ααΌαααααΆααααααααΆααααΆααααααΆαααΈααΈααα
αααα»ααααααΈ Cisco ISE α αα
αααα»αααααΌα
αα
αααα»αα’αααααααα ααΎαααΉαααααααααα’αααΈααΆααααααΎαααααΈ αααααααααΆαααΈααα LDAP αα·αααΆααα½ααααα
αΌαααΆαα½α Microsoft Active Directory ααααΌα
ααΆααΆααα»ααααααααααΆααααΆαααααΎααΆαααΆαα½α PassiveID α αα»ααααα’αΆα αααα»αααΌαααααΆααααΆααα»αααΆαααΆα’αααα’αΆα
1. ααΆααααααααα½αα ααα½α
α’ααααααααΆαα’αααααααΎααααΆαα - ααααΈα’αααααααΎααααΆαααααααΆαααααααΆαα’αααΈα’αααααααΎααααΆαα αα·ααααααΎαααααααΆααααααΆααααααααΆαααααααΆααααΆαα αΌαααααΎαααααΆαα αααΆαααΆααααααααΆααααααααααΌαααΆααααααΆααααΆααααααΆαα αααα»αα’ααααααααΆαα’αααααααΎααααΆααα αααααα’αααααααΎααααΆαα α’αΆααααααΆαα’ααΈααα ααΆααααααααΆαα ααΆααα·αααααΆααααΈ αααα»αα’αααααααΎααααΆαα αα·ααα½ααΆααΈα
αααα»αα’αααααααΎααααΆαα - αααα»αα’αααααααΎααααΆααααΊααΆααααα»αααα’αααααααΎααααΆααααααΆααααααααΆααααα»αα―ααα·αααα·ααΌαα αααα’αα»ααααΆαα±αααα½αααα αΌαααααΎαααα»αααΆααααΆααααααααΆαααα αα·ααα»αααΆα Cisco ISE α
αααα»αα’ααααααααΆαα’αααααααΎααααΆαα - αααα»αα’αααααααΎααααΆαααααααΆααααααααΆαα»ααααααΆαααααααΆα αα·ααα½ααΆααΈααΆααααΆαααα½α α αΎαα αααα»αα’ααααααααΆαα’αααααααΎααααΆααααΆααααααααΆαααΆαααααΆαααΎα α’αααα’αΆα ααααααα’αααααααΎααααΆαα αα·ααααα»αα’αααααααΎααααΆαααα αα½αααα αα»ααααα·α (αα·αααα·α), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ααααΈα§ααααααααααααΆααααααααααααα·αααααααααα), ααααα (ααααα), ActivatedGuest (ααααααααααΆαααααΎαααΆα)α
αα½ααΆααΈα’αααααααΎααααΆαα- αα½ααΆααΈααααα’αααααααΎααΊααΆαααα»αααααΆαα’αα»ααααΆαααααααααααΌαααΆααα·α αα αααα’αααααααΎααααΆααα’αΆα α’αα»αααα αα·αααααΆααααααΆαααα’αΆα α αΌαααααΎααΆαα ααΆααΏαααα½ααΆααΈααααα’αααααααΎααααΆααααααΌαααΆαααααΆααααΆαα½ααααα»αα’αααααααΎααααΆααα
ααΆαααααα
ααα α’αααααααΎααααΆαα αα·ααααα»αα’αααααααΎααααΆααααΈαα½ααααΆααα»ααααααααααααα αααα’αα»ααααΆαα±ααα’αααααααΎαααΎα αα·ααααααα’αααααααΎααααΆααααααααΆαααΆααααΆαα (αααα»αα’αααααααΎααααΆαα)α ααααααΆααααααααα
αααα»α
2. αααααΎαα’αααααααΎααααΆαααααα»ααααα»α
1) Cisco ISE ααΆααααααααΆααααα»αααΆααααααΎαα’αααααααΎααααΆαααααα»ααααα»α αα·αααααΎααααΆααααΆαα αααα»ααααααΆαααα αΌαααααΎ α¬ααΌααααΈααααααααα½ααΆααΈαααααααααααα·αααα ααααΎαααΎα ααΆαααααααααα β ααΆααααααααααα’ααααααααΆα β α’ααααααααΆα β α’αααααααΎααααΆαα β ααααααα
ααΌαααΆαααΈ 1 ααΆαααααααα’αααααααΎααααΆαααααα»ααααα»ααα Cisco ISE
2) αα αααα»ααααα’α½α αααααα α‘αΎααααααΎαα’αααααααΎααΌαααααΆααααααααΆααααααααΆαααα·ααααΆαααΆαααααααααα’αΆα αααααΆαα
ααΌαααΆαααΈ 2. ααΆααααααΎαα’αααααααΎααααΆαααααα»ααααα»ααα αααα»α Cisco ISE
3) α’αααααααΎααααΆααααα’αΆα ααΆαα αΌααααααα αα αααα»αααααΆααααΌα ααααΆα ααΆαααααααααα β ααΆααααααααααα’ααααααααΆα β α’ααααααααΆα β α’αααααααΎααααΆαα ααααΎαααΎααααααΎααα½αα ααΆαα αΌα αα·ααααα»αα‘αΎαα―αααΆα csv α¬ txt ααΆαα½αα’αααααααΎααααΆααα ααΎααααΈααα½αααΆαααααΌααΌαααααΎαααΎα αααααΎαααααΌαααααΆααααααΆαα½αααααααΌαααΆαααααααααααααααΆαα’αααΈα’αααααααΎααααΆαααααα»ααααααααααααααα½αα
ααΌαααΆαααΈ 3 ααΆαααΆαα αΌαα’αααααααΎααααΆααα αΌααα αααα»α Cisco ISE
3. ααΆααααααααααΆαααΈααα LDAP
αααα»αααΌαααααΉαα’αααααΆ LDAP ααΊααΆαα·ααΈααΆαααααα·ααααααα·ααΈααααααα·αααααα’αα»ααααΆαα±ααα’αααααα½αααΆαααααααΆα α’αα»ααααααΆααααααααααΆαα αααααααααααΈαα αααα»ααααααΆαααΈααα LDAP ααααΎαααΆααα ααΎα ααα 389 α¬ 636 (SS)α α§ααΆα αααααα αααααααααΆαααΈααα LDAP ααΊ Active Directory, Sun Directory, Novell eDirectory αα·α OpenLDAP α ααΆαα»ααΈαα½αααα αααα»ααα LDAP ααααΌαααΆααααααααα DN (ααααααα·ααα) α αΎαααΆααα·α αα ααααΆαααΆαααααααΈ αααα»αα’αααααααΎααααΆαα αα·ααα»αααααααααααΌαααΆαααΎαα‘αΎαααΎααααΈαααααΎααααααΆαααα αΌαααααΎααααΆααα
αα αααα»α Cisco ISE ααΆα’αΆα ααααααα ααΆααααααααααΆαα αΌαααααΎαααΆαααΈααα LDAP ααΆα αααΎα αααα ααα»αααα’αα»ααααααΆααααααααΌαααΆαααα αααα ααααα·αααΎαααΆαααΈααα LDAP α αααα (ααα) αα·αα’αΆα ααααΎααΆααα ααα ISE ααΉαααααΆααΆαα αΌαααααΎαααααΆααααααα (αααααΆααααααα) α αΎαααΌα αααααα ααΎα ααΎαααΈαααααα ααααα·αααΎααΆα 2 PAN ααα LDAP αα½αα’αΆα ααααΌαααΆααααααα’αΆαα·ααΆααααααΆαα PAN α αααα αα·α LDAP αα½ααααααααααααααΆαα PAN ααΈααΈαα
ISE ααΆαααα 2 ααααααααααΆαααααΎα (ααααΎα) αα αααααααΎααΆαααΆαα½ααααΆαααΈααα LDAP: ααααΎαα’αααααααΎααααΆαα αα·αααααΎαα’αΆααααααΆα MAC α User Lookup α’αα»ααααΆαα±ααα’ααααααααααα’αααααααΎααααΆαααα αααα»αααΌαααααΆααα·αααααα LDAP αα·αααα½αααΆαααααααΆαααΆαααααααααααααΆαααΆααααααααααΆααα α’αααααααΎααααΆαα αα·ααα»ααααααααααααα½ααα αααα»αα’αααααααΎααααΆααα ααΆαααααΎαα’αΆααααααΆα MAC ααα’αα»ααααΆαα±ααα’ααααααααααααΆαα’αΆααααααΆα MAC αα αααα»ααα LDAP ααααα·αα αΆαααΆα αααΆαααΆααααααααααΆαα αα·αααα½αααΆαααααααΆαα’αααΈα§ααααα αααα»αα§ααααααααα’αΆααααααΆα MAC αα·ααα»αααααααααΆααααΆααααααααααα
ααΆα§ααΆα αααααΆααα½ααααα αΌα ααΌααααααα Active Directory αα Cisco ISE ααΆαααΆαααΈααα LDAP α
1) α αΌααα ααΆααααααΆαα ααααααΆα β ααΆααααααααααα’ααααααααΆα β αααααα’ααααααααΆαααΆααααα β LDAP β ααααααα
ααΌαααΆαααΈ 4. ααΆααααααααααΆαααΈααα LDAP
2) αα αααα»αααααα ααΌαα αααααΆααααααααααΆαααΈααα LDAP αα·ααααααααΆααα (αααα»αααααΈααααααΎα ααααααα) α
ααΌαααΆαααΈ 5. ααΆααααααααααΆαααΈααα LDAP ααΆαα½αααΉααααααααΆααα Active Directory
3) αααααΆαααααα ααΆααααααΆαα ααααΆααα αΎαααααΎαααΎα ααααααααΆαααΈα/α’αΆααααααΆα IP αααΆαααΈααα AD, α ααα (389 - LDAP, 636 - SSL LDAP) αα·αα·ααααααΆααα’ααααααααααααααα (Admin DN - ααα DN) αααΆαααΆααααααααααααααα’αΆα ααααΌαααΆααα»αααΆααααΆαααΎαα
ααΆαααααααααΆααα ααααΎααααααΆααααα’α·ααααααα’αααααααααααα ααΎααααΈαααααΆααααα αΆαααα’αΆα ααΎαααΆαα
ααΌαααΆαααΈ 6 ααΆααααα αΌααα·αααααααααΆαααΈααα LDAP
4) αα αααα»αααααΆαα α’αααααΆααα α’ααααα½ααααααααΆαααααααααααΆαααα DN ααΈαααααααααααααΌαααΆαα’αααααααΎααααΆαα αα·ααααα»αα’αααααααΎααααΆααα
ααΌαααΆαααΈ 7. ααΆααααααααααΈααααααααααααα»αα’αααααααΎααααΆααα’αΆα ααΆαα‘αΎα
5) αα αααα’α½α αααα»α β αααααα β ααααΎαααΎααααα»αααΈαα ααΎααααΈααααΎαααΎααααα»αααΆαα ααααΈαααΆαααΈααα LDAP α
ααΌαααΆαααΈ 8. ααΆααααααααααα»αααΈαααΆαααΈααα LDAP
6) αα αααα»ααααα’α½α αααααα α‘αΎαααΌαα α»α ααΆααααααα»αα ααααα·αααΎαααα»αααΆαααΆαα‘αΎα αααααα αΆααααααααΌαααΆααααα αααααααααααα ααΎαα·αααΌα αααααα ααΌαααΆαααααα’αααααααααααααααααααα α αΎααα·αα·αααααΎαααΆαα’αΆα ααααΆααα ISE ααΆαα½ααααΆαααΈααα LDAP ααΆαααααα·ααΈααΆα LDAP α
ααΌαααΆαααΈ 9. αααααΈαααα»αα’αααααααΎααααΆαααααααΆαααΆα
7) αα αααα»αααααΆαα αα»ααααααα α’αααα’αΆα αααααααααααααΆαααααΎαααΆαα½αααΈαααΆαααΈααα LDAP αα½αααααααΌαααΆαααΆαα‘αΎα α αΎααα αααα»ααααα’α½α ααΆααααααααααα·αααααα ααΎααααααΎα ααΎαααΆαααααΆααααααΌαααΆααααααααΆαααααααΉααααααα’αααααααΎααααΆααα±ααααααΆααααααΌαααΆααααααααΆαααααααα½ααα ααααα·αααΎααΆααΆααα»αααααα α¬ααααΌαααΆααααααα‘αΎααα·αα αααΆαααΆααα α»α Submit ααααα
8) αααΆαααΈααα LDAP ααΆααααα αΆααααα½ααα αααα»αααααΆαααααααααΌαααααΆ α αΎαα’αΆα ααααΌαααΆαααααΎααΎααααΈαααααΎααααααΆαααα αΌαααααΎααααΆααααΆαααα’ααΆααα
ααΌαααΆαααΈ 10. αααααΈαααΆαααΈααα LDAP αααααΆααααααα
4. ααΆααα½ααααα αΌαααΆαα½α Active Directory
1) ααααααααααααΆαααΈααα Microsoft Active Directory ααΆαααΆαααΈααα LDAP ααΎαααα½αααΆαα’αααααααΎααααΆαα αααα»αα’αααααααΎααααΆαα ααα»αααααα·αααΆααααααα ααα»ααα αααααΆαααα αααα»αααααΎα±αααααα αααΆααα½ααααα αΌα AD ααααααααΆαα½α Cisco ISE α α αΌααα ααΆααααααΆαα ααααααΆα β ααΆααααααααααα’ααααααααΆα β αααααα’ααααααααΆαααΆααααα β ααααααα β ααααααα
α αααΆα: αααααΆααααΆαααααΎαααΆα αααααααααααααααααΆαα½α AD, ISE ααααΌααααααα·ααα αααα»αααα α αΎαααΆαααΆααααααΆααααααααααΆαα½ααααΆαααΈααα DNS, NTP αα·α AD ααΎαα·αααΌα ααααααααΉααα·αααΆαα’αααΈααΎαα‘αΎααααααα
ααΌαααΆαααΈ 11. ααΆααααααααααΆαααΈααα Active Directory
2) αα αααα»ααααα’α½α αααααα α‘αΎαααΌααααα αΌαααααααΆααααα’α·αα’αααααααααααααααα αΎαααΈααααα’αα αααααΆαα»αααααααΆααααααΆααα ααΎαααΈαααααα α’αααα’αΆα αααααΆαα OU (α’αααααΆαα’αααααΆα) ααααα·αααΎ ISE ααΆαααΈααΆαααα αααα»α OU ααΆααααΆαααα½αα αααααΆαααα α’αααααΉαααααΌαααααΎαααΎαααααΆαα Cisco ISE αααα’αααα ααααααΆαααα αααα
ααΌαααΆαααΈ 12. ααΆααααα αΌαααααααΆααααααΆααα’ααααααααΆα
3) αα»ααααααααααα§ααααααααααΆααα ααΌαααααΆααααΆαα ααΎ PSN αα αααα»αααααΆαα ααΆαααααααααα β αααααααα β ααΆαααΆαααααααΆα ααΆαααΎααααααΎα ααααΆα’ααααααααΆαα’αααα. ααααααααΆααα’αααα - αααααΎααααα’αα»ααααΆαα±ααα’αααααααααα’αααααααΎααααΆαααα IP αα·αα αααΆααααα·αα PassiveID ααα½αααΆαααααααΆαααΈ AD ααΆαααα WMI ααααΆααααΆα AD αα·ααα α¬α ααα SPAN αα ααΎαα»αααΆαα (αα·ααααααΆαααααΎαααααα’αααα»α)α
α αααΆα: ααΎααααΈαα·αα·αααααΎαααααΆαααΆααα Passive ID ααΌαααΆααααα αΌααααα»ααα»αααΌα ISE αααα αΆαααααΆαααΆααααααα·ααΈ ise | αα½ααααα αΌα PassiveID α
ααΌαααΆαααΈ 13. ααΆαααΎααααααΎα PassiveID
4) α αΌααα ααΆααααααΆαα ααααααΆα β ααΆααααααααααα’ααααααααΆα β αααααα’ααααααααΆαααΆααααα β ααααααα β PassiveID α αΎαααααΎαααΎααααααΎα αααααα DCs. αααααΆααααααααΎαααΎαα§ααααααααααΆαααα αΆαααΆα ααααααΆααααα’ααααΈαα αΎαα α»α αααααααα
ααΌαααΆαααΈ 14. ααΆαααααααα§ααααααααααΆααα
5) ααααΎαααΎα DCs αααααΆαααααααα αΎαα α»α αααΌαα»α ααααααα ααΌααααααΆαα FQDN DC ααααα’ααα ααΆαα αΌαααα αα·αααΆααααααααΆαα αα·ααααααΎαααα WMI α¬ ααααΆααααΆα. ααααΎαααΎα WMI α αΎαα α»α αααααααα
ααΌαααΆαααΈ 15 ααΆααααα αΌαααααααΆααααα’α·αααααα§ααααααααααΆααα
6) ααααα·αααΎ WMI αα·ααααααΆαα·ααΈααααααα α·ααααααα»αααΆαααααΆααααααααΆαα½α Active Directory αααααααΆααααΆα ISE α’αΆα ααααΌαααΆαααααΎα αα·ααΈααΆαααααααααΆααααΆαααΊααΆα’αααα’αΆα ααα‘αΎαααααΆααααΆααα·ααααα ααΎαααΆαααΈααααααααΉααααα ααααααΉαααα·ααΆαααα αΌαα ααΆααααααΎαααα‘αΎα 2: ααααααααααααα· αα·ααααααα ααΎααααΈααα‘αΎαααααΆααααΆααααααααααααααααα·αα αααα»αααααΆαααααα½α ααααααααΆααα’αααα ααααΎαααΆαα» ααααααααααΆααααΆα β ααΆαααααααΆαααααΆααααΆαααααΈα (DC ααααΌαααααΆαα’ααΈαααΊαα·α) α αααααΆαααααααααααΆααααααααΌαααΆα (αααααααααΆααααΆα, αααΆαααΈααα FQDN, ααΆαα αΌα/ααΆααααααααΆααα’ααααααααααααααα) α αΎαα α»α αααααααα
ααΌαααΆαααΈ 16. ααΆαααα‘αΎααααααααααααααααα·ααααααΆααααΆα ISE
7) ααΎααααΈααα‘αΎαααααΆααααΆα Cisco ISE ααααα ααΌαααααΎαααΎαααΆαα» α α»ααααααααααΆααααΆααααααΆαααααΆαα. ααααα·ααΈαααα’αααα’αΆα ααΆαααααααΆααααΆααα αααα»αααααΆαα αααααααααααΆαααΆα β PassiveID β α’ααααααααααααΆ β ααααΆααααΆα β ααΆαααααααΆααααΆαα
ααΌαααΆαααΈ 17. ααΆαααΆαααααααΆααααΆα ISE
ααΆααΆααΆαααααΆααααΎααααΈ: PassiveID αα·αα’αΆαααααΉαααα·ααΆαααααα α αΆαα αα! αααΆαααΆαααααααααααα½ααα»αααααΌαα ααααααΆαα’αααααααααΌαααΆαα α ααααααααααΆαα αΆααααααααα’αααααααΎααααΆαα αα·αααααΎααΉα 24 ααααααΆαααααΆαααΎαα ααΌα ααααα αΎα α’ααααα½ααα Logoff ααααααα½αα―ααα α α»ααααα ααααααααααααΎααΆα α¬αααααααααααΈααα½αα ααα½ααααααΉα Logoff αααααααααααααααα·ααΌαααΆααα’αααααααΎααααΆαααααααΆαα αΌαα
αααααΆααααααααΆα α αΆαα αα "ααΆααααΎαα’αααααα ααα»α αααα αα" ααααΌαααΆαααααΎ - ααΆααααΎαα’αααααααααΆααΈαα ααΆαααΆααααΎαα’αααααα ααα»α αααα ααααΆα αααΎααα αααα»α Cisco ISEα RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan α αααΆααΈααΌ ααΆααααΎαα’ααααααααααααΎ ααΌ αααα αα (ααΆαααααΆααααααΌαααΆαα’αα»ααααΆα) αααααααααααΆαα’αααΈααΆαααααΆααααααΌααα·αααα·α’αααααααΎααααΆαα (ααΆααΆαααΆαααΆααααααα 802.1X) αα·αααΆαααααααα ααΆαααααααααα ααΎαα»αααΆααα αΌαααααΎ SNMP ααΉααααααααααααΆαα’αααΈα§ααααααααααΆαααααΆαα αα·αααααΆα αα
α§ααΆα αααααΆααααααααΊααΆααααααααααααΆααααΆαααααααα ααΆαααααααα Cisco ISE + AD αααααααΆα 802.1X αα·α RADIUSα α’αααααααΎααααΆααααΆαα αΌααα ααΎαααΆαααΈα Windows ααααα·αα αΆαααΆα αααααΎααΆα logoff α αΌαααΈαα»αααααΌαααααααααααααΆαααααααΆαα αααΆαα αααα»αααααΈααα αααααα ααΎαα»αααααΌαααααααΌαααΉααα ααααααααα αΌαααααααα’αααααααΎαα‘αΎα α¬ααΆααα·αααααααααααΎαα‘αΎαα αααααΆαααα ααααα·αααΎα§αααααααΆααα·αααα·αααααααααΆ αααα§ααααααααααΆαα αΌαα α»ααααααααΉαα’αα»αααααα·αααα·ααααααΆα
8) ααααα α α·ααααα αααα»αααααΆαα ααααααΆα β ααΆααααααααααα’ααααααααΆα β αααααα’ααααααααΆαααΆααααα β ααααααα β αααα»α β αααααα β ααααΎαααΎααααα»αααΈαα α’αααα’αΆα ααααΎαααΎααααα»αααΈ AD αααα’αααα ααααΆααα ααΎ ISE (αααα»αααααΈααααααΎα αααααααΌαααΆαααααΎαα αααα»αααα αΆαααΈ 3 βααΆααααααααααΆαααΈααα LDAPβ)α ααααΎαααΎααααααΎααα½αα ααΆααααααα»α β ααααααα.
ααΌαααΆαααΈ α‘α¨ α) α αααα»αααΆααααα»αα’αααααααΎααααΆααααΈ Active Directory
9) αα αααα»αααααΆαα αααααααααααΆαααΆα β PassiveID β αα·αααααΆαααΌαα β ααααΆααααααααααα α’αααα’αΆα ααααααααΎαα ααα½αααααααααα α ααα½αααααααα·αααααα ααααΆααααΆα αα·αα αααΎααααα
ααΌαααΆαααΈ 19. ααΆααααα½ααα·αα·ααααααααααΆαααααα’αααααααΎααα
10) αα αααα»αααααΆαα ααααααααααααΆαα αααααα αα α»ααααααααααΌαααΆααααα αΆαα ααΆααα½ααααα αΌαααΆαα½α AD ααααΌαααΆαααααααα ααΆααααααααα
ααΌαααΆαααΈ 20. αααααααααααα’αααααααΎααααΆααααα
5 α ααα ααααΈααααα·ααααΆα
α’ααααααααααααααααααααΎαααααΆαααααααΆααααααΎαα’αααααααΎααααΆαααααα»ααααα»ααα αααα»α Cisco ISE ααΆααααααααααΆαααΈααα LDAP αα·αααΆααα½ααααα αΌαααΆαα½α Microsoft Active Directory α α’ααααααααααΆααααΉαααΌααααααΆααααΈααΆαα αΌαααααΎααααααααααααα»αααααααααααΆαααααΆαααααααααααΌαααΆαααα αααα
ααααα·αααΎα’αααααΆααααα½αα’αααΈαααααΆαααααα α¬ααααΌαααΆααααα½ααααα»αααΆαααΆαααααααα·ααα ααΌαααΆαααα
αααα
αΆαααααααΆαααααΈααα
αααα»αααα»αααα·αααααααΎα (
ααααα: www.habr.com