Cisco ISE: მომხმარებლების შექმნა, LDAP სერვერების დამატება, AD-თან ინტეგრირება. Მე -2 ნაწილი

მოგესალმებით Cisco ISE სერიის მეორე პოსტში. Პირველად მუხლი  ხაზი გაესვა ქსელის წვდომის კონტროლის (NAC) გადაწყვეტილებების უპირატესობებსა და განსხვავებებს სტანდარტული AAA-დან, Cisco ISE-ის უნიკალურობა, არქიტექტურა და პროდუქტის ინსტალაციის პროცესი.

ამ სტატიაში განვიხილავთ ანგარიშების შექმნას, LDAP სერვერების დამატებას და Microsoft Active Directory-თან ინტეგრაციას, ასევე PassiveID-თან მუშაობის ნიუანსებს. სანამ წაიკითხავ, გირჩევთ წაიკითხოთ პირველი ნაწილი.

1. ზოგიერთი ტერმინოლოგია

მომხმარებლის იდენტიფიკაცია - მომხმარებლის ანგარიში, რომელიც შეიცავს ინფორმაციას მომხმარებლის შესახებ და ქმნის მის რწმუნებათა სიგელებს ქსელში წვდომისთვის. შემდეგი პარამეტრები, როგორც წესი, მითითებულია მომხმარებლის იდენტურობაში: მომხმარებლის სახელი, ელ.ფოსტის მისამართი, პაროლი, ანგარიშის აღწერა, მომხმარებლის ჯგუფი და როლი.

მომხმარებელი ჯგუფები - მომხმარებელთა ჯგუფები არის ინდივიდუალური მომხმარებლების კრებული, რომლებსაც აქვთ პრივილეგიების საერთო ნაკრები, რაც მათ საშუალებას აძლევს წვდომა მიიღონ Cisco ISE სერვისებისა და ფუნქციების კონკრეტულ კომპლექტზე.

მომხმარებლის საიდენტიფიკაციო ჯგუფები - წინასწარ განსაზღვრული მომხმარებელთა ჯგუფები, რომლებსაც უკვე აქვთ გარკვეული ინფორმაცია და როლები. შემდეგი მომხმარებლის იდენტიფიკაციის ჯგუფები არსებობს ნაგულისხმევად, შეგიძლიათ დაამატოთ მომხმარებლები და მომხმარებელთა ჯგუფები: თანამშრომელი (თანამშრომლი), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (სპონსორის ანგარიშები სტუმრების პორტალის მართვისთვის), სტუმარი (სტუმარი), ActivatedGuest (გააქტიურებული სტუმარი).

მომხმარებლის როლი- მომხმარებლის როლი არის ნებართვების ერთობლიობა, რომელიც განსაზღვრავს რა ამოცანებს შეუძლია შეასრულოს მომხმარებელს და რომელ სერვისებზე შეუძლია წვდომა. ხშირად მომხმარებლის როლი ასოცირდება მომხმარებელთა ჯგუფთან.

უფრო მეტიც, თითოეულ მომხმარებელს და მომხმარებელთა ჯგუფს აქვს დამატებითი ატრიბუტები, რომლებიც საშუალებას გაძლევთ აირჩიოთ და უფრო კონკრეტულად განსაზღვროთ ეს მომხმარებელი (მომხმარებელთა ჯგუფი). მეტი ინფორმაცია ში სახელმძღვანელო.

2. შექმენით ადგილობრივი მომხმარებლები

1) Cisco ISE-ს აქვს შესაძლებლობა შექმნას ადგილობრივი მომხმარებლები და გამოიყენოს ისინი წვდომის პოლიტიკაში ან თუნდაც პროდუქტის ადმინისტრირების როლი მისცეს. აირჩიეთ ადმინისტრაცია → პირადობის მენეჯმენტი → პირადობა → მომხმარებლები → დამატება.

სურათი 1 ადგილობრივი მომხმარებლის დამატება Cisco ISE-ში

2) ფანჯარაში, რომელიც გამოჩნდება, შექმენით ადგილობრივი მომხმარებელი, დააყენეთ პაროლი და სხვა გასაგები პარამეტრები.

სურათი 2. ადგილობრივი მომხმარებლის შექმნა Cisco ISE-ში

3) მომხმარებლების იმპორტიც შესაძლებელია. იმავე ჩანართში ადმინისტრაცია → პირადობის მენეჯმენტი → იდენტობები → მომხმარებლები აირჩიეთ ვარიანტი იმპორტი და ატვირთეთ csv ან txt ფაილი მომხმარებლებთან ერთად. შაბლონის მისაღებად აირჩიეთ შექმენით შაბლონი, მაშინ ის უნდა იყოს შევსებული მომხმარებლის შესახებ ინფორმაციის შესაბამისი ფორმით.

ნახაზი 3 მომხმარებლების იმპორტი Cisco ISE-ში

3. LDAP სერვერების დამატება

შეგახსენებთ, რომ LDAP არის პოპულარული აპლიკაციის დონის პროტოკოლი, რომელიც საშუალებას გაძლევთ მიიღოთ ინფორმაცია, განახორციელოთ ავტორიზაცია, მოძებნოთ ანგარიშები LDAP სერვერების დირექტორიაში, მუშაობს პორტზე 389 ან 636 (SS). LDAP სერვერების თვალსაჩინო მაგალითებია Active Directory, Sun Directory, Novell eDirectory და OpenLDAP. LDAP დირექტორიაში თითოეული ჩანაწერი განისაზღვრება DN-ით (გამორჩეული სახელი) და ამაღლებულია ანგარიშების, მომხმარებელთა ჯგუფებისა და ატრიბუტების მოძიების ამოცანა წვდომის პოლიტიკის შესაქმნელად.

Cisco ISE-ში შესაძლებელია ბევრ LDAP სერვერზე წვდომის კონფიგურაცია, რითაც განხორციელდება ჭარბი რაოდენობა. თუ პირველადი (პირველადი) LDAP სერვერი მიუწვდომელია, მაშინ ISE შეეცდება წვდომას მეორად (მეორად) და ა.შ. გარდა ამისა, თუ არის 2 პანსი, მაშინ ერთი LDAP შეიძლება მიენიჭოს პრიორიტეტს პირველადი PAN-ისთვის და მეორე LDAP-ს მეორადი PAN-ისთვის.

ISE მხარს უჭერს 2 ტიპის ძიებას (ძიებას) LDAP სერვერებთან მუშაობისას: მომხმარებლის ძიება და MAC მისამართის ძებნა. მომხმარებლის ძიება საშუალებას გაძლევთ მოძებნოთ მომხმარებელი LDAP მონაცემთა ბაზაში და მიიღოთ შემდეგი ინფორმაცია ავთენტიფიკაციის გარეშე: მომხმარებლები და მათი ატრიბუტები, მომხმარებელთა ჯგუფები. MAC Address Lookup ასევე საშუალებას გაძლევთ მოძებნოთ MAC მისამართით LDAP დირექტორიებში ავტორიზაციის გარეშე და მიიღოთ ინფორმაცია მოწყობილობის, მოწყობილობების ჯგუფის MAC მისამართების მიხედვით და სხვა სპეციფიკური ატრიბუტების შესახებ.

როგორც ინტეგრაციის მაგალითი, მოდით დავამატოთ Active Directory Cisco ISE-ს, როგორც LDAP სერვერს.

1) გადადით ჩანართზე ადმინისტრაცია → პირადობის მენეჯმენტი → გარე პირადობის წყაროები → LDAP → დამატება. 

სურათი 4. LDAP სერვერის დამატება

2) პანელში ზოგადი მიუთითეთ LDAP სერვერის სახელი და სქემა (ჩვენს შემთხვევაში, Active Directory). 

სურათი 5. LDAP სერვერის დამატება Active Directory სქემით

3) შემდეგ გადადით კავშირი ჩანართი და აირჩიეთ ჰოსტის სახელი/IP მისამართი სერვერი AD, პორტი (389 - LDAP, 636 - SSL LDAP), დომენის ადმინისტრატორის რწმუნებათა სიგელები (Admin DN - სრული DN), სხვა პარამეტრები შეიძლება დარჩეს ნაგულისხმევად.

შენიშვნა: გამოიყენეთ ადმინისტრატორის დომენის დეტალები პოტენციური პრობლემების თავიდან ასაცილებლად.

სურათი 6 LDAP სერვერის მონაცემების შეყვანა

4) ჩანართში დირექტორია ორგანიზაცია თქვენ უნდა მიუთითოთ დირექტორია არეალი DN-ის მეშვეობით, საიდანაც უნდა გაიყვანოთ მომხმარებლები და მომხმარებელთა ჯგუფები.

სურათი 7. დირექტორიების განსაზღვრა, საიდანაც მომხმარებელთა ჯგუფებს შეუძლიათ ამოღება

5) გადადით ფანჯარაში ჯგუფები → დამატება → აირჩიეთ ჯგუფები დირექტორიადან ამოსაყვანი ჯგუფების შესარჩევად LDAP სერვერიდან.

ნახაზი 8. ჯგუფების დამატება LDAP სერვერიდან

6) ფანჯარაში, რომელიც გამოჩნდება, დააწკაპუნეთ ჯგუფების აღდგენა. თუ ჯგუფები გაიყვანეს, მაშინ წინასწარი ნაბიჯები წარმატებით დასრულდა. წინააღმდეგ შემთხვევაში, სცადეთ სხვა ადმინისტრატორი და შეამოწმეთ ISE-ის ხელმისაწვდომობა LDAP სერვერთან LDAP პროტოკოლით.

სურათი 9. მომხმარებელთა მოზიდული ჯგუფების სია

7) ჩანართში ატრიბუტები სურვილისამებრ შეგიძლიათ მიუთითოთ რომელი ატრიბუტები LDAP სერვერიდან უნდა იყოს ამოღებული და ფანჯარაში დეტალური პარამეტრები პარამეტრის ჩართვა პაროლის შეცვლის ჩართვა, რომელიც აიძულებს მომხმარებლებს შეცვალონ პაროლი, თუ ის ვადაგასულია ან გადატვირთულია. ყოველ შემთხვევაში დააწკაპუნეთ Submit გაგრძელება.

8) LDAP სერვერი გამოჩნდა შესაბამის ჩანართში და შეიძლება გამოყენებულ იქნას მომავალში წვდომის პოლიტიკის შესაქმნელად.

სურათი 10. დამატებული LDAP სერვერების სია

4. ინტეგრაცია Active Directory-თან

1) Microsoft Active Directory სერვერის LDAP სერვერად დამატებით, მივიღეთ მომხმარებლები, მომხმარებელთა ჯგუფები, მაგრამ არა ჟურნალები. შემდეგი, მე ვთავაზობ სრულფასოვანი AD ინტეგრაციის დაყენებას Cisco ISE-თან. გადადით ჩანართზე ადმინისტრაცია → პირადობის მენეჯმენტი → გარე პირადობის წყაროები → აქტიური დირექტორია → დამატება. 

შენიშვნა: AD-თან წარმატებული ინტეგრაციისთვის, ISE უნდა იყოს დომენში და ჰქონდეს სრული კავშირი DNS, NTP და AD სერვერებთან, წინააღმდეგ შემთხვევაში არაფერი გამოვა.

სურათი 11. Active Directory სერვერის დამატება

2) ფანჯარაში, რომელიც გამოჩნდება, შეიყვანეთ დომენის ადმინისტრატორის დეტალები და მონიშნეთ ყუთი მაღაზიის რწმუნებათა სიგელები. გარდა ამისა, შეგიძლიათ მიუთითოთ OU (ორგანიზაციული ერთეული), თუ ISE მდებარეობს კონკრეტულ OU-ში. შემდეგი, თქვენ უნდა აირჩიოთ Cisco ISE კვანძები, რომელთა დაკავშირება გსურთ დომენთან.

სურათი 12. რწმუნებათა სიგელების შეყვანა

3) დომენის კონტროლერების დამატებამდე, დარწმუნდით, რომ PSN-ზე ჩანართში ადმინისტრაცია → სისტემა → განლაგება ვარიანტი ჩართულია პასიური პირადობის სერვისი. პასიური ID - ვარიანტი, რომელიც საშუალებას გაძლევთ თარგმნოთ მომხმარებელი IP-ზე და პირიქით. PassiveID იღებს ინფორმაციას AD-დან WMI-ის, სპეციალური AD აგენტების ან SPAN პორტის საშუალებით (არ არის საუკეთესო ვარიანტი).

შენიშვნა: პასიური ID-ის სტატუსის შესამოწმებლად, ჩაწერეთ ISE კონსოლში განაცხადის სტატუსის ჩვენება ise | მოიცავს PassiveID.

სურათი 13. PassiveID ოფციის ჩართვა

4) გადადით ჩანართზე ადმინისტრაცია → პირადობის მენეჯმენტი → გარე პირადობის წყაროები → აქტიური დირექტორია → პასიური ID და აირჩიეთ ვარიანტი DC-ების დამატება. შემდეგი, აირჩიეთ საჭირო დომენის კონტროლერები ჩამრთველი ველებით და დააწკაპუნეთ OK.

სურათი 14. დომენის კონტროლერების დამატება

5) აირჩიეთ დამატებული DC-ები და დააჭირეთ ღილაკს რედაქტირება. გთხოვთ მიუთითოთ FQDN თქვენი DC, დომენის შესვლა და პაროლი და ბმულის ვარიანტი WMI ან აგენტი. აირჩიეთ WMI და დააწკაპუნეთ OK.

ნახაზი 15 დომენის კონტროლერის დეტალების შეყვანა

6) თუ WMI არ არის Active Directory-თან კომუნიკაციის სასურველი გზა, მაშინ შეიძლება გამოყენებულ იქნას ISE აგენტები. აგენტის მეთოდი არის ის, რომ თქვენ შეგიძლიათ დააინსტალიროთ სპეციალური აგენტები სერვერებზე, რომლებიც გამოაქვეყნებენ შესვლის მოვლენებს. არსებობს ინსტალაციის 2 ვარიანტი: ავტომატური და მექანიკური. აგენტის ავტომატურად დაყენება იმავე ჩანართში პასიური ID აირჩიეთ ელემენტი დაამატეთ აგენტი → განათავსეთ ახალი აგენტი (DC-ს უნდა ჰქონდეს ინტერნეტი). შემდეგ შეავსეთ საჭირო ველები (აგენტის სახელი, სერვერის FQDN, დომენის ადმინისტრატორის შესვლა/პაროლი) და დააწკაპუნეთ OK.

სურათი 16. ISE აგენტის ავტომატური ინსტალაცია

7) Cisco ISE აგენტის ხელით დასაყენებლად აირჩიეთ ელემენტი დაარეგისტრირე არსებული აგენტი. სხვათა შორის, თქვენ შეგიძლიათ ჩამოტვირთოთ აგენტი ჩანართში სამუშაო ცენტრები → PassiveID → პროვაიდერები → აგენტები → ჩამოტვირთვის აგენტი.

სურათი 17. ISE აგენტის ჩამოტვირთვა

მნიშვნელოვანია: PassiveID არ კითხულობს მოვლენებს გამოსვლა! გამოძახებულია პარამეტრი, რომელიც პასუხისმგებელია დროის ამოწურვაზე მომხმარებლის სესიის დაბერების დრო და ნაგულისხმევად უდრის 24 საათს. ამიტომ, თქვენ უნდა გამოხვიდეთ სამუშაო დღის ბოლოს, ან დაწეროთ რაიმე სახის სკრიპტი, რომელიც ავტომატურად გამოტოვებს ყველა შესულ მომხმარებელს. 

Ინფორმაციისთვის გამოსვლა გამოიყენება „ბოლო ზონდები“ – ტერმინალური ზონდები. Cisco ISE-ში არის რამდენიმე საბოლოო წერტილის ზონდი: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. რადიუსი ზონდის გამოყენებით CoA (ავტორიზაციის შეცვლა) პაკეტები იძლევა ინფორმაციას მომხმარებლის უფლებების შეცვლის შესახებ (ამისთვის საჭიროა ჩაშენებული 802.1X), და კონფიგურირებულია წვდომის გადამრთველებზე SNMP, მოგაწვდით ინფორმაციას დაკავშირებული და გათიშული მოწყობილობების შესახებ.

შემდეგი მაგალითი რელევანტურია Cisco ISE + AD კონფიგურაციისთვის 802.1X და RADIUS-ის გარეშე: მომხმარებელი შესულია Windows-ის აპარატზე, გასვლის გარეშე, შესვლა სხვა კომპიუტერიდან WiFi-ის საშუალებით. ამ შემთხვევაში, სესია პირველ კომპიუტერზე კვლავ აქტიური იქნება მანამ, სანამ არ მოხდება დროის ამოწურვა ან იძულებითი გასვლა. შემდეგ, თუ მოწყობილობებს აქვთ სხვადასხვა უფლებები, მაშინ ბოლო შესული მოწყობილობა გამოიყენებს თავის უფლებებს.

8) სურვილისამებრ ჩანართში ადმინისტრაცია → პირადობის მენეჯმენტი → გარე პირადობის წყაროები → აქტიური დირექტორია → ჯგუფები → დამატება → აირჩიეთ ჯგუფები დირექტორიადან თქვენ შეგიძლიათ აირჩიოთ ჯგუფები AD-დან, რომელთა გაყვანა გსურთ ISE-ზე (ჩვენს შემთხვევაში ეს გაკეთდა მე-3 საფეხურზე „LDAP სერვერის დამატება“). აირჩიეთ ვარიანტი ჯგუფების მიღება → OK. 

სურათი 18 ა). მომხმარებელთა ჯგუფების გაყვანა Active Directory-დან

9) ჩანართში სამუშაო ცენტრები → PassiveID → მიმოხილვა → Dashboard შეგიძლიათ დააკვირდეთ აქტიური სესიების რაოდენობას, მონაცემთა წყაროების რაოდენობას, აგენტებს და სხვა.

სურათი 19. დომენის მომხმარებელთა აქტივობის მონიტორინგი

10) ჩანართში ცოცხალი სესიები ნაჩვენებია მიმდინარე სესიები. AD-თან ინტეგრაცია კონფიგურირებულია.

სურათი 20. დომენის მომხმარებლების აქტიური სესიები

5. დასკვნა

ეს სტატია მოიცავდა თემებს Cisco ISE-ში ადგილობრივი მომხმარებლების შექმნის, LDAP სერვერების დამატებისა და Microsoft Active Directory-თან ინტეგრაციის შესახებ. მომდევნო სტატიაში ხაზგასმული იქნება სტუმრების წვდომა ზედმეტი სახელმძღვანელოს სახით.

თუ თქვენ გაქვთ შეკითხვები ამ თემაზე ან გჭირდებათ დახმარება პროდუქტის ტესტირებაში, გთხოვთ დაგვიკავშირდეთ ლინკები.

თვალყური ადევნეთ განახლებებს ჩვენს არხებზე (დეპეშა, Facebook, VK, TS Solution ბლოგი, Yandex Zen).

წყარო: www.habr.com