Cisco ISE цувралын хоёр дахь нийтлэлд тавтай морил. Эхнийх нь Сүлжээний хандалтын хяналтын (NAC) шийдлүүдийн стандарт AAA-аас давуу болон ялгаатай байдал, Cisco ISE-ийн өвөрмөц байдал, архитектур, бүтээгдэхүүний суулгах процессыг онцлон тэмдэглэв.
Энэ нийтлэлд бид данс үүсгэх, LDAP сервер нэмэх, Microsoft Active Directory-тэй нэгтгэх, мөн PassiveID-тэй ажиллах нарийн ширийн зүйлийг судлах болно. Уншихаасаа өмнө уншихыг зөвлөж байна .
1. Зарим нэр томъёо
Хэрэглэгчийн таниулбар - хэрэглэгчийн талаарх мэдээллийг агуулсан хэрэглэгчийн бүртгэл, сүлжээнд нэвтрэхийн тулд түүний итгэмжлэлийг үүсгэдэг. Дараах параметрүүдийг Хэрэглэгчийн таниулбарт ихэвчлэн заадаг: хэрэглэгчийн нэр, имэйл хаяг, нууц үг, бүртгэлийн тайлбар, хэрэглэгчийн бүлэг, үүрэг.
Хэрэглэгчийн бүлгүүд - хэрэглэгчийн бүлгүүд нь Cisco ISE-ийн тодорхой багц үйлчилгээ, функцүүдэд хандах боломжийг олгодог нийтлэг эрх бүхий бие даасан хэрэглэгчдийн цуглуулга юм.
Хэрэглэгчийн таних бүлэг - аль хэдийн тодорхой мэдээлэл, үүрэг бүхий урьдчилан тодорхойлсон хэрэглэгчийн бүлгүүд. Дараах Хэрэглэгчийн таних бүлгүүд нь анхдагч байдлаар байдаг бөгөөд та тэдгээрт хэрэглэгчид болон хэрэглэгчийн бүлгүүдийг нэмж болно: Ажилтан (ажилтан), SponsorAllAccounts, SponsorAllAccounts, SponsorOwnAccounts (зочин порталыг удирдах ивээн тэтгэгчийн дансууд), Зочин (зочин), ActivatedGuest (идэвхжүүлсэн зочин).
хэрэглэгчийн үүрэг- Хэрэглэгчийн үүрэг гэдэг нь тухайн хэрэглэгч ямар үүрэг даалгавар гүйцэтгэж, ямар үйлчилгээнд хандаж болохыг тодорхойлох зөвшөөрлийн багц юм. Ихэнхдээ хэрэглэгчийн үүрэг нь бүлэг хэрэглэгчидтэй холбоотой байдаг.
Түүнчлэн, хэрэглэгч болон хэрэглэгчийн бүлэг бүр энэ хэрэглэгчийг (хэрэглэгчийн бүлэг) сонгох, илүү тодорхой тодорхойлох боломжийг олгодог нэмэлт шинж чанартай байдаг. Дэлгэрэнгүй мэдээллийг эндээс авна уу .
2. Орон нутгийн хэрэглэгчдийг бий болгох
1) Cisco ISE нь орон нутгийн хэрэглэгчдийг бий болгож, тэдгээрийг хандалтын бодлогод ашиглах эсвэл бүр бүтээгдэхүүний удирдлагын үүрэг өгөх чадвартай. Сонго Захиргаа → Identity Management → Identities → Users → Add.
Зураг 1 Cisco ISE-д орон нутгийн хэрэглэгч нэмэх
2) Гарч ирэх цонхонд локал хэрэглэгч үүсгэж, нууц үг болон бусад ойлгомжтой параметрүүдийг тохируулна уу.
Зураг 2. Cisco ISE дээр орон нутгийн хэрэглэгч үүсгэх
3) Хэрэглэгчдийг импортлох боломжтой. Нэг таб дээр Захиргаа → Identity Management → Identities → Users сонголтыг сонгоно уу Импортын мөн csv эсвэл txt файлыг хэрэглэгчдэд байршуулах. Загвар авахын тулд сонгоно уу Загвар үүсгэх, дараа нь энэ нь тохиромжтой хэлбэрээр хэрэглэгчдийн талаарх мэдээллээр дүүрэн байх ёстой.
Зураг 3 Cisco ISE-д хэрэглэгчдийг импортлох
3. LDAP серверүүдийг нэмж байна
LDAP нь мэдээлэл хүлээн авах, баталгаажуулалт хийх, LDAP серверийн лавлахаас бүртгэл хайх, 389 эсвэл 636 (SS) порт дээр ажиллах боломжийг олгодог түгээмэл хэрэглээний түвшний протокол гэдгийг танд сануулъя. LDAP серверүүдийн тод жишээ бол Active Directory, Sun Directory, Novell eDirectory, OpenLDAP юм. LDAP лавлах дахь оруулга бүрийг DN (Ялгаатай нэр)-ээр тодорхойлдог бөгөөд хандалтын бодлогыг бүрдүүлэхийн тулд бүртгэл, хэрэглэгчийн бүлгүүд болон шинж чанаруудыг татаж авах ажлыг нэмэгдүүлдэг.
Cisco ISE-д олон LDAP серверт хандах хандалтыг тохируулах боломжтой бөгөөд ингэснээр илүүдлийг хэрэгжүүлэх боломжтой. Хэрэв үндсэн (үндсэн) LDAP сервер байхгүй бол ISE нь хоёрдогч (хоёрдогч) гэх мэт рүү хандахыг оролдох болно. Нэмж хэлэхэд, хэрэв 2 PAN байгаа бол үндсэн PAN-д нэг LDAP-ыг, хоёрдогч PAN-д өөр LDAP-ыг эрэмбэлэх боломжтой.
ISE нь LDAP серверүүдтэй ажиллахдаа 2 төрлийн хайлтыг (хайлт) дэмждэг: Хэрэглэгчийн хайлт ба MAC хаяг хайх. Хэрэглэгчийн хайлт нь LDAP мэдээллийн сангаас хэрэглэгчийг хайж, баталгаажуулалтгүйгээр дараах мэдээллийг авах боломжийг олгодог: хэрэглэгчид болон тэдгээрийн шинж чанарууд, хэрэглэгчийн бүлгүүд. MAC хаяг хайх нь танд баталгаажуулалтгүйгээр LDAP лавлахаас MAC хаягаар хайх, төхөөрөмж, MAC хаягаар бүлэг төхөөрөмжүүд болон бусад тодорхой шинж чанаруудын талаар мэдээлэл авах боломжийг олгодог.
Интеграцийн жишээ болгон Active Directory-г Cisco ISE-д LDAP сервер болгон нэмье.
1) Таб руу очно уу Захиргаа → Identity Management → External Identity Sources → LDAP → Add.
Зураг 4. LDAP сервер нэмэх
2) Самбар дотор Ерөнхий LDAP серверийн нэр ба схемийг (манай тохиолдолд Active Directory) зааж өгнө үү.
Зураг 5. Active Directory схем бүхий LDAP сервер нэмэх
3) Дараа нь очно уу Холболтын таб болон сонгоно уу Хост нэр/IP хаяг Серверийн AD, порт (389 - LDAP, 636 - SSL LDAP), домэйн администраторын итгэмжлэл (Админ DN - бүтэн DN), бусад параметрүүдийг анхдагч байдлаар үлдээж болно.
тайлбар: болзошгүй асуудлаас зайлсхийхийн тулд админ домайн мэдээллийг ашиглана уу.
Зураг 6 LDAP серверийн өгөгдлийг оруулах
4) Таб дотор Лавлах байгууллага хэрэглэгч болон хэрэглэгчийн бүлгийг хаанаас татах вэ гэдгийг DN-ээр дамжуулан лавлах хэсгийг зааж өгөх хэрэгтэй.
Зураг 7. Хэрэглэгчийн бүлгүүд татах боломжтой сангуудыг тодорхойлох
5) Цонх руу оч Бүлгүүд → Нэмэх → Лавлахаас бүлгүүдийг сонгоно уу LDAP серверээс татах бүлгүүдийг сонгох.
Зураг 8. LDAP серверээс бүлгүүдийг нэмэх
6) Гарч ирсэн цонхон дээр дарна уу Бүлгүүдийг татаж авах. Хэрэв бүлгүүд боссон бол урьдчилсан алхмууд амжилттай хийгдсэн болно. Үгүй бол өөр администратороор оролдоод, LDAP протоколоор дамжуулан LDAP сервертэй ISE байгаа эсэхийг шалгана уу.
Зураг 9. Татсан хэрэглэгчийн бүлгүүдийн жагсаалт
7) Таб дотор шинж чанарууд та сонголтоор LDAP серверээс ямар шинж чанаруудыг татахыг цонхонд зааж өгч болно Нарийвчилсан тохиргоо идэвхжүүлэх сонголт Нууц үг солихыг идэвхжүүлэх, хэрэв хугацаа нь дууссан эсвэл дахин тохируулагдсан бол хэрэглэгчдэд нууц үгээ өөрчлөхөд хүргэдэг. Ямар ч байсан товшино уу оруулах үргэлжлүүлэх.
8) LDAP сервер харгалзах таб дээр гарч ирсэн бөгөөд ирээдүйд хандалтын бодлогыг бүрдүүлэхэд ашиглаж болно.
Зураг 10. Нэмэгдсэн LDAP серверүүдийн жагсаалт
4. Active Directory-тэй нэгтгэх
1) Microsoft Active Directory серверийг LDAP сервер болгон нэмснээр бид хэрэглэгчид, хэрэглэгчийн бүлгүүдийг авсан боловч бүртгэлгүй болно. Дараа нь би Cisco ISE-тэй AD-ийн бүрэн интеграцчлалыг бий болгохыг санал болгож байна. Таб руу оч Захиргаа → Identity Management → External Identity Sources → Active Directory → Add.
Тайлбар: AD-тай амжилттай нэгтгэхийн тулд ISE нь домэйнд байх ёстой бөгөөд DNS, NTP болон AD серверүүдтэй бүрэн холболттой байх ёстой, эс тэгвээс юу ч гарахгүй.
Зураг 11. Active Directory сервер нэмэх
2) Гарч ирэх цонхонд домэйн администраторын дэлгэрэнгүй мэдээллийг оруулаад нүдийг чагтална уу Дэлгүүрийн итгэмжлэл. Нэмж хэлэхэд, хэрэв ISE нь тодорхой OU-д байрладаг бол та OU (Байгууллагын нэгж)-ийг зааж өгч болно. Дараа нь та домэйнд холбогдохыг хүсч буй Cisco ISE зангилааг сонгох хэрэгтэй болно.
Зураг 12. Итгэмжлэлийн үнэмлэх оруулах
3) Домэйн хянагч нэмэхээсээ өмнө таб дээрх PSN дээр байгаа эсэхийг шалгаарай Захиргаа → Систем → Байрлуулалт сонголтыг идэвхжүүлсэн Идэвхгүй таних үйлчилгээ. Идэвхгүй ID - Хэрэглэгчийг IP болон эсрэгээр орчуулах боломжийг танд олгодог сонголт. PassiveID нь WMI, тусгай AD агентууд эсвэл шилжүүлэгч дээрх SPAN портоор дамжуулан AD-аас мэдээлэл авдаг (хамгийн сайн сонголт биш).
Тайлбар: Passive ID-ийн төлөвийг шалгахын тулд ISE консол дээр бичнэ үү програмын статусыг харуулах бол | PassiveID орно.
Зураг 13. PassiveID сонголтыг идэвхжүүлж байна
4) Таб руу очно уу Захиргаа → Identity Management → Гадаад таних эх сурвалж → Active Directory → PassiveID болон сонголтыг сонгоно уу DC-үүдийг нэмнэ үү. Дараа нь шаардлагатай домэйн хянагчдыг шалгах нүдээр сонгоод товшино уу БОЛЖ БАЙНА УУ.
Зураг 14. Домэйн хянагч нэмэх
5) Нэмэгдсэн DC-г сонгоод товчийг дарна уу Засварлах. Заана уу FQDN таны DC, домэйн нэвтрэх болон нууц үг, мөн холбоосын сонголт WMI буюу Агент. WMI-г сонгоод товшино уу БОЛЖ БАЙНА УУ.
Зураг 15. Домэйн хянагчийн мэдээллийг оруулах
6) Хэрэв WMI нь Active Directory-тэй харилцах хамгийн тохиромжтой арга биш бол ISE агентуудыг ашиглаж болно. Агент арга нь нэвтрэх үйл явдлуудыг гаргах серверүүд дээр тусгай агентуудыг суулгаж болно. Суулгах 2 сонголт байдаг: автомат болон гарын авлага. Агентийг нэг таб дээр автоматаар суулгахын тулд Идэвхгүй ID зүйлийг сонгох Агент нэмэх → Шинэ агент байрлуулах (ДС нь интернет холболттой байх ёстой). Дараа нь шаардлагатай талбаруудыг (агентийн нэр, серверийн FQDN, домэйн администраторын нэвтрэх/нууц үг) бөглөж, товшино уу. БОЛЖ БАЙНА УУ.
Зураг 16. ISE агентийн автомат суурилуулалт
7) Cisco ISE агентийг гараар суулгахын тулд тухайн зүйлийг сонгоно уу Одоо байгаа агентыг бүртгэх. Дашрамд хэлэхэд та агентийг таб дээрээс татаж авах боломжтой Ажлын төвүүд → PassiveID → Үйлчилгээ үзүүлэгчид → Агентууд → Татаж авах агент.
Зураг 17. ISE агентийг татаж авч байна
Энэ нь чухал юм: PassiveID нь үйл явдлыг уншдаггүй гарах! Хугацаа дуусахыг хариуцах параметрийг дуудна хэрэглэгчийн сессийн хөгшрөлтийн хугацаа бөгөөд анхдагчаар 24 цагтай тэнцэнэ. Тиймээс та ажлын өдрийн төгсгөлд өөрийгөө унтраах эсвэл нэвтэрсэн бүх хэрэглэгчдийг автоматаар унтраах скрипт бичих хэрэгтэй.
Мэдээлэлд гарах "Төгсгөлийн цэгийн датчик" - терминалын мэдрэгчийг ашигладаг. Cisco ISE-д хэд хэдэн төгсгөлийн цэгүүд байдаг: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS датчик ашиглан CoA (Зөвшөөрлийн өөрчлөлт) багцууд нь хэрэглэгчийн эрхийг өөрчлөх тухай мэдээллийг өгдөг (энэ нь суулгагдсан байх шаардлагатай. 802.1X) болон SNMP хандалтын унтраалга дээр тохируулагдсан нь холбогдсон болон салгагдсан төхөөрөмжүүдийн талаар мэдээлэл өгөх болно.
Дараах жишээ нь 802.1X ба RADIUS-гүй Cisco ISE + AD тохиргоонд хамааралтай: хэрэглэгч Windows төхөөрөмж дээр нэвтэрсэн, хаалт хийхгүйгээр өөр компьютерээс WiFi-ээр нэвтэрч орно. Энэ тохиолдолд эхний компьютер дээрх сесс завсарлага гарах эсвэл албадан гарах хүртэл идэвхтэй хэвээр байх болно. Хэрэв төхөөрөмжүүд өөр эрхтэй бол хамгийн сүүлд нэвтэрсэн төхөөрөмж эрхээ хэрэгжүүлэх болно.
8) Таб дээр нэмэлт Захиргаа → Identity Management → Гадаад таних эх сурвалж → Active Directory → Бүлгүүд → Нэмэх → Лавлахаас бүлгүүдийг сонгох Та AD-аас ISE дээр татахыг хүсч буй бүлгүүдийг сонгож болно (манай тохиолдолд үүнийг "LDAP сервер нэмэх" 3-р алхам дээр хийсэн). Сонголтыг сонгоно уу Бүлгүүдийг сэргээх → OK.
Зураг 18 a). Active Directory-ээс хэрэглэгчийн бүлгийг татаж байна
9) Таб дотор Ажлын төвүүд → PassiveID → Тойм → Хяналтын самбар Та идэвхтэй сессийн тоо, мэдээллийн эх сурвалж, агент болон бусад зүйлийг ажиглаж болно.
Зураг 19. Домэйн хэрэглэгчдийн үйл ажиллагааг хянах
10) Таб дотор Шууд нэвтрүүлэг одоогийн сешнүүдийг харуулна. AD-тай интеграцчлалыг тохируулсан.
Зураг 20. Домэйн хэрэглэгчдийн идэвхтэй сесс
5. Дүгнэлт
Энэ нийтлэлд Cisco ISE дээр локал хэрэглэгч үүсгэх, LDAP сервер нэмэх, Microsoft Active Directory-тэй нэгтгэх сэдвүүдийг авч үзсэн. Дараагийн нийтлэл нь нэмэлт гарын авлага хэлбэрээр зочдын хандалтыг онцлон харуулах болно.
Хэрэв танд энэ сэдвийн талаар асуулт байвал эсвэл бүтээгдэхүүнийг туршихад тусламж хэрэгтэй бол холбоо барина уу .
Манай сувгуудын шинэчлэлтүүдийг хүлээж байгаарай (, , , , ).
Эх сурвалж: www.habr.com