Nabata na ọkwa nke abụọ na usoro Cisco ISE. Na nke mbụ uru na ihe dị iche iche nke Network Access Control (NAC) ngwọta sitere na ọkọlọtọ AAA, ihe dị iche iche nke Cisco ISE, ihe owuwu na usoro ntinye nke ngwaahịa ahụ gosipụtara.
N'ime edemede a, anyị ga-abanye n'ime imepụta akaụntụ, na-agbakwunye sava LDAP, yana ijikọ na Microsoft Active Directory, yana nuances nke ịrụ ọrụ na PassiveID. Tupu ịgụ akwụkwọ, a na m akwadosi ike ka ị gụọ .
1. Ụfọdụ okwu okwu
Njirimara onye ọrụ - akaụntụ onye ọrụ nwere ozi gbasara onye ọrụ wee wepụta nzere ya maka ịnweta netwọkụ. A na-akọwakarị usoro ndị a na njirimara onye ọrụ: aha njirimara, adreesị ozi-e, paswọọdụ, nkọwa akaụntụ, otu onye ọrụ, na ọrụ.
Otu Ndị Ọrụ - otu onye ọrụ bụ mkpokọta nke ndị ọrụ nke nwere oke ọrụ nke na-enye ha ohere ịnweta otu ọrụ na ọrụ Cisco ISE.
Otu njirimara onye ọrụ - Otu ndị ọrụ akọwapụtagoro nke ọma nwere ụfọdụ ozi na ọrụ. Otu njirimara njirimara ndị a dị na ndabara, ị nwere ike itinye ndị ọrụ na otu onye ọrụ na ha: Onye ọrụ (onye ọrụ), SponsorAllAccounts, SponsorGroupAccounts, SponsorOwnAccounts (akaụntụ nkwado maka ijikwa ọnụ ụzọ ndị ọbịa), Ọbịa (ọbịa), ActivatedGuest (onye ọbịa na-arụ ọrụ).
ọrụ-ọrụ- Ọrụ onye ọrụ bụ nhazi ikike nke na-ekpebi ọrụ onye ọrụ nwere ike ịrụ yana ọrụ ndị nwere ike ịnweta. Ọtụtụ mgbe, ọrụ onye ọrụ na-ejikọta ya na otu ndị ọrụ.
Ọzọkwa, onye ọrụ ọ bụla na otu onye ọrụ nwere njirimara ndị ọzọ na-enye gị ohere ịhọrọ yana kọwapụta onye ọrụ a (otu onye ọrụ). Ozi ndị ọzọ na .
2. Mepụta ndị ọrụ mpaghara
1) Cisco ISE nwere ikike ịmepụta ndị ọrụ mpaghara ma jiri ha mee ihe na iwu ịnweta ma ọ bụ ọbụna nye ọrụ nchịkwa ngwaahịa. Họrọ Nlekọta → Njikwa njirimara → njirimara → Ndị ọrụ → Tinye.
Ọgụgụ 1 Ịgbakwunye onye ọrụ mpaghara na Cisco ISE
2) Na mpio nke gosipụtara, mepụta onye ọrụ mpaghara, tọọ paswọọdụ na paramita ndị ọzọ nwere ike ịghọta.
Ọgụgụ 2. Ịmepụta onye ọrụ mpaghara na Cisco ISE
3) Ndị ọrụ nwekwara ike ibubata. N'otu taabụ Nlekọta → Njikwa njirimara → njirimara → Ndị ọrụ họrọ nhọrọ Import ma bulite faịlụ csv ma ọ bụ txt na ndị ọrụ. Iji nweta ndebiri họrọ Mepụta Template, mgbe ahụ, ọ ga-ejupụta na ozi gbasara ndị ọrụ n'ụdị kwesịrị ekwesị.
Ọgụgụ 3 Na-ebubata ndị ọrụ na Cisco ISE
3. Na-agbakwụnye sava LDAP
Ka m chetara gị na LDAP bụ usoro ọkwa ọkwa ngwa na-ewu ewu nke na-enye gị ohere ịnweta ozi, mee nyocha, chọọ akaụntụ na akwụkwọ ndekọ aha nke sava LDAP, na-arụ ọrụ na ọdụ ụgbọ mmiri 389 ma ọ bụ 636 (SS). Ihe atụ ama ama nke sava LDAP bụ Active Directory, Sun Directory, Novell eDirectory, na OpenLDAP. A na-akọwa ntinye ọ bụla n'ime akwụkwọ ndekọ aha LDAP site na DN (Aha pụrụ iche) na ọrụ nke iweghachite akaụntụ, otu ndị ọrụ na njirimara na-ebuli iji mepụta amụma ohere.
Na Cisco ISE, ọ ga-ekwe omume ịhazi ohere ịnweta ọtụtụ sava LDAP, si otú a na-emejuputa redundancy. Ọ bụrụ na isi (isi) LDAP nkesa adịghị, mgbe ahụ ISE ga-agbalị ịnweta nke abụọ (secondary) na na. Na mgbakwunye, ọ bụrụ na enwere PAN 2, mgbe ahụ enwere ike ibute otu LDAP ụzọ maka PAN isi yana LDAP ọzọ maka PAN nke abụọ.
ISE na-akwado ụdị nyocha 2 (nyocha) mgbe ị na-arụ ọrụ na sava LDAP: Nchọgharị onye ọrụ na nyocha adreesị MAC. Nchọ onye ọrụ na-enye gị ohere ịchọ onye ọrụ na nchekwa data LDAP wee nweta ozi ndị a na-enweghị nkwenye: ndị ọrụ na njirimara ha, otu ndị ọrụ. Nyochaa adreesị MAC na-enye gị ohere ịchọ site na adreesị MAC na akwụkwọ ndekọ aha LDAP na-enweghị nyocha wee nweta ozi gbasara ngwaọrụ ahụ, otu ngwaọrụ site na adreesị MAC, yana njirimara ndị ọzọ akọwapụtara.
Dịka ọmụmaatụ njikọta, ka anyị gbakwunye Active Directory na Cisco ISE dị ka ihe nkesa LDAP.
1) Gaa na taabụ Nlekọta → Njikwa njirimara → Isi mmalite njirimara mpụga → LDAP → Tinye.
Ọgụgụ 4. Ịgbakwunye ihe nkesa LDAP
2) Na panel General ezipụta aha sava LDAP na atụmatụ (n'ọnọdụ anyị, Active Directory).
Ọgụgụ 5. Ịtinye ihe nkesa LDAP nwere schema Active Directory
3) Ọzọ gaa na Connection taabụ wee họrọ Aha nnabata/adreesị IP AD nkesa, ọdụ ụgbọ mmiri (389 - LDAP, 636 - SSL LDAP), nzere nchịkwa ngalaba (Admin DN - DN zuru ezu), akụkụ ndị ọzọ nwere ike ịhapụ dị ka ndabara.
Примечание: jiri nkọwa ngalaba nchịkwa iji zere nsogbu ndị nwere ike.
Ọgụgụ 6 Ịbanye data nkesa LDAP
4) Na tab Òtù ndekọ aha ị ga-ezipụta mpaghara ndekọ site na DN ebe ị ga-adọta ndị ọrụ na otu ndị ọrụ.
Ọnụọgụ 7. Mkpebi akwụkwọ ndekọ aha site na ebe ndị ọrụ nwere ike ịwelite
5) Gaa na windo Otu dị iche iche → Tinye → Họrọ otu site na ndekọ aha ka ịhọrọ otu dị iche iche na sava LDAP.
Ọgụgụ 8. Ịgbakwunye otu sitere na sava LDAP
6) Na windo na-egosi, pịa Weghachite Otu. Ọ bụrụ na ndị otu a ewepụtala, mgbe ahụ, emechara usoro mbido nke ọma. Ma ọ bụghị ya, nwaa onye nchịkwa ọzọ wee lelee ịdị adị nke ISE na sava LDAP site na protocol LDAP.
Ọgụgụ 9. Ndepụta nke otu ndị ọrụ dọtara
7) Na tab àgwà ị nwere ike họrọ nke ọma ezipụta àgwà sitere na ihe nkesa LDAP ga-ebuli elu, yana na mpio ahụ Ntọala di elu mee nhọrọ Kwado mgbanwe paswọọdụ, nke ga-amanye ndị ọrụ ịgbanwe paswọọdụ ha ma ọ bụrụ na ọ kubie ume ma ọ bụ tọgharịa ya. Agbanyeghị pịa Nyefere ịga n'ihu.
8) Ihe nkesa LDAP pụtara na taabụ kwekọrọ na enwere ike iji ya mepụta amụma ịnweta n'ọdịnihu.
Ọgụgụ 10. Ndepụta nke sava LDAP agbakwunyere
4. Mmekọrịta na ndekọ ndekọ aha
1) Site na ịgbakwunye ihe nkesa Microsoft Active Directory dị ka ihe nkesa LDAP, anyị nwetara ndị ọrụ, otu ndị ọrụ, mana enweghị ndekọ. Na-esote, m na-atụ aro ka ịmepụta njikọ AD zuru oke na Cisco ISE. Gaa na taabụ Nlekọta → Njikwa njirimara → Isi mmalite njirimara mpụga → Akwụkwọ ndekọ aha → Tinye.
Cheta na: maka ijikọ nke ọma na AD, ISE ga-abụrịrị na ngalaba ma nwee njikọ zuru oke na sava DNS, NTP na AD, ma ọ bụghị na ọ nweghị ihe ga-esi na ya pụta.
Ọgụgụ 11. Ịgbakwunye ihe nkesa ndekọ aha
2) Na mpio nke gosipụtara, tinye nkọwa onye nchịkwa ngalaba wee lelee igbe ahụ Ụlọ ahịa nzere. Na mgbakwunye, ị nwere ike ịkọwapụta OU (Nhazi ngalaba) ma ọ bụrụ na ISE dị na OU akọwapụtara. Ọzọ, ị ga-ahọrọ ọnụ ọnụ Cisco ISE nke ịchọrọ ijikọ na ngalaba ahụ.
Ọgụgụ 12. Ịbanye nzere
3) Tupu ịgbakwunye ndị na-ahụ maka ngalaba, jide n'aka na na PSN na taabụ Nlekọta → Sistemu → Nkwanye agbanyere nhọrọ Ọrụ Identity Passive. NJ na-agafe agafe - nhọrọ na-enye gị ohere ịsụgharị onye ọrụ gaa na IP na ọzọ. PassiveID na-enweta ozi sitere na AD site na WMI, ndị ọrụ AD pụrụ iche ma ọ bụ ọdụ ụgbọ mmiri SPAN na mgba ọkụ (ọ bụghị nhọrọ kacha mma).
Cheta na: ka ịlele ọkwa nke Passive ID, pịnye na njikwa ISE gosi okwa ngwa ise | gụnyere PassiveID.
Ọgụgụ 13. Ịkwado nhọrọ PassiveID
4) Gaa na taabụ Nlekọta → Njikwa njirimara → Isi mmalite njirimara mpụga → Akwụkwọ ndekọ aha → PassiveID wee họrọ nhọrọ Tinye DCs. Na-esote, họrọ ndị na-ahụ maka ngalaba dị mkpa na igbe igbe wee pịa Ọ DỊ MMA.
Ọgụgụ 14. Ịgbakwunye ndị na-ahụ maka ngalaba
5) Họrọ DC ndị agbakwunyere wee pịa bọtịnụ Dezie. Biko gosi FQDN DC gị, ngalaba nbanye na paswọọdụ, yana nhọrọ njikọ WMI ma ọ bụ gị n'ụlọnga. Họrọ WMI wee pịa Ọ DỊ MMA.
Ọgụgụ 15 Ịbanye nkọwa ngalaba njikwa
6) Ọ bụrụ na WMI abụghị ụzọ kacha amasị iji soro Active Directory kwurịta okwu, mgbe ahụ enwere ike iji ndị ọrụ ISE mee ihe. Usoro nnọchite anya bụ na ị nwere ike iwunye ndị ọrụ pụrụ iche na sava ndị ga-ebupụta mmemme nbanye. Enwere nhọrọ nwụnye 2: akpaka na akwụkwọ ntuziaka. Ka itinye onye nnọchi anya na-akpaghị aka n'otu taabụ ahụ NJ na-agafe agafe họrọ Tinye onye nnọchi anya → Kpọọ onye nnọchi anya ọhụrụ (DC ga-enwerịrị ịntanetị). Wee dejupụta mpaghara achọrọ (aha onye nnọchi anya, FQDN nkesa, nbanye / paswọọdụ nchịkwa ngalaba) wee pịa Ọ DỊ MMA.
Ọgụgụ 16. Ntinye akpaaka nke onye nnọchi anya ISE
7) Ka iji aka tinye onye nnọchi anya Cisco ISE, họrọ ihe ahụ Deba aha onye nnọchi anya dị adị. Site n'ụzọ, ị nwere ike ibudata onye ọrụ na taabụ Ụlọ ọrụ → PassiveID → Ndị na-enye ọrụ → Ndị nnọchi anya → Ihe Nbudata.
Ọgụgụ 17. Nbudata onye ọrụ ISE
Ọ dị mkpa ka: PassiveID anaghị agụ mmemme pụọ! A na-akpọ paramita na-ahụ maka nkwụsị oge onye ọrụ nnọkọ oge ịka nká na nhata awa 24 na ndabara. Ya mere, ị ga-ebupụ onwe gị na njedebe nke ụbọchị ọrụ, ma ọ bụ dee ụdị edemede nke ga-eme ka ndị ọrụ niile banye na ya ozugbo.
Maka ozi pụọ A na-eji "Endpoint probes" mee ihe - nyocha njedebe. Enwere ọtụtụ nyocha njedebe na Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. okirikiri nyocha iji CoA (Mgbanwe nke ikike) ngwugwu na-enye ozi gbasara ịgbanwe ikike onye ọrụ (nke a chọrọ agbakwunyere 802.1X), na ahaziri na ịnweta mgba ọkụ SNMP, ga-enye ozi gbasara ngwaọrụ ejikọrọ na nke kwụsịrị.
Ihe atụ na-esonụ dị mkpa maka nhazi Cisco ISE + AD na-enweghị 802.1X na RADIUS: onye ọrụ na-abanye na igwe Windows, na-enweghị ime logoff, banye na PC ọzọ site na WiFi. N'okwu a, nnọkọ na PC mbụ ka ga-arụ ọrụ ruo mgbe oge gwụchara ma ọ bụ akara ngosi amanye mere. Mgbe ahụ, ọ bụrụ na ngwaọrụ ndị ahụ nwere ikike dị iche iche, mgbe ahụ nke ikpeazụ abanye na ngwaọrụ ga-etinye ikike ya.
8) Nhọrọ na taabụ Nlekọta → Njikwa njirimara → Isi mmalite njirimara mpụga → Akwụkwọ ndekọ aha na-arụ ọrụ → Otu dị iche iche → Tinye → Họrọ otu site na ndekọ aha. ị nwere ike họrọ otu dị na AD nke ịchọrọ ịdọrọ na ISE (n'ọnọdụ anyị, nke a mere na nzọụkwụ 3 "Ịgbakwunye ihe nkesa LDAP"). Họrọ nhọrọ Weghachite otu → OK.
Ọgụgụ 18 a). Na-adọta otu ndị ọrụ site na ndekọ ndekọ aha
9) Na tab Ụlọ ọrụ → PassiveID → Nchịkọta → Dashboard ị nwere ike ịhụ ọnụọgụ nke oge na-arụ ọrụ, ọnụ ọgụgụ nke isi mmalite data, ndị ọrụ, na ndị ọzọ.
Ọgụgụ 19. Nyochaa ọrụ nke ndị ọrụ ngalaba
10) Na tab Oge Ndụ egosiri oge dị ugbu a. A haziri njikọta na AD.
Ọgụgụ 20. Oge ọrụ nke ndị ọrụ ngalaba
5. Mmechi
Edemede a kpuchiri isiokwu nke imepụta ndị ọrụ mpaghara na Cisco ISE, na-agbakwunye sava LDAP, yana ijikọ na Microsoft Active Directory. Isiokwu na-esote ga-eme ka ohere ndị ọbịa pụta ìhè n'ụdị ntuziaka na-adịghị arụ ọrụ.
Ọ bụrụ na ị nwere ajụjụ gbasara isiokwu a ma ọ bụ chọọ enyemaka ịnwale ngwaahịa a, biko kpọtụrụ .
Nọrọ na nche maka mmelite na ọwa anyị (, , , , ).
isi: www.habr.com