuaj yeem nruab tus neeg sawv cev tshwj xeeb ntawm lub server uas yuav teeb tsa cov xwm txheej nkag. Muaj 2 txoj kev xaiv installation: tsis siv neeg thiab phau ntawv. Txhawm rau nruab tus neeg sawv cev hauv tib lub tab PassiveID xaiv yam khoom Ntxiv Agent → Deploy New Agent (DC yuav tsum muaj Internet). Tom qab ntawd sau rau hauv qhov xav tau (tus neeg sawv cev lub npe, server FQDN, tus thawj tswj hwm tus lej nkag / tus password) thiab nyem OK.
Daim duab 16. Tsis siv neeg kev teeb tsa ntawm ISE tus neeg sawv cev
7) Txhawm rau nruab Cisco ISE tus neeg sawv cev manually, koj yuav tsum xaiv Sau npe tus neeg sawv cev tam sim no. Los ntawm txoj kev, koj tuaj yeem rub tawm tus neeg sawv cev hauv tab Chaw Ua Haujlwm → PassiveID → Cov Chaw Pabcuam → Agents → Download Agent.
Daim duab 17. Downloading tus neeg sawv cev ISE
Nws yog ib qho tseem ceeb rau: PassiveID tsis nyeem cov xwm txheej tawm! Tus parameter lub luag hauj lwm rau lub sij hawm tawm yog hu ua neeg siv sij hawm aging thiab yog sib npaug rau 24 teev los ntawm lub neej ntawd. Yog li ntawd, koj yuav tsum tau logoff koj tus kheej thaum kawg ntawm hnub ua haujlwm, lossis sau qee yam ntawv uas yuav cia li logoff tag nrho cov neeg siv nkag.
Yog xav paub ntxiv tawm "Endpoint probes" yog siv. Muaj ntau qhov kawg ntawm kev sojntsuam hauv Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. voos kheej-kheej soj ntsuam siv CoA (Hloov kev tso cai) pob khoom muab cov ntaub ntawv hais txog kev hloov cov cai ntawm cov neeg siv (qhov no yuav tsum muaj kev kos 802.1X), thiab SNMP teeb tsa ntawm cov keyboards nkag mus yuav muab cov ntaub ntawv hais txog cov khoom siv sib txuas thiab txiav.
Hauv qab no yog ib qho piv txwv cuam tshuam rau Cisco ISE + AD teeb tsa yam tsis muaj 802.1X thiab RADIUS: tus neeg siv tau nkag rau hauv lub tshuab Windows, yam tsis tau ua lub logoff, nkag los ntawm lwm lub PC ntawm WiFi. Hauv qhov no, qhov kev sib tham ntawm thawj PC tseem yuav ua haujlwm kom txog thaum lub sijhawm tshwm sim lossis raug yuam kom logoff tshwm sim. Tom qab ntawd, yog tias cov cuab yeej muaj cai sib txawv, qhov kawg nkag rau hauv ntaus ntawv yuav siv nws txoj cai.
8) Ntxiv rau hauv tab Kev Tswj → Kev Tswj Xyuas Tus Kheej → Sab Nraud Tus Kheej Qhov Chaw → Active Directory → Pab Pawg → Ntxiv → Xaiv Pawg Los Ntawm Phau Ntawv Qhia koj tuaj yeem xaiv pawg los ntawm AD uas koj xav ntxiv rau ISE (hauv peb rooj plaub, qhov no tau ua tiav hauv qib 3 "Ntxiv rau LDAP server"). Xaiv ib qho kev xaiv Retrieve Groups → OK.
Daim duab 18 a). Rub cov pab pawg neeg siv los ntawm Active Directory
9) Se tab Chaw Ua Haujlwm → PassiveID → Txheej txheem cej luam → Dashboard koj tuaj yeem saib xyuas tus naj npawb ntawm cov kev sib tham nquag, tus naj npawb ntawm cov ntaub ntawv, tus neeg sawv cev, thiab ntau dua.
Daim duab 19. Saib xyuas cov neeg siv kev ua haujlwm
10) Se tab Nyob Ciaj Sia cov kev sib tham tam sim no tau tshwm sim. Kev koom ua ke nrog AD tau teeb tsa.
Daim duab 20. Cov ntu nquag ntawm cov neeg siv sau npe
5. Xaus
Kab lus no tau hais txog cov ntsiab lus ntawm kev tsim cov neeg siv hauv zos hauv Cisco ISE, ntxiv LDAP servers thiab koom nrog Microsoft Active Directory. Kab lus tom ntej yuav hais txog kev nkag mus rau cov qhua nyob rau hauv daim ntawv qhia tsis tu ncua.
Yog tias koj muaj lus nug txog lub ncauj lus no lossis xav tau kev pab hauv kev sim cov khoom, thov hu rau .
Ua raws li peb cov channel rau kev hloov tshiab (, , , , ).
Tau qhov twg los: www.hab.com