Cisco ISE シリーズの XNUMX 番目の投稿へようこそ。 最初に ネットワーク アクセス コントロール(NAC)ソリューションの標準 AAA との利点と相違点、Cisco ISE の独自性、製品のアーキテクチャとインストール プロセスが強調されました。
この記事では、アカウントの作成、LDAP サーバーの追加、Microsoft Active Directory との統合、および PassiveID の操作の微妙な点について詳しく説明します。 読む前に、必ず読んでいただくことを強くお勧めします .
1. いくつかの用語
ユーザーID - ユーザーに関する情報が含まれ、ネットワークにアクセスするための資格情報を生成するユーザー アカウント。 通常、ユーザー ID では、ユーザー名、電子メール アドレス、パスワード、アカウントの説明、ユーザー グループ、およびロールのパラメーターが指定されます。
ユーザーグループ - ユーザ グループは、特定の Cisco ISE サービスおよび機能セットへのアクセスを許可する共通の権限セットを持つ個々のユーザの集合です。
ユーザー ID グループ - すでに特定の情報と役割を持っている事前定義されたユーザー グループ。 次のユーザー アイデンティティ グループがデフォルトで存在し、それらにユーザーとユーザー グループを追加できます: Employee (従業員)、SponsorAllAccount、SponsorGroupAccounts、SponsorOwnAccounts (ゲスト ポータルを管理するためのスポンサー アカウント)、Guest (ゲスト)、ActivatedGuest (アクティブ化されたゲスト)。
ユーザーロール- ユーザー ロールは、ユーザーが実行できるタスクとアクセスできるサービスを決定する一連の権限です。 多くの場合、ユーザー ロールはユーザーのグループに関連付けられます。
さらに、各ユーザーおよびユーザー グループには、このユーザー (ユーザー グループ) を選択し、より具体的に定義できる追加の属性があります。 詳細については、 .
2. ローカル ユーザーを作成する
1) Cisco ISE には、ローカル ユーザを作成してアクセス ポリシーで使用したり、製品管理ロールを付与したりする機能があります。 選択する 「管理」→「アイデンティティ管理」→「アイデンティティ」→「ユーザー」→「追加」。
図 1 Cisco ISE へのローカル ユーザの追加
2) 表示されるウィンドウで、ローカル ユーザーを作成し、パスワードとその他のわかりやすいパラメーターを設定します。
図 2. Cisco ISE でのローカル ユーザの作成
3) ユーザーをインポートすることもできます。 同じタブ内 管理 → アイデンティティ管理 → アイデンティティ → ユーザー 選択肢一つを選択してください インポート ユーザーと一緒に csv または txt ファイルをアップロードします。 テンプレートを取得するには、 テンプレートを生成する、その後、適切な形式でユーザーに関する情報を記入する必要があります。
図 3 Cisco ISE へのユーザのインポート
3. LDAPサーバーの追加
LDAP は、情報の受信、認証の実行、LDAP サーバーのディレクトリ内のアカウントの検索を可能にする一般的なアプリケーション レベルのプロトコルであり、ポート 389 または 636 (SS) で動作することを思い出してください。 LDAP サーバーの代表的な例としては、Active Directory、Sun Directory、Novell eDirectory、OpenLDAP などがあります。 LDAP ディレクトリ内の各エントリは DN (識別名) によって定義され、アカウント、ユーザー グループ、および属性を取得するタスクが発生して、アクセス ポリシーが形成されます。
Cisco ISE では、多数の LDAP サーバへのアクセスを設定して、冗長性を実装できます。 プライマリ(プライマリ)LDAP サーバが使用できない場合、ISE はセカンダリ(セカンダリ)サーバなどにアクセスしようとします。 さらに、PAN が 2 つある場合は、XNUMX つの LDAP をプライマリ PAN に優先し、別の LDAP をセカンダリ PAN に優先することができます。
ISE は、LDAP サーバを使用する場合、ユーザ ルックアップと MAC アドレス ルックアップの 2 種類のルックアップ(ルックアップ)をサポートします。 ユーザー検索を使用すると、LDAP データベースでユーザーを検索し、認証なしでユーザーとその属性、ユーザー グループの情報を取得できます。 MAC アドレス ルックアップを使用すると、認証なしで LDAP ディレクトリ内の MAC アドレスを検索し、デバイス、MAC アドレスによるデバイスのグループ、およびその他の特定の属性に関する情報を取得することもできます。
統合例として、Active Directory を LDAP サーバとして Cisco ISE に追加してみましょう。
1) タブに移動します 「管理」→「アイデンティティ管理」→「外部アイデンティティソース」→「LDAP」→「追加」。
図 4. LDAP サーバーの追加
2) パネル内 LDAP サーバー名とスキーム (この場合は Active Directory) を指定します。
図 5. Active Directory スキーマを使用した LDAP サーバーの追加
3) 次に進みます 接続 タブを選択して ホスト名/IPアドレス サーバー AD、ポート (389 - LDAP、636 - SSL LDAP)、ドメイン管理者の資格情報 (管理者 DN - 完全な DN)、その他のパラメータはデフォルトのままにすることができます。
注意: 潜在的な問題を回避するには、管理ドメインの詳細を使用します。
図 6 LDAP サーバー データの入力
4) タブ内 ディレクトリ構成 ユーザーおよびユーザー グループを取得するディレクトリ領域を DN を介して指定する必要があります。
図 7. ユーザー グループがプルアップできるディレクトリの決定
5) 窓口へ行く 「グループ」→「追加」→「ディレクトリからグループを選択」 をクリックして、LDAP サーバーからプル グループを選択します。
図 8. LDAP サーバーからのグループの追加
6) 表示されたウィンドウで、 をクリックします。 グループを取得します。 グループが引き上げられた場合、準備ステップは正常に完了しています。 それ以外の場合は、別の管理者を試し、LDAP プロトコル経由で LDAP サーバで ISE が利用できるかどうかを確認してください。
図 9. プルされたユーザー グループのリスト
7) タブ内 Attributes オプションで、LDAP サーバーからどの属性を取得するかを指定できます。 詳細設定 オプションを有効にする パスワード変更を有効にする、パスワードの有効期限が切れているかリセットされている場合、ユーザーはパスワードの変更を強制されます。 いずれの場合でも、クリックしてください 送信 続ける。
8) LDAP サーバーが対応するタブに表示され、将来アクセス ポリシーを形成するために使用できます。
図 10. 追加された LDAP サーバーのリスト
4. Active Directoryとの統合
1) Microsoft Active Directory サーバーを LDAP サーバーとして追加することにより、ユーザーとユーザー グループを取得しましたが、ログは取得できませんでした。 次に、Cisco ISE との本格的な AD 統合をセットアップすることを提案します。 タブに移動 「管理」→「アイデンティティ管理」→「外部アイデンティティソース」→「Active Directory」→「追加」。
注意: AD との統合を成功させるには、ISE がドメイン内にあり、DNS、NTP、および AD サーバと完全に接続できる必要があります。そうしないと、何も起こりません。
図 11. Active Directory サーバーの追加
2) 表示されるウィンドウで、ドメイン管理者の詳細を入力し、チェックボックスをオンにします。 資格情報を保存します。 さらに、ISE が特定の OU に配置されている場合は、OU (組織単位) を指定できます。 次に、ドメインに接続する Cisco ISE ノードを選択する必要があります。
図 12. 認証情報の入力
3) ドメイン コントローラーを追加する前に、[PSN] タブの 管理 → システム → 導入 オプションが有効になっている パッシブアイデンティティサービス. パッシブID - ユーザーを IP に、またはその逆に変換できるオプション。 PassiveID は、WMI、特別な AD エージェント、またはスイッチ上の SPAN ポート (最良のオプションではありません) を介して AD から情報を取得します。
注意: パッシブ ID のステータスを確認するには、ISE コンソールに次のように入力します。 申請ステータスを表示PassiveID が含まれます。
図 13. PassiveID オプションの有効化
4) タブに移動します 「管理」→「アイデンティティ管理」→「外部アイデンティティソース」→「Active Directory」→「PassiveID」 オプションを選択します DCの追加。 次に、必要なドメイン コントローラーをチェックボックスで選択し、 [OK]をクリックします。
図 14. ドメイン コントローラーの追加
5) 追加した DC を選択し、 ボタンをクリックします。 編集する。 示す FQDN DC、ドメインのログイン名とパスワード、リンク オプション WMI または エージェント。 「WMI」を選択してクリックします。 [OK]をクリックします。
図 15 ドメイン コントローラーの詳細の入力
6) Active Directory との通信に WMI が推奨されない場合は、ISE エージェントを使用できます。 エージェント方式では、ログイン イベントを発行する特別なエージェントをサーバーにインストールできます。 自動と手動の 2 つのインストール オプションがあります。 同じタブにエージェントを自動的にインストールするには パッシブID アイテムを選択 エージェントの追加 → 新しいエージェントの展開 (DC はインターネットにアクセスできる必要があります)。 次に、必須フィールド (エージェント名、サーバー FQDN、ドメイン管理者のログイン/パスワード) を入力し、クリックします。 [OK]をクリックします。
図 16. ISE エージェントの自動インストール
7) Cisco ISE エージェントを手動でインストールするには、項目を選択します 既存のエージェントを登録する。 ちなみに、エージェントはタブでダウンロードできます 「ワークセンター」→「PassiveID」→「プロバイダー」→「エージェント」→「ダウンロードエージェント」。
図 17. ISE エージェントのダウンロード
重要: PassiveID はイベントを読み取りません ログオフ! タイムアウトの原因となるパラメータは次のように呼ばれます。 ユーザーセッションのエージングタイム デフォルトでは 24 時間になります。 したがって、勤務日の終わりに自分自身をログオフするか、ログインしているすべてのユーザーを自動的にログオフする何らかのスクリプトを作成する必要があります。
詳細については ログオフ 「エンドポイント プローブ」、つまりターミナル プローブが使用されます。 Cisco ISE には、RADIUS、SNMP トラップ、SNMP クエリ、DHCP、DNS、HTTP、Netflow、NMAP スキャンなど、いくつかのエンドポイント プローブがあります。 半径 を使用してプローブします CoA (認可の変更) パッケージは、ユーザー権限の変更に関する情報を提供します (これには、埋め込み 802.1X)、アクセス スイッチ SNMP に設定されており、接続されているデバイスと切断されているデバイスに関する情報が提供されます。
次の例は、802.1X と RADIUS を使用しない Cisco ISE + AD 設定に関連しています。ユーザは Windows マシンにログインし、ログオフせずに WiFi 経由で別の PC からログインします。 この場合、最初の PC 上のセッションは、タイムアウトが発生するか強制ログオフが発生するまでアクティブのままです。 その後、デバイスに異なる権限がある場合、最後にログインしたデバイスがその権限を適用します。
8) タブのオプション 「管理」→「アイデンティティ管理」→「外部アイデンティティソース」→「Active Directory」→「グループ」→「追加」→「ディレクトリからグループを選択」 ISE でプルアップするグループを AD から選択できます(この例では、これはステップ 3「LDAP サーバの追加」で行いました)。 オプションを選択 グループの取得 → OK.
図18a)。 Active Directoryからユーザーグループを取得する
9) タブ内 ワークセンター → PassiveID → 概要 → ダッシュボード アクティブなセッションの数、データ ソース、エージェントの数などを観察できます。
図 19. ドメイン ユーザーのアクティビティの監視
10) タブ内 ライブセッション 現在のセッションが表示されます。 AD との統合が構成されています。
図 20. ドメイン ユーザーのアクティブなセッション
5。 結論
この記事では、Cisco ISE でのローカル ユーザの作成、LDAP サーバの追加、および Microsoft Active Directory との統合について説明しました。 次の記事では、冗長なガイドの形式でゲスト アクセスに焦点を当てます。
このトピックについてご質問がある場合、または製品のテストに関するサポートが必要な場合は、お問い合わせください。 .
私たちのチャンネルで最新情報をチェックしてください(, , , , ).
出所: habr.com