Wëllkomm op der zweeter Post an der Cisco ISE Serie. An der éischter d'Virdeeler an Differenzen vun Network Access Control (NAC) Léisunge vum Standard AAA, d'Eenzegaartegkeet vun Cisco ISE, d'Architektur an den Installatiounsprozess vum Produkt goufen beliicht.
An dësem Artikel wäerte mir an d'Erstelle vu Konten verdéiwen, LDAP-Server derbäisetzen, an d'Integratioun mat Microsoft Active Directory, wéi och d'Nuancen vun der Aarbecht mat PassiveID. Ier Dir liest, empfeelen ech Iech staark ze liesen .
1. Puer Terminologie
Benotzer Identitéit - e Benotzerkont deen Informatioun iwwer de Benotzer enthält a seng Umeldungsinformatiounen generéiert fir Zougang zum Netz ze kréien. Déi folgend Parameteren ginn normalerweis an der User Identitéit uginn: Benotzernumm, E-Mail Adress, Passwuert, Kontbeschreiwung, Benotzergrupp a Roll.
Benotzer Gruppen - Benotzergruppen sinn eng Sammlung vun eenzelne Benotzer déi e gemeinsame Set vu Privilegien hunn, déi hinnen Zougang zu engem spezifesche Set vu Cisco ISE Servicer a Funktiounen erlaben.
Benotzer Identitéit Gruppen - virdefinéiert Benotzergruppen déi scho gewësse Informatioun a Rollen hunn. Déi folgend Benotzeridentitéitsgruppen existéieren par défaut, Dir kënnt Benotzer a Benotzergruppen derbäi addéieren: Employé (Employé), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (Sponsorkonten fir de Gaaschtportal ze managen), Gaascht (Gaascht), ActivatedGuest (aktivéiert Gaascht).
Benotzer-Roll- Eng Benotzerroll ass eng Rei vu Permissiounen déi bestëmmen wéi eng Aufgaben e Benotzer kann ausféieren a wéi eng Servicer Zougang kënnen. Oft ass eng Benotzerroll mat enger Grupp vu Benotzer verbonnen.
Ausserdeem huet all Benotzer a Benotzergrupp zousätzlech Attributer, déi Iech erlaben dëse Benotzer (Benotzergrupp) ze wielen a méi spezifesch ze definéieren. Méi Informatiounen an .
2. Schafen lokal Benotzer
1) Cisco ISE huet d'Fähegkeet lokal Benotzer ze schafen an hinnen an engem Zougang Politik benotzen oder souguer eng Produit Administratioun Roll ginn. Wielt Administration → Identitéitsmanagement → Identitéiten → Benotzer → Add.
Figur 1 Dobäi engem lokal Benotzer Cisco ISE
2) An der Fënster déi erschéngt, erstellt e lokale Benotzer, setzt e Passwuert an aner verständlech Parameteren.
Figur 2. Schafen eng lokal Benotzer zu Cisco ISE
3) Benotzer kënnen och importéiert ginn. An der selwechter Tab Administration → Identitéitsmanagement → Identitéiten → Benotzer wielt eng Optioun Import an lued Csv oder txt Datei mat de Benotzer erop. Fir eng Schabloun ze wielen, wielt Generéiere eng Schabloun, da sollt et mat Informatioun iwwer Benotzer an enger passender Form gefëllt ginn.
Figur 3 Import Benotzer an Cisco ISE
3. Dobäi LDAP Serveren
Loosst mech Iech drun erënneren datt LDAP e populäre Applikatiounsniveau Protokoll ass deen Iech erlaabt Informatioun ze kréien, Authentifikatioun auszeféieren, Konten an de Verzeichnisser vun LDAP Serveren ze sichen, funktionnéiert um Port 389 oder 636 (SS). Prominent Beispiller vun LDAP Serveren sinn Active Directory, Sun Directory, Novell eDirectory, an OpenLDAP. All Entrée am LDAP Verzeichnis gëtt definéiert vun engem DN (Distinguished Name) an d'Aufgab fir Konten, Benotzergruppen an Attributer ze recuperéieren ass eropgaang fir eng Zougangspolitik ze bilden.
An Cisco ISE ass et méiglech Zougang zu villen LDAP Serveren ze konfiguréieren, doduerch Redundanz ëmzesetzen. Wann de primäre (primäre) LDAP Server net verfügbar ass, da probéiert d'ISE Zougang zum sekundären (sekundären) a sou weider. Zousätzlech, wann et 2 PANs sinn, da kann een LDAP prioritär fir de primäre PAN an eng aner LDAP fir de sekundäre PAN prioritär ginn.
ISE ënnerstëtzt 2 Aarte vu Lookup (Lookup) wann Dir mat LDAP Server schafft: User Lookup a MAC Adress Lookup. User Lookup erlaabt Iech no engem Benotzer an der LDAP Datebank ze sichen an déi folgend Informatioun ouni Authentifikatioun ze kréien: Benotzer an hir Attributer, Benotzergruppen. MAC Adress Lookup erlaabt Iech och no MAC Adress an LDAP Verzeichnisser ze sichen ouni Authentifikatioun an Informatioun iwwer den Apparat, eng Grupp vun Apparater no MAC Adressen an aner spezifesch Attributer ze kréien.
Als Integratioun Beispill, loosst eis Active Directory zu Cisco ISE als LDAP Server addéieren.
1) Gitt op d'Tab Administration → Identitéitsmanagement → Extern Identitéitsquellen → LDAP → Add.
Figur 4. Dobäizemaachen engem LDAP Server
2) An der Panel allgemeng spezifizéiert den LDAP Server Numm a Schema (an eisem Fall, Active Directory).
Figur 5. Dobäizemaachen vun engem LDAP Server mat engem Active Directory Schema
3) Als nächst gitt op Connexioun Tab a wielt Hostnumm / IP Adress Server AD, Hafen (389 - LDAP, 636 - SSL LDAP), Domain Administrator Umeldungsinformatiounen (Admin DN - voll DN), aner Parameteren kënnen als Standard verlooss ginn.
Remarque: benotzt d'Admin Domain Detailer fir potenziell Probleemer ze vermeiden.
Figur 6 Gitt LDAP Server Daten
4) An der Tab Verzeechnes Organisatioun Dir sollt de Verzeechnesgebitt duerch den DN spezifizéieren vu wou d'Benotzer a Benotzergruppen zéien.
Figur 7. Bestëmmung vun Telefonsbicher aus wou Benotzer Gruppen zitt kann
5) Gitt op d'Fënster Groups → Add → Wielt Groups From Directory fir Pullgruppen vum LDAP-Server ze wielen.
Figur 8. Dobäi Gruppen aus dem LDAP Server
6) An der Fënster déi erschéngt, klickt Recuperéieren Gruppen. Wann d'Gruppen opgezunn sinn, da sinn déi virleefeg Schrëtt erfollegräich ofgeschloss. Soss probéiert en aneren Administrateur a kontrolléiert d'Disponibilitéit vum ISE mam LDAP-Server iwwer de LDAP-Protokoll.
Figur 9. Lëscht vun hinanhier gezunn Benotzer Gruppen
7) An der Tab Attributer Dir kënnt optional spezifizéieren wéi eng Attributer vum LDAP-Server opgezunn sinn, an an der Fënster Advanced Settings aktivéieren Optioun Passwuert änneren aktivéieren, wat d'Benotzer forcéiere fir hiert Passwuert z'änneren wann et ofgelaf ass oder zréckgesat gouf. Jiddefalls klickt Schéckt weider ze goen.
8) LDAP Server erschéngt am entspriechende Tab a ka benotzt ginn fir Zougangspolitik an Zukunft ze bilden.
Figur 10. Lëscht vun dobäi LDAP Serveren
4. Integratioun mat Active Directory
1) Andeems Dir de Microsoft Active Directory Server als LDAP Server bäidréit, hu mir Benotzer, Benotzergruppen, awer keng Logbicher. Als nächstes proposéieren ech eng vollwäerteg AD Integratioun mat Cisco ISE opzestellen. Gitt op d'Tab Administration → Identitéitsmanagement → Extern Identitéitsquellen → Active Directory → Add.
Opgepasst: fir eng erfollegräich Integratioun mat AD, muss ISE an engem Domain sinn a voll Konnektivitéit mat DNS, NTP an AD Server hunn, soss kënnt näischt aus.
Figur 11. Dobäizemaachen Active Directory Server
2) An der Fënster déi erschéngt, gitt d'Domain Administrator Detailer a kontrolléiert d'Këscht Store Umeldungsinformatiounen. Zousätzlech kënnt Dir eng OU (Organisatiouns Eenheet) spezifizéieren wann d'ISE an enger spezifescher OU läit. Als nächst musst Dir d'Cisco ISE Noden auswielen, déi Dir mat der Domain verbannen wëllt.
Figur 12. Anzeginn Umeldungsinformatioune
3) Ier Dir Domain Controller bäidréit, gitt sécher datt op PSN an der Tab Administration → System → Deployment Optioun aktivéiert Passiv Identitéit Service. Passiv ID - eng Optioun déi Iech erlaabt de Benotzer op IP ze iwwersetzen a vice versa. PassiveID kritt Informatioun vun AD iwwer WMI, speziell AD Agenten oder SPAN Hafen um Schalter (net déi bescht Optioun).
Opgepasst: Fir de Status vun der Passiv ID ze kontrolléieren, gitt an der ISE Konsole weisen Applikatioun Status ise | enthalen PassiveID.
Figur 13. D'Optioun PassiveID aktivéieren
4) Gitt op d'Tab Administration → Identitéitsmanagement → Extern Identitéitsquellen → Active Directory → PassiveID a wielt d'Optioun Füügt DCs. Als nächst, wielt déi néideg Domain Controller mat Checkboxen a klickt OK.
Figur 14. Dobäi Domain Controller
5) Wielt déi dobäi DCs a klickt op de Knäppchen Editéieren. Gitt weg un FQDN Är DC, Domain Login a Passwuert, an eng Link Optioun WMI oder Agent. Wielt WMI a klickt OK.
Figur 15 Gitt Domain Controller Detailer
6) Wann WMI net de léifste Wee ass fir mat Active Directory ze kommunizéieren, da kënnen ISE Agenten benotzt ginn. D'Agentmethod ass datt Dir speziell Agenten op de Server installéiere kënnt, déi Login-Evenementer ausginn. Et ginn 2 Installatiounsoptiounen: automatesch a manuell. Fir automatesch den Agent an der selwechter Tab z'installéieren Passiv ID wielt Agent addéieren → Neien Agent ofsetzen (DC muss Internetzougang hunn). Fëllt dann déi erfuerderlech Felder aus (Agent Numm, Server FQDN, Domain Administrator Login / Passwuert) a klickt OK.
Figur 16. Automatesch Installatioun vun der ISE Agent
7) Fir d'Cisco ISE Agent manuell installéieren, wielt den Artikel Aschreiwen bestehend Agent. Iwwregens, kënnt Dir den Agent am Tab eroflueden Work Centers → PassiveID → Providers → Agents → Download Agent.
Figur 17. Den ISE Agent eroflueden
Et ass wichteg fir: PassiveID liest keng Eventer ofmellen! De Parameter verantwortlech fir den Timeout gëtt genannt Benotzer Sessioun Alterungszäit a entsprécht 24 Stonnen Par défaut. Dofir sollt Dir Iech entweder um Enn vum Aarbechtsdag selwer ausloggen, oder eng Aart Skript schreiwen, déi all ageloggte Benotzer automatesch ausloggen.
Fir Informatiounen ofmellen "Endpoint Sonden" gi benotzt - Terminal Sonden. Et gi verschidde Endpunktsonden an Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. Radius Sonde benotzt CoA (Change of Authorization) Packages ginn Informatioun iwwer d'Ännerung vun de Benotzerrechter (dëst erfuerdert eng embedded 802.1X), a konfiguréiert op Zougang schalt SNMP, gëtt Informatiounen iwwert verbonnen an disconnected Apparater ginn.
Déi folgend Beispill ass relevant fir eng Cisco ISE + AD Konfiguratioun ouni 802.1X an RADIUS: e Benotzer ass op enger Windows Maschinn ageloggt, ouni Logoff ze maachen, aloggen vun engem anere PC iwwer WiFi. An dësem Fall wäert d'Sessioun um éischte PC nach ëmmer aktiv sinn bis e Timeout geschitt oder e gezwongene Logoff geschitt. Dann wann d'Apparater verschidde Rechter hunn, da gëlt de leschten ugemellt Apparat seng Rechter.
8) Fakultativ am Tab Administration → Identity Management → External Identity Sources → Active Directory → Groups → Add → Select Groups From Directory Dir kënnt Gruppen aus AD auswielen, déi Dir op ISE wëllt zéien (an eisem Fall gouf dëst am Schrëtt 3 "En LDAP-Server derbäigesat"). Wielt eng Optioun Gruppen recuperéieren → OK.
Bild 18a). Benotzergruppen aus Active Directory zitt
9) An der Tab Aarbechtszentren → PassivID → Iwwersiicht → Dashboard Dir kënnt d'Zuel vun den aktive Sessiounen, d'Zuel vun den Datequellen, Agenten a méi beobachten.
Figur 19. Iwwerwaachung vun der Aktivitéit vun Domain Benotzer
10) An der Tab Live Sessiounen aktuell Sessiounen ginn ugewisen. Integratioun mat AD ass konfiguréiert.
Figur 20. Aktiv Sessiounen vun Domain Benotzer
5. Konklusioun
Dësen Artikel iwwerdeckt d'Themen fir lokal Benotzer an Cisco ISE ze kreéieren, LDAP Serveren ze addéieren an mat Microsoft Active Directory z'integréieren. Den nächsten Artikel wäert de Gaascht Zougang a Form vun engem redundante Guide ervirhiewen.
Wann Dir Froen iwwer dëst Thema hutt oder Hëllef braucht beim Testen vum Produkt, da kontaktéiert w.e.g .
Bleift ofgeschloss fir Updates an eise Kanäl (, , , , ).
Source: will.com