Selamat datang ke jawatan kedua dalam siri Cisco ISE. Yang pertama kelebihan dan perbezaan penyelesaian Kawalan Akses Rangkaian (NAC) daripada AAA standard, keunikan Cisco ISE, seni bina dan proses pemasangan produk telah diserlahkan.
Dalam artikel ini, kami akan menyelidiki dalam membuat akaun, menambah pelayan LDAP dan menyepadukan dengan Microsoft Active Directory, serta nuansa bekerja dengan PassiveID. Sebelum membaca, saya amat mengesyorkan anda membaca .
1. Beberapa istilah
Identiti Pengguna - akaun pengguna yang mengandungi maklumat tentang pengguna dan menjana kelayakannya untuk mengakses rangkaian. Parameter berikut biasanya dinyatakan dalam Identiti Pengguna: nama pengguna, alamat e-mel, kata laluan, perihalan akaun, kumpulan pengguna dan peranan.
Kumpulan Pengguna - kumpulan pengguna ialah koleksi pengguna individu yang mempunyai set keistimewaan biasa yang membolehkan mereka mengakses set perkhidmatan dan fungsi Cisco ISE tertentu.
Kumpulan Identiti Pengguna - kumpulan pengguna pratakrif yang sudah mempunyai maklumat dan peranan tertentu. Kumpulan Identiti Pengguna berikut wujud secara lalai, anda boleh menambah pengguna dan kumpulan pengguna kepada mereka: Pekerja (pekerja), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (akaun penaja untuk mengurus portal tetamu), Tetamu (tetamu), ActivatedGuest (tetamu yang diaktifkan).
peranan pengguna- Peranan pengguna ialah satu set kebenaran yang menentukan tugas yang boleh dilakukan oleh pengguna dan perkhidmatan yang boleh diakses. Selalunya peranan pengguna dikaitkan dengan sekumpulan pengguna.
Selain itu, setiap pengguna dan kumpulan pengguna mempunyai atribut tambahan yang membolehkan anda memilih dan mentakrifkan pengguna ini (kumpulan pengguna) dengan lebih khusus. Maklumat lanjut dalam .
2. Buat pengguna tempatan
1) Cisco ISE mempunyai keupayaan untuk mencipta pengguna tempatan dan menggunakannya dalam dasar akses atau bahkan memberikan peranan pentadbiran produk. Pilih Pentadbiran → Pengurusan Identiti → Identiti → Pengguna → Tambah.
Rajah 1 Menambah Pengguna Setempat pada Cisco ISE
2) Dalam tetingkap yang muncul, buat pengguna tempatan, tetapkan kata laluan dan parameter lain yang boleh difahami.
Rajah 2. Mencipta Pengguna Setempat dalam Cisco ISE
3) Pengguna juga boleh diimport. Dalam tab yang sama Pentadbiran → Pengurusan Identiti → Identiti → Pengguna pilih satu pilihan Mengimport dan muat naik fail csv atau txt dengan pengguna. Untuk mendapatkan templat pilih Hasilkan Templat, maka ia hendaklah diisi dengan maklumat tentang pengguna dalam bentuk yang sesuai.
Rajah 3 Mengimport Pengguna ke Cisco ISE
3. Menambah pelayan LDAP
Biar saya ingatkan anda bahawa LDAP ialah protokol peringkat aplikasi popular yang membolehkan anda menerima maklumat, melaksanakan pengesahan, mencari akaun dalam direktori pelayan LDAP, berfungsi pada port 389 atau 636 (SS). Contoh utama pelayan LDAP ialah Active Directory, Sun Directory, Novell eDirectory dan OpenLDAP. Setiap entri dalam direktori LDAP ditakrifkan oleh DN (Nama Terbilang) dan tugas untuk mendapatkan semula akaun, kumpulan pengguna dan atribut dinaikkan untuk membentuk dasar akses.
Dalam Cisco ISE, adalah mungkin untuk mengkonfigurasi akses kepada banyak pelayan LDAP, dengan itu melaksanakan redundansi. Jika pelayan LDAP primer (utama) tidak tersedia, maka ISE akan cuba mengakses sekunder (menengah) dan seterusnya. Selain itu, jika terdapat 2 PAN, maka satu LDAP boleh diutamakan untuk PAN primer dan LDAP lain untuk PAN sekunder.
ISE menyokong 2 jenis carian (lookup) apabila bekerja dengan pelayan LDAP: User Lookup dan MAC Address Lookup. Carian Pengguna membolehkan anda mencari pengguna dalam pangkalan data LDAP dan mendapatkan maklumat berikut tanpa pengesahan: pengguna dan atribut mereka, kumpulan pengguna. Carian Alamat MAC juga membolehkan anda mencari mengikut alamat MAC dalam direktori LDAP tanpa pengesahan dan mendapatkan maklumat tentang peranti, sekumpulan peranti mengikut alamat MAC dan atribut khusus lain.
Sebagai contoh penyepaduan, mari tambah Active Directory pada Cisco ISE sebagai pelayan LDAP.
1) Pergi ke tab Pentadbiran → Pengurusan Identiti → Sumber Identiti Luaran → LDAP → Tambah.
Rajah 4. Menambah pelayan LDAP
2) Dalam panel Umum nyatakan nama dan skema pelayan LDAP (dalam kes kami, Active Directory).
Rajah 5. Menambah pelayan LDAP dengan skema Active Directory
3) Seterusnya pergi ke Hubungan tab dan pilih Nama hos/alamat IP Pelayan AD, port (389 - LDAP, 636 - SSL LDAP), bukti kelayakan pentadbir domain (Admin DN - DN penuh), parameter lain boleh dibiarkan sebagai lalai.
Nota: gunakan butiran domain pentadbir untuk mengelakkan masalah yang mungkin berlaku.
Rajah 6 Memasukkan Data Pelayan LDAP
4) Dalam tab Organisasi Direktori anda harus menentukan kawasan direktori melalui DN dari mana untuk menarik pengguna dan kumpulan pengguna.
Rajah 7. Penentuan direktori dari mana kumpulan pengguna boleh menarik
5) Pergi ke tetingkap Kumpulan → Tambah → Pilih Kumpulan Dari Direktori untuk memilih kumpulan tarik daripada pelayan LDAP.
Rajah 8. Menambah kumpulan daripada pelayan LDAP
6) Dalam tetingkap yang muncul, klik Dapatkan Kumpulan. Sekiranya kumpulan telah menarik diri, maka langkah awal telah berjaya diselesaikan. Jika tidak, cuba pentadbir lain dan semak ketersediaan ISE dengan pelayan LDAP melalui protokol LDAP.
Rajah 9. Senarai kumpulan pengguna yang ditarik
7) Dalam tab Atribut anda boleh secara pilihan menentukan atribut dari pelayan LDAP yang harus ditarik ke atas, dan dalam tetingkap Tetapan Lanjutan membolehkan pilihan Dayakan penukaran kata laluan, yang akan memaksa pengguna menukar kata laluan mereka jika kata laluan itu telah tamat tempoh atau ditetapkan semula. Apa-apa pun klik Hantar bersambung.
8) Pelayan LDAP muncul dalam tab yang sepadan dan boleh digunakan untuk membentuk dasar akses pada masa hadapan.
Rajah 10. Senarai pelayan LDAP yang ditambah
4. Integrasi dengan Active Directory
1) Dengan menambahkan pelayan Microsoft Active Directory sebagai pelayan LDAP, kami mendapat pengguna, kumpulan pengguna, tetapi tiada log. Seterusnya, saya mencadangkan untuk menyediakan penyepaduan AD sepenuhnya dengan Cisco ISE. Pergi ke tab Pentadbiran → Pengurusan Identiti → Sumber Identiti Luaran → Direktori Aktif → Tambah.
Nota: untuk penyepaduan yang berjaya dengan AD, ISE mesti berada dalam domain dan mempunyai sambungan penuh dengan pelayan DNS, NTP dan AD, jika tidak, tiada apa yang akan berlaku.
Rajah 11. Menambah pelayan Active Directory
2) Dalam tetingkap yang muncul, masukkan butiran pentadbir domain dan tandai kotak Bukti Kelayakan Simpan. Selain itu, anda boleh menentukan OU (Unit Organisasi) jika ISE terletak di OU tertentu. Seterusnya, anda perlu memilih nod Cisco ISE yang anda ingin sambungkan ke domain.
Rajah 12. Memasukkan kelayakan
3) Sebelum menambah pengawal domain, pastikan pada PSN dalam tab Pentadbiran → Sistem → Deployment pilihan didayakan Perkhidmatan Identiti Pasif. ID pasif - pilihan yang membolehkan anda menterjemah Pengguna kepada IP dan sebaliknya. PassiveID mendapat maklumat daripada AD melalui WMI, ejen AD khas atau port SPAN pada suis (bukan pilihan terbaik).
Nota: untuk menyemak status ID Pasif, taipkan konsol ISE tunjukkan status permohonan ise | sertakan PassiveID.
Rajah 13. Mendayakan pilihan PassiveID
4) Pergi ke tab Pentadbiran → Pengurusan Identiti → Sumber Identiti Luaran → Direktori Aktif → PassiveID dan pilih pilihan Tambah DC. Seterusnya, pilih pengawal domain yang diperlukan dengan kotak pilihan dan klik OK.
Rajah 14. Menambah pengawal domain
5) Pilih DC yang ditambahkan dan klik butang Edit. Sila nyatakan FQDN DC anda, log masuk dan kata laluan domain, dan pilihan pautan WMI atau Agent. Pilih WMI dan klik OK.
Rajah 15 Memasukkan butiran pengawal domain
6) Jika WMI bukan cara pilihan untuk berkomunikasi dengan Active Directory, maka ejen ISE boleh digunakan. Kaedah ejen ialah anda boleh memasang ejen khas pada pelayan yang akan memancarkan peristiwa log masuk. Terdapat 2 pilihan pemasangan: automatik dan manual. Untuk memasang ejen secara automatik dalam tab yang sama ID pasif pilih barang Tambah Ejen → Pasang Ejen Baharu (DC mesti mempunyai akses Internet). Kemudian isikan medan yang diperlukan (nama ejen, pelayan FQDN, log masuk/kata laluan pentadbir domain) dan klik OK.
Rajah 16. Pemasangan automatik ejen ISE
7) Untuk memasang ejen Cisco ISE secara manual, pilih item tersebut Daftar Ejen Sedia Ada. Dengan cara ini, anda boleh memuat turun ejen dalam tab Pusat Kerja → PassiveID → Pembekal → Ejen → Muat Turun Ejen.
Rajah 17. Memuat turun ejen ISE
Penting: PassiveID tidak membaca acara log keluar! Parameter yang bertanggungjawab untuk tamat masa dipanggil masa penuaan sesi pengguna dan bersamaan dengan 24 jam secara lalai. Oleh itu, anda harus sama ada logoff diri anda pada penghujung hari bekerja, atau tulis beberapa jenis skrip yang secara automatik akan mengelog keluar semua pengguna yang log masuk.
Untuk pengetahuan log keluar "Probe titik akhir" digunakan - probe terminal. Terdapat beberapa probe titik akhir dalam Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS kuar menggunakan CoA Pakej (Perubahan Kebenaran) memberikan maklumat tentang menukar hak pengguna (ini memerlukan tertanam 802.1X), dan dikonfigurasikan pada suis akses SNMP, akan memberikan maklumat tentang peranti yang disambungkan dan diputuskan sambungan.
Contoh berikut adalah relevan untuk konfigurasi Cisco ISE + AD tanpa 802.1X dan RADIUS: pengguna log masuk pada mesin Windows, tanpa melakukan logoff, log masuk dari PC lain melalui WiFi. Dalam kes ini, sesi pada PC pertama masih akan aktif sehingga tamat masa berlaku atau logoff paksa berlaku. Kemudian jika peranti mempunyai hak yang berbeza, maka peranti log masuk terakhir akan menggunakan haknya.
8) Pilihan dalam tab Pentadbiran → Pengurusan Identiti → Sumber Identiti Luaran → Direktori Aktif → Kumpulan → Tambah → Pilih Kumpulan Dari Direktori anda boleh memilih kumpulan daripada AD yang anda mahu keluarkan pada ISE (dalam kes kami, ini telah dilakukan dalam langkah 3 "Menambah pelayan LDAP"). Memilih pilihan Dapatkan Kumpulan → OK.
Rajah 18 a). Menarik kumpulan pengguna daripada Active Directory
9) Dalam tab Pusat Kerja → PassiveID → Gambaran Keseluruhan → Papan Pemuka anda boleh melihat bilangan sesi aktif, bilangan sumber data, ejen dan banyak lagi.
Rajah 19. Memantau aktiviti pengguna domain
10) Dalam tab Sesi Langsung sesi semasa dipaparkan. Penyepaduan dengan AD dikonfigurasikan.
Rajah 20. Sesi aktif pengguna domain
5. Kesimpulannya
Artikel ini merangkumi topik mencipta pengguna tempatan dalam Cisco ISE, menambah pelayan LDAP dan menyepadukan dengan Microsoft Active Directory. Artikel seterusnya akan menyerlahkan akses tetamu dalam bentuk panduan yang berlebihan.
Jika anda mempunyai soalan tentang topik ini atau memerlukan bantuan untuk menguji produk, sila hubungi .
Nantikan kemas kini dalam saluran kami (, , , , ).
Sumber: www.habr.com