Cisco ISE: ການສ້າງຜູ້ໃຊ້, ເພີ່ມເຊີບເວີ LDAP, ປະສົມປະສານກັບ AD. ພາກທີ 2

ຍິນດີຕ້ອນຮັບສູ່ການຕອບທີສອງໃນ Cisco ISE series. ໃນຄັ້ງທໍາອິດ ບົດຄວາມ  ຂໍ້ໄດ້ປຽບແລະຄວາມແຕກຕ່າງຂອງການແກ້ໄຂການຄວບຄຸມການເຂົ້າເຖິງເຄືອຂ່າຍ (NAC) ຈາກມາດຕະຖານ AAA, ຄວາມເປັນເອກະລັກຂອງ Cisco ISE, ສະຖາປັດຕະຍະກໍາແລະຂະບວນການຕິດຕັ້ງຂອງຜະລິດຕະພັນໄດ້ຖືກເນັ້ນໃສ່.

ໃນບົດຄວາມນີ້, ພວກເຮົາຈະເຈາະເລິກເຂົ້າໄປໃນການສ້າງບັນຊີ, ເພີ່ມເຄື່ອງແມ່ຂ່າຍຂອງ LDAP, ແລະການເຊື່ອມໂຍງກັບ Microsoft Active Directory, ເຊັ່ນດຽວກັນກັບຄວາມແຕກຕ່າງຂອງການເຮັດວຽກກັບ PassiveID. ກ່ອນທີ່ຈະອ່ານ, ຂ້າພະເຈົ້າຂໍແນະນໍາໃຫ້ທ່ານອ່ານ ສ່ວນທໍາອິດ.

1. ບາງຄໍາສັບ

ຕົວຕົນຂອງຜູ້ໃຊ້ - ບັນຊີຜູ້ໃຊ້ທີ່ມີຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ແລະສ້າງຂໍ້ມູນປະຈໍາຕົວຂອງລາວໃນການເຂົ້າເຖິງເຄືອຂ່າຍ. ຕົວກໍານົດການຕໍ່ໄປນີ້ແມ່ນປົກກະຕິແລ້ວລະບຸໄວ້ໃນ User Identity: ຊື່ຜູ້ໃຊ້, ທີ່ຢູ່ອີເມວ, ລະຫັດຜ່ານ, ລາຍລະອຽດບັນຊີ, ກຸ່ມຜູ້ໃຊ້, ແລະພາລະບົດບາດ.

ກຸ່ມຜູ້ໃຊ້ - ກຸ່ມຜູ້ໃຊ້ແມ່ນການເກັບກໍາຂອງຜູ້ໃຊ້ສ່ວນບຸກຄົນທີ່ມີຊຸດສິດທິທົ່ວໄປທີ່ອະນຸຍາດໃຫ້ພວກເຂົາເຂົ້າເຖິງຊຸດແລະຫນ້າທີ່ສະເພາະຂອງ Cisco ISE.

ກຸ່ມຕົວຕົນຜູ້ໃຊ້ - ກຸ່ມຜູ້ໃຊ້ທີ່ໄດ້ກໍານົດໄວ້ລ່ວງໜ້າທີ່ມີຂໍ້ມູນ ແລະບົດບາດທີ່ແນ່ນອນແລ້ວ. ກຸ່ມຕົວຕົນຜູ້ໃຊ້ຕໍ່ໄປນີ້ມີຢູ່ຕາມຄ່າເລີ່ມຕົ້ນ, ທ່ານສາມາດເພີ່ມຜູ້ໃຊ້ ແລະກຸ່ມຜູ້ໃຊ້ໃສ່ໃຫ້ເຂົາເຈົ້າໄດ້: ພະນັກງານ (ລູກຈ້າງ), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ບັນຊີຜູ້ສະຫນັບສະຫນູນສໍາລັບການຈັດການປະຕູແຂກ), Guest (ແຂກ), ActivatedGuest (ແຂກທີ່ເປີດໃຊ້ງານ).

ບົດບາດຜູ້ໃຊ້- ບົດບາດຂອງຜູ້ໃຊ້ແມ່ນຊຸດສິດອະນຸຍາດທີ່ກຳນົດວ່າໜ້າວຽກໃດທີ່ຜູ້ໃຊ້ສາມາດປະຕິບັດໄດ້ ແລະບໍລິການໃດສາມາດເຂົ້າເຖິງໄດ້. ເລື້ອຍໆບົດບາດຂອງຜູ້ໃຊ້ແມ່ນກ່ຽວຂ້ອງກັບກຸ່ມຜູ້ໃຊ້.

ຍິ່ງໄປກວ່ານັ້ນ, ແຕ່ລະຜູ້ໃຊ້ແລະກຸ່ມຜູ້ໃຊ້ມີຄຸນລັກສະນະເພີ່ມເຕີມທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດເລືອກແລະກໍານົດໂດຍສະເພາະຜູ້ໃຊ້ນີ້ (ກຸ່ມຜູ້ໃຊ້). ຂໍ້ມູນເພີ່ມເຕີມຢູ່ໃນ ຄູ່ມື.

2. ສ້າງຜູ້ໃຊ້ທ້ອງຖິ່ນ

1) Cisco ISE ມີຄວາມສາມາດໃນການສ້າງຜູ້ໃຊ້ໃນທ້ອງຖິ່ນແລະນໍາໃຊ້ພວກມັນໃນນະໂຍບາຍການເຂົ້າເຖິງຫຼືແມ້ກະທັ້ງໃຫ້ບົດບາດການຄຸ້ມຄອງຜະລິດຕະພັນ. ເລືອກ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ຕົວຕົນ → ຜູ້ໃຊ້ → ເພີ່ມ.

ຮູບທີ 1 ການເພີ່ມຜູ້ໃຊ້ທ້ອງຖິ່ນໃສ່ Cisco ISE

2) ໃນປ່ອງຢ້ຽມທີ່ປາກົດ, ສ້າງຜູ້ໃຊ້ທ້ອງຖິ່ນ, ກໍານົດລະຫັດຜ່ານແລະຕົວກໍານົດການທີ່ເຂົ້າໃຈໄດ້ອື່ນໆ.

ຮູບ 2. ການສ້າງຜູ້ໃຊ້ທ້ອງຖິ່ນໃນ Cisco ISE

3) ຜູ້ໃຊ້ຍັງສາມາດນໍາເຂົ້າໄດ້. ໃນແຖບດຽວກັນ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ຕົວຕົນ → ຜູ້ໃຊ້ ເລືອກທາງເລືອກ ການນໍາເຂົ້າ ແລະອັບໂຫລດໄຟລ໌ csv ຫຼື txt ກັບຜູ້ໃຊ້. ເພື່ອເອົາແມ່ແບບເລືອກ ສ້າງແມ່ແບບ, ຫຼັງຈາກນັ້ນມັນຄວນຈະເຕັມໄປດ້ວຍຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ໃນຮູບແບບທີ່ເຫມາະສົມ.

ຮູບ 3 ການນໍາເຂົ້າຜູ້ໃຊ້ເຂົ້າໄປໃນ Cisco ISE

3. ການເພີ່ມເຊີບເວີ LDAP

ຂ້າພະເຈົ້າຂໍເຕືອນທ່ານວ່າ LDAP ເປັນໂປໂຕຄອນລະດັບແອັບພລິເຄຊັນທີ່ນິຍົມທີ່ຊ່ວຍໃຫ້ທ່ານໄດ້ຮັບຂໍ້ມູນ, ດໍາເນີນການກວດສອບຄວາມຖືກຕ້ອງ, ຄົ້ນຫາບັນຊີຢູ່ໃນໄດເລກະທໍລີຂອງເຄື່ອງແມ່ຂ່າຍ LDAP, ເຮັດວຽກຢູ່ໃນພອດ 389 ຫຼື 636 (SS). ຕົວຢ່າງທີ່ໂດດເດັ່ນຂອງເຊີບເວີ LDAP ແມ່ນ Active Directory, Sun Directory, Novell eDirectory, ແລະ OpenLDAP. ແຕ່ລະລາຍການໃນໄດເລກະທໍລີ LDAP ຖືກກໍານົດໂດຍ DN (ຊື່ທີ່ໂດດເດັ່ນ) ແລະວຽກງານການດຶງຂໍ້ມູນບັນຊີ, ກຸ່ມຜູ້ໃຊ້ແລະຄຸນລັກສະນະຖືກຍົກຂຶ້ນມາເພື່ອສ້າງນະໂຍບາຍການເຂົ້າເຖິງ.

ໃນ Cisco ISE, ມັນເປັນໄປໄດ້ທີ່ຈະກໍາຫນົດຄ່າການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ LDAP ຈໍານວນຫຼາຍ, ດັ່ງນັ້ນການດໍາເນີນການຊ້ໍາຊ້ອນ. ຖ້າເຄື່ອງແມ່ຂ່າຍຂອງ LDAP ຕົ້ນຕໍ (ຕົ້ນຕໍ) ບໍ່ສາມາດໃຊ້ໄດ້, ຫຼັງຈາກນັ້ນ ISE ຈະພະຍາຍາມເຂົ້າເຖິງຮອງ (ຮອງ) ແລະອື່ນໆ. ນອກຈາກນັ້ນ, ຖ້າມີ 2 PAN, ຫຼັງຈາກນັ້ນ LDAP ຫນຶ່ງສາມາດຖືກຈັດລໍາດັບຄວາມສໍາຄັນສໍາລັບ PAN ຕົ້ນຕໍແລະ LDAP ອື່ນສໍາລັບ PAN ທີສອງ.

ISE ຮອງຮັບ 2 ປະເພດຂອງການຊອກຫາ (ຊອກຫາ) ເມື່ອເຮັດວຽກກັບເຊີບເວີ LDAP: User Lookup ແລະ MAC Address Lookup. ການຊອກຫາຜູ້ໃຊ້ຊ່ວຍໃຫ້ທ່ານສາມາດຄົ້ນຫາຜູ້ໃຊ້ໃນຖານຂໍ້ມູນ LDAP ແລະໄດ້ຮັບຂໍ້ມູນຕໍ່ໄປນີ້ໂດຍບໍ່ມີການຢືນຢັນ: ຜູ້ໃຊ້ແລະຄຸນລັກສະນະຂອງພວກເຂົາ, ກຸ່ມຜູ້ໃຊ້. MAC Address Lookup ຍັງອະນຸຍາດໃຫ້ທ່ານຊອກຫາໂດຍທີ່ຢູ່ MAC ໃນໄດເລກະທໍລີ LDAP ໂດຍບໍ່ມີການພິສູດຢືນຢັນແລະໄດ້ຮັບຂໍ້ມູນກ່ຽວກັບອຸປະກອນ, ກຸ່ມອຸປະກອນໂດຍທີ່ຢູ່ MAC, ແລະຄຸນລັກສະນະສະເພາະອື່ນໆ.

ເປັນຕົວຢ່າງການເຊື່ອມໂຍງ, ໃຫ້ເພີ່ມ Active Directory ກັບ Cisco ISE ເປັນເຄື່ອງແມ່ຂ່າຍ LDAP.

1) ໄປທີ່ແຖບ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ແຫຼ່ງລະບຸຕົວຕົນພາຍນອກ → LDAP → ເພີ່ມ. 

ຮູບທີ 4. ການເພີ່ມເຊີບເວີ LDAP

2) ໃນກະດານ ໂດຍ​ທົ່ວ​ໄປ ລະບຸຊື່ເຊີບເວີ LDAP ແລະໂຄງການ (ໃນກໍລະນີຂອງພວກເຮົາ, Active Directory). 

ຮູບທີ 5. ການເພີ່ມເຊີບເວີ LDAP ດ້ວຍ Active Directory schema

3) ຕໍ່ໄປໄປທີ່ ການເຊື່ອມຕໍ່ ແຖບແລະເລືອກ ຊື່ເຈົ້າພາບ/ທີ່ຢູ່ IP ເຊີບເວີ AD, ພອດ (389 - LDAP, 636 - SSL LDAP), ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງໂດເມນ (Admin DN - full DN), ພາລາມິເຕີອື່ນໆສາມາດຖືກປະໄວ້ເປັນຄ່າເລີ່ມຕົ້ນ.

Примечание: ໃຊ້ລາຍລະອຽດໂດເມນ admin ເພື່ອຫຼີກເວັ້ນບັນຫາທີ່ອາດເກີດຂຶ້ນ.

ຮູບທີ່ 6 ການປ້ອນຂໍ້ມູນເຊີບເວີ LDAP

4) ໃນແຖບ ອົງການບັນຊີ ທ່ານຄວນລະບຸພື້ນທີ່ໄດເລກະທໍລີຜ່ານ DN ຈາກບ່ອນທີ່ຈະດຶງຜູ້ໃຊ້ແລະກຸ່ມຜູ້ໃຊ້.

ຮູບ 7. ການກໍານົດໄດເລກະທໍລີຈາກບ່ອນທີ່ກຸ່ມຜູ້ໃຊ້ສາມາດດຶງຂຶ້ນ

5​) ໄປ​ທີ່​ປ່ອງ​ຢ້ຽມ​ ກຸ່ມ → ເພີ່ມ → ເລືອກກຸ່ມຈາກໄດເລກະທໍລີ ເພື່ອເລືອກດຶງກຸ່ມຈາກເຊີບເວີ LDAP.

ຮູບ 8. ການເພີ່ມກຸ່ມຈາກເຊີບເວີ LDAP

6) ໃນປ່ອງຢ້ຽມທີ່ປາກົດ, ໃຫ້ຄລິກໃສ່ ດຶງເອົາກຸ່ມ. ຖ້າ​ກຸ່ມ​ຕ່າງໆ​ໄດ້​ຮັບ​ການ​ດຶງ​ດູດ​ແລ້ວ, ຂັ້ນ​ຕອນ​ເບື້ອງ​ຕົ້ນ​ໄດ້​ສຳ​ເລັດ​ຢ່າງ​ສຳ​ເລັດ​ຜົນ. ຖ້າບໍ່ດັ່ງນັ້ນ, ລອງຜູ້ເບິ່ງແຍງລະບົບອື່ນ ແລະກວດເບິ່ງຄວາມພ້ອມຂອງ ISE ກັບເຊີບເວີ LDAP ຜ່ານໂປໂຕຄອນ LDAP.

ຮູບທີ 9. ລາຍຊື່ກຸ່ມຜູ້ໃຊ້ທີ່ຖືກດຶງ

7) ໃນແຖບ ຄຸນລັກສະນະ ທ່ານສາມາດເລືອກໄດ້ວ່າຄຸນລັກສະນະໃດຈາກເຊີບເວີ LDAP ຄວນຖືກດຶງຂຶ້ນ, ແລະຢູ່ໃນປ່ອງຢ້ຽມ ຕັ້ງ​ຄ່າ​ຂັ້ນ​ສູງ ເປີດໃຊ້ທາງເລືອກ ເປີດໃຊ້ການປ່ຽນລະຫັດຜ່ານ, ເຊິ່ງຈະບັງຄັບໃຫ້ຜູ້ໃຊ້ປ່ຽນລະຫັດຜ່ານຂອງເຂົາເຈົ້າຖ້າມັນຫມົດອາຍຸຫຼືຖືກຕັ້ງຄ່າໃຫມ່. ແລ້ວຄລິກ ຍື່ນສະເຫນີ ເພື່ອສືບຕໍ່.

8) ເຄື່ອງແມ່ຂ່າຍ LDAP ປາກົດຢູ່ໃນແຖບທີ່ສອດຄ້ອງກັນແລະສາມາດຖືກນໍາໃຊ້ເພື່ອສ້າງນະໂຍບາຍການເຂົ້າເຖິງໃນອະນາຄົດ.

ຮູບທີ 10. ລາຍຊື່ເຊີບເວີ LDAP ທີ່ເພີ່ມເຂົ້າມາ

4. ການປະສົມປະສານກັບ Active Directory

1) ໂດຍການເພີ່ມເຊີບເວີ Microsoft Active Directory ເປັນເຊີບເວີ LDAP, ພວກເຮົາໄດ້ຮັບຜູ້ໃຊ້, ກຸ່ມຜູ້ໃຊ້, ແຕ່ບໍ່ມີບັນທຶກ. ຕໍ່ໄປ, ຂ້າພະເຈົ້າສະເຫນີໃຫ້ຕັ້ງການເຊື່ອມໂຍງ AD ເຕັມຮູບແບບກັບ Cisco ISE. ໄປທີ່ແຖບ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ແຫຼ່ງລະບຸຕົວຕົນພາຍນອກ → Active Directory → ເພີ່ມ. 

ຫມາຍເຫດ: ສໍາລັບການເຊື່ອມໂຍງສົບຜົນສໍາເລັດກັບ AD, ISE ຕ້ອງຢູ່ໃນໂດເມນແລະມີການເຊື່ອມຕໍ່ຢ່າງເຕັມທີ່ກັບເຄື່ອງແມ່ຂ່າຍ DNS, NTP ແລະ AD, ຖ້າບໍ່ດັ່ງນັ້ນບໍ່ມີຫຍັງຈະມາຈາກມັນ.

ຮູບທີ 11. ການເພີ່ມເຊີບເວີ Active Directory

2) ໃນປ່ອງຢ້ຽມທີ່ປາກົດ, ໃສ່ລາຍລະອຽດຂອງຜູ້ເບິ່ງແຍງໂດເມນແລະກວດເບິ່ງກ່ອງ ເກັບຮັກສາຂໍ້ມູນປະຈໍາຕົວ. ນອກຈາກນັ້ນ, ທ່ານສາມາດກໍານົດ OU (ຫນ່ວຍງານອົງການຈັດຕັ້ງ) ຖ້າ ISE ຢູ່ໃນ OU ສະເພາະ. ຕໍ່ໄປ, ທ່ານຈະຕ້ອງເລືອກ Cisco ISE nodes ທີ່ທ່ານຕ້ອງການເຊື່ອມຕໍ່ກັບໂດເມນ.

ຮູບທີ 12. ການປ້ອນຂໍ້ມູນປະຈໍາຕົວ

3) ກ່ອນທີ່ຈະເພີ່ມຕົວຄວບຄຸມໂດເມນ, ໃຫ້ແນ່ໃຈວ່າຢູ່ໃນ PSN ໃນແຖບ ການບໍລິຫານ → ລະບົບ → ການນຳໃຊ້ ທາງເລືອກທີ່ເປີດໃຊ້ງານແລ້ວ ບໍລິການລະບຸຕົວຕົນແບບ Passive. Passive ID - ທາງ​ເລືອກ​ທີ່​ອະ​ນຸ​ຍາດ​ໃຫ້​ທ່ານ​ໃນ​ການ​ແປ​ພາ​ສາ​ຜູ້​ໃຊ້ IP ແລະ​ກົງ​ກັນ​ຂ້າມ​. PassiveID ໄດ້ຮັບຂໍ້ມູນຈາກ AD ຜ່ານ WMI, ຕົວແທນ AD ພິເສດຫຼືພອດ SPAN ໃນສະວິດ (ບໍ່ແມ່ນທາງເລືອກທີ່ດີທີ່ສຸດ).

ຫມາຍເຫດ: ເພື່ອກວດເບິ່ງສະຖານະຂອງ Passive ID, ພິມໃນ ISE console ສະແດງໃຫ້ເຫັນສະຖານະການຄໍາຮ້ອງສະຫມັກ ise | ລວມເອົາ PassiveID.

ຮູບທີ 13. ການເປີດໃຊ້ງານທາງເລືອກ PassiveID

4) ໄປແຖບ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ແຫຼ່ງລະບຸຕົວຕົນພາຍນອກ → Active Directory → PassiveID ແລະເລືອກທາງເລືອກ ເພີ່ມ DCs. ຕໍ່ໄປ, ເລືອກຕົວຄວບຄຸມໂດເມນທີ່ຈໍາເປັນທີ່ມີກ່ອງກາເຄື່ອງຫມາຍແລະຄລິກ ຕົກ​ລົງ.

ຮູບ 14. ການເພີ່ມຕົວຄວບຄຸມໂດເມນ

5) ເລືອກ DCs ທີ່ເພີ່ມແລ້ວຄລິກທີ່ປຸ່ມ ແກ້ໄຂ. ກະລຸນາລະບຸ FQDN DC ຂອງທ່ານ, ການເຂົ້າສູ່ລະບົບໂດເມນແລະລະຫັດຜ່ານ, ແລະທາງເລືອກການເຊື່ອມຕໍ່ WMI ຫຼື ຕົວແທນ. ເລືອກ WMI ແລະຄລິກ ຕົກ​ລົງ.

ຮູບທີ 15 ການປ້ອນລາຍລະອຽດຕົວຄວບຄຸມໂດເມນ

6) ຖ້າ WMI ບໍ່ແມ່ນວິທີທີ່ຕ້ອງການຕິດຕໍ່ສື່ສານກັບ Active Directory, ຫຼັງຈາກນັ້ນ, ຕົວແທນ ISE ສາມາດນໍາໃຊ້ໄດ້. ວິທີການຕົວແທນແມ່ນວ່າທ່ານສາມາດຕິດຕັ້ງຕົວແທນພິເສດໃນເຄື່ອງແມ່ຂ່າຍທີ່ຈະປ່ອຍເຫດການເຂົ້າສູ່ລະບົບ. ມີ 2 ທາງເລືອກການຕິດຕັ້ງ: ອັດຕະໂນມັດແລະຄູ່ມື. ເພື່ອຕິດຕັ້ງຕົວແທນອັດຕະໂນມັດໃນແຖບດຽວກັນ Passive ID ເລືອກລາຍການ ເພີ່ມຕົວແທນ → ນຳໃຊ້ຕົວແທນໃໝ່ (DC ຕ້ອງມີອິນເຕີເນັດ). ຫຼັງ​ຈາກ​ນັ້ນ​ຕື່ມ​ຂໍ້​ມູນ​ໃສ່​ໃນ​ພາກ​ສະ​ຫນາມ​ທີ່​ຕ້ອງ​ການ (ຊື່​ຕົວ​ແທນ​, ເຄື່ອງ​ແມ່​ຂ່າຍ FQDN​, ການ​ເຂົ້າ​ສູ່​ລະ​ບົບ / ລະ​ຫັດ​ຜ່ານ​ໂດ​ເມນ​) ແລະ​ຄລິກ​ໃສ່ ຕົກ​ລົງ.

ຮູບ 16. ການຕິດຕັ້ງອັດຕະໂນມັດຂອງຕົວແທນ ISE

7) ເພື່ອຕິດຕັ້ງຕົວແທນ Cisco ISE ດ້ວຍຕົນເອງ, ເລືອກລາຍການ ລົງທະບຽນຕົວແທນທີ່ມີຢູ່ແລ້ວ. ໂດຍວິທີທາງການ, ທ່ານສາມາດດາວໂຫລດຕົວແທນໃນແຖບ ສູນວຽກ → PassiveID → ຜູ້ໃຫ້ບໍລິການ → ຕົວແທນ → ດາວໂຫລດຕົວແທນ.

ຮູບທີ 17. ການດາວໂຫຼດຕົວແທນ ISE

ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະ: PassiveID ບໍ່ໄດ້ອ່ານເຫດການ ອອກ​ຈາກ​ລະ​ບົບ! ພາລາມິເຕີທີ່ຮັບຜິດຊອບສໍາລັບການຫມົດເວລາແມ່ນເອີ້ນວ່າ ເວລາອາຍຸຂອງເຊດຊັນຂອງຜູ້ໃຊ້ ແລະເທົ່າກັບ 24 ຊົ່ວໂມງໂດຍຄ່າເລີ່ມຕົ້ນ. ດັ່ງນັ້ນ, ທ່ານຄວນອອກຈາກລະບົບຕົວເອງໃນຕອນທ້າຍຂອງມື້ເຮັດວຽກ, ຫຼືຂຽນບາງປະເພດຂອງສະຄິບທີ່ຈະອອກຈາກຜູ້ໃຊ້ທີ່ເຂົ້າສູ່ລະບົບໂດຍອັດຕະໂນມັດ. 

ສໍາລັບຂໍ້ມູນ ອອກ​ຈາກ​ລະ​ບົບ "ການສືບສວນຈຸດສິ້ນສຸດ" ຖືກນໍາໃຊ້ - terminal probes . ມີຫຼາຍຈຸດສິ້ນສຸດໃນ Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RaDIUS probe ການ​ນໍາ​ໃຊ້​ ໂຄເອ (ການ​ປ່ຽນ​ແປງ​ການ​ອະ​ນຸ​ຍາດ​) packages ໃຫ້​ຂໍ້​ມູນ​ກ່ຽວ​ກັບ​ການ​ປ່ຽນ​ແປງ​ສິດ​ຂອງ​ຜູ້​ໃຊ້ (ອັນ​ນີ້​ຮຽກ​ຮ້ອງ​ໃຫ້​ມີ​ການ​ຝັງ​ 802.1X), ແລະ configured on access switches SNMP, ຈະໃຫ້ຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ເຊື່ອມຕໍ່ ແລະຕັດການເຊື່ອມຕໍ່.

ຕົວຢ່າງຕໍ່ໄປນີ້ແມ່ນມີຄວາມກ່ຽວຂ້ອງສໍາລັບການຕັ້ງຄ່າ Cisco ISE + AD ໂດຍບໍ່ມີ 802.1X ແລະ RADIUS: ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບຢູ່ໃນເຄື່ອງ Windows, ໂດຍບໍ່ມີການເຮັດ logoff, ເຂົ້າສູ່ລະບົບຈາກ PC ອື່ນຜ່ານ WiFi. ໃນ​ກໍ​ລະ​ນີ​ນີ້, session on the first PC will still be active ຈົນກ່ວາຫມົດເວລາເກີດຂຶ້ນຫຼືການບັງຄັບໃຫ້ logoff ເກີດຂຶ້ນ. ຫຼັງຈາກນັ້ນ, ຖ້າອຸປະກອນມີສິດທີ່ແຕກຕ່າງກັນ, ຫຼັງຈາກນັ້ນອຸປະກອນທີ່ເຂົ້າສູ່ລະບົບຄັ້ງສຸດທ້າຍຈະນໍາໃຊ້ສິດທິຂອງມັນ.

8) ທາງເລືອກໃນແຖບ ການບໍລິຫານ → ການຈັດການຕົວຕົນ → ແຫຼ່ງລະບຸຕົວຕົນພາຍນອກ → Active Directory → ກຸ່ມ → ເພີ່ມ → ເລືອກກຸ່ມຈາກ Directory ທ່ານ​ສາ​ມາດ​ເລືອກ​ເອົາ​ກຸ່ມ​ຈາກ AD ທີ່​ທ່ານ​ຕ້ອງ​ການ​ທີ່​ຈະ​ດຶງ​ຂໍ້​ມູນ​ກ່ຽວ​ກັບ ISE (ໃນ​ກໍ​ລະ​ນີ​ຂອງ​ພວກ​ເຮົາ​, ນີ້​ແມ່ນ​ເຮັດ​ໄດ້​ໃນ​ຂັ້ນ​ຕອນ​ທີ 3 "ການ​ເພີ່ມ​ເຄື່ອງ​ແມ່​ຂ່າຍ​ຂອງ LDAP​"​)​. ເລືອກທາງເລືອກ ດຶງຂໍ້ມູນກຸ່ມ → ຕົກລົງ. 

ຮູບທີ 18 ກ). ກຳລັງດຶງກຸ່ມຜູ້ໃຊ້ຈາກ Active Directory

9) ໃນແຖບ ສູນວຽກ → PassiveID → ພາບລວມ → Dashboard ທ່ານ​ສາ​ມາດ​ສັງ​ເກດ​ເຫັນ​ຈໍາ​ນວນ​ຂອງ​ການ​ເຄື່ອນ​ໄຫວ​, ຈໍາ​ນວນ​ຂອງ​ແຫຼ່ງ​ຂໍ້​ມູນ​, ຕົວ​ແທນ​, ແລະ​ອື່ນໆ​ອີກ​.

ຮູບທີ 19. ການຕິດຕາມກິດຈະກໍາຂອງຜູ້ໃຊ້ໂດເມນ

10) ໃນແຖບ ກອງປະຊຸມສົດ ເຊດຊັນປັດຈຸບັນຖືກສະແດງ. ການປະສົມປະສານກັບ AD ຖືກຕັ້ງຄ່າ.

ຮູບ 20. ຊ່ວງເວລາເຄື່ອນໄຫວຂອງຜູ້ໃຊ້ໂດເມນ

5 ສະຫຼຸບ

ບົດຄວາມນີ້ກວມເອົາຫົວຂໍ້ຂອງການສ້າງຜູ້ໃຊ້ໃນທ້ອງຖິ່ນໃນ Cisco ISE, ເພີ່ມເຄື່ອງແມ່ຂ່າຍ LDAP, ແລະການເຊື່ອມໂຍງກັບ Microsoft Active Directory. ບົດຄວາມຕໍ່ໄປຈະເນັ້ນເຖິງການເຂົ້າເຖິງຂອງແຂກໃນຮູບແບບຂອງຄູ່ມືທີ່ຊ້ໍາກັນ.

ຖ້າທ່ານມີຄໍາຖາມກ່ຽວກັບຫົວຂໍ້ນີ້ຫຼືຕ້ອງການຄວາມຊ່ວຍເຫຼືອໃນການທົດສອບຜະລິດຕະພັນ, ກະລຸນາຕິດຕໍ່ ການເຊື່ອມຕໍ່.

ຕິດຕາມການອັບເດດໃນຊ່ອງຂອງພວກເຮົາ (ໂທລະເລກ, ເຟສບຸກ, VK, TS Solution Blog, Yandex.Zen).

ແຫຼ່ງຂໍ້ມູນ: www.habr.com