Cisco ISE: lietotāju izveide, LDAP serveru pievienošana, integrēšana ar AD. 2. daļa

Laipni lūdzam Cisco ISE sērijas otrajā ziņā. Pirmajā raksts  tika izceltas tīkla piekļuves kontroles (NAC) risinājumu priekšrocības un atšķirības no standarta AAA, Cisco ISE unikalitāte, produkta arhitektūra un instalācijas process.

Šajā rakstā mēs iedziļināsimies kontu veidošanā, LDAP serveru pievienošanā un integrācijā ar Microsoft Active Directory, kā arī niansēs darbā ar PassiveID. Pirms lasīšanas es ļoti iesaku jums izlasīt pirmā daļa.

1. Dažas terminoloģijas

Lietotāja identitāte - lietotāja konts, kas satur informāciju par lietotāju un ģenerē viņa akreditācijas datus, lai piekļūtu tīklam. Lietotāja identitātē parasti tiek norādīti šādi parametri: lietotājvārds, e-pasta adrese, parole, konta apraksts, lietotāju grupa un loma.

Lietotāju grupas - lietotāju grupas ir atsevišķu lietotāju kopums, kam ir kopīga privilēģiju kopa, kas ļauj piekļūt noteiktai Cisco ISE pakalpojumu un funkciju kopai.

Lietotāju identitātes grupas — iepriekš definētas lietotāju grupas, kurām jau ir noteikta informācija un lomas. Pēc noklusējuma pastāv šādas lietotāju identitātes grupas, kurām varat pievienot lietotājus un lietotāju grupas: Darbinieks (darbinieks), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsoru konti viesu portāla pārvaldīšanai), Viesis (viesis), ActivatedGuest (aktivizēts viesis).

lietotāja loma- Lietotāja loma ir atļauju kopa, kas nosaka, kādus uzdevumus lietotājs var veikt un kādiem pakalpojumiem var piekļūt. Bieži vien lietotāja loma ir saistīta ar lietotāju grupu.

Turklāt katram lietotājam un lietotāju grupai ir papildu atribūti, kas ļauj atlasīt un precīzāk definēt šo lietotāju (lietotāju grupu). Vairāk informācijas iekš vadīt.

2. Izveidojiet vietējos lietotājus

1) Cisco ISE spēj izveidot vietējos lietotājus un izmantot tos piekļuves politikā vai pat piešķirt produkta administrēšanas lomu. Izvēlieties Administrēšana → Identitātes pārvaldība → Identitātes → Lietotāji → Pievienot.

1. attēls Vietējā lietotāja pievienošana Cisco ISE

2) Parādītajā logā izveidojiet lokālo lietotāju, iestatiet paroli un citus saprotamus parametrus.

2. attēls. Vietējā lietotāja izveide programmā Cisco ISE

3) Lietotājus var arī importēt. Tajā pašā cilnē Administrēšana → Identitātes pārvaldība → Identitātes → Lietotāji atlasiet opciju imports un augšupielādējiet csv vai txt failu ar lietotājiem. Lai iegūtu veidni, atlasiet Ģenerējiet veidni, tad tas ir jāaizpilda ar informāciju par lietotājiem piemērotā formā.

3. attēls Lietotāju importēšana sistēmā Cisco ISE

3. LDAP serveru pievienošana

Atgādināšu, ka LDAP ir populārs lietojumprogrammu līmeņa protokols, kas ļauj saņemt informāciju, veikt autentifikāciju, meklēt kontus LDAP serveru katalogos, darbojas 389. vai 636. portā (SS). Ievērojami LDAP serveru piemēri ir Active Directory, Sun Directory, Novell eDirectory un OpenLDAP. Katrs ieraksts LDAP direktorijā ir definēts ar DN (Distinguished Name), un kontu, lietotāju grupu un atribūtu izgūšanas uzdevums tiek izvirzīts, lai izveidotu piekļuves politiku.

Sistēmā Cisco ISE ir iespējams konfigurēt piekļuvi daudziem LDAP serveriem, tādējādi ieviešot dublēšanu. Ja primārais (primārais) LDAP serveris nav pieejams, tad ISE mēģinās piekļūt sekundārajam (sekundārajam) utt. Turklāt, ja ir 2 PAN, vienu LDAP var noteikt primārajam PAN un citu LDAP sekundārajam PAN.

Strādājot ar LDAP serveriem, ISE atbalsta 2 uzmeklēšanas veidus: User Lookup un MAC Address Lookup. User Lookup ļauj meklēt lietotāju LDAP datu bāzē un bez autentifikācijas iegūt šādu informāciju: lietotāji un to atribūti, lietotāju grupas. MAC adreses uzmeklēšana ļauj arī meklēt pēc MAC adreses LDAP direktorijos bez autentifikācijas un iegūt informāciju par ierīci, ierīču grupu pēc MAC adresēm un citiem specifiskiem atribūtiem.

Kā integrācijas piemēru pievienosim Active Directory Cisco ISE kā LDAP serveri.

1) Dodieties uz cilni Administrēšana → Identitātes pārvaldība → Ārējie identitātes avoti → LDAP → Pievienot. 

4. attēls. LDAP servera pievienošana

2) Panelī vispārējs norādiet LDAP servera nosaukumu un shēmu (mūsu gadījumā Active Directory). 

5. attēls. LDAP servera pievienošana ar Active Directory shēmu

3) Tālāk dodieties uz saistība cilni un atlasiet Resursdatora nosaukums/IP adrese Servera AD, ports (389 - LDAP, 636 - SSL LDAP), domēna administratora akreditācijas dati (Admin DN - full DN), citus parametrus var atstāt kā noklusējuma.

Piezīme: izmantojiet administratora domēna informāciju, lai izvairītos no iespējamām problēmām.

6. attēls LDAP servera datu ievadīšana

4) Cilnē Direktoriju organizācija caur DN ir jānorāda direktorija apgabals, no kurienes iegūt lietotājus un lietotāju grupas.

7. attēls. Katalogu noteikšana, no kuriem lietotāju grupas var piekļūt

5) Dodieties uz logu Grupas → Pievienot → Atlasīt grupas no direktorija lai atlasītu izvilkšanas grupas no LDAP servera.

8. attēls. Grupu pievienošana no LDAP servera

6) Parādītajā logā noklikšķiniet uz Izgūt grupas. Ja grupas ir pacēlušās, tad iepriekšējie soļi ir veiksmīgi pabeigti. Pretējā gadījumā mēģiniet izmantot citu administratoru un pārbaudiet ISE pieejamību ar LDAP serveri, izmantojot LDAP protokolu.

9. attēls. Ievilkto lietotāju grupu saraksts

7) Cilnē Atribūti pēc izvēles varat norādīt, kuri atribūti no LDAP servera ir jāizvelk, un logā Papildu iestatījumi iespējot opciju Iespējot paroles maiņu, kas liks lietotājiem mainīt savu paroli, ja tai ir beidzies derīguma termiņš vai tā ir atiestatīta. Jebkurā gadījumā noklikšķiniet uz Iesniegt turpināt.

8) LDAP serveris parādījās atbilstošajā cilnē, un to var izmantot piekļuves politiku veidošanai nākotnē.

10. attēls. Pievienoto LDAP serveru saraksts

4. Integrācija ar Active Directory

1) Pievienojot Microsoft Active Directory serveri kā LDAP serveri, mēs ieguvām lietotājus, lietotāju grupas, bet ne žurnālus. Tālāk es ierosinu izveidot pilnvērtīgu AD integrāciju ar Cisco ISE. Dodieties uz cilni Administrēšana → Identitātes pārvaldība → Ārējie identitātes avoti → Active Directory → Pievienot. 

Piezīme: veiksmīgai integrācijai ar AD, ISE ir jāatrodas domēnā un jābūt pilnībā savienotam ar DNS, NTP un AD serveriem, pretējā gadījumā nekas nesanāks.

11. attēls. Active Directory servera pievienošana

2) Parādītajā logā ievadiet domēna administratora datus un atzīmējiet izvēles rūtiņu Veikala akreditācijas dati. Turklāt varat norādīt OU (organizācijas vienību), ja ISE atrodas noteiktā OU. Pēc tam jums būs jāatlasa Cisco ISE mezgli, kurus vēlaties izveidot savienojumu ar domēnu.

12. attēls. Akreditācijas datu ievadīšana

3) Pirms domēna kontrolleru pievienošanas pārbaudiet, vai PSN cilnē Administrēšana → Sistēma → Izvietošana opcija iespējota Pasīvās identitātes pakalpojums. Pasīvais ID - opcija, kas ļauj tulkot lietotāju uz IP un otrādi. PassiveID iegūst informāciju no AD, izmantojot WMI, īpašus AD aģentus vai slēdža SPAN portu (nav labākais risinājums).

Piezīme: lai pārbaudītu pasīvā ID statusu, ierakstiet ISE konsolē rādīt pieteikuma statusu ise | ietver PassiveID.

13. attēls. Opcijas PassiveID iespējošana

4) Dodieties uz cilni Administrēšana → Identitātes pārvaldība → Ārējie identitātes avoti → Active Directory → PassiveID un atlasiet opciju Pievienojiet DC. Pēc tam atlasiet vajadzīgos domēna kontrollerus ar izvēles rūtiņām un noklikšķiniet uz Labi.

14. attēls. Domēna kontrolleru pievienošana

5) Atlasiet pievienotos DC un noklikšķiniet uz pogas Rediģēt Lūdzu, norādiet FQDN jūsu DC, domēna pieteikumvārds un parole, kā arī saites opcija WMI vai Aģents. Izvēlieties WMI un noklikšķiniet uz Labi.

15. attēls Domēna kontrollera informācijas ievadīšana

6) Ja WMI nav vēlamais veids, kā sazināties ar Active Directory, var izmantot ISE aģentus. Aģenta metode ir tāda, ka serveros var instalēt īpašus aģentus, kas izstaro pieteikšanās notikumus. Ir 2 instalēšanas iespējas: automātiska un manuāla. Lai automātiski instalētu aģentu tajā pašā cilnē Pasīvais ID atlasiet vienumu Pievienot aģentu → Izvietot jaunu aģentu (DC jābūt piekļuvei internetam). Pēc tam aizpildiet nepieciešamos laukus (aģenta nosaukums, servera FQDN, domēna administratora pieteikšanās/parole) un noklikšķiniet uz Labi.

16. attēls. ISE aģenta automātiskā instalēšana

7) Lai manuāli instalētu Cisco ISE aģentu, atlasiet vienumu Reģistrēt esošo aģentu. Starp citu, aģentu varat lejupielādēt cilnē Darba centri → Pasīvais ID → Pakalpojumu sniedzēji → Aģenti → Lejupielādes aģents.

17. attēls. ISE aģenta lejupielāde

Svarīgi: PassiveID nelasa notikumus Aiziet! Tiek izsaukts parametrs, kas ir atbildīgs par taimautu lietotāja sesijas novecošanas laiks un pēc noklusējuma ir vienāds ar 24 stundām. Tāpēc jums vajadzētu vai nu pašam atteikties darba dienas beigās, vai arī uzrakstīt kaut kādu skriptu, kas automātiski atteiksies no visiem pieteikušajiem lietotājiem. 

Informācijai Aiziet Tiek izmantotas "beigu zondes" - termināla zondes. Cisco ISE ir vairākas galapunktu zondes: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS zondes izmantošana CoA (Autorizācijas maiņa) pakotnes sniedz informāciju par lietotāju tiesību maiņu (tam nepieciešams iegults 802.1X) un konfigurēts piekļuves slēdžos SNMP, sniegs informāciju par pievienotajām un atvienotajām ierīcēm.

Šis piemērs attiecas uz Cisco ISE + AD konfigurāciju bez 802.1X un RADIUS: lietotājs ir pieteicies Windows datorā, neizrakstoties, piesakieties no cita datora, izmantojot WiFi. Šādā gadījumā sesija pirmajā datorā joprojām būs aktīva, līdz iestāsies taimauts vai piespiedu atteikšanās. Ja ierīcēm ir atšķirīgas tiesības, tad tās tiesības piemēros pēdējā reģistrētā ierīce.

8) Cilnē nav obligāti Administrēšana → Identitātes pārvaldība → Ārējie identitātes avoti → Active Directory → Grupas → Pievienot → Atlasīt grupas no direktorija varat atlasīt grupas no AD, kuras vēlaties izveidot ISE (mūsu gadījumā tas tika darīts 3. darbībā “LDAP servera pievienošana”). Izvēlieties opciju Izgūt grupas → Labi. 

18. attēls a). Lietotāju grupu izvilkšana no Active Directory

9) Cilnē Darba centri → PassiveID → Pārskats → Informācijas panelis varat novērot aktīvo sesiju skaitu, datu avotu skaitu, aģentus un daudz ko citu.

19. attēls. Domēna lietotāju aktivitātes monitorings

10) Cilnē Tiešās sesijas tiek parādītas pašreizējās sesijas. Integrācija ar AD ir konfigurēta.

20. attēls. Domēna lietotāju aktīvās sesijas

5. Secinājums

Šajā rakstā tika apskatītas tēmas par vietējo lietotāju izveidi Cisco ISE, LDAP serveru pievienošanu un integrāciju ar Microsoft Active Directory. Nākamajā rakstā tiks uzsvērta viesu piekļuve lieka ceļveža veidā.

Ja jums ir jautājumi par šo tēmu vai nepieciešama palīdzība produkta testēšanā, lūdzu, sazinieties saite.

Sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com