Dobrodošli u drugi post u seriji Cisco ISE. U prvoj Istaknute su prednosti i razlike rješenja Network Access Control (NAC) u odnosu na standardni AAA, jedinstvenost Cisco ISE, arhitektura i proces instalacije proizvoda.
U ovom ćemo se članku pozabaviti stvaranjem računa, dodavanjem LDAP poslužitelja i integracijom s Microsoft Active Directoryjem, kao i nijansama rada s PassiveID-om. Prije čitanja toplo preporučam da pročitate .
1. Nešto nazivlja
Identitet korisnika - korisnički račun koji sadrži podatke o korisniku i generira njegove vjerodajnice za pristup mreži. Sljedeći parametri obično su navedeni u korisničkom identitetu: korisničko ime, adresa e-pošte, lozinka, opis računa, korisnička grupa i uloga.
Korisničke grupe - grupe korisnika su skup pojedinačnih korisnika koji imaju zajednički skup povlastica koje im omogućuju pristup određenom skupu usluga i funkcija Cisco ISE.
Grupe korisničkih identiteta - unaprijed definirane grupe korisnika koje već imaju određene podatke i uloge. Sljedeće User Identity Groups postoje prema zadanim postavkama, možete im dodati korisnike i grupe korisnika: Employee (zaposlenik), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponzorski računi za upravljanje portalom za goste), Guest (gost), ActivatedGuest (aktivirani gost).
Korisnička uloga- Korisnička uloga skup je dozvola koje određuju koje zadatke korisnik može obavljati i kojim uslugama može pristupiti. Često je korisnička uloga povezana s grupom korisnika.
Štoviše, svaki korisnik i korisnička grupa ima dodatne atribute koji vam omogućuju odabir i preciznije definiranje ovog korisnika (korisničke grupe). Više informacija u .
2. Stvorite lokalne korisnike
1) Cisco ISE ima mogućnost kreirati lokalne korisnike i koristiti ih u politici pristupa ili čak dati ulogu administracije proizvoda. Izaberi Administracija → Upravljanje identitetom → Identiteti → Korisnici → Dodaj.
Slika 1 Dodavanje lokalnog korisnika u Cisco ISE
2) U prozoru koji se pojavi stvorite lokalnog korisnika, postavite lozinku i druge razumljive parametre.
Slika 2. Stvaranje lokalnog korisnika u Cisco ISE
3) Korisnici se također mogu uvesti. U istoj kartici Administracija → Upravljanje identitetom → Identiteti → Korisnici odaberite opciju uvoz i učitajte csv ili txt datoteku s korisnicima. Za dobivanje predloška odaberite Generirajte predložak, zatim ga treba ispuniti podacima o korisnicima u prikladnom obliku.
Slika 3 Uvoz korisnika u Cisco ISE
3. Dodavanje LDAP poslužitelja
Podsjećam vas da je LDAP popularan protokol na razini aplikacije koji vam omogućuje primanje informacija, provjeru autentičnosti, traženje računa u direktorijima LDAP poslužitelja, radi na portu 389 ili 636 (SS). Istaknuti primjeri LDAP poslužitelja su Active Directory, Sun Directory, Novell eDirectory i OpenLDAP. Svaki unos u LDAP imeniku definiran je DN-om (distinguished name) i postavlja se zadatak dohvaćanja računa, korisničkih grupa i atributa kako bi se formirala politika pristupa.
U Cisco ISE, moguće je konfigurirati pristup mnogim LDAP poslužiteljima, čime se implementira redundantnost. Ako primarni (primarni) LDAP poslužitelj nije dostupan, tada će ISE pokušati pristupiti sekundarnom (sekundarnom) i tako dalje. Osim toga, ako postoje 2 PAN-a, tada se jednom LDAP-u može dati prioritet za primarni PAN, a drugom LDAP-u za sekundarni PAN.
ISE podržava 2 vrste traženja (lookup) pri radu s LDAP poslužiteljima: traženje korisnika i traženje MAC adrese. User Lookup vam omogućuje traženje korisnika u LDAP bazi podataka i dobivanje sljedećih informacija bez provjere autentičnosti: korisnici i njihovi atributi, grupe korisnika. Traženje MAC adrese također vam omogućuje pretraživanje po MAC adresi u LDAP imenicima bez provjere autentičnosti i dobivanje informacija o uređaju, grupi uređaja po MAC adresama i drugim specifičnim atributima.
Kao primjer integracije, dodajmo Active Directory u Cisco ISE kao LDAP poslužitelj.
1) Idite na karticu Administracija → Upravljanje identitetom → Vanjski izvori identiteta → LDAP → Dodaj.
Slika 4. Dodavanje LDAP poslužitelja
2) U panelu Osnovne informacije navedite naziv i shemu LDAP poslužitelja (u našem slučaju Active Directory).
Slika 5. Dodavanje LDAP poslužitelja sa shemom Active Directory
3) Zatim idite na priključak karticu i odaberite Naziv glavnog računala/IP adresa AD poslužitelja, port (389 - LDAP, 636 - SSL LDAP), vjerodajnice administratora domene (Admin DN - puni DN), ostali parametri mogu se ostaviti kao zadani.
Primijetiti: koristite pojedinosti administratorske domene kako biste izbjegli moguće probleme.
Slika 6 Unos podataka LDAP poslužitelja
4) U tab Organizacija imenika trebali biste navesti područje imenika kroz DN odakle ćete povući korisnike i grupe korisnika.
Slika 7. Određivanje direktorija odakle se grupe korisnika mogu povući
5) Idite na prozor Grupe → Dodaj → Odaberite grupe iz imenika za odabir grupa za povlačenje s LDAP poslužitelja.
Slika 8. Dodavanje grupa s LDAP poslužitelja
6) U prozoru koji se pojavi kliknite Dohvati grupe. Ako su se grupe povukle, preliminarni koraci su uspješno obavljeni. U protivnom pokušajte s drugim administratorom i provjerite dostupnost ISE-a s LDAP poslužiteljem preko LDAP protokola.
Slika 9. Popis povučenih korisničkih grupa
7) U tab Značajke po izboru možete odrediti koji atributi s LDAP poslužitelja trebaju biti povučeni gore i u prozoru Napredne postavke omogućiti opciju Omogući promjenu lozinke, koji će prisiliti korisnike da promijene lozinku ako je istekla ili je poništena. Svejedno kliknite Potvrdi nastaviti.
8) LDAP poslužitelj pojavio se u odgovarajućoj kartici i može se koristiti za formiranje politika pristupa u budućnosti.
Slika 10. Popis dodanih LDAP poslužitelja
4. Integracija s Active Directoryjem
1) Dodavanjem Microsoft Active Directory poslužitelja kao LDAP poslužitelja dobili smo korisnike, grupe korisnika, ali ne i zapise. Zatim predlažem postavljanje potpune AD integracije s Cisco ISE. Idi na karticu Administracija → Upravljanje identitetom → Vanjski izvori identiteta → Aktivni imenik → Dodaj.
Napomena: za uspješnu integraciju s AD-om, ISE mora biti u domeni i imati punu povezanost s DNS-om, NTP-om i AD poslužiteljima, inače od toga neće biti ništa.
Slika 11. Dodavanje Active Directory poslužitelja
2) U prozor koji se pojavi unesite podatke o administratoru domene i potvrdite okvir Pohranite vjerodajnice. Osim toga, možete navesti OU (Organizacijska jedinica) ako se ISE nalazi u određenom OU. Zatim ćete morati odabrati Cisco ISE čvorove koje želite povezati s domenom.
Slika 12. Unos vjerodajnica
3) Prije dodavanja kontrolera domene, provjerite je li na PSN-u u kartici Administracija → Sustav → Uvođenje opcija omogućena Usluga pasivnog identiteta. Pasivni ID - opcija koja vam omogućuje prevođenje korisnika u IP i obrnuto. PassiveID dobiva informacije iz AD-a putem WMI-ja, posebnih AD agenata ili SPAN porta na preklopniku (nije najbolja opcija).
Napomena: za provjeru statusa pasivnog ID-a upišite u ISE konzolu prikaži status aplikacije is | uključi PassiveID.
Slika 13. Uključivanje opcije PassiveID
4) Idite na karticu Administracija → Upravljanje identitetom → Vanjski izvori identiteta → Active Directory → PassiveID i odaberite opciju Dodajte DC-ove. Zatim odaberite potrebne kontrolere domene s potvrdnim okvirima i kliknite OK.
Slika 14. Dodavanje kontrolera domene
5) Odaberite dodane DC-ove i kliknite gumb Uredi. Molimo navedite FQDN vaš DC, prijavu i lozinku za domenu i opciju veze WMI ili Agent. Odaberite WMI i kliknite OK.
Slika 15 Unos pojedinosti kontrolera domene
6) Ako WMI nije preferirani način komunikacije s Active Directoryjem, tada se mogu koristiti ISE agenti. Metoda agenta je da možete instalirati posebne agente na poslužitelje koji će emitirati događaje prijave. Postoje 2 mogućnosti instalacije: automatska i ručna. Za automatsku instalaciju agenta u istoj kartici Pasivni ID odabrati Dodaj agenta → Implementiraj novog agenta (DC mora imati pristup internetu). Zatim ispunite potrebna polja (ime agenta, FQDN poslužitelja, prijavu/lozinka administratora domene) i kliknite OK.
Slika 16. Automatska instalacija ISE agenta
7) Za ručno instaliranje Cisco ISE agenta odaberite stavku Registrirajte postojećeg agenta. Usput, agenta možete preuzeti na kartici Radni centri → Pasivni ID → Pružatelji → Agenti → Agent za preuzimanje.
Slika 17. Preuzimanje ISE agenta
Važno: PassiveID ne čita događaje odjava! Poziva se parametar odgovoran za timeout vrijeme starenja korisničke sesije i prema zadanim postavkama iznosi 24 sata. Stoga se trebate ili sami odjaviti na kraju radnog dana ili napisati neku skriptu koja će automatski odjaviti sve prijavljene korisnike.
Za informaciju odjava Koriste se "endpoint probes" - terminalne sonde. Postoji nekoliko sondi krajnjih točaka u Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS korištenje sonde CoA (Promjena ovlaštenja) paketi daju informacije o promjeni korisničkih prava (ovo zahtijeva ugrađeni 802.1X), i konfiguriran na pristupnim sklopkama SNMP, dat će informacije o povezanim i isključenim uređajima.
Sljedeći primjer relevantan je za konfiguraciju Cisco ISE + AD bez 802.1X i RADIUS-a: korisnik je prijavljen na Windows stroju, bez odjave, prijavite se s drugog računala putem WiFi-a. U tom će slučaju sesija na prvom računalu i dalje biti aktivna dok ne istekne vrijeme ili se ne dogodi prisilna odjava. Zatim, ako uređaji imaju različita prava, posljednji prijavljeni uređaj će primijeniti svoja prava.
8) Izborno u kartici Administracija → Upravljanje identitetom → Vanjski izvori identiteta → Aktivni imenik → Grupe → Dodaj → Odaberite grupe iz imenika možete odabrati grupe iz AD-a koje želite povući na ISE (u našem slučaju, to je učinjeno u koraku 3 “Dodavanje LDAP poslužitelja”). Odaberite opciju Dohvati grupe → OK.
Slika 18 a). Povlačenje korisničkih grupa iz Active Directory
9) U tab Radni centri → Pasivni ID → Pregled → Nadzorna ploča možete promatrati broj aktivnih sesija, broj izvora podataka, agenata i više.
Slika 19. Praćenje aktivnosti korisnika domene
10) U tab Sesije uživo prikazane su trenutne sesije. Integracija s AD-om je konfigurirana.
Slika 20. Aktivne sesije korisnika domene
5. zaključak
Ovaj je članak pokrivao teme stvaranja lokalnih korisnika u Cisco ISE, dodavanja LDAP poslužitelja i integracije s Microsoft Active Directoryjem. Sljedeći članak će istaknuti gostujući pristup u obliku suvišnog vodiča.
Ako imate pitanja o ovoj temi ili trebate pomoć pri testiranju proizvoda, obratite se .
Pratite novosti na našim kanalima (, , , , ).
Izvor: www.habr.com