ืืจืืืื ืืืืื ืืคืืกื ืืฉื ื ืืกืืจืช Cisco ISE. ืืจืืฉืื
ืืืืืจ ืื ื ืชืขืืง ืืืฆืืจืช ืืฉืืื ืืช, ืืืกืคืช ืฉืจืชื LDAP ืืฉืืืื ืขื Microsoft Active Directory, ืืื ืื ืืช ืื ืืืื ืกืื ืฉื ืขืืืื ืขื PassiveID. ืืคื ื ืืงืจืืื, ืื ื ืืืืืฅ ืืืื ืืงืจืื
1. ืงืฆืช ืืื ืื
ืืืืช ืืฉืชืืฉ - ืืฉืืื ืืฉืชืืฉ, ืืืืื ืืืืข ืขื ืืืฉืชืืฉ ืืืืืฆืจ ืืช ืืืืฉืืจืื ืฉืื ืืืืฉื ืืจืฉืช. ืืคืจืืืจืื ืืืืื ืืฆืืื ืื ืืืจื ืืื ื-User Identity: ืฉื ืืฉืชืืฉ, ืืชืืืช ืืืืจ ืืืงืืจืื ื, ืกืืกืื, ืชืืืืจ ืืฉืืื, ืงืืืฆืช ืืฉืชืืฉืื ืืชืคืงืื.
ืงืืืฆืืช ืืฉืชืืฉืื - ืงืืืฆืืช ืืฉืชืืฉืื ืื ืืืกืฃ ืฉื ืืฉืชืืฉืื ืืืืืื ืฉืืฉ ืืื ืงืืืฆื ืืฉืืชืคืช ืฉื ืืจืฉืืืช ืืืืคืฉืจืืช ืืื ืืืฉื ืืงืืืฆื ืืกืืืืช ืฉื ืฉืืจืืชืื ืืคืื ืงืฆืืืช ืฉื Cisco ISE.
ืงืืืฆืืช ืืืืช ืืฉืชืืฉ - ืงืืืฆืืช ืืฉืชืืฉืื ืืืืืจืืช ืืจืืฉ ืฉืืืจ ืืฉ ืืื ืืืืข ืืชืคืงืืืื ืืกืืืืื. ืงืืืฆืืช ืืืืช ืืืฉืชืืฉ ืืืืืช ืงืืืืืช ืืืจืืจืช ืืืื, ื ืืชื ืืืืกืืฃ ืืื ืืฉืชืืฉืื ืืงืืืฆืืช ืืฉืชืืฉืื: Employee (ืขืืื), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ืืฉืืื ืืช ื ืืชื ื ืืกืืช ืื ืืืื ืคืืจืื ืืืืจืืื), ืืืจื (ืืืจื), ActivatedGuest (ืืืจื ืืืคืขื).
ืชืคืงืื ืืฉืชืืฉ- ืชืคืงืื ืืฉืชืืฉ ืืื ืงืืืฆื ืฉื ืืจืฉืืืช ืฉืงืืืขืืช ืืืื ืืฉืืืืช ืืฉืชืืฉ ืืืื ืืืฆืข ืืืืืื ืฉืืจืืชืื ืืืฉืชืืฉ ืืืื ืืืฉืช. ืืขืชืื ืงืจืืืืช ืชืคืงืื ืืฉืชืืฉ ืืฉืืื ืืงืืืฆืช ืืฉืชืืฉืื.
ืืชืจื ืืื, ืืื ืืฉืชืืฉ ืืงืืืฆืช ืืฉืชืืฉืื ืืฉ ืชืืื ืืช ื ืืกืคืืช ืืืืคืฉืจืืช ืืืืืจ ืืืืืืืจ ืืืืคื ืกืคืฆืืคื ืืืชืจ ืืฉืชืืฉ ืื (ืงืืืฆืช ืืฉืชืืฉืื). ืืืืข ื ืืกืฃ ื
2. ืฆืืจ ืืฉืชืืฉืื ืืงืืืืื
1) ื-Cisco ISE ืืฉ ืืช ืืืืืืช ืืืฆืืจ ืืฉืชืืฉืื ืืงืืืืื ืืืืฉืชืืฉ ืืื ืืืืื ืืืช ืืืฉื ืื ืืคืืื ืืชืช ืชืคืงืื ืื ืืืื ืืืฆืจ. ืืืจ ื ืืืื โ ื ืืืื ืืืืืืช โ ืืืืืืช โ ืืฉืชืืฉืื โ ืืืกืฃ.
ืืืืจ 1: ืืืกืคืช ืืฉืชืืฉ ืืงืืื ื-Cisco ISE
2) ืืืืื ืฉืืืคืืข, ืฆืืจ ืืฉืชืืฉ ืืงืืื, ืชื โโืื ืกืืกืื ืืขืื ืคืจืืืจืื ืืจืืจืื.
ืืืืจ 2. ืืฆืืจืช ืืฉืชืืฉ ืืงืืื ื-Cisco ISE
3) ื ืืชื ืื ืืืืื ืืฉืชืืฉืื. ืืืืชื ืืฉืื ืืช ื ืืืื โ ื ืืืื ืืืืืืช โ ืืืืืืช โ ืืฉืชืืฉืื ืืืจ ืืคืฉืจืืช ืชืืืื ืืืืขืืืช ืงืืืฅ csv ืื txt ืขื ืืืฉืชืืฉืื. ืืื ืืงืื ืชืื ืืช ืืืจ ืฆืืจ ืชืื ืืช, ืื ืืฉ ืืืื ืืืชื ืืืืืข ืขื ืืฉืชืืฉืื ืืฆืืจื ืืชืืืื.
ืืืืจ 3 ืืืืื โโืืฉืชืืฉืื ืืชืื Cisco ISE
3. ืืืกืคืช ืฉืจืชื LDAP
ืืจืฉื ืื ืืืืืืจ ืืื ืฉ-LDAP ืืื ืคืจืืืืงืื ืคืืคืืืจื ืืจืืช ืืืคืืืงืฆืื ืืืืคืฉืจ ืืื ืืงืื ืืืืข, ืืืฆืข ืืืืืช, ืืืคืฉ ืืฉืืื ืืช ืืกืคืจืืืช ืฉื ืฉืจืชื LDAP, ืขืืื ืขื ืืฆืืื 389 ืื 636 (SS). ืืืืืืืช ืืืืืืช ืืฉืจืชื LDAP ืื Active Directory, Sun Directory, Novell eDirectory ื-OpenLDAP. ืื ืขืจื ืืกืคืจืืืช LDAP ืืืืืจ ืขื ืืื DN (ืฉื ืืืืืง) ืืืฉืืืช ืืืืืจ ืืืฉืืื ืืช, ืงืืืฆืืช ืืืฉืชืืฉืื ืืืชืืื ืืช ืืืขืืืช ืืืฆืืจืช ืืืื ืืืช ืืืฉื.
ื-Cisco ISE ื ืืชื ืืืืืืจ ืืืฉื ืืฉืจืชื LDAP ืจืืื, ืืืื ืืืืฉ ืืชืืจืืช. ืื ืฉืจืช ื-LDAP ืืจืืฉื ืืื ื ืืืื, ISE ืื ืกื ืืืฆืืจ ืงืฉืจ ืขื ืืฉืจืช ืืืฉื ื ืืื ืืืื. ืื ืืกืฃ, ืื ืืฉ 2 PANs, ืืื ื ืืชื ืืชืขืืฃ LDAP ืืื ืขืืืจ ื-PAN ืืจืืฉื, ื-LDAP ืืืจ ืืืื ืืงืื ืขืืืคืืช ื-PAN ืืืฉื ื.
ISE ืชืืื ืืฉื ื ืกืืื ืืืคืืฉ (ืืืคืืฉ) ืืขืืืื ืขื ืฉืจืชื LDAP: ืืืคืืฉ ืืฉืชืืฉ ืืืืคืืฉ ืืชืืืืช MAC. User Lookup ืืืคืฉืจ ืื ืืืคืฉ ืืฉืชืืฉ ืืืกื ืื ืชืื ืื ืฉื LDAP ืืืงืื ืืช ืืืืืข ืืื ืืื ืืืืืช: ืืฉืชืืฉืื ืืืชืืื ืืช ืฉืืื, ืงืืืฆืืช ืืฉืชืืฉืื. ืืืคืืฉ ืืชืืืืช MAC ืืืคืฉืจ ืื ืื ืืืคืฉ ืืคื ืืชืืืช MAC ืืกืคืจืืืช LDAP ืืื ืืืืืช ืืืงืื ืืืืข ืขื ืืืืฉืืจ, ืงืืืฆืช ืืืฉืืจืื ืืคื ืืชืืืืช MAC ืืชืืื ืืช ืกืคืฆืืคืืืช ืืืจืืช.
ืืืืืื ืืืื ืืืจืฆืื, ืืืื ื ืืกืืฃ ืืช Active Directory ื-Cisco ISE ืืฉืจืช LDAP.
1) ืขืืืจ ืืืจืืืกืืื ื ืืืื โ ื ืืืื ืืืืืืช โ ืืงืืจืืช ืืืืช ืืืฆืื ืืื โ LDAP โ ืืืกืฃ.
ืืืืจ 4. ืืืกืคืช ืฉืจืช LDAP
2) ืืคืื ื ืืืื ืฆืืื ืืช ืืฉื ืืืกืืืื ืฉื ืฉืจืช LDAP (ืืืงืจื ืฉืื ื, Active Directory).
ืืืืจ 5. ืืืกืคืช ืฉืจืช LDAP ืขื ืกืืืืช Active Directory
3) ืืื ืขืืืจ ืื ืืงืฉืจ ืืฉืื ืืช ืืืฆืืื ืฉื ืืืจื/ืืชืืืช IP ืฉืจืช AD, ืืฆืืื (389 - LDAP, 636 - SSL LDAP), ืืืฉืืจื ืื ืื ืืืืืื (Admin DN - DN ืืื), ื ืืชื ืืืฉืืืจ ืคืจืืืจืื ืืืจืื ืืืจืืจืช ืืืื.
ืฉืื ืื: ืืฉืชืืฉ ืืคืจืื ืืืืืื ืื ืืืื ืืื ืืื ืืข ืืขืืืช ืืคืฉืจืืืช.
ืืืืจ 6 ืืื ืช ื ืชืื ื ืฉืจืช LDAP
4) ืืืจืืืกืืื ืืจืืื ืกืคืจืืืช ืขืืื ืืฆืืื ืืช ืืืืจ ืืกืคืจืืื ืืจื ื-DN ืฉืืื ื ืืืฉืื ืืฉืชืืฉืื ืืงืืืฆืืช ืืฉืชืืฉืื.
ืืืืจ 7. ืงืืืขืช ืกืคืจืืืช ืืืืื ืงืืืฆืืช ืืฉืชืืฉืื ืืืืืืช ืืืืืข
5) ืขืืืจ ืื ืืืืื ืงืืืฆืืช โ ืืืกืฃ โ ืืืจ ืงืืืฆืืช ืืืกืคืจืืื ืืื ืืืืืจ ืงืืืฆืืช ืืฉืืื ืืฉืจืช LDAP.
ืืืืจ 8. ืืืกืคืช ืงืืืฆืืช ืืฉืจืช LDAP
6) ืืืืื ืฉืืืคืืข, ืืืฅ ืืืืจ ืงืืืฆืืช. ืื ืืงืืืฆืืช ืืืืขื, ืื ืืฉืืืื ืืืงืืืืื ืืืฉืืื ืืืฆืืื. ืืืจืช, ื ืกื ืื ืื ืืขืจืืช ืืืจ ืืืืืง ืืช ืืืื ืืช ื-ISE ืขื ืฉืจืช LDAP ืืืืฆืขืืช ืคืจืืืืงืื LDAP.
ืืืืจ 9. ืจืฉืืื ืฉื ืงืืืฆืืช ืืฉืชืืฉืื ืืืคืขืืืช
7) ืืืจืืืกืืื ืชืืื ืืช ืืชื ืืืื ืืืืืคืื ืืฆืืื ืืืื ืชืืื ืืช ืืฉืจืช LDAP ืืฉ ืืืฉืื ืืืขืื, ืืืืืื ืืืืจืืช ืืชืงืืืืช ืืคืฉืจ ืืคืฉืจืืช ืืคืฉืจ ืฉืื ืื ืกืืกืื, ืฉืืืืฅ ืืฉืชืืฉืื ืืฉื ืืช ืืช ืืกืืกืื ืฉืืื ืื ืคื ืชืืงืคื ืื ืืืคืกื. ืืื ืืงืจื ืืืฅ ืืคืฉ ืืืืฉืื.
8) ืฉืจืช LDAP ืืืคืืข ืืืจืืืกืืื ืืืชืืืื ืื ืืชื ืืืฉืชืืฉ ืื ืืืืืจ ืืืชืจ ืืืฆืืจืช ืืืื ืืืช ืืืฉื.
ืืืืจ 10. ืจืฉืืืช ืฉืจืชื LDAP ืฉื ืืกืคื
4. ืืื ืืืจืฆืื ืขื Active Directory
1) ืขื ืืื ืืืกืคืช ืฉืจืช Microsoft Active Directory ืืฉืจืช LDAP, ืงืืืื ื ืืฉืชืืฉืื, ืงืืืฆืืช ืืฉืชืืฉืื, ืื ืืื ืืืื ืื. ืืืืจ ืืื, ืื ื ืืฆืืข ืืืืืืจ ืืื ืืืจืฆืื ืืืื ืฉื AD ืขื Cisco ISE. ืขืืืจ ืืืจืืืกืืื ื ืืืื โ ื ืืืื ืืืืืืช โ ืืงืืจืืช ืืืืช ืืืฆืื ืืื โ Active Directory โ ืืืกืฃ.
ืืขืจื: ืืืื ืืืจืฆืื ืืืฆืืืช ืขื AD, ISE ืืืื ืืืืืช ืืืืืืื ืืืขื ืงืืฉืืจืืืช ืืืื ืขื ืฉืจืชื DNS, NTP ื-AD, ืืืจืช ืื ืืืฆื ืืื ืืืื.
ืืืืจ 11. ืืืกืคืช ืฉืจืช Active Directory
2) ืืืืื ืฉืืืคืืข, ืืื ืืช ืคืจืื ืื ืื ืืืืืืื ืืกืื ืืช ืืชืืื ืืืฉืืจื ืื ืืช. ืื ืืกืฃ, ืืชื ืืืื ืืฆืืื OU (ืืืืื ืืจืืื ืืช) ืื ISE ืืืืงื ื-OU ืกืคืฆืืคื. ืืืืจ ืืื, ืชืฆืืจื ืืืืืจ ืืช ืฆืืชื Cisco ISE ืฉืืจืฆืื ื ืืืืจ ืืืืืืื.
ืืืืจ 12. ืืื ืช ืืืฉืืจืื
3) ืืคื ื ืืืกืคืช ืืงืจื ืชืืื, ืืื ืื ื-PSN ืืืจืืืกืืื ื ืืืื โ ืืขืจืืช โ ืคืจืืกื ืืืคืฉืจืืช ืืืคืขืืช ืฉืืจืืช ืืืืช ืคืกืืืืช. ืชืขืืื ืืืื ืคืกืืืืช - ืืคืฉืจืืช ืืืืคืฉืจืช ืืชืจืื ืืฉืชืืฉ ื-IP ืืืืืคื. PassiveID ืืงืื ืืืืข ื-AD ืืจื WMI, ืกืืื ื AD ืืืืืืื ืื ืืฆืืืช SPAN ืขื ืืืชื (ืื ืืืคืฉืจืืช ืืืืื ืืืืชืจ).
ืืขืจื: ืืื ืืืืืง ืืช ืืืฆื ืฉื ืืืื ืคืกืืื, ืืงืื ืืช ืืกืืฃ ISE ืืฆื ืืช ืกืืืืก ืืืงืฉื ืืื | ืืืื ืืืื ืคืกืืื.
ืืืืจ 13. ืืคืขืืช ืืืคืฉืจืืช PassiveID
4) ืขืืืจ ืืืจืืืกืืื ื ืืืื โ ื ืืืื ืืืืืืช โ ืืงืืจืืช ืืืืช ืืืฆืื ืืื โ Active Directory โ PassiveID ืืืืจ ืืืคืฉืจืืช ืืืกืฃ DCs. ืืืืจ ืืื, ืืืจ ืืช ืืงืจื ืืืืืืื ืืืจืืฉืื ืขื ืชืืืืช ืกืืืื ืืืืฅ ืืืฉืืจ.
ืืืืจ 14. ืืืกืคืช ืืงืจื ืชืืื
5) ืืืจ ืืช ื-DCs ืฉื ืืกืคื ืืืืฅ ืขื ืืืืฆื ืึทืขึฒืจืึนื. ื ื ืืฆืืื FQDN ื-DC ืฉืื, ืื ืืกื ืืกืืกืื ืืืืืืื, ืืืคืฉืจืืช ืงืืฉืืจ WMI ืื ืกืึนืึตื. ืืืจ WMI ืืืืฅ ืืืฉืืจ.
ืืืืจ 15. ืืื ืช ืืืืข ืขื ืืงืจ ืชืืื
6) ืื WMI ืืื ื ืืฉืืื ืืืืขืืคืช ืืชืงืฉืืจืช ืขื Active Directory, ื ืืชื ืืืฉืชืืฉ ืืกืืื ื ISE. ืฉืืืช ืืกืืื ืืื ืฉื ืืชื ืืืชืงืื ืกืืื ืื ืืืืืืื ืขื ืืฉืจืช ืฉืื ืคืงื ืืืจืืขื ืืชืืืจืืช. ืงืืืืืช 2 ืืคืฉืจืืืืช ืืชืงื ื: ืืืืืืืืช ืืืื ืืช. ืืื ืืืชืงืื ืืช ืืกืืื ืืืืคื ืืืืืืื ืืืืชื ืืจืืืกืืื ืชืขืืื ืืืื ืคืกืืืืช ืืืืืจ ืืืกืฃ ืกืืื โ ืคืจืืก ืกืืื ืืืฉ (ื-DC ืืืืืช ืืืืืช ืืืฉื ืืืื ืืจื ื). ืืืืจ ืืื ืืื ืืช ืืฉืืืช ืื ืืจืฉืื (ืฉื ืกืืื, FQDN ืฉืจืช, ืื ืืกื/ืกืืกืื ืฉื ืื ืื ืืืืืื) ืืืืฅ ืขื ืืืฉืืจ.
ืืืืจ 16. ืืชืงื ื ืืืืืืืืช ืฉื ืกืืื ISE
7) ืืื ืืืชืงืื ืืื ืืช Cisco ISE agent, ืขืืื ืืืืืจ ืจืฉืื ืกืืื ืงืืื. ืืื, ืืคืฉืจ ืืืืจืื ืืช ืืกืืื ืืืฉืื ืืช ืืจืืื ืขืืืื โ PassiveID โ ืกืคืงืื โ ืกืืื ืื โ ืกืืื ืืืจืื.
ืืืืจ 17. ืืืจืืช ืกืืื ISE
ืืฉืื: PassiveID ืื ืงืืจื ืืืจืืขืื ืืชื ืชืงืืช! ืืคืจืืืจ ืืืืจืื ืืคืกืง ืืืื ื ืงืจื ืืื ืืืืืงื ืืช ืฉื ืืคืขืืช ืืืฉืชืืฉ ืืฉืืื ื-24 ืฉืขืืช ืืืจืืจืช ืืืื. ืืื, ืขืืื ืืืชื ืชืง ืืขืฆืื ืืกืืฃ ืืื ืืขืืืื, ืื ืืืชืื ืกืงืจืืคื ืืืฉืื ืฉืื ืชืง ืืืืืืืืช ืืช ืื ืืืฉืชืืฉืื ืืืืืืจืื.
ืืืืืข ืืชื ืชืงืืช ื ืขืฉื ืฉืืืืฉ ื"ืืืืงืืช ืงืฆื" - ืืืืงืืช ืงืฆื. ืืฉื ื ืืกืคืจ ืืืืงืืช ื ืงืืืช ืงืฆื ื-Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. ืจึทืึดืืึผืก ืืืืงื ืืืืฆืขืืช CoA ืืืืืืช (ืฉืื ืื ืืจืฉืืืช) ืืกืคืงืืช ืืืืข ืขื ืฉืื ืื ืืืืืืช ืืฉืชืืฉ (ืื ืืฆืจืื ืืฉืืืฅ 802.1X), ืืืืืืจ ืขื ืืชืื ืืืฉื SNMP, ืืกืคืง ืืืืข ืขื ืืชืงื ืื ืืืืืจืื ืืื ืืชืงืื.
ืืืื ืืืืื ืจืืืื ืืืช ืืชืฆืืจืช Cisco ISE + AD ืืื 802.1X ื-RADIUS: ืืืฉืชืืฉ ืืืืืจ ืืืืฉื Windows, ืืืื ืืืฆืข ืืชื ืชืงืืช, ืืชืืืจ ืืืืฉื ืืืจ ืืืืฆืขืืช WiFi. ืืืงืจื ืื, ืืืคืขืื ืืืืฉื ืืจืืฉืื ืขืืืื ืชืืื ืคืขืืื ืขื ืฉืืชืจืืฉ ืคืกืง ืืื ืื ืฉืชืชืจืืฉ ืืฆืืื ืืืืืฆืช. ืืืืจ ืืื, ืื ืืืืฉืืจืื ืืฉ ืืืืืืช ืฉืื ืืช, ืืืืฉืืจ ืืืืจืื ืฉื ืื ืก ืืืฉืืื ืืืื ืืช ืืืืืืืช ืฉืื.
8) ืืืคืฆืืื ืื ืืืฉืื ืืช ื ืืืื โ ื ืืืื ืืืืืืช โ ืืงืืจืืช ืืืืช ืืืฆืื ืืื โ Active Directory โ ืงืืืฆืืช โ ืืืกืฃ โ ืืืจ ืงืืืฆืืช ืืชืื ืกืคืจืืื ืืชื ืืืื ืืืืืจ ืงืืืฆืืช ื-AD ืฉืืจืฆืื ื ืืืขืืืช ื-ISE (ืืืงืจื ืฉืื ื, ืื ื ืขืฉื ืืฉืื 3 "ืืืกืคืช ืฉืจืช LDAP"). ืืืจ ืืคืฉืจืืช ืืืืจ ืงืืืฆืืช โ ืืืฉืืจ.
ืืืืจ 18 ื). ืืฉืืืช ืงืืืฆืืช ืืฉืชืืฉืื ื- Active Directory
9) ืืืจืืืกืืื ืืจืืื ืขืืืื โ PassiveID โ ืกืงืืจื ืืืืืช โ ืืื ืืืืื ืื ืืชื ืืืื ืืจืืืช ืืช ืืกืคืจ ืืคืขืืืช ืืคืขืืืืช, ืืช ืืกืคืจ ืืงืืจืืช ืื ืชืื ืื, ืืกืืื ืื ืืขืื.
ืืืืจ 19. ื ืืืืจ ืคืขืืืืช ืืฉืชืืฉื ืืืืืืื
10) ืืืจืืืกืืื ืคืขืืืืืืช ืืืชืจ ืืืคืขืืืช ืื ืืืืืืช ืืืฆืืืช. ืืื ืืืจืฆืื ืขื AD ืืืืืจืช.
ืืืืจ 20. ืืคืขืืืช ืคืขืืืืช ืฉื ืืฉืชืืฉื ืืืืืื
5. ืืกืงื ื
ืืืืจ ืื ืืืกื ืืช ืื ืืฉืืื ืฉื ืืฆืืจืช ืืฉืชืืฉืื ืืงืืืืื ื-Cisco ISE, ืืืกืคืช ืฉืจืชื LDAP ืืฉืืืื ืขื Microsoft Active Directory. ืืืืืจ ืืื ืืืืืฉ ืืช ืืืฉืช ืืืืจืืื ืืฆืืจื ืฉื ืืืจืื ืืืืชืจ.
ืื ืืฉ ืื ืฉืืืืช ืื ืืฉื ืื ืื ืฉืืชื ืืงืืง ืืขืืจื ืืืืืงืช ืืืืฆืจ, ืื ื ืฆืืจ ืงืฉืจ
ืืืฉืืจ ืืขืืืื ืืขืืืื ืื ืืขืจืืฆืื ืฉืื ื (
ืืงืืจ: www.habr.com