Cisco ISE: 사용자 생성, LDAP 서버 추가, AD 통합. 2 부

Cisco ISE 시리즈의 두 번째 게시물에 오신 것을 환영합니다. 처음에는 기사  표준 AAA의 NAC(Network Access Control) 솔루션의 장점과 차이점, Cisco ISE의 ​​고유성, 제품의 아키텍처 및 설치 프로세스가 강조되었습니다.

이 기사에서는 계정 생성, LDAP 서버 추가, Microsoft Active Directory와의 통합 및 PassiveID 작업의 뉘앙스에 대해 자세히 설명합니다. 읽기 전에 꼭 읽어보시길 강력히 추천합니다 첫 번째 부분.

1. 일부 용어

사용자 신원 - 사용자에 대한 정보를 포함하고 네트워크 액세스를 위한 자격 증명을 생성하는 사용자 계정. 사용자 ID에는 일반적으로 사용자 이름, 이메일 주소, 비밀번호, 계정 설명, 사용자 그룹 및 역할과 같은 매개변수가 지정됩니다.

사용자 그룹 - 사용자 그룹은 특정 Cisco ISE 서비스 및 기능 세트에 액세스할 수 있는 공통 권한 세트를 가진 개별 사용자의 모음입니다.

사용자 ID 그룹 - 특정 정보 및 역할이 이미 있는 사전 정의된 사용자 그룹. 다음과 같은 사용자 ID 그룹이 기본적으로 존재하며 여기에 사용자 및 사용자 그룹을 추가할 수 있습니다.

사용자 역할- 사용자 역할은 사용자가 수행할 수 있는 작업과 액세스할 수 있는 서비스를 결정하는 권한 집합입니다. 종종 사용자 역할은 사용자 그룹과 연결됩니다.

또한 각 사용자 및 사용자 그룹에는 이 사용자(사용자 그룹)를 선택하고 보다 구체적으로 정의할 수 있는 추가 속성이 있습니다. 자세한 내용은 가이드.

2. 로컬 사용자 생성

1) Cisco ISE에는 로컬 사용자를 생성하여 액세스 정책에서 사용하거나 제품 관리 역할을 부여할 수 있는 기능이 있습니다. 선택하다 관리 → ID 관리 → ID → 사용자 → 추가.

그림 1 Cisco ISE에 로컬 사용자 추가

2) 나타나는 창에서 로컬 사용자를 생성하고 암호 및 기타 이해 가능한 매개 변수를 설정합니다.

그림 2. Cisco ISE에서 로컬 사용자 생성

3) 사용자도 가져올 수 있습니다. 같은 탭에서 관리 → ID 관리 → ID → 사용자 옵션을 선택하세요 수입 사용자와 함께 csv 또는 txt 파일을 업로드합니다. 템플릿을 선택하려면 템플릿 생성, 사용자에 대한 정보를 적절한 형식으로 채워야 합니다.

그림 3 Cisco ISE로 사용자 가져오기

3. LDAP 서버 추가

LDAP는 정보를 수신하고, 인증을 수행하고, LDAP 서버의 디렉토리에서 계정을 검색하고, 포트 389 또는 636(SS)에서 작동하는 인기 있는 애플리케이션 수준 프로토콜임을 상기시켜 드립니다. LDAP 서버의 대표적인 예는 Active Directory, Sun Directory, Novell eDirectory 및 OpenLDAP입니다. LDAP 디렉토리의 각 항목은 DN(고유 이름)으로 정의되며 계정, 사용자 그룹 및 속성 검색 작업이 발생하여 액세스 정책을 형성합니다.

Cisco ISE에서는 많은 LDAP 서버에 대한 액세스를 구성하여 이중화를 구현할 수 있습니다. 기본(기본) LDAP 서버를 사용할 수 없는 경우 ISE는 보조(보조) 등에 액세스를 시도합니다. 또한 2개의 PAN이 있는 경우 기본 PAN에 대해 하나의 LDAP에 우선순위를 지정하고 보조 PAN에 대해 다른 LDAP에 우선순위를 지정할 수 있습니다.

ISE는 LDAP 서버로 작업할 때 사용자 조회 및 MAC 주소 조회라는 두 가지 조회 유형을 지원합니다. 사용자 조회를 사용하면 LDAP 데이터베이스에서 사용자를 검색하고 인증 없이 다음 정보를 얻을 수 있습니다: 사용자 및 해당 속성, 사용자 그룹. MAC 주소 조회를 사용하면 인증 없이 LDAP 디렉토리에서 MAC 주소로 검색하고 장치, MAC 주소로 장치 그룹 및 기타 특정 속성에 대한 정보를 얻을 수 있습니다.

통합 예로 Active Directory를 Cisco ISE에 LDAP 서버로 추가해 보겠습니다.

1) 탭으로 이동 관리 → ID 관리 → 외부 ID 소스 → LDAP → 추가. 

그림 4. LDAP 서버 추가

2) 패널에서 일반 LDAP 서버 이름 및 체계(이 경우 Active Directory)를 지정합니다. 

그림 5. Active Directory 스키마로 LDAP 서버 추가

3) 다음으로 이동 연결 탭하고 선택 호스트 이름/IP 주소 서버 AD, 포트(389 - LDAP, 636 - SSL LDAP), 도메인 관리자 자격 증명(관리자 DN - 전체 DN), 기타 매개변수는 기본값으로 둘 수 있습니다.

주의: 관리 도메인 세부 정보를 사용하여 잠재적인 문제를 방지합니다.

그림 6 LDAP 서버 데이터 입력

4) 탭에서 디렉토리 조직 사용자 및 사용자 그룹을 가져올 DN을 통해 디렉토리 영역을 지정해야 합니다.

그림 7. 사용자 그룹이 가져올 수 있는 디렉터리 결정

5) 창으로 이동 그룹 → 추가 → 디렉토리에서 그룹 선택 LDAP 서버에서 풀 그룹을 선택합니다.

그림 8. LDAP 서버에서 그룹 추가

6) 표시되는 창에서 클릭 그룹을 검색합니다. 그룹이 풀업되면 예비 단계가 성공적으로 완료된 것입니다. 그렇지 않으면 다른 관리자에게 시도하고 LDAP 프로토콜을 통해 LDAP 서버에서 ISE의 ​​가용성을 확인하십시오.

그림 9. 끌어온 사용자 그룹 목록

7) 탭에서 Attributes LDAP 서버에서 가져와야 하는 속성을 선택적으로 지정할 수 있으며 창에서 고급 설정 활성화 옵션 비밀번호 변경 활성화, 비밀번호가 만료되었거나 재설정된 경우 사용자가 비밀번호를 변경하도록 강제합니다. 어쨌든 클릭 문의하기 계속하다.

8) LDAP 서버는 해당 탭에 나타나며 향후 액세스 정책을 형성하는 데 사용할 수 있습니다.

그림 10. 추가된 LDAP 서버 목록

4. Active Directory와의 통합

1) Microsoft Active Directory 서버를 LDAP 서버로 추가하여 사용자, 사용자 그룹을 얻었지만 로그는 얻지 못했습니다. 다음으로 Cisco ISE와의 본격적인 AD 통합 설정을 제안합니다. 탭으로 이동 관리 → ID 관리 → 외부 ID 소스 → Active Directory → 추가. 

참고 : AD와의 성공적인 통합을 위해 ISE는 도메인에 있어야 하며 DNS, NTP 및 AD 서버와 완전히 연결되어 있어야 합니다.

그림 11. Active Directory 서버 추가

2) 나타나는 창에서 도메인 관리자 세부 정보를 입력하고 확인란을 선택합니다. 자격 증명을 저장합니다. 또한 ISE가 특정 OU에 있는 경우 OU(조직 단위)를 지정할 수 있습니다. 다음으로 도메인에 연결할 Cisco ISE 노드를 선택해야 합니다.

그림 12. 자격 증명 입력

3) 도메인 컨트롤러를 추가하기 전에 탭의 PSN에서 관리 → 시스템 → 배포 옵션 활성화 패시브 아이덴티티 서비스. 패시브 ID - 사용자를 IP로 또는 그 반대로 변환할 수 있는 옵션입니다. PassiveID는 WMI, 특수 AD 에이전트 또는 스위치의 SPAN 포트를 통해 AD에서 정보를 가져옵니다(최상의 옵션은 아님).

참고 : 패시브 ID의 상태를 확인하려면 ISE 콘솔에 입력하십시오. 애플리케이션 상태 표시 ise | PassiveID를 포함합니다.

그림 13. PassiveID 옵션 활성화

4) 탭으로 이동 관리 → ID 관리 → 외부 ID 소스 → Active Directory → PassiveID 옵션을 선택하고 DC 추가. 그런 다음 확인란을 사용하여 필요한 도메인 컨트롤러를 선택하고 클릭하십시오. 좋아요.

그림 14. 도메인 컨트롤러 추가

5) 추가된 DC를 선택하고 버튼을 클릭합니다. 편집하다. 가리키다 FQDN DC, 도메인 로그인 및 비밀번호, 링크 옵션 WMI 또는 에이전트. WMI를 선택하고 클릭 좋아요.

그림 15 도메인 컨트롤러 세부 정보 입력

6) WMI가 Active Directory와 통신하는 기본 방법이 아닌 경우 ISE 에이전트를 사용할 수 있습니다. 에이전트 방법은 로그인 이벤트를 내보낼 서버에 특수 에이전트를 설치할 수 있다는 것입니다. 자동 및 수동의 두 가지 설치 옵션이 있습니다. 동일한 탭에 에이전트를 자동으로 설치하려면 패시브 ID 물품을 고르시 오 에이전트 추가 → 새 에이전트 배포 (DC는 인터넷에 액세스할 수 있어야 합니다). 그런 다음 필수 필드(에이전트 이름, 서버 FQDN, 도메인 관리자 로그인/비밀번호)를 입력하고 클릭 좋아요.

그림 16. ISE 에이전트 자동 설치

7) Cisco ISE 에이전트를 수동으로 설치하려면 항목을 선택합니다. 기존 에이전트 등록. 그런데 탭에서 에이전트를 다운로드할 수 있습니다. 작업 센터 → PassiveID → 제공자 → 에이전트 → 다운로드 에이전트.

그림 17. ISE 에이전트 다운로드

중요 : PassiveID는 이벤트를 읽지 않습니다. 로그 오프! 시간 초과를 담당하는 매개변수는 다음과 같습니다. 사용자 세션 에이징 시간 기본적으로 24시간입니다. 따라서 근무일 종료 시 스스로 로그오프하거나 로그인한 모든 사용자를 자동으로 로그오프하는 일종의 스크립트를 작성해야 합니다. 

정보를 위해 로그 오프 "엔드포인트 프로브"(터미널 프로브)가 사용됩니다. Cisco ISE에는 RADIUS, SNMP 트랩, SNMP 쿼리, DHCP, DNS, HTTP, Netflow, NMAP 스캔과 같은 여러 엔드포인트 프로브가 있습니다. 반지름 프로브 사용 코아 (Change of Authorization) 패키지는 사용자 권한 변경에 대한 정보를 제공합니다. 802.1X) 및 액세스 스위치 SNMP에 구성되어 연결 및 연결 해제된 장치에 대한 정보를 제공합니다.

다음 예는 802.1X 및 RADIUS가 없는 Cisco ISE + AD 구성과 관련이 있습니다. 사용자가 로그오프하지 않고 Windows 시스템에 로그인하고 WiFi를 통해 다른 PC에서 로그인합니다. 이 경우 첫 번째 PC의 세션은 시간 초과가 발생하거나 강제 로그오프가 발생할 때까지 계속 활성화됩니다. 그런 다음 장치에 다른 권한이 있는 경우 마지막으로 로그인한 장치가 해당 권한을 적용합니다.

8) 탭에서 선택 사항 관리 → ID 관리 → 외부 ID 소스 → Active Directory → 그룹 → 추가 → 디렉토리에서 그룹 선택 ISE에서 가져오려는 AD에서 그룹을 선택할 수 있습니다(이 경우 3단계 "LDAP 서버 추가"에서 수행됨). 옵션을 선택하세요 그룹 검색 → 확인. 

그림 18 a). Active Directory에서 사용자 그룹 가져오기

9) 탭에서 작업 센터 → PassiveID → 개요 → 대시보드 활성 세션 수, 데이터 소스, 에이전트 수 등을 관찰할 수 있습니다.

그림 19. 도메인 사용자 활동 모니터링

10) 탭에서 라이브 세션 현재 세션이 표시됩니다. AD와의 통합이 구성됩니다.

그림 20. 도메인 사용자의 활성 세션

5. 결론

이 문서에서는 Cisco ISE에서 로컬 사용자 생성, LDAP 서버 추가, Microsoft Active Directory와의 통합에 대한 주제를 다루었습니다. 다음 기사에서는 중복 가이드의 형태로 게스트 액세스를 강조합니다.

이 주제에 대해 질문이 있거나 제품 테스트에 도움이 필요한 경우 다음으로 문의하십시오. 링크.

우리 채널(텔레그램, 페이스북, VK, TS 솔루션 블로그, Yandex.Dzena).

출처 : habr.com