Բարի գալուստ Cisco ISE շարքի երկրորդ գրառում: Առաջինում Կարևորվեցին ցանցային մուտքի վերահսկման (NAC) լուծումների առավելություններն ու տարբերությունները ստանդարտ AAA-ից, Cisco ISE-ի յուրահատկությունը, արտադրանքի ճարտարապետությունը և տեղադրման գործընթացը:
Այս հոդվածում մենք կխորանանք հաշիվների ստեղծման, LDAP սերվերների ավելացման և Microsoft Active Directory-ի հետ ինտեգրման, ինչպես նաև PassiveID-ի հետ աշխատելու նրբությունների մասին: Նախքան կարդալը, խստորեն խորհուրդ եմ տալիս կարդալ .
1. Որոշ տերմինաբանություն
Օգտագործողի ինքնությունը — օգտատիրոջ հաշիվ, որը պարունակում է տեղեկություններ օգտատիրոջ մասին և կազմում է նրա հավատարմագրերը ցանց մուտք գործելու համար: Հետևյալ պարամետրերը սովորաբար նշվում են Օգտվողի ինքնության մեջ՝ օգտվողի անուն, էլ. հասցե, գաղտնաբառ, հաշվի նկարագրություն, օգտվողի խումբ և դեր:
Օգտագործողի խմբերը - օգտատերերի խմբերը անհատական օգտատերերի հավաքածու են, որոնք ունեն ընդհանուր արտոնությունների մի շարք, որոնք թույլ են տալիս նրանց մուտք գործել Cisco ISE ծառայությունների և գործառույթների որոշակի փաթեթ:
Օգտագործողի ինքնության խմբեր - նախապես սահմանված օգտատերերի խմբեր, որոնք արդեն ունեն որոշակի տեղեկատվություն և դերեր: Օգտատիրոջ ինքնության հետևյալ խմբերը կան լռելյայնորեն, և դուք կարող եք դրանցում ավելացնել օգտվողներ և օգտատերերի խմբեր՝ Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (հյուրերի պորտալի կառավարման համար հովանավորների հաշիվներ), Հյուր, ActivatedGuest:
Օգտագործողի դերը - Օգտվողի դերը թույլտվությունների մի շարք է, որը որոշում է, թե ինչ առաջադրանքներ կարող է կատարել օգտատերը և ինչ ծառայություններ կարող է մուտք գործել: Հաճախ օգտագործողի դերը կապված է օգտատերերի խմբի հետ:
Ավելին, յուրաքանչյուր օգտվող և օգտատերերի խումբ ունի լրացուցիչ ատրիբուտներ, որոնք թույլ են տալիս ընտրել և ավելի կոնկրետ սահմանել այս օգտվողին (օգտագործողների խումբ): Լրացուցիչ տեղեկություններ .
2. Ստեղծեք տեղական օգտվողներ
1) Cisco ISE-ն հնարավորություն ունի ստեղծել տեղական օգտատերեր և օգտագործել դրանք մուտքի քաղաքականության մեջ կամ նույնիսկ տալ արտադրանքի կառավարման դեր: Ընտրել Կառավարում → Ինքնության կառավարում → Ինքնություններ → Օգտագործողներ → Ավելացնել:
Նկար 1 Cisco ISE-ին տեղային օգտվողի ավելացում
2) Հայտնվող պատուհանում ստեղծեք տեղական օգտատեր, տվեք նրան գաղտնաբառ և այլ հստակ պարամետրեր:
Նկար 2. Cisco ISE-ում տեղական օգտագործողի ստեղծում
3) Օգտագործողները կարող են նաև ներմուծվել: Նույն ներդիրում Վարչություն → Ինքնության կառավարում → Ինքնություն → Օգտագործողներ ընտրել տարբերակ Ներմուծում և վերբեռնեք csv կամ txt ֆայլ օգտվողների հետ: Կաղապար ստանալու համար ընտրեք Ստեղծեք ձևանմուշ, այնուհետև այն պետք է լրացվի համապատասխան ձևով օգտագործողների մասին տեղեկություններով:
Նկար 3. Օգտագործողների ներմուծում Cisco ISE
3. LDAP սերվերների ավելացում
Հիշեցնեմ, որ LDAP-ը կիրառական մակարդակի հանրաճանաչ արձանագրություն է, որը թույլ է տալիս ստանալ տեղեկատվություն, կատարել նույնականացում, որոնել հաշիվներ LDAP սերվերի դիրեկտորիաներում և գործում է 389 կամ 636 (SS) պորտում: LDAP սերվերների նշանավոր օրինակներն են Active Directory, Sun Directory, Novell eDirectory և OpenLDAP: LDAP գրացուցակի յուրաքանչյուր գրառում սահմանվում է DN-ով (Distinguished Name) և մուտքի քաղաքականություն ձևակերպելու համար առաջանում է հաշիվներ, օգտվողների խմբեր և ատրիբուտներ առբերելու խնդիր:
Cisco ISE-ում հնարավոր է կարգավորել մուտքը շատ LDAP սերվերներ՝ դրանով իսկ ներդնելով ավելորդություն: Եթե առաջնային (առաջնային) LDAP սերվերը հասանելի չէ, ապա ISE-ն կփորձի մուտք գործել երկրորդական (երկրորդային) և այլն: Բացի այդ, եթե կան 2 PAN, ապա մեկ LDAP-ն կարող է առաջնահերթ լինել առաջնային PAN-ի համար և մեկ այլ LDAP-ի համար երկրորդական PAN-ի համար:
ISE-ն աջակցում է 2 տեսակի որոնում (որոնում) LDAP սերվերների հետ աշխատելիս՝ օգտվողի որոնում և MAC հասցեի որոնում: Օգտատիրոջ որոնումը թույլ է տալիս օգտվողին որոնել LDAP տվյալների բազայում և ստանալ հետևյալ տեղեկությունները առանց վավերացման՝ օգտատերեր և նրանց ատրիբուտները, օգտվողների խմբեր: MAC հասցեի որոնումը նաև թույլ է տալիս որոնել ըստ MAC հասցեի LDAP գրացուցակներում՝ առանց նույնականացման և տեղեկություններ ստանալ սարքի, սարքերի խմբի մասին՝ ըստ MAC հասցեների և այլ հատուկ հատկանիշների:
Որպես ինտեգրման օրինակ՝ եկեք Active Directory-ը ավելացնենք Cisco ISE-ին՝ որպես LDAP սերվեր:
1) Գնացեք ներդիր Վարչություն → Ինքնության կառավարում → Արտաքին ինքնության աղբյուրներ → LDAP → Ավելացնել.
Նկար 4. LDAP սերվերի ավելացում
2) վահանակում ընդհանուր նշեք LDAP սերվերի անունը և սխեման (մեր դեպքում՝ Active Directory):
Նկար 5. LDAP սերվերի ավելացում Active Directory սխեմայով
3) Հաջորդը գնացեք Կապ ներդիր և ընտրիր Հոսթի անուն/IP հասցե Սերվեր AD, նավահանգիստ (389 - LDAP, 636 - SSL LDAP), տիրույթի ադմինիստրատորի հավատարմագրերը (Admin DN - լրիվ DN), այլ պարամետրերը կարող են լռելյայն մնալ:
ՆշումՕգտագործեք ադմինիստրատորի տիրույթի մանրամասները՝ հնարավոր խնդիրներից խուսափելու համար:
Նկար 6 LDAP սերվերի տվյալների մուտքագրում
4) Ներդիրում տեղեկատու կազմակերպություն դուք պետք է նշեք գրացուցակի տարածքը DN-ի միջոցով, որտեղից պետք է քաշեք օգտվողներին և օգտվողների խմբերը:
Նկար 7. Որոշել դիրեկտորիաները, որոնցից պետք է հավաքել օգտվողների խմբերը
5) Գնացեք դեպի պատուհանը Խմբեր → Ավելացնել → Ընտրել Խմբեր Գրացուցակից LDAP սերվերից քաշող խմբեր ընտրելու համար:
Նկար 8. Խմբերի ավելացում LDAP սերվերից
6) Պատուհանում, որը հայտնվում է, սեղմեք Առբերեք խմբերը: Եթե խմբերը միացել են, ապա նախնական քայլերը հաջողությամբ ավարտվել են։ Հակառակ դեպքում, փորձեք մեկ այլ ադմինիստրատոր և ստուգեք ISE-ի առկայությունը LDAP սերվերի միջոցով LDAP արձանագրության միջոցով:
Նկար 9. Քաշված օգտվողների խմբերի ցանկ
7) Ներդիրում Ատրիբուտներ Դուք կարող եք կամայականորեն նշել, թե LDAP սերվերից որ ատրիբուտները պետք է վեր հանվեն և պատուհանում Ընդլայնված Կառավարում միացնել տարբերակը Միացնել գաղտնաբառի փոփոխությունը, որը կստիպի օգտատերերին փոխել իրենց գաղտնաբառը, եթե դրա ժամկետը լրացել կամ զրոյացվել է: Ամեն դեպքում, սեղմեք Ուղարկել շարունակել.
8) LDAP սերվերը հայտնվում է համապատասխան ներդիրում և հետագայում կարող է օգտագործվել մուտքի քաղաքականություն ստեղծելու համար:
Նկար 10. Ավելացված LDAP սերվերների ցանկ
4. Ինտեգրում Active Directory-ի հետ
1) Microsoft Active Directory սերվերը որպես LDAP սերվեր ավելացնելով, մենք ստացանք օգտվողներ, օգտվողների խմբեր, բայց ոչ տեղեկամատյաններ: Հաջորդը, ես առաջարկում եմ ստեղծել ամբողջական AD ինտեգրում Cisco ISE-ի հետ: Գնացեք ներդիր Ադմինիստրացիա → Ինքնության կառավարում → Արտաքին ինքնության աղբյուրներ → Active Directory → Ավելացնել.
Նշում: AD-ի հետ հաջող ինտեգրման համար ISE-ը պետք է լինի տիրույթում և ունենա լիարժեք կապ DNS, NTP և AD սերվերների հետ, այլապես ոչինչ չի ստացվի:
Նկար 11. Active Directory սերվերի ավելացում
2) Բացվող պատուհանում մուտքագրեք տիրույթի ադմինիստրատորի տվյալները և նշեք վանդակը Խանութի հավատարմագրերը: Բացի այդ, դուք կարող եք նշել OU (Կազմակերպական միավոր), եթե ISE-ը գտնվում է որոշակի OU-ում: Հաջորդը, դուք պետք է ընտրեք Cisco ISE հանգույցները, որոնք ցանկանում եք միացնել տիրույթին:
Նկար 12. Հավատարմագրերի մուտքագրում
3) Նախքան տիրույթի վերահսկիչները ավելացնելը, համոզվեք, որ ներդիրում գտնվող PSN-ում Կառավարում → Համակարգ → Տեղակայում տարբերակը միացված է Պասիվ ինքնության ծառայություն. Պասիվ ID — տարբերակ, որը թույլ է տալիս Օգտատիրոջը թարգմանել IP-ով և հակառակը: PassiveID-ը տեղեկատվություն է ստանում AD-ից WMI-ի, հատուկ AD գործակալների կամ անջատիչի SPAN պորտի միջոցով (լավագույն տարբերակը չէ):
Նշում: Պասիվ ID-ի կարգավիճակը ստուգելու համար մուտքագրեք ISE վահանակում ցույց տալ դիմումի կարգավիճակը ise | ներառել PassiveID.
Նկար 13. PassiveID տարբերակի ակտիվացում
4) Գնացեք ներդիր Կառավարում → Ինքնության կառավարում → Արտաքին ինքնության աղբյուրներ → Active Directory → PassiveID և ընտրեք տարբերակը Ավելացնել DC-ներ. Հաջորդը, ընտրեք անհրաժեշտ տիրույթի վերահսկիչները վանդակներով և սեղմեք OK.
Նկար 14. Դոմեյն կարգավորիչների ավելացում
5) Ընտրեք ավելացված DC-ները և սեղմեք կոճակը Խմբագրել: Նշեք FQDN ձեր DC-ն, տիրույթի մուտքն ու գաղտնաբառը և հղման տարբերակ WMI կամ Գործակալ. Ընտրեք WMI և սեղմեք OK.
Նկար 15 Դոմենի վերահսկիչի մանրամասների մուտքագրում
6) Եթե WMI-ն Active Directory-ի հետ հաղորդակցվելու նախընտրելի մեթոդ չէ, ապա կարող են օգտագործվել ISE գործակալները: Գործակալի մեթոդն այն է, որ դուք կարող եք տեղադրել հատուկ գործակալներ սերվերի վրա, որոնք կհրապարակեն մուտքի իրադարձություններ: Տեղադրման 2 տարբերակ կա՝ ավտոմատ և ձեռքով: Գործակալը նույն ներդիրում ավտոմատ տեղադրելու համար Պասիվ ID ընտրել տարրը Ավելացնել գործակալ → Տեղադրել նոր գործակալ (DC-ն պետք է ունենա ինտերնետ հասանելիություն): Այնուհետև լրացրեք անհրաժեշտ դաշտերը (գործակալի անունը, սերվերի FQDN, տիրույթի ադմինիստրատորի մուտք/գաղտնաբառ) և սեղմեք OK.
Նկար 16. ISE գործակալի ավտոմատ տեղադրում
7) Cisco ISE գործակալը ձեռքով տեղադրելու համար անհրաժեշտ է ընտրել Գրանցեք գոյություն ունեցող գործակալ. Ի դեպ, գործակալը կարող եք ներբեռնել ներդիրում Աշխատանքային կենտրոններ → Պասիվ ID → Մատակարարներ → Գործակալներ → Ներբեռնման գործակալ:
Նկար 17. ISE գործակալի ներբեռնում
Կարեւոր է. PassiveID-ը չի կարդում իրադարձությունները դուրս գալ! Ժամկետի համար պատասխանատու պարամետրը կոչվում է օգտագործողի նստաշրջանի ծերացման ժամանակը և լռելյայն հավասար է 24 ժամի: Հետևաբար, դուք պետք է կամ ինքներդ դուրս գաք աշխատանքային օրվա վերջում, կամ գրեք ինչ-որ սկրիպտ, որն ավտոմատ կերպով դուրս կգա բոլոր մուտք գործած օգտատերերին:
Տեղեկությունների համար դուրս գալ Օգտագործվում են «վերջնակետային զոնդերը»: Cisco ISE-ում կան մի քանի վերջնակետային զոնդեր՝ RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan: ՌԱԴԻՈՒՍ զոնդ օգտագործելով CoA (Լիցենզավորման փոփոխություն) փաթեթները տեղեկատվություն են տալիս օգտվողի իրավունքների փոփոխության մասին (սա պահանջում է ներկառուցված 802.1X), և կազմաձևված SNMP մուտքի անջատիչների վրա, տեղեկատվություն կտա միացված և անջատված սարքերի մասին:
Ստորև բերված է Cisco ISE + AD կոնֆիգուրացիայի համար առանց 802.1X-ի և RADIUS-ի օրինակ. Այս դեպքում, առաջին ԱՀ-ի նիստը դեռ ակտիվ կլինի, մինչև տեղի չունենա ժամանակի ընդհատում կամ հարկադիր ելք: Այնուհետև, եթե սարքերն ունեն տարբեր իրավունքներ, վերջին մուտք գործած սարքը կկիրառի իր իրավունքները:
8) ներդիրում կամընտիր Ադմինիստրացիա → Ինքնության կառավարում → Արտաքին ինքնության աղբյուրներ → Active Directory → Խմբեր → Ավելացնել → Ընտրել Խմբեր Գրացուցակից դուք կարող եք ընտրել AD-ից խմբեր, որոնք ցանկանում եք ավելացնել ISE-ին (մեր դեպքում դա արվել է «LDAP սերվերի ավելացում» 3-րդ քայլում): Ընտրեք տարբերակ Առբերեք Խմբերը → OK.
Նկար 18 ա): Օգտագործողների խմբերի դուրսբերում Active Directory-ից
9) Ներդիրում Աշխատանքային կենտրոններ → PassiveID → Overview → Dashboard Դուք կարող եք դիտարկել ակտիվ նիստերի քանակը, տվյալների աղբյուրների քանակը, գործակալները և այլն:
Նկար 19. Դոմենի օգտատերերի գործունեության մոնիտորինգ
10) Ներդիրում Կենդանի նստաշրջաններ ցուցադրվում են ընթացիկ նիստերը: Ինտեգրումը AD-ի հետ կազմաձևված է:
Նկար 20. Դոմեյն օգտագործողների ակտիվ նիստերը
5. Եզրակացություն
Այս հոդվածը ներառում էր Cisco ISE-ում տեղական օգտատերերի ստեղծման, LDAP սերվերների ավելացման և Microsoft Active Directory-ի հետ ինտեգրվելու թեմաները: Հաջորդ հոդվածը կանդրադառնա հյուրերի մուտքին ավելորդ ուղեցույցի տեսքով:
Եթե այս թեմայի վերաբերյալ հարցեր ունեք կամ արտադրանքի փորձարկման հարցում օգնության կարիք ունեք, դիմեք .
Հետևեք թարմացումներին մեր ալիքներում (, , , , ).
Source: www.habr.com