Cisco ISE: יצירת משתמשים, הוספת שרתי LDAP, שילוב עם AD. חלק 2

ברוכים הבאים לפוסט השני בסדרת Cisco ISE. בראשון статье  הודגשו היתרונות וההבדלים של פתרונות בקרת גישה לרשת (NAC) מהתקן AAA, הייחודיות של Cisco ISE, הארכיטקטורה ותהליך ההתקנה של המוצר.

במאמר זה נתעמק ביצירת חשבונות, הוספת שרתי LDAP ושילוב עם Microsoft Active Directory, כמו גם את הניואנסים של עבודה עם PassiveID. לפני הקריאה, אני ממליץ בחום לקרוא חלק ראשון.

1. קצת מינוח

זהות משתמש - חשבון משתמש, המכיל מידע על המשתמש ומייצר את האישורים שלו לגישה לרשת. הפרמטרים הבאים מצוינים בדרך כלל ב-User Identity: שם משתמש, כתובת דואר אלקטרוני, סיסמה, תיאור חשבון, קבוצת משתמשים ותפקיד.

קבוצות משתמשים - קבוצות משתמשים הן אוסף של משתמשים בודדים שיש להם קבוצה משותפת של הרשאות המאפשרות להם גישה לקבוצה מסוימת של שירותים ופונקציות של Cisco ISE.

קבוצות זהות משתמש - קבוצות משתמשים מוגדרות מראש שכבר יש להן מידע ותפקידים מסוימים. קבוצות זהות המשתמש הבאות קיימות כברירת מחדל, ניתן להוסיף להן משתמשים וקבוצות משתמשים: Employee (עובד), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (חשבונות נותני חסות לניהול פורטל האורחים), אורח (אורח), ActivatedGuest (אורח מופעל).

תפקיד משתמש- תפקיד משתמש הוא קבוצה של הרשאות שקובעות אילו משימות משתמש יכול לבצע ולאילו שירותים המשתמש יכול לגשת. לעתים קרובות תפקיד משתמש משויך לקבוצת משתמשים.

יתרה מכך, לכל משתמש וקבוצת משתמשים יש תכונות נוספות המאפשרות לבחור ולהגדיר באופן ספציפי יותר משתמש זה (קבוצת משתמשים). מידע נוסף ב להנחות.

2. צור משתמשים מקומיים

1) ל-Cisco ISE יש את היכולת ליצור משתמשים מקומיים ולהשתמש בהם במדיניות גישה או אפילו לתת תפקיד בניהול מוצר. בחר ניהול ← ניהול זהויות ← זהויות ← משתמשים ← הוסף.

איור 1: הוספת משתמש מקומי ל-Cisco ISE

2) בחלון שמופיע, צור משתמש מקומי, תן ​​לו סיסמה ועוד פרמטרים ברורים.

איור 2. יצירת משתמש מקומי ב-Cisco ISE

3) ניתן גם לייבא משתמשים. באותה לשונית ניהול ← ניהול זהויות ← זהויות ← משתמשים בחר אפשרות תבואו ולהעלות קובץ csv או txt עם המשתמשים. כדי לקבל תבנית בחר צור תבנית, אז יש למלא אותו במידע על משתמשים בצורה מתאימה.

איור 3 ייבוא ​​משתמשים לתוך Cisco ISE

3. הוספת שרתי LDAP

הרשו לי להזכיר לכם ש-LDAP הוא פרוטוקול פופולרי ברמת האפליקציה המאפשר לכם לקבל מידע, לבצע אימות, לחפש חשבונות בספריות של שרתי LDAP, עובד על יציאה 389 או 636 (SS). דוגמאות בולטות לשרתי LDAP הן Active Directory, Sun Directory, Novell eDirectory ו-OpenLDAP. כל ערך בספריית LDAP מוגדר על ידי DN (שם מובהק) ומשימת אחזור החשבונות, קבוצות המשתמשים והתכונות מועלית ליצירת מדיניות גישה.

ב-Cisco ISE ניתן להגדיר גישה לשרתי LDAP רבים, ובכך לממש יתירות. אם שרת ה-LDAP הראשי אינו זמין, ISE ינסה ליצור קשר עם השרת המשני וכן הלאה. בנוסף, אם יש 2 PANs, אזי ניתן לתעדף LDAP אחד עבור ה-PAN הראשי, ו-LDAP אחר יכול לקבל עדיפות ל-PAN המשני.

ISE תומך בשני סוגי חיפוש (חיפוש) בעבודה עם שרתי LDAP: חיפוש משתמש וחיפוש כתובות MAC. User Lookup מאפשר לך לחפש משתמש במסד הנתונים של LDAP ולקבל את המידע הבא ללא אימות: משתמשים והתכונות שלהם, קבוצות משתמשים. חיפוש כתובות MAC מאפשר לך גם לחפש לפי כתובת MAC בספריות LDAP ללא אימות ולקבל מידע על המכשיר, קבוצת מכשירים לפי כתובות MAC ותכונות ספציפיות אחרות.

כדוגמה לאינטגרציה, בואו נוסיף את Active Directory ל-Cisco ISE כשרת LDAP.

1) עבור לכרטיסייה ניהול ← ניהול זהויות ← מקורות זהות חיצוניים ← LDAP ← הוסף. 

איור 4. הוספת שרת LDAP

2) בפאנל כללי ציין את השם והסכימה של שרת LDAP (במקרה שלנו, Active Directory). 

איור 5. הוספת שרת LDAP עם סכימת Active Directory

3) הבא עבור אל הקשר לשונית ולציין שם מארח/כתובת IP שרת AD, יציאה (389 - LDAP, 636 - SSL LDAP), אישורי מנהל דומיין (Admin DN - DN מלא), ניתן להשאיר פרמטרים אחרים כברירת מחדל.

שים לב: השתמש בפרטי דומיין הניהול כדי למנוע בעיות אפשריות.

איור 6 הזנת נתוני שרת LDAP

4) בכרטיסייה ארגון ספריות עליך לציין את אזור הספרייה דרך ה-DN שממנו למשוך משתמשים וקבוצות משתמשים.

איור 7. קביעת ספריות מהיכן קבוצות משתמשים יכולות להגיע

5) עבור אל החלון קבוצות ← הוסף ← בחר קבוצות מהספרייה כדי לבחור קבוצות משיכה משרת LDAP.

איור 8. הוספת קבוצות משרת LDAP

6) בחלון שמופיע, לחץ אחזר קבוצות. אם הקבוצות הגיעו, אז השלבים המקדימים הושלמו בהצלחה. אחרת, נסה מנהל מערכת אחר ובדוק את זמינות ה-ISE עם שרת LDAP באמצעות פרוטוקול LDAP.

איור 9. רשימה של קבוצות משתמשים מופעלות

7) בכרטיסייה תכונות אתה יכול לחלופין לציין אילו תכונות משרת LDAP יש למשוך למעלה, ובחלון הגדרות מתקדמות אפשר אפשרות אפשר שינוי סיסמה, שיאלץ משתמשים לשנות את הסיסמה שלהם אם פג תוקפה או אופסה. בכל מקרה לחץ חפש להמשיך.

8) שרת LDAP מופיע בכרטיסייה המתאימה וניתן להשתמש בו מאוחר יותר ליצירת מדיניות גישה.

איור 10. רשימת שרתי LDAP שנוספו

4. אינטגרציה עם Active Directory

1) על ידי הוספת שרת Microsoft Active Directory כשרת LDAP, קיבלנו משתמשים, קבוצות משתמשים, אך ללא יומנים. לאחר מכן, אני מציע להגדיר אינטגרציה מלאה של AD עם Cisco ISE. עבור לכרטיסייה ניהול ← ניהול זהויות ← מקורות זהות חיצוניים ← Active Directory ← הוסף. 

הערה: לאינטגרציה מוצלחת עם AD, ISE חייב להיות בדומיין ובעל קישוריות מלאה עם שרתי DNS, NTP ו-AD, אחרת לא ייצא מזה כלום.

איור 11. הוספת שרת Active Directory

2) בחלון שמופיע, הזן את פרטי מנהל הדומיין וסמן את התיבה אישורי חנות. בנוסף, אתה יכול לציין OU (יחידה ארגונית) אם ISE ממוקם ב-OU ספציפי. לאחר מכן, תצטרך לבחור את צמתי Cisco ISE שברצונך לחבר לדומיין.

איור 12. הזנת אישורים

3) לפני הוספת בקרי תחום, ודא כי ב-PSN בכרטיסייה ניהול ← מערכת ← פריסה האפשרות מופעלת שירות זהות פסיבית. תעודה מזהה פסיבית - אפשרות המאפשרת לתרגם משתמש ל-IP ולהיפך. PassiveID מקבל מידע מ-AD דרך WMI, סוכני AD מיוחדים או יציאת SPAN על המתג (לא האפשרות הטובה ביותר).

הערה: כדי לבדוק את המצב של מזהה פסיבי, הקלד את מסוף ISE הצג את סטטוס הבקשה הוא | כולל מזהה פסיבי.

איור 13. הפעלת האפשרות PassiveID

4) עבור לכרטיסייה ניהול ← ניהול זהויות ← מקורות זהות חיצוניים ← Active Directory ← PassiveID ובחר באפשרות הוסף DCs. לאחר מכן, בחר את בקרי הדומיין הדרושים עם תיבות סימון ולחץ אישור.

איור 14. הוספת בקרי תחום

5) בחר את ה-DCs שנוספו ולחץ על הלחצן לַעֲרוֹך. נא לציין FQDN ה-DC שלך, כניסה וסיסמה לדומיין, ואפשרות קישור WMI או סוֹכֵן. בחר WMI ולחץ אישור.

איור 15. הזנת מידע על בקר תחום

6) אם WMI אינה השיטה המועדפת לתקשורת עם Active Directory, ניתן להשתמש בסוכני ISE. שיטת הסוכן היא שניתן להתקין סוכנים מיוחדים על השרת שינפקו אירועי התחברות. קיימות 2 אפשרויות התקנה: אוטומטית וידנית. כדי להתקין את הסוכן באופן אוטומטי באותה כרטיסייה תעודה מזהה פסיבית לבחור הוסף סוכן ← פרוס סוכן חדש (ל-DC חייבת להיות גישה לאינטרנט). לאחר מכן מלא את השדות הנדרשים (שם סוכן, FQDN שרת, כניסה/סיסמה של מנהל דומיין) ולחץ על אישור.

איור 16. התקנה אוטומטית של סוכן ISE

7) כדי להתקין ידנית Cisco ISE agent, עליך לבחור רשום סוכן קיים. אגב, אפשר להוריד את הסוכן בלשונית מרכזי עבודה ← PassiveID ← ספקים ← סוכנים ← סוכן הורדה.

איור 17. הורדת סוכן ISE

חשוב: PassiveID לא קורא אירועים התנתקות! הפרמטר האחראי לפסק הזמן נקרא זמן ההזדקנות של הפעלת המשתמש ושווה ל-24 שעות כברירת מחדל. לכן, עליך להתנתק בעצמך בסוף יום העבודה, או לכתוב סקריפט כלשהו שינתק אוטומטית את כל המשתמשים המחוברים. 

למידע התנתקות נעשה שימוש ב"בדיקות קצה" - בדיקות קצה. ישנם מספר בדיקות נקודת קצה ב-Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. רַדִיוּס בדיקה באמצעות CoA חבילות (שינוי הרשאות) מספקות מידע על שינוי זכויות משתמש (זה מצריך משובץ 802.1X), ומוגדר על מתגי גישה SNMP, יספק מידע על התקנים מחוברים ומנותקים.

להלן דוגמה רלוונטית לתצורת Cisco ISE + AD ללא 802.1X ו-RADIUS: המשתמש מחובר במחשב Windows, מבלי לבצע התנתקות, התחבר ממחשב אחר באמצעות WiFi. במקרה זה, ההפעלה במחשב הראשון עדיין תהיה פעילה עד שיתרחש פסק זמן או שתתרחש יציאה מאולצת. לאחר מכן, אם למכשירים יש זכויות שונות, המכשיר האחרון שנכנס לחשבון יחיל את הזכויות שלו.

8) אופציונלי בלשונית ניהול → ניהול זהויות → מקורות זהות חיצוניים → Active Directory → קבוצות → הוסף → בחר קבוצות מתוך ספרייה אתה יכול לבחור קבוצות מ-AD שברצונך להעלות ב-ISE (במקרה שלנו, זה נעשה בשלב 3 "הוספת שרת LDAP"). בחר אפשרות אחזר קבוצות ← אישור. 

איור 18 א). משיכת קבוצות משתמשים מ- Active Directory

9) בכרטיסייה מרכזי עבודה ← PassiveID ← סקירה כללית ← לוח מחוונים אתה יכול לראות את מספר הפעלות הפעילות, את מספר מקורות הנתונים, הסוכנים ועוד.

איור 19. ניטור פעילות משתמשי הדומיין

10) בכרטיסייה פעילויות באתר ההפעלות הנוכחיות מוצגות. אינטגרציה עם AD מוגדרת.

איור 20. הפעלות פעילות של משתמשי דומיין

5. מסקנה

מאמר זה כיסה את הנושאים של יצירת משתמשים מקומיים ב-Cisco ISE, הוספת שרתי LDAP ושילוב עם Microsoft Active Directory. המאמר הבא ידגיש את גישת האורחים בצורה של מדריך מיותר.

אם יש לך שאלות בנושא זה או שאתה זקוק לעזרה בבדיקת המוצר, אנא צור קשר קשר.

הישאר מעודכן לעדכונים בערוצים שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS, יאנדקס זן).

מקור: www.habr.com