Üdvözöljük a Cisco ISE sorozat második bejegyzésében. Az elsőben kiemelték a Network Access Control (NAC) megoldások előnyeit és különbségeit a szabványos AAA-tól, a Cisco ISE egyediségét, a termék architektúráját és telepítési folyamatát.
Ebben a cikkben a fiókok létrehozásával, az LDAP-kiszolgálók hozzáadásával, a Microsoft Active Directoryval való integrációval, valamint a PassiveID-vel való munka árnyalataival foglalkozunk. Olvasás előtt erősen ajánlom, hogy olvassa el .
1. Néhány terminológia
Felhasználói azonosító - olyan felhasználói fiók, amely információkat tartalmaz a felhasználóról, és létrehozza a hitelesítő adatait a hálózat eléréséhez. A Felhasználói identitásban általában a következő paraméterek vannak megadva: felhasználónév, e-mail cím, jelszó, fiókleírás, felhasználói csoport és szerepkör.
Csoportok - A felhasználói csoportok egyéni felhasználók gyűjteménye, akik közös jogosultságokkal rendelkeznek, amelyek lehetővé teszik számukra a Cisco ISE szolgáltatások és funkciók meghatározott készletének elérését.
Felhasználói azonosító csoportok - előre meghatározott felhasználói csoportok, amelyek már rendelkeznek bizonyos információkkal és szerepekkel. Alapértelmezés szerint a következő felhasználói azonosító csoportok léteznek, amelyekhez felhasználókat és felhasználói csoportokat adhatunk hozzá: Alkalmazott (alkalmazott), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (a vendégportál kezeléséhez szükséges szponzorfiókok), Vendég (vendég), ActivatedGuest (aktivált vendég).
felhasználói szerep- A felhasználói szerepkör olyan engedélyek halmaza, amelyek meghatározzák, hogy a felhasználó milyen feladatokat hajthat végre, és milyen szolgáltatások férhetnek hozzá. Gyakran egy felhasználói szerepkör a felhasználók egy csoportjához van társítva.
Ezenkívül minden felhasználó és felhasználói csoport további attribútumokkal rendelkezik, amelyek lehetővé teszik a felhasználó (felhasználói csoport) kiválasztását és pontosabb meghatározását. Bővebb információ a .
2. Hozzon létre helyi felhasználókat
1) A Cisco ISE képes helyi felhasználókat létrehozni, és használni őket hozzáférési szabályzatban, vagy akár termékadminisztrációs szerepet is adni. Válassza ki Adminisztráció → Identitáskezelés → Identitások → Felhasználók → Hozzáadás.
1. ábra Helyi felhasználó hozzáadása a Cisco ISE-hez
2) A megjelenő ablakban hozzon létre egy helyi felhasználót, állítson be jelszót és egyéb érthető paramétereket.
2. ábra: Helyi felhasználó létrehozása a Cisco ISE-ben
3) A felhasználók is importálhatók. Ugyanazon a lapon Adminisztráció → Identitáskezelés → Identitások → Felhasználók Válassz egy lehetőséget import és töltsön fel csv vagy txt fájlt a felhasználókkal. Sablon beszerzéséhez válassza ki Hozzon létre egy sablont, akkor azt megfelelő formában kell kitölteni a felhasználókkal kapcsolatos információkkal.
3. ábra Felhasználók importálása a Cisco ISE-be
3. LDAP szerverek hozzáadása
Hadd emlékeztessem önöket arra, hogy az LDAP egy népszerű alkalmazásszintű protokoll, amely lehetővé teszi információk fogadását, hitelesítés végrehajtását, fiókok keresését az LDAP-kiszolgálók könyvtáraiban, és a 389-es vagy 636-os (SS) porton működik. Az LDAP-kiszolgálók kiemelkedő példái az Active Directory, a Sun Directory, a Novell eDirectory és az OpenLDAP. Az LDAP-címtár minden bejegyzését megkülönböztető név (Distinguished Name) határozza meg, és a fiókok, felhasználói csoportok és attribútumok lekérésének feladata egy hozzáférési szabályzat kialakítása.
A Cisco ISE-ben lehetőség van számos LDAP-kiszolgálóhoz való hozzáférés konfigurálására, ezáltal redundanciát valósít meg. Ha az elsődleges (elsődleges) LDAP-kiszolgáló nem elérhető, akkor az ISE megpróbál hozzáférni a másodlagos (másodlagos) és így tovább. Ezenkívül, ha 2 PAN van, akkor egy LDAP prioritást kaphat az elsődleges PAN számára, és egy másik LDAP a másodlagos PAN számára.
Az ISE 2 típusú keresést (keresést) támogat, amikor LDAP-kiszolgálókkal dolgozik: a felhasználói keresést és a MAC-címkeresést. A User Lookup lehetővé teszi, hogy felhasználót keressen az LDAP adatbázisban, és hitelesítés nélkül megkapja a következő információkat: felhasználók és attribútumaik, felhasználói csoportok. A MAC-cím keresése lehetővé teszi, hogy hitelesítés nélkül keressen MAC-cím alapján az LDAP-címtárban, és információkat kapjon az eszközről, az eszközök egy csoportjáról MAC-címek és egyéb speciális attribútumok alapján.
Integrációs példaként adjuk hozzá az Active Directoryt a Cisco ISE-hez LDAP-kiszolgálóként.
1) Lépjen a lapra Adminisztráció → Identitáskezelés → Külső identitásforrások → LDAP → Hozzáadás.
4. ábra LDAP szerver hozzáadása
2) Panelben általános adja meg az LDAP szerver nevét és sémáját (esetünkben az Active Directory).
5. ábra: LDAP-kiszolgáló hozzáadása Active Directory-sémával
3) Következő lépés: csatlakozás fület, és válassza ki Gazdanév/IP-cím Szerver AD, port (389 - LDAP, 636 - SSL LDAP), tartomány adminisztrátori hitelesítő adatok (Admin DN - teljes DN), egyéb paraméterek alapértelmezettként hagyhatók.
Megjegyzés: használja az admin tartomány adatait az esetleges problémák elkerülése érdekében.
6. ábra LDAP szerver adatok bevitele
4) A lapon Címtár Szervezet meg kell adnia a címtárterületet a DN-en keresztül, ahonnan a felhasználók és felhasználói csoportok lehívhatók.
7. ábra. A könyvtárak meghatározása, ahonnan a felhasználói csoportok felbukkanhatnak
5) Menjen az ablakhoz Csoportok → Hozzáadás → Csoportok kiválasztása a címtárból lehívási csoportok kiválasztásához az LDAP szerverről.
8. ábra: Csoportok hozzáadása az LDAP szerverről
6) A megjelenő ablakban kattintson a gombra Csoportok lekérése. Ha a csoportok felálltak, akkor az előzetes lépések sikeresen megtörténtek. Ellenkező esetben próbáljon meg egy másik rendszergazdát, és ellenőrizze az ISE elérhetőségét az LDAP-kiszolgálóval az LDAP protokollon keresztül.
9. ábra A lehívott felhasználói csoportok listája
7) A lapon Attribútumok opcionálisan megadhatja, hogy az LDAP szerver mely attribútumai legyenek előhívva, és az ablakban Speciális beállítások engedélyezési opció Jelszómódosítás engedélyezése, amely arra kényszeríti a felhasználókat, hogy módosítsák jelszavukat, ha az lejárt vagy visszaállították. Mindenesetre kattints Küld folytatni.
8) Az LDAP szerver a megfelelő lapon jelent meg, és a jövőben felhasználható hozzáférési szabályzatok kialakítására.
10. ábra: A hozzáadott LDAP-kiszolgálók listája
4. Integráció az Active Directoryval
1) A Microsoft Active Directory szerver LDAP kiszolgálóként történő hozzáadásával felhasználókat, felhasználói csoportokat kaptunk, de naplókat nem. Ezt követően teljes körű AD-integráció létrehozását javaslom a Cisco ISE-vel. Ugrás a lapra Adminisztráció → Identitáskezelés → Külső identitásforrások → Active Directory → Hozzáadás.
Megjegyzés: az AD-vel való sikeres integrációhoz az ISE-nek egy tartományban kell lennie, és teljes kapcsolattal kell rendelkeznie a DNS-, NTP- és AD-kiszolgálókkal, különben semmi sem lesz belőle.
11. ábra: Active Directory kiszolgáló hozzáadása
2) A megjelenő ablakban adja meg a domain rendszergazda adatait, és jelölje be a négyzetet Hitelesítési adatok tárolása. Ezenkívül megadhat egy szervezeti egységet (OU), ha az ISE egy adott szervezeti egységben található. Ezután ki kell választania azokat a Cisco ISE csomópontokat, amelyekhez csatlakozni kíván a tartományhoz.
12. ábra Hitelesítési adatok megadása
3) A tartományvezérlők hozzáadása előtt győződjön meg arról, hogy a PSN-en a lapon Adminisztráció → Rendszer → Telepítés opció engedélyezve van Passzív identitásszolgáltatás. Passzív azonosító - egy lehetőség, amely lehetővé teszi, hogy lefordítsa a felhasználót IP-re és fordítva. A PassiveID információkat kap az AD-től a WMI-n, speciális AD-ügynökökön vagy a switch SPAN-portján keresztül (nem a legjobb megoldás).
Megjegyzés: a passzív azonosító állapotának ellenőrzéséhez írja be az ISE konzolba alkalmazás állapotának megjelenítése ise | tartalmazza a PassiveID.
13. ábra A PassiveID opció engedélyezése
4) Lépjen a lapra Adminisztráció → Identitáskezelés → Külső identitásforrások → Active Directory → PassiveID és válassza ki a lehetőséget Adjon hozzá DC-ket. Ezután jelölje ki a szükséges tartományvezérlőket jelölőnégyzetekkel, és kattintson a gombra OK.
14. ábra Tartományvezérlők hozzáadása
5) Válassza ki a hozzáadott DC-ket, és kattintson a gombra Szerkesztése. Kérlek, jelezd FQDN a DC-jét, a domain bejelentkezési nevét és jelszavát, valamint egy hivatkozási lehetőséget WMI vagy Ügynök. Válassza ki a WMI-t, és kattintson OK.
15. ábra Tartományvezérlő adatainak megadása
6) Ha a WMI nem a preferált módja az Active Directoryval való kommunikációnak, akkor ISE ügynökök használhatók. Az ügynök módszere az, hogy speciális ügynököket telepíthet a kiszolgálókra, amelyek bejelentkezési eseményeket bocsátanak ki. 2 telepítési lehetőség van: automatikus és kézi. Az ügynök automatikus telepítése ugyanarra a lapra Passzív azonosító választ Ügynök hozzáadása → Új ügynök telepítése (A DC-nek internet-hozzáféréssel kell rendelkeznie). Ezután töltse ki a szükséges mezőket (ügynök neve, kiszolgáló FQDN, domain rendszergazda bejelentkezési/jelszó), és kattintson OK.
16. ábra: Az ISE ügynök automatikus telepítése
7) A Cisco ISE ügynök kézi telepítéséhez válassza ki az elemet Regisztrálja a meglévő ügynököt. Az ügynököt egyébként a lapon töltheti le Munkaközpontok → Passzívazonosító → Szolgáltatók → Ügynökök → Letöltési ügynök.
17. ábra: Az ISE ügynök letöltése
Fontos: A PassiveID nem olvassa be az eseményeket kijelentkezés! Meghívjuk az időtúllépésért felelős paramétert felhasználói munkamenet öregedési ideje és alapértelmezés szerint 24 óra. Ezért vagy ki kell jelentkeznie a munkanap végén, vagy írjon valamilyen szkriptet, amely automatikusan kijelentkezteti az összes bejelentkezett felhasználót.
Információért kijelentkezés "Végpont szondákat" használnak - terminálszondákat. A Cisco ISE-ben számos végpont-próba található: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. SUGÁR szonda használatával CoA (Change of Authorization) csomagok információt adnak a felhasználói jogosultságok megváltoztatásáról (ehhez beágyazott 802.1X), és az SNMP hozzáférési kapcsolókon konfigurálva információkat ad a csatlakoztatott és leválasztott eszközökről.
A következő példa egy 802.1X és RADIUS nélküli Cisco ISE + AD konfigurációra vonatkozik: a felhasználó bejelentkezik egy Windows rendszerű gépen, kijelentkezés nélkül, bejelentkezik egy másik számítógépről WiFi-n keresztül. Ebben az esetben a munkamenet az első PC-n továbbra is aktív marad mindaddig, amíg időtúllépés nem történik, vagy nem történik kényszerített kijelentkezés. Ekkor ha az eszközök eltérő jogosultságokkal rendelkeznek, akkor az utoljára bejelentkezett eszköz alkalmazza a jogait.
8) Nem kötelező a lapon Adminisztráció → Identitáskezelés → Külső identitásforrások → Active Directory → Csoportok → Hozzáadás → Csoportok kiválasztása a címtárból kiválaszthatja az AD-ből azokat a csoportokat, amelyeket fel szeretne húzni az ISE-n (a mi esetünkben ezt a 3. „LDAP-szerver hozzáadása” lépésben tette meg). Válassz egy lehetőséget Csoportok lekérése → OK.
18. ábra a). Felhasználói csoportok lehívása az Active Directoryból
9) A lapon Munkaközpontok → PassiveID → Áttekintés → Irányítópult megfigyelheti az aktív munkamenetek számát, az adatforrások, ügynökök és egyebek számát.
19. ábra Domain felhasználók aktivitásának figyelése
10) A lapon Élő ülések az aktuális munkamenetek jelennek meg. Az AD-vel való integráció konfigurálva van.
20. ábra: Domainfelhasználók aktív munkamenetei
5. következtetés
Ez a cikk a helyi felhasználók létrehozásával a Cisco ISE rendszerben, az LDAP-kiszolgálók hozzáadásával és a Microsoft Active Directoryval való integrációval foglalkozott. A következő cikk egy redundáns útmutató formájában emeli ki a vendégek hozzáférését.
Ha kérdése van a témával kapcsolatban, vagy segítségre van szüksége a termék teszteléséhez, forduljon hozzánk .
Kísérje figyelemmel csatornáinkon megjelenő újdonságokat (, , , , ).
Forrás: will.com