Laipni lÅ«dzam Cisco ISE sÄrijas otrajÄ ziÅÄ. PirmajÄ
Å ajÄ rakstÄ mÄs iedziļinÄsimies kontu veidoÅ”anÄ, LDAP serveru pievienoÅ”anÄ un integrÄcijÄ ar Microsoft Active Directory, kÄ arÄ« niansÄs darbÄ ar PassiveID. Pirms lasÄ«Å”anas es ļoti iesaku jums izlasÄ«t
1. Dažas terminoloģijas
LietotÄja identitÄte - lietotÄja konts, kas satur informÄciju par lietotÄju un Ä£enerÄ viÅa akreditÄcijas datus, lai piekļūtu tÄ«klam. LietotÄja identitÄtÄ parasti tiek norÄdÄ«ti Å”Ädi parametri: lietotÄjvÄrds, e-pasta adrese, parole, konta apraksts, lietotÄju grupa un loma.
LietotÄju grupas - lietotÄju grupas ir atseviŔķu lietotÄju kopums, kam ir kopÄ«ga privilÄÄ£iju kopa, kas ļauj piekļūt noteiktai Cisco ISE pakalpojumu un funkciju kopai.
LietotÄju identitÄtes grupas ā iepriekÅ” definÄtas lietotÄju grupas, kurÄm jau ir noteikta informÄcija un lomas. PÄc noklusÄjuma pastÄv Å”Ädas lietotÄju identitÄtes grupas, kurÄm varat pievienot lietotÄjus un lietotÄju grupas: Darbinieks (darbinieks), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsoru konti viesu portÄla pÄrvaldÄ«Å”anai), Viesis (viesis), ActivatedGuest (aktivizÄts viesis).
lietotÄja loma- LietotÄja loma ir atļauju kopa, kas nosaka, kÄdus uzdevumus lietotÄjs var veikt un kÄdiem pakalpojumiem var piekļūt. Bieži vien lietotÄja loma ir saistÄ«ta ar lietotÄju grupu.
TurklÄt katram lietotÄjam un lietotÄju grupai ir papildu atribÅ«ti, kas ļauj atlasÄ«t un precÄ«zÄk definÄt Å”o lietotÄju (lietotÄju grupu). VairÄk informÄcijas iekÅ”
2. Izveidojiet vietÄjos lietotÄjus
1) Cisco ISE spÄj izveidot vietÄjos lietotÄjus un izmantot tos piekļuves politikÄ vai pat pieŔķirt produkta administrÄÅ”anas lomu. IzvÄlieties AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā IdentitÄtes ā LietotÄji ā Pievienot.
1. attÄls VietÄjÄ lietotÄja pievienoÅ”ana Cisco ISE
2) ParÄdÄ«tajÄ logÄ izveidojiet lokÄlo lietotÄju, iestatiet paroli un citus saprotamus parametrus.
2. attÄls. VietÄjÄ lietotÄja izveide programmÄ Cisco ISE
3) LietotÄjus var arÄ« importÄt. TajÄ paÅ”Ä cilnÄ AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā IdentitÄtes ā LietotÄji atlasiet opciju imports un augÅ”upielÄdÄjiet csv vai txt failu ar lietotÄjiem. Lai iegÅ«tu veidni, atlasiet Ä¢enerÄjiet veidni, tad tas ir jÄaizpilda ar informÄciju par lietotÄjiem piemÄrotÄ formÄ.
3. attÄls LietotÄju importÄÅ”ana sistÄmÄ Cisco ISE
3. LDAP serveru pievienoŔana
AtgÄdinÄÅ”u, ka LDAP ir populÄrs lietojumprogrammu lÄ«meÅa protokols, kas ļauj saÅemt informÄciju, veikt autentifikÄciju, meklÄt kontus LDAP serveru katalogos, darbojas 389. vai 636. portÄ (SS). IevÄrojami LDAP serveru piemÄri ir Active Directory, Sun Directory, Novell eDirectory un OpenLDAP. Katrs ieraksts LDAP direktorijÄ ir definÄts ar DN (Distinguished Name), un kontu, lietotÄju grupu un atribÅ«tu izgÅ«Å”anas uzdevums tiek izvirzÄ«ts, lai izveidotu piekļuves politiku.
SistÄmÄ Cisco ISE ir iespÄjams konfigurÄt piekļuvi daudziem LDAP serveriem, tÄdÄjÄdi ievieÅ”ot dublÄÅ”anu. Ja primÄrais (primÄrais) LDAP serveris nav pieejams, tad ISE mÄÄ£inÄs piekļūt sekundÄrajam (sekundÄrajam) utt. TurklÄt, ja ir 2 PAN, vienu LDAP var noteikt primÄrajam PAN un citu LDAP sekundÄrajam PAN.
StrÄdÄjot ar LDAP serveriem, ISE atbalsta 2 uzmeklÄÅ”anas veidus: User Lookup un MAC Address Lookup. User Lookup ļauj meklÄt lietotÄju LDAP datu bÄzÄ un bez autentifikÄcijas iegÅ«t Å”Ädu informÄciju: lietotÄji un to atribÅ«ti, lietotÄju grupas. MAC adreses uzmeklÄÅ”ana ļauj arÄ« meklÄt pÄc MAC adreses LDAP direktorijos bez autentifikÄcijas un iegÅ«t informÄciju par ierÄ«ci, ierÄ«Äu grupu pÄc MAC adresÄm un citiem specifiskiem atribÅ«tiem.
KÄ integrÄcijas piemÄru pievienosim Active Directory Cisco ISE kÄ LDAP serveri.
1) Dodieties uz cilni AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā ÄrÄjie identitÄtes avoti ā LDAP ā Pievienot.
4. attÄls. LDAP servera pievienoÅ”ana
2) PanelÄ« vispÄrÄjs norÄdiet LDAP servera nosaukumu un shÄmu (mÅ«su gadÄ«jumÄ Active Directory).
5. attÄls. LDAP servera pievienoÅ”ana ar Active Directory shÄmu
3) TÄlÄk dodieties uz saistÄ«ba cilni un atlasiet Resursdatora nosaukums/IP adrese Servera AD, ports (389 - LDAP, 636 - SSL LDAP), domÄna administratora akreditÄcijas dati (Admin DN - full DN), citus parametrus var atstÄt kÄ noklusÄjuma.
PiezÄ«me: izmantojiet administratora domÄna informÄciju, lai izvairÄ«tos no iespÄjamÄm problÄmÄm.
6. attÄls LDAP servera datu ievadÄ«Å”ana
4) CilnÄ Direktoriju organizÄcija caur DN ir jÄnorÄda direktorija apgabals, no kurienes iegÅ«t lietotÄjus un lietotÄju grupas.
7. attÄls. Katalogu noteikÅ”ana, no kuriem lietotÄju grupas var piekļūt
5) Dodieties uz logu Grupas ā Pievienot ā AtlasÄ«t grupas no direktorija lai atlasÄ«tu izvilkÅ”anas grupas no LDAP servera.
8. attÄls. Grupu pievienoÅ”ana no LDAP servera
6) ParÄdÄ«tajÄ logÄ noklikŔķiniet uz IzgÅ«t grupas. Ja grupas ir pacÄluÅ”Äs, tad iepriekÅ”Äjie soļi ir veiksmÄ«gi pabeigti. PretÄjÄ gadÄ«jumÄ mÄÄ£iniet izmantot citu administratoru un pÄrbaudiet ISE pieejamÄ«bu ar LDAP serveri, izmantojot LDAP protokolu.
9. attÄls. Ievilkto lietotÄju grupu saraksts
7) CilnÄ AtribÅ«ti pÄc izvÄles varat norÄdÄ«t, kuri atribÅ«ti no LDAP servera ir jÄizvelk, un logÄ Papildu iestatÄ«jumi iespÄjot opciju IespÄjot paroles maiÅu, kas liks lietotÄjiem mainÄ«t savu paroli, ja tai ir beidzies derÄ«guma termiÅÅ” vai tÄ ir atiestatÄ«ta. JebkurÄ gadÄ«jumÄ noklikŔķiniet uz Iesniegt turpinÄt.
8) LDAP serveris parÄdÄ«jÄs atbilstoÅ”ajÄ cilnÄ, un to var izmantot piekļuves politiku veidoÅ”anai nÄkotnÄ.
10. attÄls. Pievienoto LDAP serveru saraksts
4. IntegrÄcija ar Active Directory
1) Pievienojot Microsoft Active Directory serveri kÄ LDAP serveri, mÄs ieguvÄm lietotÄjus, lietotÄju grupas, bet ne žurnÄlus. TÄlÄk es ierosinu izveidot pilnvÄrtÄ«gu AD integrÄciju ar Cisco ISE. Dodieties uz cilni AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā ÄrÄjie identitÄtes avoti ā Active Directory ā Pievienot.
PiezÄ«me: veiksmÄ«gai integrÄcijai ar AD, ISE ir jÄatrodas domÄnÄ un jÄbÅ«t pilnÄ«bÄ savienotam ar DNS, NTP un AD serveriem, pretÄjÄ gadÄ«jumÄ nekas nesanÄks.
11. attÄls. Active Directory servera pievienoÅ”ana
2) ParÄdÄ«tajÄ logÄ ievadiet domÄna administratora datus un atzÄ«mÄjiet izvÄles rÅ«tiÅu Veikala akreditÄcijas dati. TurklÄt varat norÄdÄ«t OU (organizÄcijas vienÄ«bu), ja ISE atrodas noteiktÄ OU. PÄc tam jums bÅ«s jÄatlasa Cisco ISE mezgli, kurus vÄlaties izveidot savienojumu ar domÄnu.
12. attÄls. AkreditÄcijas datu ievadÄ«Å”ana
3) Pirms domÄna kontrolleru pievienoÅ”anas pÄrbaudiet, vai PSN cilnÄ AdministrÄÅ”ana ā SistÄma ā IzvietoÅ”ana opcija iespÄjota PasÄ«vÄs identitÄtes pakalpojums. PasÄ«vais ID - opcija, kas ļauj tulkot lietotÄju uz IP un otrÄdi. PassiveID iegÅ«st informÄciju no AD, izmantojot WMI, Ä«paÅ”us AD aÄ£entus vai slÄdža SPAN portu (nav labÄkais risinÄjums).
PiezÄ«me: lai pÄrbaudÄ«tu pasÄ«vÄ ID statusu, ierakstiet ISE konsolÄ rÄdÄ«t pieteikuma statusu ise | ietver PassiveID.
13. attÄls. Opcijas PassiveID iespÄjoÅ”ana
4) Dodieties uz cilni AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā ÄrÄjie identitÄtes avoti ā Active Directory ā PassiveID un atlasiet opciju Pievienojiet DC. PÄc tam atlasiet vajadzÄ«gos domÄna kontrollerus ar izvÄles rÅ«tiÅÄm un noklikŔķiniet uz Labi.
14. attÄls. DomÄna kontrolleru pievienoÅ”ana
5) Atlasiet pievienotos DC un noklikŔķiniet uz pogas RediÄ£Ät LÅ«dzu, norÄdiet FQDN jÅ«su DC, domÄna pieteikumvÄrds un parole, kÄ arÄ« saites opcija WMI vai AÄ£ents. IzvÄlieties WMI un noklikŔķiniet uz Labi.
15. attÄls DomÄna kontrollera informÄcijas ievadÄ«Å”ana
6) Ja WMI nav vÄlamais veids, kÄ sazinÄties ar Active Directory, var izmantot ISE aÄ£entus. AÄ£enta metode ir tÄda, ka serveros var instalÄt Ä«paÅ”us aÄ£entus, kas izstaro pieteikÅ”anÄs notikumus. Ir 2 instalÄÅ”anas iespÄjas: automÄtiska un manuÄla. Lai automÄtiski instalÄtu aÄ£entu tajÄ paÅ”Ä cilnÄ PasÄ«vais ID atlasiet vienumu Pievienot aÄ£entu ā Izvietot jaunu aÄ£entu (DC jÄbÅ«t piekļuvei internetam). PÄc tam aizpildiet nepiecieÅ”amos laukus (aÄ£enta nosaukums, servera FQDN, domÄna administratora pieteikÅ”anÄs/parole) un noklikŔķiniet uz Labi.
16. attÄls. ISE aÄ£enta automÄtiskÄ instalÄÅ”ana
7) Lai manuÄli instalÄtu Cisco ISE aÄ£entu, atlasiet vienumu ReÄ£istrÄt esoÅ”o aÄ£entu. Starp citu, aÄ£entu varat lejupielÄdÄt cilnÄ Darba centri ā PasÄ«vais ID ā Pakalpojumu sniedzÄji ā AÄ£enti ā LejupielÄdes aÄ£ents.
17. attÄls. ISE aÄ£enta lejupielÄde
SvarÄ«gi: PassiveID nelasa notikumus Aiziet! Tiek izsaukts parametrs, kas ir atbildÄ«gs par taimautu lietotÄja sesijas novecoÅ”anas laiks un pÄc noklusÄjuma ir vienÄds ar 24 stundÄm. TÄpÄc jums vajadzÄtu vai nu paÅ”am atteikties darba dienas beigÄs, vai arÄ« uzrakstÄ«t kaut kÄdu skriptu, kas automÄtiski atteiksies no visiem pieteikuÅ”ajiem lietotÄjiem.
InformÄcijai Aiziet Tiek izmantotas "beigu zondes" - terminÄla zondes. Cisco ISE ir vairÄkas galapunktu zondes: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS zondes izmantoÅ”ana CoA (AutorizÄcijas maiÅa) pakotnes sniedz informÄciju par lietotÄju tiesÄ«bu maiÅu (tam nepiecieÅ”ams iegults 802.1X) un konfigurÄts piekļuves slÄdžos SNMP, sniegs informÄciju par pievienotajÄm un atvienotajÄm ierÄ«cÄm.
Å is piemÄrs attiecas uz Cisco ISE + AD konfigurÄciju bez 802.1X un RADIUS: lietotÄjs ir pieteicies Windows datorÄ, neizrakstoties, piesakieties no cita datora, izmantojot WiFi. Å ÄdÄ gadÄ«jumÄ sesija pirmajÄ datorÄ joprojÄm bÅ«s aktÄ«va, lÄ«dz iestÄsies taimauts vai piespiedu atteikÅ”anÄs. Ja ierÄ«cÄm ir atŔķirÄ«gas tiesÄ«bas, tad tÄs tiesÄ«bas piemÄros pÄdÄjÄ reÄ£istrÄtÄ ierÄ«ce.
8) CilnÄ nav obligÄti AdministrÄÅ”ana ā IdentitÄtes pÄrvaldÄ«ba ā ÄrÄjie identitÄtes avoti ā Active Directory ā Grupas ā Pievienot ā AtlasÄ«t grupas no direktorija varat atlasÄ«t grupas no AD, kuras vÄlaties izveidot ISE (mÅ«su gadÄ«jumÄ tas tika darÄ«ts 3. darbÄ«bÄ āLDAP servera pievienoÅ”anaā). IzvÄlieties opciju IzgÅ«t grupas ā Labi.
18. attÄls a). LietotÄju grupu izvilkÅ”ana no Active Directory
9) CilnÄ Darba centri ā PassiveID ā PÄrskats ā InformÄcijas panelis varat novÄrot aktÄ«vo sesiju skaitu, datu avotu skaitu, aÄ£entus un daudz ko citu.
19. attÄls. DomÄna lietotÄju aktivitÄtes monitorings
10) CilnÄ TieÅ”Äs sesijas tiek parÄdÄ«tas paÅ”reizÄjÄs sesijas. IntegrÄcija ar AD ir konfigurÄta.
20. attÄls. DomÄna lietotÄju aktÄ«vÄs sesijas
5. SecinÄjums
Å ajÄ rakstÄ tika apskatÄ«tas tÄmas par vietÄjo lietotÄju izveidi Cisco ISE, LDAP serveru pievienoÅ”anu un integrÄciju ar Microsoft Active Directory. NÄkamajÄ rakstÄ tiks uzsvÄrta viesu piekļuve lieka ceļveža veidÄ.
Ja jums ir jautÄjumi par Å”o tÄmu vai nepiecieÅ”ama palÄ«dzÄ«ba produkta testÄÅ”anÄ, lÅ«dzu, sazinieties
Sekojiet jaunumiem mÅ«su kanÄlos (
Avots: www.habr.com