Nau mai ki te pou tuarua i te raupapa Cisco ISE. I te tuatahi nga painga me nga rereketanga o nga otinga Whakaaetanga Whakaaetanga Whatunga (NAC) mai i te AAA paerewa, te ahurei o Cisco ISE, te hoahoanga me te tukanga whakauru o te hua i tohua.
I roto i tenei tuhinga, ka ruku matou ki te hanga kaute, te taapiri i nga tūmau LDAP, me te whakauru ki a Microsoft Active Directory, me nga ahuatanga o te mahi me PassiveID. I mua i te panui, ka tino taunaki ahau kia panui koe .
1. Ko etahi kupu
Tuakiri Kaiwhakamahi - he pūkete kaiwhakamahi kei roto nga korero mo te kaiwhakamahi me te whakaputa i ana tohu mo te uru ki te whatunga. Ko nga tawhā e whai ake nei ka tohua ki te Tuakiri Kaiwhakamahi: ingoa kaiwhakamahi, wahitau imeera, kupuhipa, whakaahuatanga kaute, roopu kaiwhakamahi, me te mahi.
Rōpū Kaiwhakamahi - Ko nga roopu kaiwhakamahi he kohinga o nga kaiwhakamahi takitahi kei a raatau he huinga o nga painga e taea ai e ratou te uru atu ki tetahi huinga motuhake o nga ratonga me nga mahi a Cisco ISE.
Rōpū Tuakiri Kaiwhakamahi - nga roopu kaiwhakamahi kua tautuhia ake kua whai korero me etahi mahi. Ko nga Rōpū Tuakiri Kaiwhakamahi e whai ake nei kei te noho taunoa, ka taea e koe te taapiri i nga kaiwhakamahi me nga roopu kaiwhakamahi ki a raatau: Kaimahi (kaimahi), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (nga kaute kaitautoko mo te whakahaere i te tomokanga manuhiri), Manuhiri (manuhiri), ActivatedGuest (manuhiri whakahohe).
mahi-kaiwhakamahi- Ko te mahi a te kaiwhakamahi he huinga whakaaetanga hei whakatau he aha nga mahi ka taea e te kaiwhakamahi te mahi me nga ratonga ka uru. I te nuinga o nga wa ka hono te mahi a te kaiwhakamahi ki te roopu o nga kaiwhakamahi.
I tua atu, kei ia kaiwhakamahi me nga roopu kaiwhakamahi etahi atu huanga ka taea e koe te whiriwhiri me te tautuhi ake i tenei kaiwhakamahi (rōpū kaiwhakamahi). He korero ano kei roto .
2. Waihanga kaiwhakamahi rohe
1) Kei a Cisco ISE te kaha ki te hanga i nga kaiwhakamahi o te rohe me te whakamahi i roto i te kaupapa here uru, ki te tuku ranei i tetahi mahi whakahaere hua. Tīpakohia Whakahaere → Whakahaere Tuakiri → Tuakiri → Kaiwhakamahi → Tāpiri.
Whakaahua 1 Te taapiri i tetahi Kaiwhakamahi Paetata ki Cisco ISE
2) I roto i te matapihi e puta mai ana, hanga he kaiwhakamahi rohe, tautuhia he kupuhipa me etahi atu tawhā e marama ana.
Whakaatu 2. Te hanga i tetahi Kaiwhakamahi Paetata i Cisco ISE
3) Ka taea hoki te kawemai i nga kaiwhakamahi. I te ripa ano Whakahaerenga → Whakahaere Tuakiri → Tuakiri → Kaiwhakamahi tīpakohia he kōwhiringa Kawemai me te tuku csv, txt ranei te konae me nga kaiwhakamahi. Ki te tiki tauira whiriwhiri Hangaia he tauira, katahi ka whakakiia ki nga korero mo nga kaiwhakamahi i roto i te ahua tika.
Whakaatu 3 Kawemai Kaiwhakamahi ki Cisco ISE
3. Tāpiri tūmau LDAP
Me whakamahara ahau ki a koe ko te LDAP he kawa taumata-tono rongonui e taea ai e koe te whiwhi korero, te mahi motuhēhēnga, te rapu kaute i roto i nga raarangi o nga tūmau LDAP, ka mahi i runga i te tauranga 389, 636 (SS). Ko nga tauira rongonui o nga tūmau LDAP ko Active Directory, Sun Directory, Novell eDirectory, me OpenLDAP. Ko ia urunga i roto i te whaiaronga LDAP kua tautuhia e te DN (Ingoa Motuhake) me te mahi ki te tiki i nga kaute, nga roopu kaiwhakamahi me nga huanga ka whakaarahia hei hanga kaupapa here uru.
I roto i te Cisco ISE, ka taea te whirihora i te urunga ki te maha o nga tūmau LDAP, na reira ka whakatinanahia te taapiri. Mena karekau te tūmau LDAP tuatahi (tuatahi), ka ngana a ISE ki te uru ki te tuarua (tuarua) me etahi atu. I tua atu, mena e 2 nga PAN, ka taea te whakarite i tetahi LDAP mo te PAN tuatahi me tetahi atu LDAP mo te PAN tuarua.
Ka tautokohia e ISE nga momo tiro (titiro) e 2 ina mahi ana me nga tūmau LDAP: Tirohanga Kaiwhakamahi me te Tirohanga Wāhitau MAC. Ma te Tirohanga Kaiwhakamahi ka taea e koe te rapu i tetahi kaiwhakamahi i roto i te LDAP raraunga me te tiki i nga korero e whai ake nei me te kore motuhēhēnga: nga kaiwhakamahi me o ratou huanga, nga roopu kaiwhakamahi. Ko te Tirohanga Wāhitau MAC ka taea e koe te rapu ma te wahitau MAC i roto i nga raarangi LDAP me te kore motuhēhēnga me te tiki korero mo te taputapu, he roopu taputapu ma nga wahitau MAC, me etahi atu huanga.
Hei tauira whakauru, me taapiri a Active Directory ki Cisco ISE hei tūmau LDAP.
1) Haere ki te ripa Whakahaerenga → Whakahaere Tuakiri → Puna Tuakiri o waho → LDAP → Tāpiri.
Whakaahua 4. Te taapiri i te tūmau LDAP
2) I roto i te röpü General whakapūtā te ingoa tūmau LDAP me te kaupapa (i roto i tā mātou take, Active Directory).
Whakaahua 5. Te taapiri i te tūmau LDAP me te aronuinga Active Directory
3) Panuku haere ki hononga ripa ka tohua Ingoa Kaihautū/Wāhitau IP Tūmau AD, tauranga (389 - LDAP, 636 - SSL LDAP), tohu tohu kaiwhakahaere rohe (Admin DN - DN katoa), ka waiho etahi atu tawhā hei taunoa.
parau: whakamahia nga taipitopito rohe whakahaere hei karo i nga raru pea.
Whakaatu 6 Te Whakauru Raraunga LDAP Server
4) Kei te ripa Whakahaere Whaiaronga me tohu e koe te rohe whaiaronga i roto i te DN mai i hea ka toia nga kaiwhakamahi me nga roopu kaiwhakamahi.
Whakaahua 7. Te whakatau i nga raarangi mai i te waahi ka taea e nga roopu kaiwhakamahi te piki ake
5) Haere ki te matapihi Rōpū → Tāpiri → Tīpakohia Rōpū Mai Whaiaronga ki te whiriwhiri i nga roopu toia mai i te tūmau LDAP.
Whakaahua 8. Te taapiri i nga roopu mai i te tūmau LDAP
6) I roto i te matapihi e puta, pāwhiri Tikina Rōpū. Mena kua piki nga roopu, kua oti pai nga mahi tuatahi. Ki te kore, ngana ki tetahi atu kaiwhakahaere me te tirotiro i te waatea o te ISE me te tūmau LDAP mā te kawa LDAP.
Whakaahua 9. Rarangi o nga roopu kaiwhakamahi kua toia
7) Kei te ripa huanga ka taea e koe te tautuhi ko wai nga huanga mai i te tūmau LDAP me kumea ki runga, me te matapihi Tautuhinga Arā taea te kōwhiringa Whakahohea te huri kupuhipa, ka kaha nga kaiwhakamahi ki te huri i o raatau kupuhipa mena kua pau, kua tautuhia ranei. Heoi pawhiria Tuku ki te haere tonu.
8) I puta mai te tūmau LDAP ki te ripa e hāngai ana, ā, ka taea te whakamahi hei hanga kaupapa here a muri ake nei.
Whakaahua 10. Rarangi o nga tūmau LDAP kua taapirihia
4. Whakauru ki te Active Directory
1) Na te taapiri i te tūmau Microsoft Active Directory hei tūmau LDAP, ka whiwhi matou i nga kaiwhakamahi, nga roopu kaiwhakamahi, engari kaore he raarangi. I muri mai, ka whakaaro ahau ki te whakatu i te whakaurunga AD ki a Cisco ISE. Haere ki te ripa Whakahaerenga → Whakahaere Tuakiri → Puna Tuakiri o waho → Active Directory → Tāpiri.
Tuhipoka: mo te whakauru angitu ki a AD, me noho a ISE ki roto i te rohe me te hono katoa ki nga DNS, NTP me nga tūmau AD, ki te kore karekau he aha.
Whakaahua 11. Te taapiri i te tūmau Active Directory
2) I roto i te matapihi e puta, tomo nga taipitopito kaiwhakahaere rohe, ka tirohia te pouaka Rokiroki Taipitopito. I tua atu, ka taea e koe te tautuhi i tetahi OU (Waihanga Whakahaere) mehemea kei roto te ISE i tetahi OU motuhake. I muri mai, me whiriwhiri koe i nga kohinga Cisco ISE e hiahia ana koe ki te hono atu ki te rohe.
Whakaahua 12. Te whakauru i nga tohu
3) I mua i te taapiri i nga kaiwhakahaere rohe, me mohio kei runga i te PSN kei te ripa Whakahaerenga → Pūnaha → Whakamahinga kōwhiringa whakahohea Ratonga Tuakiri Hangū. ID hāngū - he whiringa ka taea e koe te whakamaori i te Kaiwhakamahi ki te IP me te rereke. Ka whiwhi korero a PassiveID mai i te AD ma te WMI, nga kaihoko AD motuhake, te tauranga SPAN ranei i runga i te whakawhiti (ehara i te mea pai rawa atu).
Tuhipoka: ki te tirotiro i te mana o te Passive ID, patohia te papatohu ISE whakaatu te mana tono ise | whakauru PassiveID.
Whakaatu 13. Whakahohe i te kōwhiringa PassiveID
4) Haere ki te ripa Whakahaerenga → Whakahaere Tuakiri → Puna Tuakiri o waho → Whaiaronga Hohe → PassiveID ka kowhiri i te whiringa Tāpiri DCs. I muri mai, tohua nga kaiwhakahaere rohe e tika ana me nga pouakataki ka paato OK.
Whakaahua 14. Te taapiri i nga kaiwhakahaere rohe
5) Tīpakohia nga DC kua taapirihia ka paato i te paatene Whakatika. Tena koa tohu FQDN to DC, takiuru rohe me te kupuhipa, me te kōwhiringa hono WMI ranei Agent. Tīpakohia WMI ka pāwhiri OK.
Whakaahua 15 Te whakauru i nga taipitopito kaiwhakahaere rohe
6) Mena ehara i te WMI te huarahi pai ki te whakawhitiwhiti korero me Active Directory, ka taea te whakamahi i nga kaihoko ISE. Ko te tikanga kaihoko ka taea e koe te whakauru i nga kaihoko motuhake ki runga i nga kaitoro ka whakaputa i nga huihuinga takiuru. E rua nga waahanga whakaurunga: aunoa me te ringaringa. Hei whakauru aunoa i te kaihoko ki te ripa kotahi ID hāngū tīpako tūemi Taapirihia te Kaihoko → Tukuna he Kaihoko Hou (Me whai uru a DC ki te Ipurangi). Na ka whakakiia nga mara e hiahiatia ana (ingoa kaihoko, FQDN tūmau, takiuru / kupuhipa kaiwhakahaere rohe) ka paato OK.
Whakaatu 16. Te whakauru aunoa o te kaihoko ISE
7) Hei whakauru a-ringa i te kaihoko Cisco ISE, tohua te mea Rēhitatia te Kaihoko o naianei. Ma te ara, ka taea e koe te tango i te kaihoko i te ripa Pokapū Mahi → PassiveID → Kaiwhakarato → Kaihoko → Tikina Agent.
Whakaahua 17. Te tango i te kaihoko ISE
He mea nui ki: Karekau a PassiveID e panui kaupapa takiuru! Ko te tawhā whai mana mo te wa poto ka kiia wā hoholo wātū kaiwhakamahi a he rite te 24 haora i te taunoa. No reira, me tuhi koe i a koe ano i te mutunga o te ra mahi, tuhia ranei etahi momo tuhinga ka whakakore aunoa i nga kaiwhakamahi kua takiuru.
Mo nga korero takiuru Ka whakamahia nga "paepae mutunga" - he tirotiro mutunga. He maha nga tirotirohanga mutunga i Cisco ISE: RADIUS, SNMP Trap, Uiui SNMP, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS te whakamahi rangahau KoA (Te Huri Whakamanatanga) ka tuku korero mo te whakarereke i nga motika kaiwhakamahi (me whakauru tenei 802.1X), ka whirihorahia i runga i nga huringa uru SNMP, ka hoatu he korero mo nga taputapu hono me te momotu.
Ko te tauira e whai ake nei e tika ana mo te whirihoranga Cisco ISE + AD me te kore 802.1X me te RADIUS: kua uru tetahi kaiwhakamahi ki runga i te miihini Windows, me te kore e mahi tohu, takiuru mai i tetahi atu PC ma WiFi. I tenei keehi, ka kaha tonu te waahi i runga i te PC tuatahi tae noa ki te wa ka puta te waahi ka puta mai ranei te whakakorenga kaha. Na, ki te mea he rereke nga mana o nga taputapu, katahi ka uru te taputapu whakauru whakamutunga ki ona mana.
8) Kōwhiringa i roto i te ripa Whakahaerenga → Whakahaere Tuakiri → Puna Tuakiri o waho → Whaiaronga Hohe → Rōpū → Tāpiri → Tīpako Rōpū Mai i te Whaiaronga ka taea e koe te kowhiri i nga roopu mai i te AD e hiahia ana koe ki te tango i runga i te ISE (i to maatau, i mahia tenei i te taahiraa 3 "Te taapiri i te tūmau LDAP"). Kōwhiria he kōwhiringa Tikina Rōpū → OK.
Whakaahua 18 a). Te kumea i nga roopu kaiwhakamahi mai i Active Directory
9) Kei te ripa Pokapū Mahi → PassiveID → Tirohanga → Papatohu ka taea e koe te kite i te maha o nga huihuinga kaha, te maha o nga puna raraunga, nga kaihoko, me etahi atu.
Whakaatu 19. Te aroturuki i nga mahi a nga kaiwhakamahi rohe
10) Kei te ripa Ora Taha ka whakaatuhia nga huihuinga o naianei. Kua whirihorahia te whakauru ki te AD.
Whakaahua 20. Nga waahi kaha o nga kaiwhakamahi rohe
5. Whakamutunga
I hipokina e tenei tuhinga nga kaupapa o te hanga i nga kaiwhakamahi rohe ki Cisco ISE, te taapiri i nga tūmau LDAP, me te whakauru ki a Microsoft Active Directory. Ko te tuhinga e whai ake nei ka whakaatu i te urunga manuhiri i roto i te ahua o te aratohu taapiri.
Mena kei a koe nga patai mo tenei kaupapa, kei te hiahia awhina ranei koe ki te whakamatautau i te hua, me waea atu .
Kia mau ki nga korero hou i roto i a maatau hongere (, , , , ).
Source: will.com