Selamat datang di posting kedua dalam seri Cisco ISE. Yang pertama kelebihan dan perbedaan solusi Network Access Control (NAC) dari AAA standar, keunikan Cisco ISE, arsitektur dan proses instalasi produk disorot.
Pada artikel ini, kami akan mempelajari pembuatan akun, menambahkan server LDAP, dan mengintegrasikan dengan Microsoft Active Directory, serta nuansa bekerja dengan PassiveID. Sebelum membaca, saya sangat menyarankan Anda membaca .
1. Beberapa terminologi
Identitas Pengguna - akun pengguna yang berisi informasi tentang pengguna dan menghasilkan kredensial untuk mengakses jaringan. Parameter berikut biasanya ditentukan dalam Identitas Pengguna: nama pengguna, alamat email, kata sandi, deskripsi akun, grup pengguna, dan peran.
Kelompok Pengguna - grup pengguna adalah kumpulan pengguna individu yang memiliki seperangkat hak istimewa yang memungkinkan mereka untuk mengakses serangkaian layanan dan fungsi Cisco ISE tertentu.
Grup Identitas Pengguna - kelompok pengguna yang telah ditentukan sebelumnya yang telah memiliki informasi dan peran tertentu. Grup Identitas Pengguna berikut ada secara default, Anda dapat menambahkan pengguna dan grup pengguna ke dalamnya: Karyawan (karyawan), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (akun sponsor untuk mengelola portal tamu), Tamu (tamu), ActivatedGuest (tamu diaktifkan).
peran pengguna- Peran pengguna adalah sekumpulan izin yang menentukan tugas apa yang dapat dilakukan pengguna dan layanan apa yang dapat diakses. Seringkali peran pengguna dikaitkan dengan sekelompok pengguna.
Selain itu, setiap pengguna dan grup pengguna memiliki atribut tambahan yang memungkinkan Anda untuk memilih dan lebih spesifik menentukan pengguna (grup pengguna) ini. Informasi lebih lanjut di .
2. Buat pengguna lokal
1) Cisco ISE memiliki kemampuan untuk membuat pengguna lokal dan menggunakannya dalam kebijakan akses atau bahkan memberikan peran administrasi produk. Pilih Administrasi → Manajemen Identitas → Identitas → Pengguna → Tambah.
Gambar 1 Menambahkan Pengguna Lokal ke Cisco ISE
2) Di jendela yang muncul, buat pengguna lokal, atur kata sandi, dan parameter lain yang dapat dimengerti.
Gambar 2. Membuat Pengguna Lokal di Cisco ISE
3) Pengguna juga dapat diimpor. Di tab yang sama Administrasi → Manajemen Identitas → Identitas → Pengguna pilih opsi impor dan unggah file csv atau txt dengan pengguna. Untuk mendapatkan template pilih Hasilkan Templat, maka harus diisi dengan informasi tentang pengguna dalam bentuk yang sesuai.
Gambar 3 Mengimpor Pengguna ke Cisco ISE
3. Menambahkan server LDAP
Izinkan saya mengingatkan Anda bahwa LDAP adalah protokol tingkat aplikasi populer yang memungkinkan Anda menerima informasi, melakukan otentikasi, mencari akun di direktori server LDAP, bekerja pada port 389 atau 636 (SS). Contoh menonjol dari server LDAP adalah Active Directory, Sun Directory, Novell eDirectory, dan OpenLDAP. Setiap entri dalam direktori LDAP ditentukan oleh DN (Nama Terhormat) dan tugas mengambil akun, grup pengguna, dan atribut dinaikkan untuk membentuk kebijakan akses.
Di Cisco ISE, dimungkinkan untuk mengonfigurasi akses ke banyak server LDAP, sehingga menerapkan redundansi. Jika server LDAP primer (primer) tidak tersedia, maka ISE akan mencoba mengakses server sekunder (sekunder) dan seterusnya. Selain itu, jika ada 2 PAN, maka satu LDAP dapat diprioritaskan untuk PAN primer dan LDAP lainnya untuk PAN sekunder.
ISE mendukung 2 jenis pencarian (pencarian) saat bekerja dengan server LDAP: Pencarian Pengguna dan Pencarian Alamat MAC. Pencarian Pengguna memungkinkan Anda mencari pengguna di database LDAP dan mendapatkan informasi berikut tanpa autentikasi: pengguna dan atributnya, grup pengguna. Pencarian Alamat MAC juga memungkinkan Anda untuk mencari berdasarkan alamat MAC di direktori LDAP tanpa autentikasi dan mendapatkan informasi tentang perangkat, sekelompok perangkat berdasarkan alamat MAC, dan atribut spesifik lainnya.
Sebagai contoh integrasi, mari tambahkan Active Directory ke Cisco ISE sebagai server LDAP.
1) Buka tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → LDAP → Tambahkan.
Gambar 4. Menambahkan server LDAP
2) Di panel Umum tentukan nama dan skema server LDAP (dalam kasus kami, Direktori Aktif).
Gambar 5. Menambahkan server LDAP dengan skema Active Directory
3) Selanjutnya pergi ke Koneksi tab dan pilih Nama host/alamat IP Server AD, port (389 - LDAP, 636 - SSL LDAP), kredensial administrator domain (Admin DN - DN lengkap), parameter lain dapat dibiarkan sebagai default.
Catatan: gunakan detail domain admin untuk menghindari potensi masalah.
Gambar 6 Memasukkan Data Server LDAP
4) Di tab Organisasi Direktori Anda harus menentukan area direktori melalui DN dari mana menarik pengguna dan grup pengguna.
Gambar 7. Penentuan direktori dari mana kelompok pengguna dapat menarik
5) Pergi ke jendela Grup → Tambah → Pilih Grup Dari Direktori untuk memilih grup tarik dari server LDAP.
Gambar 8. Menambahkan grup dari server LDAP
6) Di jendela yang muncul, klik Ambil Grup. Jika kelompok sudah berhenti, maka langkah awal telah berhasil diselesaikan. Jika tidak, coba administrator lain dan periksa ketersediaan ISE dengan server LDAP melalui protokol LDAP.
Gambar 9. Daftar grup pengguna yang ditarik
7) Di tab atribut Anda dapat secara opsional menentukan atribut mana dari server LDAP yang harus ditarik, dan di jendela Pengaturan Lanjutan aktifkan opsi Aktifkan perubahan kata sandi, yang akan memaksa pengguna untuk mengubah kata sandi mereka jika telah kedaluwarsa atau telah diatur ulang. Pokoknya klik Kirim untuk melanjutkan.
8) Server LDAP muncul di tab yang sesuai dan dapat digunakan untuk membentuk kebijakan akses di masa mendatang.
Gambar 10. Daftar server LDAP yang ditambahkan
4. Integrasi dengan Direktori Aktif
1) Dengan menambahkan server Microsoft Active Directory sebagai server LDAP, kami mendapatkan pengguna, grup pengguna, tetapi tidak ada log. Selanjutnya, saya mengusulkan untuk menyiapkan integrasi AD lengkap dengan Cisco ISE. Buka tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → Tambah.
Catatan: untuk keberhasilan integrasi dengan AD, ISE harus berada dalam domain dan memiliki konektivitas penuh dengan server DNS, NTP, dan AD, jika tidak, tidak akan ada hasilnya.
Gambar 11. Menambahkan server Active Directory
2) Di jendela yang muncul, masukkan detail administrator domain dan centang kotaknya Menyimpan Kredensial. Selain itu, Anda dapat menentukan OU (Organizational Unit) jika ISE terletak di OU tertentu. Selanjutnya, Anda harus memilih node Cisco ISE yang ingin Anda sambungkan ke domain.
Gambar 12. Memasukkan kredensial
3) Sebelum menambahkan pengontrol domain, pastikan di PSN di tab Administrasi → Sistem → Penerapan opsi diaktifkan Layanan Identitas Pasif. ID pasif - opsi yang memungkinkan Anda menerjemahkan Pengguna ke IP dan sebaliknya. PassiveID mendapatkan informasi dari AD melalui WMI, agen AD khusus atau port SPAN pada sakelar (bukan opsi terbaik).
Catatan: untuk memeriksa status ID Pasif, ketik konsol ISE tampilkan status aplikasi ise | menyertakan ID Pasif.
Gambar 13. Mengaktifkan opsi PassiveID
4) Buka tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → ID Pasif dan pilih opsi Tambahkan DC. Selanjutnya, pilih pengontrol domain yang diperlukan dengan kotak centang dan klik OK.
Gambar 14. Menambahkan pengontrol domain
5) Pilih DC yang ditambahkan dan klik tombol Edit. Tolong tunjukkan FQDN DC Anda, login domain dan kata sandi, dan opsi tautan WMI или Agen. Pilih WMI dan klik OK.
Gambar 15 Memasukkan detail kontroler domain
6) Jika WMI bukan cara yang disukai untuk berkomunikasi dengan Active Directory, maka agen ISE dapat digunakan. Metode agen adalah Anda dapat menginstal agen khusus di server yang akan memancarkan peristiwa login. Ada 2 opsi instalasi: otomatis dan manual. Untuk menginstal agen secara otomatis di tab yang sama ID pasif pilih item Tambahkan Agen → Terapkan Agen Baru (DC harus memiliki akses Internet). Kemudian isi bidang yang wajib diisi (nama agen, FQDN server, login/kata sandi administrator domain) dan klik OK.
Gambar 16. Instalasi otomatis agen ISE
7) Untuk menginstal agen Cisco ISE secara manual, pilih item tersebut Daftarkan Agen yang Ada. Omong-omong, Anda dapat mengunduh agen di tab Pusat Kerja → PassiveID → Penyedia → Agen → Agen Unduhan.
Gambar 17. Mengunduh agen ISE
Penting: PassiveID tidak membaca acara logoff! Parameter yang bertanggung jawab atas batas waktu dipanggil waktu penuaan sesi pengguna dan sama dengan 24 jam secara default. Oleh karena itu, Anda harus keluar sendiri di akhir hari kerja, atau menulis semacam skrip yang secara otomatis akan keluar dari semua pengguna yang masuk.
Untuk informasi logoff "Probe titik akhir" digunakan - probe terminal. Ada beberapa probe endpoint di Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS menyelidiki menggunakan KoA (Perubahan Otorisasi) paket memberikan informasi tentang perubahan hak pengguna (ini membutuhkan file tertanam 802.1X), dan dikonfigurasi pada sakelar akses SNMP, akan memberikan informasi tentang perangkat yang terhubung dan terputus.
Contoh berikut relevan untuk konfigurasi Cisco ISE + AD tanpa 802.1X dan RADIUS: pengguna masuk di mesin Windows, tanpa melakukan logoff, masuk dari PC lain melalui WiFi. Dalam hal ini, sesi pada PC pertama akan tetap aktif hingga terjadi timeout atau logoff paksa. Kemudian jika perangkat memiliki hak yang berbeda, maka perangkat yang terakhir masuk akan menerapkan haknya.
8) Opsional di tab Administrasi → Manajemen Identitas → Sumber Identitas Eksternal → Direktori Aktif → Grup → Tambah → Pilih Grup Dari Direktori Anda dapat memilih grup dari AD yang ingin Anda tarik di ISE (dalam kasus kami, ini dilakukan di langkah 3 “Menambahkan server LDAP”). Pilih opsi Ambil Grup → OK.
Gambar 18a). Menarik grup pengguna dari Active Directory
9) Di tab Pusat Kerja → PassiveID → Gambaran Umum → Dasbor Anda dapat mengamati jumlah sesi aktif, jumlah sumber data, agen, dan lainnya.
Gambar 19. Pemantauan aktivitas pengguna domain
10) Di tab Sesi Langsung sesi saat ini ditampilkan. Integrasi dengan AD dikonfigurasi.
Gambar 20. Sesi aktif pengguna domain
5. Kesimpulan
Artikel ini mencakup topik membuat pengguna lokal di Cisco ISE, menambahkan server LDAP, dan mengintegrasikan dengan Microsoft Active Directory. Artikel selanjutnya akan menyoroti akses tamu dalam bentuk panduan yang berlebihan.
Jika Anda memiliki pertanyaan tentang topik ini atau memerlukan bantuan untuk menguji produk, silakan hubungi .
Nantikan pembaruan di saluran kami (, , , , ).
Sumber: www.habr.com