Velkomin í aðra útgáfu á röð greina tileinkað Cisco ISE. Í fyrstu dregnir var fram kostir og munur á Network Access Control (NAC) lausnum frá venjulegu AAA, sérstöðu Cisco ISE, arkitektúr og uppsetningarferli vörunnar.
Í þessari grein munum við kafa í að búa til reikninga, bæta við LDAP netþjónum og samþættingu við Microsoft Active Directory, sem og blæbrigði þegar unnið er með PassiveID. Áður en þú lest mæli ég eindregið með því að þú lesir .
1. Nokkur hugtök
Auðkenni notanda — notendareikningur sem inniheldur upplýsingar um notandann og myndar skilríki hans til að fá aðgang að netinu. Eftirfarandi færibreytur eru venjulega tilgreindar í User Identity: notandanafn, netfang, lykilorð, reikningslýsing, notendahópur og hlutverk.
Notendahópar - Notendahópar eru safn einstakra notenda sem hafa sameiginleg réttindi sem gera þeim kleift að fá aðgang að tilteknu mengi Cisco ISE þjónustu og aðgerða.
Notendaauðkennishópar - fyrirfram skilgreinda notendahópa sem hafa þegar ákveðnar upplýsingar og hlutverk. Eftirfarandi notendaauðkennishópar eru sjálfgefið til og þú getur bætt notendum og notendahópum við þá: Starfsmaður, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (styrktarreikningar til að stjórna gestagáttinni), Guest, ActivatedGuest.
Notendahlutverk - Notendahlutverk er safn heimilda sem ákvarða hvaða verkefni notandi getur framkvæmt og hvaða þjónustu notandi hefur aðgang að. Oft er notendahlutverk tengt hópi notenda.
Þar að auki hefur hver notandi og notendahópur viðbótareiginleika sem gera þér kleift að auðkenna og skilgreina tiltekinn notanda (notendahóp) nánar. Nánari upplýsingar í .
2. Búðu til staðbundna notendur
1) Í Cisco ISE er hægt að búa til staðbundna notendur og nota þá í aðgangsstefnu eða jafnvel gefa þeim vörustjórnunarhlutverkið. Veldu Stjórnun → Auðkennisstjórnun → Auðkenni → Notendur → Bæta við.
Mynd 1: Staðbundnum notanda bætt við Cisco ISE
2) Í glugganum sem birtist skaltu búa til staðbundinn notanda, gefa honum lykilorð og aðrar skýrar breytur.
Mynd 2. Að búa til staðbundinn notanda í Cisco ISE
3) Einnig er hægt að flytja inn notendur. Í sama flipa Stjórnun → Auðkennisstjórnun → Auðkenni → Notendur veldu valkost innflutningur og hlaðið upp csv eða txt skrá með notendum. Til að fá sniðmátið skaltu velja Búðu til sniðmát, þá ættir þú að fylla það með upplýsingum um notendur á viðeigandi formi.
Mynd 3. Innflutningur notenda í Cisco ISE
3. Bæta við LDAP netþjónum
Leyfðu mér að minna þig á að LDAP er vinsæl samskiptareglur á forritastigi sem gerir þér kleift að taka á móti upplýsingum, framkvæma auðkenningu, leita að reikningum í LDAP netþjónaskrám og starfar á höfn 389 eða 636 (SS). Áberandi dæmi um LDAP netþjóna eru Active Directory, Sun Directory, Novell eDirectory og OpenLDAP. Hver færsla í LDAP skránni er skilgreind af DN (Distinguished Name) og til að móta aðgangsstefnu kemur upp það verkefni að sækja reikninga, notendahópa og eiginleika.
Í Cisco ISE er hægt að stilla aðgang að mörgum LDAP netþjónum og átta sig þannig á offramboði. Ef aðal LDAP þjónninn er ekki tiltækur mun ISE reyna að hafa samband við aukaþjóninn og svo framvegis. Að auki, ef það eru 2 PAN, þá er hægt að forgangsraða einu LDAP fyrir aðal PAN og annað LDAP er hægt að forgangsraða fyrir auka PAN.
ISE styður 2 tegundir af uppflettingu þegar unnið er með LDAP netþjóna: User Lookup og MAC Address Lookup. User Lookup gerir þér kleift að leita í notanda í LDAP gagnagrunni og sækja eftirfarandi upplýsingar án auðkenningar: notendur og eiginleikar þeirra, notendahópar. MAC Address Lookup gerir þér einnig kleift að leita eftir MAC vistfangi í LDAP möppum án auðkenningar og fá upplýsingar um tæki, hóp tækja eftir MAC vistföngum og öðrum sérstökum eiginleikum.
Sem dæmi um samþættingu skulum við bæta Active Directory við Cisco ISE sem LDAP netþjón.
1) Farðu í flipann Stjórnun → Auðkennisstjórnun → Ytri auðkennisheimildir → LDAP → Bæta við.
Mynd 4. LDAP miðlara bætt við
2) Í spjaldið almennt tilgreindu nafn og kerfi LDAP netþjóns (í okkar tilviki Active Directory).
Mynd 5. LDAP miðlara bætt við með Active Directory skema
3) Næst skaltu fara í Tenging flipa og tilgreina Hýsingarheiti/IP tölu AD miðlara, höfn (389 - LDAP, 636 - SSL LDAP), skilríki fyrir lénsstjóra (Admin DN - fullt DN), aðrar breytur geta verið sjálfgefnar.
Athugið: Notaðu upplýsingar um stjórnandalénið til að forðast hugsanleg vandamál.
Mynd 6. Innsláttur LDAP miðlaragagna
4) Í flipa Skráarsamtök þú ættir að tilgreina skráarsvæðið í gegnum DN sem á að draga notendur og notendahópa úr.
Mynd 7. Ákvörðun um möppur sem á að draga upp notendahópa úr
5) Farðu að glugganum Hópar → Bæta við → Veldu Hópar úr möppu til að velja dráttarhópa af LDAP þjóninum.
Mynd 8. Bæta við hópum frá LDAP þjóninum
6) Í glugganum sem birtist skaltu smella Sækja hópa. Ef hóparnir hafa gengið til liðs við sig, þá hefur forskrefunum verið lokið með góðum árangri. Annars skaltu prófa annan stjórnanda og athuga hvort ISE sé tiltækt með LDAP netþjóni sem notar LDAP samskiptareglur.
Mynd 9. Listi yfir virkjaða notendahópa
7) Í flipa Eiginleiki þú getur valfrjálst tilgreint hvaða eiginleika frá LDAP þjóninum ætti að draga upp og í glugganum Ítarlegar stillingar virkja valkost Virkja lykilorðsbreytingu, sem mun neyða notendur til að breyta lykilorði sínu ef það er útrunnið eða verið endurstillt. Hvort heldur sem er, smelltu Senda að halda áfram.
8) LDAP þjónninn birtist í samsvarandi flipa og hægt er að nota hann síðar til að búa til aðgangsstefnur.
Mynd 10. Listi yfir bætta LDAP netþjóna
4. Samþætting við Active Directory
1) Með því að bæta Microsoft Active Directory miðlaranum við sem LDAP netþjóni fengum við notendur, notendahópa, en ekki annála. Næst legg ég til að setja upp fulla AD samþættingu við Cisco ISE. Farðu í flipann Stjórnun → Auðkennisstjórnun → Ytri auðkennisheimildir → Active Directory → Bæta við.
Ath: Til að samþætting við AD gangi vel, verður ISE að vera á léni og hafa fulla tengingu við DNS, NTP og AD netþjóna, annars virkar ekkert.
Mynd 11. Active Directory miðlara bætt við
2) Í glugganum sem birtist skaltu slá inn upplýsingar um lénsstjórann og haka í reitinn Geymsluskilríki. Að auki geturðu tilgreint OU (Organizational Unit) ef ISE er staðsett í tiltekinni OU. Næst verður þú að velja Cisco ISE hnúta sem þú vilt tengja við lénið.
Mynd 12. Færsla inn skilríki
3) Áður en þú bætir við lénsstýringum skaltu ganga úr skugga um að á PSN í flipanum Stjórnun → Kerfi → Uppsetning valkostur virkur Passive Identity Service. PassiveID — valkostur sem gerir þér kleift að þýða notanda yfir á IP og öfugt. PassiveID fær upplýsingar frá AD í gegnum WMI, sérstaka AD umboðsmenn eða SPAN tengi á rofanum (ekki besti kosturinn).
Ath: til að athuga stöðu Passive ID, sláðu inn í ISE stjórnborðið sýna umsóknarstöðu er | innihalda PassiveID.
Mynd 13. Virkja PassiveID valmöguleikann
4) Farðu í flipa Stjórnun → Auðkennisstjórnun → Ytri auðkennisheimildir → Active Directory → PassiveID og veldu valkostinn Bættu við DCs. Næst skaltu velja nauðsynlega lénsstýringar með gátreitum og smella Lagi.
Mynd 14. Bæta við lénsstýringum
5) Veldu DCs sem bætt var við og smelltu á hnappinn Breyta. Vinsamlegast tilgreinið FQDN DC þitt, innskráningu léns og lykilorð, auk samskiptamöguleika WMI eða Agent. Veldu WMI og smelltu Lagi.
Mynd 15. Innsláttur lénsstýringarupplýsinga
6) Ef WMI er ekki ákjósanlegur aðferð til að hafa samskipti við Active Directory, þá er hægt að nota ISE umboðsmenn. Umboðsmannaaðferðin er sú að þú getur sett upp sérstaka umboðsmenn á þjóninum sem munu gefa út innskráningartilvik. Það eru 2 uppsetningarvalkostir: sjálfvirk og handvirk. Til að setja sjálfkrafa upp umboðsmanninn á sama flipa PassiveID veldu Bæta við umboðsmanni → Virkja nýjan umboðsmann (DC verður að hafa netaðgang). Fylltu síðan út nauðsynlega reiti (heiti umboðsmanns, FQDN netþjóns, innskráningu/lykilorð lénsstjóra) og smelltu á Lagi.
Mynd 16. Sjálfvirk uppsetning ISE umboðsmanns
7) Til að setja upp Cisco ISE umboðsmann handvirkt þarftu að velja Skráðu núverandi umboðsmann. Við the vegur, þú getur halað niður umboðsmanni í flipanum Vinnumiðstöðvar → PassiveID → Veitendur → Umboðsmenn → Download Agent.
Mynd 17. Að hlaða niður ISE umboðsmanni
Mikilvægt: PassiveID les ekki atburði skrá út! Kallað er á færibreytuna sem ber ábyrgð á tímamörkunum öldrunartími notendalota og er sjálfgefið 24 klst. Þess vegna ættir þú annað hvort að skrá þig út sjálfur í lok vinnudags, eða skrifa einhvers konar skriftu sem mun sjálfkrafa útskrá alla innskráða notendur.
Fyrir upplýsingar skrá út Notaðir eru „endapunktsrannsóknir“. Það eru nokkrir endapunktsrannsóknir í Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS rannsaka að nota CoA (Breyting á heimild) pakkar veita upplýsingar um að breyta notendaréttindum (þetta krefst innfellds 802.1X), og SNMP stillt á aðgangsrofum mun veita upplýsingar um tengd og ótengd tæki.
Hér að neðan er dæmi sem skiptir máli fyrir Cisco ISE + AD uppsetningu án 802.1X og RADIUS: notandinn er skráður inn á Windows vél, án þess að skrá þig út, skráðu þig inn frá annarri tölvu í gegnum WiFi. Í þessu tilviki mun lotan á fyrstu tölvunni enn vera virk þar til tími á sér stað eða þvinguð útskráning á sér stað. Síðan, ef tæki hafa mismunandi réttindi, mun síðasta innskráða tækið beita réttindum sínum.
8) Aukaatriði í flipanum Stjórnun → Auðkennisstjórnun → Ytri auðkennisheimildir → Active Directory → Hópar → Bæta við → Veldu hópa úr möppu þú getur valið hópa úr AD sem þú vilt bæta við ISE (í okkar tilfelli var þetta gert í skrefi 3 „Bæta við LDAP netþjóni“). Veldu valkost Sækja hópa → Í lagi.
Mynd 18 a). Að draga notendahópa úr Active Directory
9) Í flipa Vinnumiðstöðvar → PassiveID → Yfirlit → Mælaborð þú getur fylgst með fjölda virkra funda, fjölda gagnagjafa, umboðsmanna og fleira.
Mynd 19. Eftirlit með virkni lénsnotenda
10) Í flipa Lifandi fundir núverandi lotur birtast. Samþætting við AD er stillt.
Mynd 20. Virkar lotur lénsnotenda
5. Niðurstaða
Þessi grein fjallaði um efni til að búa til staðbundna notendur í Cisco ISE, bæta við LDAP netþjónum og samþætta við Microsoft Active Directory. Næsta grein mun fjalla um aðgang gesta í formi óþarfa leiðbeiningar.
Ef þú hefur einhverjar spurningar um þetta efni eða þarft aðstoð við að prófa vöruna, vinsamlegast hafðu samband .
Fylgstu með uppfærslum á rásum okkar (, , , , ).
Heimild: www.habr.com