Grata ad secundam editionem seriem articulorum Gisco ISE dicatorum. In primis commoda ac differentiae Access Imperium Network (NAC) solutiones a vexillum AAA, singularitatem Cisco ISE, architectura ac processus institutionis producti illustraverunt.
In hoc articulo rationes creando intromittemus, addendo LDAP ministratores et integrationem cum Directory activo Microsoft, tum in extenuationibus cum laborantibus cum PassiveID. Priusquam legerem, magnopere suadeo ut te legas .
1. Quidam terminology
User Identity - Rationem usoris quae informationem de utore continet et documentorum format ad retiaculum accedens. Parametri sequentes typice specificantur in Identity User: nomen usoris, inscriptio electronica, password, ratio descriptionis, coetus usoris, et munus.
Usoris Groups - Circuli usoris sunt collectio singularium utentium qui communes habent privilegiorum copia quae eis permittunt accedere ad certa officia et functiones Cisco ISE.
User Identity Groups - coetus usorum praedefinitorum qui iam certas informationes et munera habent. Sequentes User Identity Groups per defaltam exsistunt et ad eos addere potes utentes et usores: Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsores rationum portalium hospitum administrandi), Hospes, Guest.
Munus User - Munus usoris constitutum est licentiarum qui determinant quae usoris officia praestare possit et quae opera utentis accedere possit. Saepe munus usoris cum coetu usorum coniungitur.
Singuli etiam usoris et usoris globum habent adiuncta attributa quae te exaggerare et specialius usoris usoris rationem definire sinunt. More information in .
2. loci users crea
1) In Cisco ISE fieri potest utentes locales creare et illis in accessu agendi uti vel etiam munus administrationis productum praebere. Lego Administratio → Identitas Management → Identities → Utentes → Add.
Figura I: Addens Loci User ad Cisco ISE
2) In fenestra quae apparet, usorem localem crea, tesseram ei da et alios parametros claros.
Figure 2. Creando loci user in Cisco ISE
3) Utentes etiam importari possunt. In eodem tab Administration → Identity Management → Identities → Users eligere per optionem Import et fasciculum csv vel txt cum usoribus imposuisti. Ut Formula, eligere Formulam generatetunc informationes de utentibus apta forma impleas.
Figura III: Importat Users in Cisco ISE
3. Addens LDAP servers
Admoneam te LDAP esse popularem applicationem protocollo graduum qui te dat informationes recipere, authenticas facere, rationes quaerere in LDAP directoriis server et operari in portu 389 vel 636 (SS). Exempla eminentia ministrantium LDAP sunt Active Directory, sol Directory, Novellus eDirectorium et OpenLDAP. Uterque introitus in LDAP directorio definitur per DN (Nomen Distinguished) et consilium accessum proferre, munus recuperandi rationum, circulorum et attributorum usorum oritur.
In Cisco ISE fieri potest accessum configurare multis LDAP servientibus, unde cognoscens nugationem. Si primarius LDAP cultor perpendat, ISE secundariam contingere conabitur, et sic porro. Accedit, si adsunt 2 PANs, tunc unus LDAP prioritizari potest pro PAN prima, et alius LDAP prioritizari pro secundario PAN.
ISE sustinet 2 genera lookup cum operantibus cum LDAP servientibus: User Lookup and MAC Address Lookup. User Lookup te permittit ut usorem in database LDAP quaerere et sequentes informationes sine authenticas recuperare: usorum et eorum attributa, coetus usorum. MAC Oratio Lookup te etiam permittit quaerere per MAC inscriptionem in LDAP directoriis sine authenticis et informationes habere de fabrica, caterva machinarum per MAC inscriptiones et alia attributa specifica.
Exemplum integrationis addamus Directorium Active Cisco ISE ut servo LDAP.
I) Ite ad tab Administratio → Identitas procuratio → Identitas extrinseca → LDAP → Add.
Figure 4. Addens LDAP servo
II) in tabula Generalis specificare nomen servo LDAP et schema (in nostro casu Indicis Active).
Figure 5. Addens LDAP servo cum Active Directory schema
III) deinde ad Connection tab et specificare Hostname/IP oratio Servo AD, portus (389 - LDAP, 636 - SSL LDAP), administrator documentorum domain (Admin DN - plenus DN), alii parametri relinquuntur ut default.
illud: Admin domain singula utere ad difficultates potentiales vitandas.
Figure 6. Ingressus LDAP servo notitia
4) In tab Organization Directorium directorium aream per DN denota debes ex qua utentes usores et circulos trahere.
Figure 7. Determinans directoria ex quibus ad user coetus evellere
5) Ad fenestram Sodalitates → Societates → Lego Sodalitates Ex Directory eligere coetus trahens ex servo LDAP.
Figure 8. Addens circulos ex LDAP servo
6) In fenestra ut apparet, preme Circulos reciperare. Si coetus coniunguntur, gressus praeliminares feliciter impleti sunt. Alioquin alium administratorem experire et praebe ISE disponibilitate cum servo LDAP utente protocollo LDAP.
Figure 9. Index enabled user coetibus
7) In tab attributes optione specificare potes quae attributa e servo LDAP evelli debent et in fenestra Advanced occasus enable optio Admitte Password Mutare, quae utentes tesseram mutare coget si transacta est vel retexere. Utroque modo, preme submit continere.
8) Servus LDAP in tab tabe respondet et postea adhiberi potest ad rationes agendi accessus creandas.
Figure 10. Index addidit LDAP servers
4. Integration cum Active Directory
1) Addendo Microsoft Active Directory servo ut servo LDAP, utentes usores circulos recipimus, sed non tigna. Deinde admoneo plenam AD integrationem cum Cisco ISE constituere. Vade ad tab Administratio → Identity Management → Identity Sources → Active Directory → Add.
Note: Nam bene integratio cum AD, ISE in dominico esse debet et plenam connexionem cum DNS, NTP et AD servientibus habebit, alioquin nihil operabitur.
Figure 11. Addens Active Directory server
2) In fenestra, quae apparet, informationes dominii administratoris intrant et capsam inspicias Copia Credentials. Accedit, quod OU (Unit Organisational) denotare potes, si ISE in speciali OU collocatur. Deinde, nodes Cisco ISE eligere debebis quos cum dominio coniungere vis.
Figure 12. Intrans documentorum
3) Antequam domain moderatoris addere, fac ut in PSN in tab Administratio → Ratio → instruere optio para Passivum Identity Service. PassiveID — optio quae permittit interpretari Usorem ad IP et vice versa. PassiveID informationes accipit ab AD per WMI, speciales AD agentes, vel SPAN portum in switch (non optima optio).
Note: sisto passivo ID status, ISE consolare intrare status application is show | includit PassiveID.
Figure 13. Enabling in PassiveID optionem
4) Perge ad tab Administration → Identity Management → Externi Identity Sources → Active Directory → PassiveID et eligere per optionem Add DCs. Deinceps, elige moderatoris dominii inquisitionem per checkboxes et deprime OK.
Figure 14. Addens domain moderatoris
V) Select additae DCs ac click in puga pyga Edit. placeat indicare FQDN tuum DC, domain et clavem, ut bene ac communicationis optio WMI aut Agent. Lego WMI and click OK.
Figure 15. Intrans domain moderatoris notitia
6) Si WMI modus communicandi cum activo Directorio non praelatus est, agentia ISE adhiberi possunt. Modus agentis est ut procuratores speciales instituere possis in calculonis qui aperiat eventus login. Sunt 2 optiones institutionis: latae et manuales. Ut in eodem agente install tab automatice PassiveID eligere item Adde agentis → Deploy nova agentis (DC Internet accessum habere debet). Imple in agris quaesitis (nomen agentis, servo FQDN, domain administratorem login/password) et deprime OK.
Figure 16. Automatic institutionem agentis ISE
7) Cisco ISE ut manually install agentis, debes eligere Subcriptio Existens agentis. Viam agentem in tab demittis Centra operis → PassiveID → Provisores → Agentia → Download Agent.
Figure 17. Download ISE agente
Est momenti ad: PassiveID non legit certe log off *! Parameter reus timeout appellatur user session canus tempus et aequatur 24 horis ex defalta. Ergo vel te ipsum in fine diei profes- sionis logo vel scribe aliquod genus scripti quod sponte logoff omnia in usoribus initium capiet.
Ad informationem log off * "Endpoint rimatur" sunt. Plures terminos in Cisco ISE rimantur: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS explorare per CoA (Mutare concessionis) packages praebet informationes de mutando usor iura (hoc requirit embedded 802.1X) et SNMP figuratus in virgarum accessu informationes de machinis coniunctis et disiuncta praebebit.
Infra exemplum pertinet pro Cisco ISE + AD sine configuratione 802.1X et RADIUS: user initium in machina Fenestra, sine logoff, ab alio PC per WiFi aperi. In hoc casu, sessio prima PC activa adhuc erit usque dum tempus occurrit vel logoff coactus occurrat. Deinde, si machinis alia iura habent, novissimus notae initium eius iuribus applicabit.
8) Extras in tab Administratio → Identitas Management → Externi Identity Sources → Active Directory → Societates → Addere → Lego Societates Ex Directory coetus eligere potes ab AD quod vis addere ad ISE (in nostro casu hoc factum est in gradu 3 "Addens servo LDAP"). Eligere per optionem Sodalitates recuperare → OK.
Figura XVIII a). Active usor trahens coetibus a Directory
9) In tab Opus Centra → PassiveID → Overview → Dashboard Sessiones activas, numerum datorum fonteum, agentium et plusquam monitorem esse potes.
Figure 19. Cras domain usor activitatem
10) In tab Vivamus Sessionibus Sessiones hodiernae monstrantur. Integratio cum AD configuratur.
Figure 20. Active sessiones of domain users
5. conclusioni
Articulus hic argumenta usorum localium in Cisco ISE contexuit, LDAP ministrantibus addens et cum Microsoft Active Directory complens. Proximus articulus operiet hospitem accessum in modum ductoris redundantis.
Si quas quaestiones in hoc loco habes vel auxilium require in probatione operis, pete contactum .
Manete modulatum pro updates in canalibus nostris (, , , , ).
Source: www.habr.com