Benvenuti al secondo post della serie Cisco ISE. Nel primo sono stati evidenziati i vantaggi e le differenze delle soluzioni Network Access Control (NAC) rispetto allo standard AAA, l'unicità di Cisco ISE, l'architettura e il processo di installazione del prodotto.
In questo articolo, approfondiremo la creazione di account, l'aggiunta di server LDAP e l'integrazione con Microsoft Active Directory, nonché le sfumature del lavoro con PassiveID. Prima di leggere, ti consiglio vivamente di leggere .
1. Un po' di terminologia
Identità utente - un account utente che contiene informazioni sull'utente e genera le sue credenziali per l'accesso alla rete. I seguenti parametri sono in genere specificati in Identità utente: nome utente, indirizzo e-mail, password, descrizione dell'account, gruppo utenti e ruolo.
Gruppi di utenti - i gruppi di utenti sono una raccolta di singoli utenti che dispongono di un insieme comune di privilegi che consentono loro di accedere a un insieme specifico di servizi e funzioni di Cisco ISE.
Gruppi di identità utente - gruppi di utenti predefiniti che dispongono già di determinate informazioni e ruoli. I seguenti gruppi di identità utente esistono per impostazione predefinita, è possibile aggiungervi utenti e gruppi di utenti: Employee (dipendente), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (account sponsor per la gestione del portale guest), Guest (guest), ActivatedGuest (guest attivato).
ruolo-utente- Un ruolo utente è un insieme di autorizzazioni che determinano quali attività un utente può eseguire e a quali servizi può accedere. Spesso un ruolo utente è associato a un gruppo di utenti.
Inoltre, ogni utente e gruppo di utenti ha attributi aggiuntivi che consentono di selezionare e definire più specificamente questo utente (gruppo di utenti). Maggiori informazioni in .
2. Creare utenti locali
1) Cisco ISE ha la possibilità di creare utenti locali e utilizzarli in una policy di accesso o persino assegnare un ruolo di amministrazione del prodotto. Selezionare Amministrazione → Gestione identità → Identità → Utenti → Aggiungi.
Figura 1 Aggiunta di un utente locale a Cisco ISE
2) Nella finestra che appare, crea un utente locale, imposta una password e altri parametri comprensibili.
Figura 2. Creazione di un utente locale in Cisco ISE
3) Gli utenti possono anche essere importati. Nella stessa scheda Amministrazione → Gestione identità → Identità → Utenti seleziona un'opzione Importare e caricare file csv o txt con gli utenti. Per ottenere un modello selezionare Genera un modello, quindi dovrebbe essere compilato con informazioni sugli utenti in una forma adeguata.
Figura 3 Importazione degli utenti in Cisco ISE
3. Aggiunta di server LDAP
Permettetemi di ricordarvi che LDAP è un popolare protocollo a livello di applicazione che consente di ricevere informazioni, eseguire l'autenticazione, cercare account nelle directory dei server LDAP, funziona sulla porta 389 o 636 (SS). Esempi importanti di server LDAP sono Active Directory, Sun Directory, Novell eDirectory e OpenLDAP. Ogni voce nella directory LDAP è definita da un DN (Distinguished Name) e l'attività di recupero di account, gruppi di utenti e attributi viene sollevata per formare una policy di accesso.
In Cisco ISE è possibile configurare l'accesso a molti server LDAP, implementando così la ridondanza. Se il server LDAP primario (primario) non è disponibile, ISE proverà ad accedere al secondario (secondario) e così via. Inoltre, se sono presenti 2 PAN, è possibile dare priorità a un LDAP per il PAN primario e un altro LDAP per il PAN secondario.
ISE supporta 2 tipi di ricerca (ricerca) quando si lavora con i server LDAP: ricerca utente e ricerca indirizzo MAC. Ricerca utente consente di cercare un utente nel database LDAP e ottenere le seguenti informazioni senza autenticazione: utenti e relativi attributi, gruppi di utenti. Ricerca indirizzo MAC consente inoltre di cercare per indirizzo MAC nelle directory LDAP senza autenticazione e ottenere informazioni sul dispositivo, un gruppo di dispositivi tramite indirizzi MAC e altri attributi specifici.
Come esempio di integrazione, aggiungiamo Active Directory a Cisco ISE come server LDAP.
1) Vai alla scheda Amministrazione → Gestione identità → Origini identità esterne → LDAP → Aggiungi.
Figura 4. Aggiunta di un server LDAP
2) Nel pannello Generale specificare il nome e lo schema del server LDAP (nel nostro caso, Active Directory).
Figura 5. Aggiunta di un server LDAP con uno schema di Active Directory
3) Avanti vai a Connessione scheda e selezionare Nome host/indirizzo IP Server AD, porta (389 - LDAP, 636 - SSL LDAP), credenziali dell'amministratore di dominio (Admin DN - full DN), altri parametri possono essere lasciati come predefiniti.
Nota: utilizza i dettagli del dominio admin per evitare potenziali problemi.
Figura 6 Immissione dei dati del server LDAP
4) Nella tab Organizzazione della rubrica è necessario specificare l'area della directory tramite il DN da cui prelevare utenti e gruppi di utenti.
Figura 7. Determinazione delle directory da cui i gruppi di utenti possono richiamare
5) Vai alla finestra Gruppi → Aggiungi → Seleziona gruppi dalla rubrica per selezionare i gruppi di pull dal server LDAP.
Figura 8. Aggiunta di gruppi dal server LDAP
6) Nella finestra che appare, fare clic su Recupera gruppi. Se i gruppi si sono ritirati, i passaggi preliminari sono stati completati con successo. In caso contrario, prova un altro amministratore e verifica la disponibilità dell'ISE con il server LDAP tramite il protocollo LDAP.
Figura 9. Elenco dei gruppi di utenti estratti
7) Nella tab attributi è possibile specificare facoltativamente quali attributi dal server LDAP devono essere estratti e nella finestra Impostazioni avanzate abilita l'opzione Abilita cambio password, che costringerà gli utenti a modificare la propria password se è scaduta o è stata reimpostata. Comunque clicca Invio continuare.
8) Il server LDAP è apparso nella scheda corrispondente e può essere utilizzato per formare politiche di accesso in futuro.
Figura 10. Elenco dei server LDAP aggiunti
4. Integrazione con Active Directory
1) Aggiungendo il server Microsoft Active Directory come server LDAP, abbiamo ottenuto utenti, gruppi di utenti, ma nessun registro. Successivamente, propongo di configurare l'integrazione AD completa con Cisco ISE. Vai alla scheda Amministrazione → Gestione identità → Origini identità esterne → Active Directory → Aggiungi.
Nota: per una corretta integrazione con AD, ISE deve trovarsi in un dominio e disporre di connettività completa con server DNS, NTP e AD, altrimenti non ne verrà fuori nulla.
Figura 11. Aggiunta di un server Active Directory
2) Nella finestra che appare, inserisci i dettagli dell'amministratore del dominio e seleziona la casella Credenziali del negozio. Inoltre, è possibile specificare un'unità organizzativa (OU) se l'ISE si trova in un'unità organizzativa specifica. Successivamente, dovrai selezionare i nodi Cisco ISE che desideri connettere al dominio.
Figura 12. Immissione delle credenziali
3) Prima di aggiungere controller di dominio, assicurati che su PSN nella scheda Amministrazione → Sistema → Distribuzione opzione abilitata Servizio di identità passiva. ID passivo - un'opzione che consente di tradurre l'utente in IP e viceversa. PassiveID ottiene informazioni da AD tramite WMI, agenti AD speciali o porta SPAN sullo switch (non l'opzione migliore).
Nota: per verificare lo stato dell'ID passivo, digitare nella console ISE mostra lo stato dell'applicazione ise | includi PassiveID.
Figura 13. Abilitazione dell'opzione PassiveID
4) Vai alla scheda Amministrazione → Gestione identità → Origini identità esterne → Active Directory → PassiveID e selezionare l'opzione Aggiungi DC. Successivamente, seleziona i controller di dominio necessari con le caselle di controllo e fai clic su OK.
Figura 14. Aggiunta di controller di dominio
5) Selezionare i DC aggiunti e fare clic sul pulsante Modifica. specificare FQDN il tuo controller di dominio, login e password del dominio e un'opzione di collegamento WMI o Agente. Selezionare WMI e fare clic OK.
Figura 15 Immissione dei dettagli del controller di dominio
6) Se WMI non è il modo preferito per comunicare con Active Directory, è possibile utilizzare gli agenti ISE. Il metodo dell'agente è che puoi installare agenti speciali sui server che emetteranno eventi di accesso. Sono disponibili 2 opzioni di installazione: automatica e manuale. Per installare automaticamente l'agente nella stessa scheda ID passivo selezionare Aggiungi agente → Distribuisci nuovo agente (DC deve avere accesso a Internet). Quindi compilare i campi richiesti (nome agente, FQDN del server, login/password dell'amministratore di dominio) e fare clic su OK.
Figura 16. Installazione automatica dell'agente ISE
7) Per installare manualmente l'agente Cisco ISE, selezionare la voce Registra agente esistente. A proposito, puoi scaricare l'agente nella scheda Centri di lavoro → PassiveID → Provider → Agenti → Scarica agente.
Figura 17. Download dell'agente ISE
Importante: PassiveID non legge gli eventi logoff! Viene chiamato il parametro responsabile del timeout tempo di invecchiamento della sessione utente ed è uguale a 24 ore per impostazione predefinita. Pertanto, dovresti disconnetterti alla fine della giornata lavorativa o scrivere una sorta di script che disconnetterà automaticamente tutti gli utenti che hanno effettuato l'accesso.
Per informazioni logoff Vengono utilizzate "endpoint probes" - sonde terminali. Esistono diverse sonde endpoint in Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RAGGIO sonda utilizzando CdA (Change of Authorization) fornisce informazioni sulla modifica dei diritti utente (questo richiede un file embedded 802.1X), e configurato sugli switch di accesso SNMP, fornirà informazioni sui dispositivi connessi e disconnessi.
L'esempio seguente è rilevante per una configurazione Cisco ISE + AD senza 802.1X e RADIUS: un utente è connesso su una macchina Windows, senza effettuare la disconnessione, accede da un altro PC tramite WiFi. In questo caso, la sessione sul primo PC sarà ancora attiva fino a quando non si verifica un timeout o si verifica una disconnessione forzata. Quindi, se i dispositivi hanno diritti diversi, l'ultimo dispositivo che ha effettuato l'accesso applicherà i propri diritti.
8) Opzionale nella tab Amministrazione → Gestione identità → Origini identità esterne → Active Directory → Gruppi → Aggiungi → Seleziona gruppi da directory è possibile selezionare i gruppi da AD che si desidera richiamare su ISE (nel nostro caso, ciò è stato fatto nel passaggio 3 "Aggiunta di un server LDAP"). Scegliere un'opzione Recupera gruppi → OK.
Figura 18 a). Estrazione di gruppi di utenti da Active Directory
9) Nella tab Centri di lavoro → PassiveID → Panoramica → Dashboard puoi osservare il numero di sessioni attive, il numero di origini dati, agenti e altro.
Figura 19. Monitoraggio dell'attività degli utenti del dominio
10) Nella tab Sessioni live vengono visualizzate le sessioni correnti. L'integrazione con AD è configurata.
Figura 20. Sessioni attive degli utenti del dominio
5. Заключение
Questo articolo ha trattato gli argomenti relativi alla creazione di utenti locali in Cisco ISE, all'aggiunta di server LDAP e all'integrazione con Microsoft Active Directory. Il prossimo articolo metterà in evidenza l'accesso degli ospiti sotto forma di una guida ridondante.
Se hai domande su questo argomento o hai bisogno di aiuto per testare il prodotto, contatta .
Resta sintonizzato per gli aggiornamenti nei nostri canali (, , , , ).
Fonte: habr.com