Cisco ISE сериясындағы екінші жазбаға қош келдіңіз. Біріншісінде Network Access Control (NAC) шешімдерінің стандартты AAA-дан артықшылықтары мен айырмашылықтары, Cisco ISE бірегейлігі, өнімнің архитектурасы мен орнату процесі атап өтілді.
Бұл мақалада біз тіркелгілерді жасауды, LDAP серверлерін қосуды және Microsoft Active Directory-мен біріктіруді, сондай-ақ PassiveID-пен жұмыс істеудің нюанстарын қарастырамыз. Оқымас бұрын мен сізге оқуға кеңес беремін .
1. Кейбір терминология
Пайдаланушы идентификациясы - пайдаланушы туралы ақпаратты қамтитын және желіге кіру үшін оның тіркелгі деректерін жасайтын пайдаланушы тіркелгісі. Келесі параметрлер әдетте Пайдаланушы идентификациясында көрсетіледі: пайдаланушы аты, электрондық пошта мекенжайы, құпия сөз, тіркелгі сипаттамасы, пайдаланушы тобы және рөл.
Пайдаланушы топтары - пайдаланушы топтары – бұл Cisco ISE қызметтері мен функцияларының белгілі бір жинағына қол жеткізуге мүмкіндік беретін ортақ артықшылықтар жиынтығы бар жеке пайдаланушылардың жиынтығы.
Пайдаланушы идентификациялық топтары - белгілі бір ақпарат пен рөлдері бар алдын ала анықталған пайдаланушы топтары. Келесі пайдаланушы идентификациялық топтары әдепкі бойынша бар, оларға пайдаланушылар мен пайдаланушы топтарын қосуға болады: Қызметкер (қызметкер), SponsorAllAccounts, SponsorAllAccounts, SponsorOwnAccounts (қонақ порталын басқаруға арналған демеуші тіркелгілер), Қонақ (қонақ), ActivatedGuest (белсенді қонақ).
пайдаланушы рөлі- Пайдаланушы рөлі - пайдаланушы қандай тапсырмаларды орындай алатынын және қандай қызметтерге қол жеткізе алатынын анықтайтын рұқсаттар жиынтығы. Көбінесе пайдаланушы рөлі пайдаланушылар тобымен байланысты.
Сонымен қатар, әрбір пайдаланушы мен пайдаланушы тобының осы пайдаланушыны (пайдаланушы тобы) таңдауға және нақтырақ анықтауға мүмкіндік беретін қосымша атрибуттары бар. Қосымша ақпарат .
2. Жергілікті пайдаланушыларды жасаңыз
1) Cisco ISE жергілікті пайдаланушыларды жасау және оларды қатынас саясатында пайдалану немесе тіпті өнімді басқару рөлін беру мүмкіндігіне ие. таңдаңыз Әкімшілік → Жеке куәлікті басқару → Идентификаторлар → Пайдаланушылар → Қосу.
1-сурет Cisco ISE жүйесіне жергілікті пайдаланушыны қосу
2) Пайда болған терезеде жергілікті пайдаланушыны жасаңыз, құпия сөзді және басқа түсінікті параметрлерді орнатыңыз.
Сурет 2. Cisco ISE жүйесінде жергілікті пайдаланушыны құру
3) Пайдаланушыларды да импорттауға болады. Сол қойындыда Әкімшілік → Жеке куәлікті басқару → Идентификаторлар → Пайдаланушылар опцияны таңдаңыз импорт және csv немесе txt файлын пайдаланушылармен жүктеңіз. Үлгіні алу үшін таңдаңыз Үлгіні жасаңыз, содан кейін ол қолайлы пішінде пайдаланушылар туралы ақпаратпен толтырылуы керек.
3-сурет Cisco ISE жүйесіне пайдаланушыларды импорттау
3. LDAP серверлерін қосу
LDAP – ақпаратты алуға, аутентификацияны орындауға, LDAP серверлерінің каталогтарындағы тіркелгілерді іздеуге мүмкіндік беретін, 389 немесе 636 (SS) портында жұмыс істейтін қолданбалы деңгейдегі танымал хаттама екенін еске салайын. LDAP серверлерінің көрнекті мысалдары Active Directory, Sun Directory, Novell eDirectory және OpenLDAP болып табылады. LDAP каталогындағы әрбір жазба DN (ерекше атау) арқылы анықталады және кіру саясатын қалыптастыру үшін тіркелгілерді, пайдаланушы топтарын және атрибуттарды шығарып алу міндеті көтеріледі.
Cisco ISE жүйесінде көптеген LDAP серверлеріне қол жеткізуді конфигурациялауға болады, осылайша резервтеуді жүзеге асырады. Егер негізгі (негізгі) LDAP сервері қол жетімді болмаса, ISE қосымша (қосымша) және т.б. кіруге тырысады. Қосымша, егер 2 PAN болса, онда бір LDAP негізгі PAN үшін, ал екінші PAN үшін басқа LDAP басымдыққа ие болады.
ISE LDAP серверлерімен жұмыс істегенде іздеудің (іздеу) 2 түрін қолдайды: пайдаланушыны іздеу және MAC мекенжайын іздеу. Пайдаланушыны іздеу LDAP дерекқорында пайдаланушыны іздеуге және аутентификациясыз келесі ақпаратты алуға мүмкіндік береді: пайдаланушылар және олардың атрибуттары, пайдаланушы топтары. MAC мекенжайын іздеу сонымен қатар аутентификациясыз LDAP каталогтарында MAC мекенжайы бойынша іздеуге және құрылғы, MAC мекенжайлары бойынша құрылғылар тобы және басқа да арнайы атрибуттар туралы ақпаратты алуға мүмкіндік береді.
Біріктіру мысалы ретінде Active Directory-ті Cisco ISE-ге LDAP сервері ретінде қосамыз.
1) қойындыға өтіңіз Әкімшілік → Сәйкестікті басқару → Сыртқы сәйкестендіру көздері → LDAP → Қосу.
Сурет 4. LDAP серверін қосу
2) Панельде жалпы LDAP серверінің атауын және схемасын көрсетіңіз (біздің жағдайда Active Directory).
Сурет 5. Active Directory схемасы бар LDAP серверін қосу
3) Келесіге өтіңіз байланыс қойындысын басып, таңдаңыз Хост аты/IP мекенжайы Сервер AD, порт (389 - LDAP, 636 - SSL LDAP), домен әкімшісінің тіркелгі деректері (Admin DN - толық DN), басқа параметрлерді әдепкі ретінде қалдыруға болады.
ескерту: ықтимал мәселелерді болдырмау үшін әкімші доменінің мәліметтерін пайдаланыңыз.
6-сурет LDAP сервер деректерін енгізу
4) қойындыда Анықтамалық ұйым пайдаланушылар мен пайдаланушы топтарын алу үшін DN арқылы каталог аймағын көрсету керек.
Сурет 7. Пайдаланушы топтары шығатын каталогтарды анықтау
5) Терезеге өтіңіз Топтар → Қосу → Каталогтан Топтарды таңдаңыз LDAP серверінен тарту топтарын таңдау үшін.
Сурет 8. LDAP серверінен топтарды қосу
6) Пайда болған терезеде түймесін басыңыз Топтарды шығарып алу. Егер топтар көтерілсе, онда алдын ала қадамдар сәтті аяқталды. Әйтпесе, басқа әкімшіні қолданып көріңіз және LDAP протоколы арқылы LDAP серверімен ISE қолжетімділігін тексеріңіз.
Сурет 9. Тартылған пайдаланушы топтарының тізімі
7) қойындыда Нышандар LDAP серверінен қандай атрибуттарды тарту керектігін таңдауға болады және терезеде Кеңейтілген параметрлер опциясын қосыңыз Құпия сөзді өзгертуді қосыңыз, ол пайдаланушыларды құпия сөздің мерзімі өтіп кетсе немесе қалпына келтірілсе, өзгертуге мәжбүр етеді. Кез келген жағдайда басыңыз Жіберу жалғастыру.
8) LDAP сервері сәйкес қойындыда пайда болды және болашақта қатынас саясаттарын қалыптастыру үшін пайдаланылуы мүмкін.
Сурет 10. Қосылған LDAP серверлерінің тізімі
4. Active Directory бағдарламасымен интеграция
1) Microsoft Active Directory серверін LDAP сервері ретінде қосу арқылы біз пайдаланушыларды, пайдаланушы топтарын алдық, бірақ журналдар жоқ. Әрі қарай, мен Cisco ISE-мен толыққанды AD интеграциясын орнатуды ұсынамын. Қойындыға өтіңіз Әкімшілік → Сәйкестікті басқару → Сыртқы сәйкестендіру көздері → Active Directory → Қосу.
Ескертпе: AD-мен сәтті интеграциялау үшін ISE доменде болуы және DNS, NTP және AD серверлерімен толық қосылуы керек, әйтпесе одан ештеңе шықпайды.
Сурет 11. Active Directory серверін қосу
2) Пайда болған терезеде домен әкімшісінің мәліметтерін енгізіп, құсбелгіні қойыңыз Тіркелгі деректерін сақтау. Қосымша, егер ISE белгілі бір ұйымда орналасқан болса, OU (ұйымдық бөлімше) көрсете аласыз. Содан кейін доменге қосқыңыз келетін Cisco ISE түйіндерін таңдауыңыз керек.
Сурет 12. Тіркелгі деректерін енгізу
3) Домен контроллерлерін қоспас бұрын, қойындыдағы PSN параметріне көз жеткізіңіз Әкімшілік → Жүйе → Орналастыру опция қосылды Пассивті сәйкестендіру қызметі. Пассивті идентификатор - Пайдаланушыны IP-ге және керісінше аударуға мүмкіндік беретін опция. PassiveID ақпаратты WMI, арнайы AD агенттері немесе коммутатордағы SPAN порты арқылы алады (ең жақсы нұсқа емес).
Ескертпе: Пассивті идентификатордың күйін тексеру үшін ISE консолін теріңіз қолданба күйін көрсету болса | PassiveID қамтиды.
Сурет 13. PassiveID опциясын қосу
4) Қойындыға өтіңіз Әкімшілік → Идентификаторды басқару → Сыртқы сәйкестендіру көздері → Active Directory → PassiveID және опцияны таңдаңыз DC қосыңыз. Содан кейін құсбелгілері бар қажетті домен контроллерлерін таңдап, басыңыз ЖАРАЙДЫ МА.
Сурет 14. Домен контроллерлерін қосу
5) Қосылған тұрақты токтарды таңдап, түймесін басыңыз Өңдеу. Қараңызшы FQDN DC, домен логині мен құпия сөзі және сілтеме опциясы WMI немесе агент. WMI таңдаңыз және басыңыз ЖАРАЙДЫ МА.
15-сурет Домен контроллері мәліметтерін енгізу
6) Егер WMI Active Directory-мен байланысудың таңдаулы жолы болмаса, онда ISE агенттерін пайдалануға болады. Агент әдісі - кіру оқиғаларын шығаратын серверлерге арнайы агенттерді орнатуға болады. Орнатудың 2 нұсқасы бар: автоматты және қолмен. Бір қойындыда агентті автоматты түрде орнату үшін Пассивті идентификатор таңдау Агент қосу → Жаңа агентті орналастыру (тұрақты токта Интернетке кіру мүмкіндігі болуы керек). Содан кейін қажетті өрістерді толтырыңыз (агент аты, сервер FQDN, домен әкімшісінің логин/пароль) және түймесін басыңыз. ЖАРАЙДЫ МА.
Сурет 16. ISE агентін автоматты орнату
7) Cisco ISE агентін қолмен орнату үшін элементті таңдаңыз Бар агентті тіркеңіз. Айтпақшы, сіз агентті қойындыдан жүктей аласыз Жұмыс орталықтары → PassiveID → Провайдерлер → Агенттер → Агентті жүктеп алу.
Сурет 17. ISE агентін жүктеу
Бұл маңызды болып табылады: PassiveID оқиғаларды оқымайды шығу! Күтуге жауапты параметр шақырылады пайдаланушы сеансының қартаю уақыты және әдепкі бойынша 24 сағатқа тең. Сондықтан жұмыс күнінің соңында жүйеден шығу керек немесе жүйеге кірген барлық пайдаланушыларды автоматты түрде өшіретін сценарий түрін жазу керек.
Ақпарат үшін шығу «Соңғы нүкте зондтары» пайдаланылады - терминалды зондтар. Cisco ISE жүйесінде бірнеше соңғы нүкте зондтары бар: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS зондты қолдану CoA (Авторизацияны өзгерту) бумалары пайдаланушы құқықтарын өзгерту туралы ақпаратты береді (ол үшін ендірілген 802.1X) және SNMP қатынас қосқыштарында конфигурацияланған, қосылған және ажыратылған құрылғылар туралы ақпарат береді.
Келесі мысал 802.1X және RADIUS жоқ Cisco ISE + AD конфигурациясына қатысты: пайдаланушы Windows құрылғысында жүйеге кірді, жүйеден шықпай, басқа компьютерден WiFi арқылы кіріңіз. Бұл жағдайда бірінші компьютердегі сеанс күту уақыты біткенше немесе мәжбүрлі жүйеден шығу орын алғанша белсенді болады. Содан кейін құрылғылардың құқықтары әртүрлі болса, соңғы рет кірген құрылғы өз құқықтарын қолданады.
8) Қойындыда қосымша Әкімшілік → Идентификаторды басқару → Сыртқы сәйкестендіру көздері → Active Directory → Топтар → Қосу → Каталогтан топтарды таңдау ISE-де тартқыңыз келетін AD топтарын таңдауға болады (біздің жағдайда бұл «LDAP серверін қосу» 3-қадамында орындалды). Опцияны таңдаңыз Топтарды шығарып алу → OK.
18-сурет а). Пайдаланушы топтарын Active Directory ішінен тарту
9) қойындыда Жұмыс орталықтары → PassiveID → Шолу → Бақылау тақтасы белсенді сеанстардың санын, деректер көздерінің, агенттердің және т.б. санын байқауға болады.
Сурет 19. Домен пайдаланушыларының белсенділігін бақылау
10) қойындыда Тікелей сессиялар ағымдағы сеанстар көрсетіледі. AD интеграциясы конфигурацияланған.
Сурет 20. Домен пайдаланушыларының белсенді сеанстары
5. Қорытынды
Бұл мақала Cisco ISE жүйесінде жергілікті пайдаланушыларды жасау, LDAP серверлерін қосу және Microsoft Active Directory қызметімен біріктіру тақырыптарын қамтыды. Келесі мақалада артық нұсқаулық түрінде қонақтарға қолжетімділік көрсетіледі.
Осы тақырып бойынша сұрақтарыңыз болса немесе өнімді сынауға көмек қажет болса, хабарласыңыз .
Біздің арналардағы жаңартуларды күтіңіз (, , , , ).
Ақпарат көзі: www.habr.com