सिस्को ISE: वापरकर्ते तयार करणे, LDAP सर्व्हर जोडणे, AD सह एकत्रित करणे. भाग 2

Cisco ISE मालिकेतील दुसऱ्या पोस्टमध्ये आपले स्वागत आहे. पहिल्या मध्ये लेख  मानक AAA मधील नेटवर्क ऍक्सेस कंट्रोल (NAC) सोल्यूशन्सचे फायदे आणि फरक, Cisco ISE चे वेगळेपण, आर्किटेक्चर आणि उत्पादनाची स्थापना प्रक्रिया हायलाइट करण्यात आली.

या लेखात, आम्ही खाती तयार करणे, LDAP सर्व्हर जोडणे आणि Microsoft Active Directory सह एकत्रित करणे, तसेच PassiveID सोबत काम करण्याच्या बारकाव्यांचा अभ्यास करू. वाचण्यापूर्वी, मी जोरदार शिफारस करतो की आपण वाचावे पहिला भाग.

1. काही शब्दावली

वापरकर्ता ओळख - एक वापरकर्ता खाते ज्यामध्ये वापरकर्त्याबद्दल माहिती असते आणि नेटवर्कमध्ये प्रवेश करण्यासाठी त्याची क्रेडेन्शियल्स व्युत्पन्न करते. खालील पॅरामीटर्स सामान्यत: वापरकर्ता ओळख मध्ये निर्दिष्ट केले जातात: वापरकर्तानाव, ईमेल पत्ता, पासवर्ड, खात्याचे वर्णन, वापरकर्ता गट आणि भूमिका.

वापरकर्ता गट - वापरकर्ता गट हा वैयक्तिक वापरकर्त्यांचा संग्रह आहे ज्यांच्याकडे विशेषाधिकारांचा एक सामान्य संच आहे जो त्यांना Cisco ISE सेवा आणि फंक्शन्सच्या विशिष्ट सेटमध्ये प्रवेश करण्याची परवानगी देतो.

वापरकर्ता ओळख गट - पूर्वनिर्धारित वापरकर्ता गट ज्यांच्याकडे आधीच काही माहिती आणि भूमिका आहेत. खालील वापरकर्ता ओळख गट डीफॉल्टनुसार अस्तित्वात आहेत, तुम्ही त्यात वापरकर्ते आणि वापरकर्ता गट जोडू शकता: कर्मचारी (कर्मचारी), प्रायोजक सर्व खाते, प्रायोजक गट खाती, प्रायोजक खाते (अतिथी पोर्टल व्यवस्थापित करण्यासाठी प्रायोजक खाती), अतिथी (अतिथी), सक्रिय अतिथी (सक्रिय अतिथी).

वापरकर्ता-भूमिका- वापरकर्ता भूमिका हा परवानग्यांचा एक संच असतो जो वापरकर्ता कोणती कार्ये करू शकतो आणि कोणत्या सेवांमध्ये प्रवेश करू शकतो हे निर्धारित करतो. अनेकदा वापरकर्त्याची भूमिका वापरकर्त्यांच्या गटाशी संबंधित असते.

शिवाय, प्रत्येक वापरकर्ता आणि वापरकर्ता गटामध्ये अतिरिक्त गुणधर्म आहेत जे तुम्हाला हा वापरकर्ता (वापरकर्ता गट) निवडण्याची आणि अधिक विशिष्टपणे परिभाषित करण्याची परवानगी देतात. मध्ये अधिक माहिती मार्गदर्शन.

2. स्थानिक वापरकर्ते तयार करा

1) Cisco ISE कडे स्थानिक वापरकर्ते तयार करण्याची आणि त्यांना प्रवेश धोरणात वापरण्याची किंवा उत्पादन प्रशासनाची भूमिका देण्याची क्षमता आहे. निवडा प्रशासन → ओळख व्यवस्थापन → ओळख → वापरकर्ते → जोडा.

आकृती 1 सिस्को ISE मध्ये स्थानिक वापरकर्ता जोडणे

2) दिसत असलेल्या विंडोमध्ये, स्थानिक वापरकर्ता तयार करा, पासवर्ड आणि इतर समजण्यायोग्य पॅरामीटर्स सेट करा.

आकृती 2. सिस्को ISE मध्ये स्थानिक वापरकर्ता तयार करणे

3) वापरकर्ते देखील आयात केले जाऊ शकतात. त्याच टॅबमध्ये प्रशासन → ओळख व्यवस्थापन → ओळख → वापरकर्ते एक पर्याय निवडा आयात करा आणि वापरकर्त्यांसह csv किंवा txt फाइल अपलोड करा. टेम्पलेट मिळविण्यासाठी निवडा एक टेम्पलेट व्युत्पन्न करा, नंतर ते योग्य फॉर्ममध्ये वापरकर्त्यांबद्दल माहितीने भरले पाहिजे.

आकृती 3 सिस्को ISE मध्ये वापरकर्ते आयात करणे

3. LDAP सर्व्हर जोडणे

मी तुम्हाला आठवण करून देतो की LDAP हा एक लोकप्रिय ऍप्लिकेशन-स्तरीय प्रोटोकॉल आहे जो तुम्हाला माहिती प्राप्त करण्यास, प्रमाणीकरण करण्यास, LDAP सर्व्हरच्या निर्देशिकांमध्ये खाती शोधण्याची परवानगी देतो, पोर्ट 389 किंवा 636 (SS) वर कार्य करतो. LDAP सर्व्हरची ठळक उदाहरणे म्हणजे Active Directory, Sun Directory, Novel eDirectory, आणि OpenLDAP. LDAP निर्देशिकेतील प्रत्येक नोंद DN (विशिष्ट नाव) द्वारे परिभाषित केली जाते आणि प्रवेश धोरण तयार करण्यासाठी खाती, वापरकर्ता गट आणि विशेषता पुनर्प्राप्त करण्याचे कार्य उभे केले जाते.

Cisco ISE मध्ये, अनेक LDAP सर्व्हरवर प्रवेश कॉन्फिगर करणे शक्य आहे, ज्यामुळे रिडंडंसी लागू होते. जर प्राथमिक (प्राथमिक) LDAP सर्व्हर उपलब्ध नसेल, तर ISE दुय्यम (दुय्यम) इत्यादींमध्ये प्रवेश करण्याचा प्रयत्न करेल. याव्यतिरिक्त, 2 पॅन असल्यास, प्राथमिक पॅनसाठी एक LDAP आणि दुय्यम पॅनसाठी दुसरा LDAP प्राधान्य दिले जाऊ शकते.

LDAP सर्व्हरसह कार्य करताना ISE 2 प्रकारच्या लुकअप (लूकअप) चे समर्थन करते: वापरकर्ता लुकअप आणि MAC पत्ता लुकअप. वापरकर्ता लुकअप तुम्हाला LDAP डेटाबेसमध्ये वापरकर्ता शोधण्याची आणि प्रमाणीकरणाशिवाय खालील माहिती मिळविण्याची परवानगी देतो: वापरकर्ते आणि त्यांचे गुणधर्म, वापरकर्ता गट. MAC अॅड्रेस लुकअप तुम्हाला प्रमाणीकरणाशिवाय LDAP डिरेक्टरीमध्ये MAC पत्त्याद्वारे शोधण्याची आणि डिव्हाइसबद्दल, MAC पत्त्यांद्वारे डिव्हाइसेसचा समूह आणि इतर विशिष्ट गुणधर्मांबद्दल माहिती मिळविण्याची परवानगी देते.

एकीकरणाचे उदाहरण म्हणून, LDAP सर्व्हर म्हणून Cisco ISE मध्ये Active Directory जोडू.

1) टॅबवर जा प्रशासन → ओळख व्यवस्थापन → बाह्य ओळख स्रोत → LDAP → जोडा. 

आकृती 4. LDAP सर्व्हर जोडणे

2) पॅनेलमध्ये जनरल LDAP सर्व्हरचे नाव आणि योजना निर्दिष्ट करा (आमच्या बाबतीत, सक्रिय निर्देशिका). 

आकृती 5. सक्रिय निर्देशिका स्कीमासह LDAP सर्व्हर जोडणे

3) पुढे जा कनेक्शन टॅब आणि निवडा होस्टनाव/IP पत्ता सर्व्हर AD, पोर्ट (389 - LDAP, 636 - SSL LDAP), डोमेन प्रशासक क्रेडेंशियल्स (Admin DN - full DN), इतर पॅरामीटर्स डीफॉल्ट म्हणून सोडले जाऊ शकतात.

शेरा: संभाव्य समस्या टाळण्यासाठी प्रशासक डोमेन तपशील वापरा.

आकृती 6 LDAP सर्व्हर डेटा प्रविष्ट करणे

4) टॅबमध्ये निर्देशिका संस्था वापरकर्ते आणि वापरकर्ता गट कुठून खेचायचे ते तुम्ही DN द्वारे निर्देशिकेचे क्षेत्र निर्दिष्ट केले पाहिजे.

आकृती 7. डिरेक्टरीजचे निर्धारण जिथून वापरकर्ता गट खेचू शकतात

5) विंडोवर जा गट → जोडा → निर्देशिकामधून गट निवडा LDAP सर्व्हरवरून पुल गट निवडण्यासाठी.

आकृती 8. LDAP सर्व्हरवरून गट जोडणे

6) दिसत असलेल्या विंडोमध्ये क्लिक करा गट पुनर्प्राप्त करा. जर गट खेचले असतील, तर प्राथमिक टप्पे यशस्वीरित्या पूर्ण झाले आहेत. अन्यथा, दुसरा प्रशासक वापरून पहा आणि LDAP प्रोटोकॉलद्वारे LDAP सर्व्हरसह ISE ची उपलब्धता तपासा.

आकृती 9. ओढलेल्या वापरकर्त्यांच्या गटांची यादी

7) टॅबमध्ये विशेषता LDAP सर्व्हरवरून कोणते गुणधर्म खेचले जावेत, आणि विंडोमध्ये तुम्ही वैकल्पिकरित्या निर्दिष्ट करू शकता प्रगत सेटिंग्ज पर्याय सक्षम करा पासवर्ड बदलणे सक्षम करा, जे वापरकर्त्यांना त्यांचा पासवर्ड कालबाह्य झाल्यास किंवा रीसेट केला असल्यास बदलण्यास भाग पाडेल. असो क्लिक करा सादर चालू ठेवा.

8) LDAP सर्व्हर संबंधित टॅबमध्ये दिसला आणि भविष्यात प्रवेश धोरणे तयार करण्यासाठी वापरला जाऊ शकतो.

आकृती 10. जोडलेल्या LDAP सर्व्हरची यादी

4. सक्रिय निर्देशिकेसह एकत्रीकरण

1) मायक्रोसॉफ्ट ऍक्टिव्ह डिरेक्टरी सर्व्हरला LDAP सर्व्हर म्हणून जोडून, ​​आम्हाला वापरकर्ते, वापरकर्ते गट मिळाले, परंतु लॉग नाही. पुढे, मी Cisco ISE सह पूर्ण AD एकीकरण सेट करण्याचा प्रस्ताव देतो. टॅबवर जा प्रशासन → ओळख व्यवस्थापन → बाह्य ओळख स्रोत → सक्रिय निर्देशिका → जोडा. 

टीप: AD सह यशस्वी एकीकरणासाठी, ISE डोमेनमध्ये असणे आवश्यक आहे आणि DNS, NTP आणि AD सर्व्हरसह पूर्ण कनेक्टिव्हिटी असणे आवश्यक आहे, अन्यथा त्यातून काहीही मिळणार नाही.

आकृती 11. सक्रिय निर्देशिका सर्व्हर जोडणे

2) दिसत असलेल्या विंडोमध्ये, डोमेन प्रशासक तपशील प्रविष्ट करा आणि बॉक्स चेक करा क्रेडेन्शियल्स स्टोअर करा. याव्यतिरिक्त, जर ISE विशिष्ट OU मध्ये स्थित असेल तर तुम्ही OU (संस्थात्मक एकक) निर्दिष्ट करू शकता. पुढे, तुम्हाला सिस्को ISE नोड्स निवडावे लागतील जे तुम्ही डोमेनशी कनेक्ट करू इच्छिता.

आकृती 12. क्रेडेन्शियल्स प्रविष्ट करणे

3) डोमेन कंट्रोलर जोडण्यापूर्वी, टॅबमधील PSN वर असल्याची खात्री करा प्रशासन → प्रणाली → उपयोजन पर्याय सक्षम निष्क्रिय ओळख सेवा. पॅसिव्हआयडी - एक पर्याय जो तुम्हाला वापरकर्त्याचे IP आणि त्याउलट भाषांतर करण्यास अनुमती देतो. PassiveID ला AD कडून WMI, स्पेशल AD एजंट्स किंवा स्विचवरील SPAN पोर्ट (सर्वोत्तम पर्याय नाही) द्वारे माहिती मिळते.

टीप: निष्क्रिय आयडीची स्थिती तपासण्यासाठी, ISE कन्सोलमध्ये टाइप करा अर्जाची स्थिती ise दाखवा | PassiveID समाविष्ट करा.

आकृती 13. PassiveID पर्याय सक्षम करणे

4) टॅबवर जा प्रशासन → ओळख व्यवस्थापन → बाह्य ओळख स्रोत → सक्रिय निर्देशिका → पॅसिव्हआयडी आणि पर्याय निवडा डीसी जोडा. पुढे, चेकबॉक्ससह आवश्यक डोमेन नियंत्रक निवडा आणि क्लिक करा ठीक आहे.

आकृती 14. डोमेन कंट्रोलर जोडणे

5) जोडलेले DC निवडा आणि बटणावर क्लिक करा संपादित करा. कृपया सूचित करा एफक्यूडीएन तुमचा DC, डोमेन लॉगिन आणि पासवर्ड आणि लिंक पर्याय WMI किंवा एजंट. WMI निवडा आणि क्लिक करा ठीक आहे.

आकृती 15 डोमेन कंट्रोलर तपशील प्रविष्ट करणे

6) जर WMI हा ऍक्टिव्ह डिरेक्ट्रीशी संवाद साधण्याचा प्राधान्याचा मार्ग नसेल, तर ISE एजंट्स वापरता येतील. एजंट पद्धत अशी आहे की तुम्ही सर्व्हरवर विशेष एजंट्स स्थापित करू शकता जे लॉगिन इव्हेंट सोडतील. 2 इंस्टॉलेशन पर्याय आहेत: स्वयंचलित आणि मॅन्युअल. त्याच टॅबमध्ये एजंट स्वयंचलितपणे स्थापित करण्यासाठी पॅसिव्हआयडी निवडा एजंट जोडा → नवीन एजंट तैनात करा (डीसीमध्ये इंटरनेट प्रवेश असणे आवश्यक आहे). नंतर आवश्यक फील्ड भरा (एजंटचे नाव, सर्व्हर FQDN, डोमेन प्रशासक लॉगिन/पासवर्ड) आणि क्लिक करा ठीक आहे.

आकृती 16. ISE एजंटची स्वयंचलित स्थापना

7) सिस्को ISE एजंट व्यक्तिचलितपणे स्थापित करण्यासाठी, आयटम निवडा विद्यमान एजंटची नोंदणी करा. तसे, तुम्ही टॅबमध्ये एजंट डाउनलोड करू शकता कार्य केंद्र → PassiveID → प्रदाता → एजंट → डाउनलोड एजंट.

आकृती 17. ISE एजंट डाउनलोड करणे

हे महत्त्वाचे आहे: PassiveID इव्हेंट वाचत नाही लॉगऑफ! कालबाह्यतेसाठी जबाबदार पॅरामीटर म्हणतात वापरकर्ता सत्र वृद्धत्व वेळ आणि डीफॉल्टनुसार 24 तासांच्या बरोबरीचे. म्हणून, तुम्ही एकतर कामाच्या दिवसाच्या शेवटी स्वतःला लॉगऑफ करावे किंवा काही प्रकारचे स्क्रिप्ट लिहावे जे सर्व लॉग इन केलेल्या वापरकर्त्यांना स्वयंचलितपणे लॉगऑफ करेल. 

माहिती लॉगऑफ "एंडपॉइंट प्रोब" वापरले जातात - टर्मिनल प्रोब. सिस्को ISE मध्ये अनेक एंडपॉइंट प्रोब आहेत: RADIUS, SNMP ट्रॅप, SNMP क्वेरी, DHCP, DNS, HTTP, Netflow, NMAP स्कॅन. RADIUS वापरून तपासणी CoA (चेंज ऑफ ऑथोरायझेशन) पॅकेजेस वापरकर्ता अधिकार बदलण्याबद्दल माहिती देतात (यासाठी एम्बेडेड आवश्यक आहे 802.1X), आणि प्रवेश स्विचेस SNMP वर कॉन्फिगर केलेले, कनेक्ट केलेल्या आणि डिस्कनेक्ट केलेल्या डिव्हाइसेसबद्दल माहिती देईल.

खालील उदाहरण 802.1X आणि RADIUS शिवाय Cisco ISE + AD कॉन्फिगरेशनसाठी उपयुक्त आहे: वापरकर्ता विंडोज मशीनवर लॉग इन करतो, लॉगऑफ न करता, WiFi द्वारे दुसर्‍या PC वरून लॉग इन करतो. या प्रकरणात, कालबाह्य होईपर्यंत किंवा सक्तीने लॉगऑफ होईपर्यंत पहिल्या पीसीवरील सत्र अद्याप सक्रिय असेल. नंतर डिव्हाइसेसना भिन्न अधिकार असल्यास, शेवटचे लॉग इन केलेले डिव्हाइस त्याचे अधिकार लागू करेल.

8) टॅबमध्ये पर्यायी प्रशासन → ओळख व्यवस्थापन → बाह्य ओळख स्रोत → सक्रिय निर्देशिका → गट → जोडा → निर्देशिकामधून गट निवडा तुम्ही AD मधून गट निवडू शकता जे तुम्हाला ISE वर खेचायचे आहेत (आमच्या बाबतीत, हे चरण 3 "एलडीएपी सर्व्हर जोडणे" मध्ये केले गेले आहे). एक पर्याय निवडा गट पुनर्प्राप्त करा → ठीक आहे. 

आकृती 18 अ). सक्रिय निर्देशिका मधून वापरकर्ता गट खेचत आहे

9) टॅबमध्ये कार्य केंद्र → PassiveID → विहंगावलोकन → डॅशबोर्ड तुम्ही सक्रिय सत्रांची संख्या, डेटा स्रोतांची संख्या, एजंट आणि बरेच काही पाहू शकता.

आकृती 19. डोमेन वापरकर्त्यांच्या क्रियाकलापांचे निरीक्षण करणे

10) टॅबमध्ये थेट सत्रे वर्तमान सत्रे प्रदर्शित केली जातात. AD सह एकत्रीकरण कॉन्फिगर केले आहे.

आकृती 20. डोमेन वापरकर्त्यांची सक्रिय सत्रे

5 निष्कर्ष

या लेखात Cisco ISE मध्ये स्थानिक वापरकर्ते तयार करणे, LDAP सर्व्हर जोडणे आणि Microsoft Active Directory सह एकत्रित करणे या विषयांचा समावेश आहे. पुढील लेख अतिथी प्रवेशास निरर्थक मार्गदर्शकाच्या रूपात हायलाइट करेल.

तुम्हाला या विषयाबद्दल प्रश्न असल्यास किंवा उत्पादनाची चाचणी करण्यात मदत हवी असल्यास, कृपया संपर्क साधा दुवा.

आमच्या चॅनेलमधील अद्यतनांसाठी संपर्कात रहा (तार, फेसबुक, VK, टीएस सोल्यूशन ब्लॉग, यांडेक्स झेन).

स्त्रोत: www.habr.com