🥇Cisco ISE: Создавајте корисници, додајте LDAP сервери, интегрирајте се со AD. Дел 2

Добредојдовте на вториот пост од серијата Cisco ISE. Во првиот Член беа истакнати предностите и разликите на решенијата за мрежна контрола на пристап (NAC) од стандардниот AAA, уникатноста на Cisco ISE, архитектурата и процесот на инсталација на производот.

Во оваа статија, ќе истражуваме во креирање сметки, додавање LDAP сервери и интегрирање со Microsoft Active Directory, како и нијанси за работа со PassiveID. Пред да прочитате, топло ви препорачувам да прочитате првиот дел.

1. Некоја терминологија

Кориснички идентитет - корисничка сметка која содржи информации за корисникот и ги генерира неговите ингеренции за пристап до мрежата. Следниве параметри обично се наведени во корисничкиот идентитет: корисничко име, адреса на е-пошта, лозинка, опис на сметката, корисничка група и улога.

Кориснички групи - корисничките групи се збирка на поединечни корисници кои имаат заеднички сет на привилегии што им овозможуваат пристап до одреден сет на услуги и функции на Cisco ISE.

Групи со идентитет на корисници - предефинирани кориснички групи кои веќе имаат одредени информации и улоги. Следниве Групи за идентитет на корисници постојат стандардно, можете да додавате корисници и кориснички групи на нив: Employee (вработен), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (сметки на спонзори за управување со порталот за гости), Гостин (гостин), ActivatedGuest (активиран гостин).

корисничка улога- Корисничка улога е збир на дозволи кои одредуваат кои задачи може да ги извршува корисникот и кои услуги може да пристапи. Честопати, улогата на корисникот е поврзана со група корисници.

Покрај тоа, секој корисник и корисничка група има дополнителни атрибути кои ви овозможуваат да го изберете и поконкретно да го дефинирате овој корисник (корисничка група). Повеќе информации во водич.

2. Креирајте локални корисници

1) Cisco ISE има способност да креира локални корисници и да ги користи во политиката за пристап или дури и да даде улога на администрација на производот. Изберете Администрација → Управување со идентитетот → Идентитети → Корисници → Додај.

Слика 1 Додавање локален корисник на Cisco ISE

2) Во прозорецот што се појавува, креирајте локален корисник, поставете лозинка и други разбирливи параметри.

Слика 2. Креирање на локален корисник во Cisco ISE

3) Корисниците исто така може да се увезат. Во истиот таб Администрација → Управување со идентитетот → Идентитети → Корисници изберете опција Увоз и поставете датотека csv или txt со корисниците. За да добиете шаблон изберете Генерирајте Шаблон, тогаш треба да се пополни со информации за корисниците во соодветна форма.

Слика 3 Увоз на корисници во Cisco ISE

3. Додавање LDAP сервери

Дозволете ми да ве потсетам дека LDAP е популарен протокол на ниво на апликација кој ви овозможува да примате информации, да вршите автентикација, да пребарувате сметки во директориумите на серверите LDAP, работи на портата 389 или 636 (SS). Истакнати примери на LDAP сервери се Active Directory, Sun Directory, Novell eDirectory и OpenLDAP. Секој запис во директориумот LDAP е дефиниран со DN (Distinguished Name) и задачата за преземање сметки, кориснички групи и атрибути се подигнува за да се формира политика за пристап.

Во Cisco ISE, можно е да се конфигурира пристап до многу LDAP сервери, со што се имплементира вишок. Ако примарниот (примарниот) LDAP сервер не е достапен, тогаш ISE ќе се обиде да пристапи до секундарниот (секундарниот) и така натаму. Дополнително, ако има 2 PAN, тогаш може да се даде приоритет на еден LDAP за примарниот PAN и на друг LDAP за секундарниот PAN.

ISE поддржува 2 типа на пребарување (пребарување) при работа со LDAP сервери: пребарување на корисник и пребарување на MAC адреса. Пребарувањето на корисници ви овозможува да пребарувате корисник во базата на податоци LDAP и да ги добиете следните информации без автентикација: корисници и нивните атрибути, кориснички групи. Пребарувањето на MAC адресата исто така ви овозможува да пребарувате по MAC адреса во директориумите LDAP без автентикација и да добивате информации за уредот, група уреди по MAC адреси и други специфични атрибути.

Како пример за интеграција, ајде да додадеме Active Directory на Cisco ISE како LDAP сервер.

1) Одете на јазичето Администрација → Управување со идентитетот → Надворешни извори на идентитет → LDAP → Додај.

Слика 4. Додавање на LDAP сервер

2) Во панелот Генерално наведете го името и шемата на серверот LDAP (во нашиот случај, Active Directory).

Слика 5. Додавање на LDAP сервер со шема на Active Directory

3) Следно одете на врска таб и изберете Име на домаќин/IP адреса Сервер AD, порта (389 - LDAP, 636 - SSL LDAP), акредитиви на администратор на домен (Admin DN - full DN), други параметри може да се остават како стандардни.

Имајте на ум: користете ги деталите за административниот домен за да избегнете потенцијални проблеми.

Слика 6 Внесување податоци за серверот LDAP

4) Во табот Организација на директориуми треба да ја наведете областа на директориумот преку DN од каде да се повлечат корисниците и корисничките групи.

Слика 7. Одредување на директориуми од каде може да се повлечат корисничките групи

5) Одете до прозорецот Групи → Додај → Изберете Групи од директориумот да изберете групи за влечење од LDAP серверот.

Слика 8. Додавање групи од LDAP серверот

6) Во прозорецот што се појавува, кликнете Враќање групи. Ако групите се повлекле, тогаш прелиминарните чекори се успешно завршени. Во спротивно, обидете се со друг администратор и проверете ја достапноста на ISE со серверот LDAP преку протоколот LDAP.

Слика 9. Список на повлечени кориснички групи

7) Во табот атрибути може опционално да одредите кои атрибути од LDAP-серверот треба да се повлечат нагоре и во прозорецот напредни поставувања овозможи опција Овозможете промена на лозинката, што ќе ги принуди корисниците да ја сменат лозинката доколку е истечена или ресетирана. Како и да е, кликнете Испрати да продолжи.

8) LDAP серверот се појави во соодветното јазиче и може да се користи за формирање политики за пристап во иднина.

Слика 10. Список на додадени LDAP сервери

4. Интеграција со Active Directory

1) Со додавање на серверот Microsoft Active Directory како LDAP сервер, добивме корисници, кориснички групи, но без дневници. Следно, предлагам да се постави полноправна интеграција на АД со Cisco ISE. Одете на јазичето Администрација → Управување со идентитетот → Надворешни извори на идентитет → Активен директориум → Додај.

Забелешка: за успешна интеграција со AD, ISE мора да биде во домен и да има целосна поврзаност со DNS, NTP и AD сервери, инаку ништо нема да излезе од тоа.

Слика 11. Додавање на сервер на Active Directory

2) Во прозорецот што се појавува, внесете ги деталите за администраторот на доменот и штиклирајте го полето Продавница акредитиви. Дополнително, можете да наведете OU (Организациска единица) ако ISE се наоѓа во одредена OU. Следно, ќе треба да ги изберете Cisco ISE јазлите што сакате да ги поврзете со доменот.

Слика 12. Внесување акредитиви

3) Пред да додадете контролери на домени, проверете дали на PSN во табот Администрација → Систем → Распоредување опцијата е овозможена Услуга за пасивен идентитет. Пасивен ID - опција која ви овозможува да го преведете Корисникот во IP и обратно. PassiveID добива информации од AD преку WMI, специјални AD агенти или SPAN порта на прекинувачот (не најдобра опција).

Забелешка: за да го проверите статусот на пасивниот ID, внесете во конзолата ISE прикажи статус на апликација ise | вклучуваат PassiveID.

Слика 13. Овозможување на опцијата PassiveID

4) Одете на јазичето Администрација → Управување со идентитет → Надворешни извори на идентитет → Active Directory → PassiveID и изберете ја опцијата Додадете DC-и. Следно, изберете ги потребните контролери на домени со полињата за избор и кликнете OK.

Слика 14. Додавање контролери на домени

5) Изберете ги додадените DC и кликнете на копчето Уредување. Ве молиме наведете FQDN вашиот DC, најава и лозинка на доменот и опција за врска WMI или агент. Изберете WMI и кликнете OK.

Слика 15 Внесување детали за контролер на домен

6) Ако WMI не е префериран начин за комуникација со Active Directory, тогаш може да се користат ISE агенти. Методот на агент е дека можете да инсталирате специјални агенти на серверите кои ќе емитуваат настани за најавување. Постојат 2 опции за инсталација: автоматско и рачно. За автоматско инсталирање на агентот во истиот таб Пасивен ID изберете ставка Додадете агент → Распоредете нов агент (DC мора да има пристап до Интернет). Потоа пополнете ги бараните полиња (име на агент, FQDN на сервер, најава/лозинка на администратор на домен) и кликнете OK.

Слика 16. Автоматска инсталација на ISE агентот

7) За рачно инсталирање на агентот Cisco ISE, изберете ја ставката Регистрирајте го постоечкиот агент. Патем, можете да го преземете агентот во табулаторот Работни центри → Пасивен ID → Даватели → Агенти → Агент за преземање.

Слика 17. Преземање на агентот ISE

Важно: PassiveID не чита настани одјави се! Се повикува параметарот одговорен за истекот на времето време на стареење на сесијата на корисникот и стандардно е еднакво на 24 часа. Затоа, треба или сами да се одјавите на крајот од работниот ден, или да напишете некој вид на скрипта што автоматски ќе ги исклучи сите најавени корисници.

За информација одјави се Се користат „крајни сонди“ - терминални сонди. Постојат неколку сонди за крајна точка во Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. РАДИУС сонда со користење CoA Пакетите (Промена на овластување) даваат информации за промена на корисничките права (ова бара вградена 802.1X), и конфигуриран на прекинувачите за пристап SNMP, ќе дава информации за поврзани и исклучени уреди.

Следниот пример е релевантен за конфигурација Cisco ISE + AD без 802.1X и RADIUS: корисникот е најавен на машина со Windows, без да се одјавува, се најавува од друг компјутер преку WiFi. Во овој случај, сесијата на првиот компјутер сè уште ќе биде активна додека не дојде до истек на време или не дојде до принудно одјавување. Потоа, ако уредите имаат различни права, тогаш последниот најавен уред ќе ги применува своите права.

8) Изборно во јазичето Администрација → Управување со идентитет → Надворешни извори на идентитет → Активен директориум → Групи → Додај → Изберете групи од директориумот можете да изберете групи од AD што сакате да ги повлечете на ISE (во нашиот случај, ова беше направено во чекор 3 „Додавање LDAP сервер“). Изберете опција Враќање групи → OK.

Слика 18 а). Повлекување на кориснички групи од Active Directory

9) Во табот Работни центри → Пасивен ID → Преглед → Контролна табла можете да го набљудувате бројот на активни сесии, бројот на извори на податоци, агенти и друго.

Слика 19. Следење на активноста на корисниците на доменот

10) Во табот Сесии во живо се прикажуваат тековните сесии. Интеграцијата со АД е конфигурирана.

Слика 20. Активни сесии на корисници на домен

5. Заклучок

Оваа статија ги опфати темите за создавање локални корисници во Cisco ISE, додавање LDAP сервери и интегрирање со Microsoft Active Directory. Следната статија ќе го нагласи пристапот на гостите во форма на вишок водич.

Ако имате прашања во врска со оваа тема или ви треба помош за тестирање на производот, ве молиме контактирајте линк.

Останете во тек за ажурирања на нашите канали (Телеграма, Facebook, VK, Блог за TS Solution, Yandex Зен).

Извор: www.habr.com

Cisco ISE: Креирање корисници, додавање LDAP сервери, интегрирање со AD. Дел 2

1. Некоја терминологија

2. Креирајте локални корисници

3. Додавање LDAP сервери

4. Интеграција со Active Directory

5. Заклучок

Додадете коментар Откажи одговор