Cisco ISE á¡ááœáẠáááºááœááºáá¬ážáá±á¬ áá±á¬ááºážáá«ážá¡ááœá²ááá¯ááºá áá¯áááááŒá±á¬ááºáá¯ááºáá±ááŸá¯ááᯠááŒáá¯ááá¯áá«áááºá áááá
á€áá±á¬ááºážáá«ážááœáẠáá»áœááºá¯ááºááá¯á·ááẠá¡áá±á¬áá·áºáá»á¬ážáááºáá®ážááŒááºážá LDAP áá¬áá¬áá»á¬ážááá·áºááŒááºážááŸáá·áº Microsoft Active Directory ááŸáá·áº áá±á«ááºážá
ááºážááŒááºážá¡ááŒáẠPassiveID ááŸáá·áº áá¯ááºáá±á¬ááºááá·áºá¡áá« ááœá²ááŒá¬ážáá»ááºáá»á¬ážááá¯áá« ááá·áºááœááºážááœá±ážááœá±ážáá«áááºá ááááºááẠáá±ážáá±ážáááºááẠáááºááŒáá·áºááá¯á· á¡ááŒá¶ááŒá¯áá»ááºáá«áááºá
1. á¡áá»áá¯á·áá±á¬ á¡áá¯á¶ážá¡ááŸá¯ááºážáá»á¬áž
á¡áá¯á¶ážááŒá¯áá°á¡áá±á¬ááºá¡áá¬áž â á¡áá¯á¶ážááŒá¯áá°ááŸáá·áºáááºáááºááá·áº á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ áá¯á¶ážá áœá²áá°á¡áá±á¬áá·áºáá áºáá¯ááŒá áºááŒá®áž ááœááºáááºááá¯áááºáá±á¬ááºááŒááºážá¡ááœáẠáááºážáá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠáá¯á¶á á¶áá»áá±ážáááºá á¡á±á¬ááºáá±á¬áºááŒáá« ááá·áºáááºáá»ááºáá»á¬ážááᯠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº User Identity ááœáẠáááºááŸááºáá¬ážáááº- á¡áá¯á¶ážááŒá¯áá°á¡áááºá á¡á®ážáá±ážááºááááºá á¬á á áá¬ážááŸááºá á¡áá±á¬áá·áºáá±á¬áºááŒáá»ááºá á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯ááŸáá·áº á¡áááºážááá¹áá
á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬áž - á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááẠCisco ISE áááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº á¡ááºá¹áá«áááºá¡á á¯á¶ááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááœáá·áºáá±ážááá·áº áá¯á¶á¡ááœáá·áºá¡áá±ážáá»á¬ážááŸáááá·áº áá¯á¶ážá áœá²áá°áá áºáŠážáá»ááºážá á®á á¡á á¯á¡áá±ážáá áºáá¯ááŒá áºáááºá
á¡áá¯á¶ážááŒá¯áá° á¡áá±á¬ááºá¡áá¬áž á¡á¯ááºá á¯áá»á¬áž - á¡áá»áá¯á·áá±á¬ á¡áá»ááºá¡áááºááŸáá·áº á¡áááºážááá¹ááá»á¬áž ááŸáááŸáá·áºááŒá®ážáá¬áž áá¯á¶ážá áœá²áá°á¡á¯ááºá á¯áá»á¬ážá á¡á±á¬ááºáá« User Identity Groups áá»á¬ážááẠáá°áááºážá¡ááá¯ááºážáááºááŸáááŒá®áž áá¯á¶ážá áœá²áá°áá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠáááºážááá¯á·áᶠáááºáá±á«ááºážááá·áºááá¯ááºáááº- Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (á§áá·áºáááºáá±á«áºáááºááᯠá á®áá¶ááá·áºááœá²áááºá¡ááœáẠáá¶á·ááá¯ážáá°áá®áá°á¡áá±á¬áá·áºáá»á¬áž), Guest, ActivatedGuestá
á¡áá¯á¶ážááŒá¯áá°á¡áááºážááá¹á - á¡áá¯á¶ážááŒá¯áá°á¡áááºážááá¹áááẠá¡áá¯á¶ážááŒá¯áá°áá¯ááºáá±á¬ááºááá¯ááºááá·áºá¡áá¬áá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°áááºáá±á¬ááºááá¯ááºááá·áºáááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá¯á¶ážááŒááºáá±ážááá·áº ááœáá·áºááŒá¯áá»ááºá¡á á¯á¡áá±ážáá áºáá¯ááŒá áºáááºá áááŒá¬ááááá¯áááᯠá¡áá¯á¶ážááŒá¯áá°á¡áááºážááá¹áááẠáá¯á¶ážá áœá²áá°á¡á¯ááºá á¯ááŸáá·áº áááºá ááºáá±áá«áááºá
ááá¯á·á¡ááŒááºá á¡áá¯á¶ážááŒá¯áá°ááŸáá·áº á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá
á¯áá
áºáá¯á
á®ááœáẠááá·áºá¡á¬áž áá®ážáá±á¬ááºážááá¯ážááŒáááºááŸáá·áº áá±ážáá¬ážááá·áºá¡áá¯á¶ážááŒá¯áá° (á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá
á¯) ááᯠááá¯ááá¯áááá»á
áœá¬áááºááŸááºááá¯ááºá
á±ááá·áº áá±á¬ááºááẠattribute áá»á¬ážááŸááááºá ááá¯ááá¯ááááŸáááá¯áá«á
2. ááŒááºááœááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáááºáá®ážáá«á
1) Cisco ISE ááœáẠááŒááºááœááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáááºáá®ážááŒá®áž áááºážááá¯á·á¡á¬áž áááºáá±á¬ááºááœáá·áºáá°áá«ááá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááẠááá¯á·ááá¯áẠáááºážááá¯á·á¡á¬áž áá¯ááºáá¯ááºá á®áá¶ááá·áºááœá²áá±áž á¡áááºážááá¹áááá¯ááẠáá±ážá¡ááºááá¯ááºáááºá ááœá±ážáá«á á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬ážáá»á¬áž â á¡áá¯á¶ážááŒá¯áá°áá»á¬áž â áá±á«ááºážááá·áºáá«á
áá¯á¶ 1- Cisco ISE ááá¯á· Local User áá áºáŠážááᯠáá±á«ááºážááá·áºááŒááºážá
2) áá±á«áºáá¬áá±á¬áááºážááá¯ážááœááºá áá±ááá¶á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááá¯áááºáá®ážáá«á á áá¬ážááŸááºááŸáá·áºá¡ááŒá¬ážááŸááºážáááºážáá±á¬áá±á¬ááºáá»á¬ážááá¯áá±ážááá¯ááºáá«á
áá¯á¶ 2. Cisco ISE ááœáẠáá±ááá¶á¡áá¯á¶ážááŒá¯áá° áááºáá®ážááŒááºážá
3) á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááá¯áááºážáááºááœááºážááá¯ááºáááºá áá°áá®áá±á¬áááºááºááœáẠá á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬ážáá»á¬áž â á¡áá¯á¶ážááŒá¯áá°áá»á¬áž ááœá±ážáá»ááºááŸá¯áá áºáá¯ááᯠááœá±ážáá»ááºáá«á áááºááœááºáž á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááŸáá·áºá¡áá° csv ááá¯á·ááá¯áẠtxt ááá¯ááºááᯠá¡ááºáá¯ááºáá¯ááºáá«á ááá°áá¬áá¯á¶á á¶ááᯠááá°áááºá ááœá±ážáá»ááºáá«á Template áá áºáᯠáááºáá®ážáá«áááá¯á·áá±á¬áẠááá·áºáá»á±á¬áºáá±á¬áá¯á¶á á¶ááŒáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááŒáá·áº áááºážááᯠááŒáá·áºá áœááºááá·áºáááºá
áá¯á¶ 3. Cisco ISE ááá¯á· á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáááºááœááºážááŒááºážá
3. LDAP áá¬áá¬áá»á¬ážááá¯ááá·áºááŒááºážá
LDAP ááẠááá·áºá¡á¬áž ááááºážá¡áá»ááºá¡áááºáá»á¬ážááá°áááºá á á áºááŸááºááŒá±á¬ááºážáááºáá±ááŒááŒááºážá LDAP áá¬áá¬áááºážááœáŸááºáá»á¬ážááœáẠá¡áá±á¬áá·áºáá»á¬ážááŸá¬ááœá±áááºááŸáá·áº port 389 ááá¯á·ááá¯áẠ636 (SS) ááœáẠáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ áá¬áááºááŒá®áž á¡ááá®áá±ážááŸááºážá¡ááá·áº áááá¯ááá¯áá±á¬áá áºáá¯ááŒá áºááŒá±á¬ááºáž áá»áœááºá¯ááºá¡á¬áž ááááá±ážáá«áá á±á LDAP áá¬áá¬áá»á¬ážá áááºááŸá¬ážáá±á¬ á¥ááá¬áá»á¬ážááŸá¬ Active Directoryá Sun Directoryá Novell eDirectory ááŸáá·áº OpenLDAP ááá¯á·ááŒá áºáááºá LDAP áááºážááœáŸááºááŸá ááá·áºááœááºážááŸá¯áá áºáá¯á á®ááᯠDN (áá°ážááŒá¬ážáá±á¬á¡áááº) á áááºááŸááºááŒá®áž áááºáá±á¬ááºááœáá·áºáá°áá«áááᯠáá±ážááœá²áááºá á¡áá±á¬áá·áºáá»á¬áž ááŒááºáááºááá°ááŒááºážá á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááŸáá·áº áááºááœáŸááºážáá»ááºáá»á¬ážááᯠááŒááºáááºááá°ááŒááºážá áá¬áááºááẠáá±á«áºáá±á«ááºáá«áááºá
Cisco ISE ááœáẠLDAP áá¬áá¬áá»á¬ážá áœá¬ááᯠáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááœáá·áºááᯠá á®á ááºáááºááŸááºááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áº áááá¯á¡ááºáá±á¬á·ááŒá±á¬ááºáž ááááŸááá¬áá«áááºá áááºá LDAP áá¬áá¬ááᯠááááŸáááá¯ááºáá«áá ISE ááẠáá¯ááááá áºáá¯á¡á¬áž áááºááœááºááẠááŒáá¯ážá á¬ážáááá·áºáááºá á¡á ááŸááááºááŒáá·áºá ááá¯á·á¡ááŒááºá PAN 2 áá¯ááŸááá«áá Primary PAN á¡ááœáẠLDAP áá áºáá¯ááᯠáŠážá á¬ážáá±ážááá¯ááºááŒá®áž á¡ááŒá¬áž LDAP ááẠáá¯ááá PAN á¡ááœáẠáŠážá á¬ážáá±ážááá¯ááºáá«áááºá
ISE ááẠLDAP áá¬áá¬áá»á¬ážááŸáá·áº á¡áá¯ááºáá¯ááºáá±á¬á¡áá« ááŸá¬ááœá±ááŸá¯ á¡áá»áá¯ážá¡á á¬áž 2 áá¯ááᯠáá¶á·ááá¯ážáá±ážáááº- á¡áá¯á¶ážááŒá¯áá° ááŸá¬ááœá±ááŒááºáž ááŸáá·áº MAC ááááºá á¬ááŸá¬ááœá±ááŒááºáž á User Lookup ááẠááá·áºá¡á¬áž LDAP áá±áá¬áá±á·á áºááœáẠá¡áá¯á¶ážááŒá¯áá°áá áºáŠážá¡á¬áž ááŸá¬ááœá±ááá¯ááºááŒá®áž á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáááŸááá² á¡á±á¬ááºáá«á¡áá»ááºá¡áááºáá»á¬ážááᯠáá¯ááºáá°ááá¯ááºáááº- á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááŸáá·áº áááºážááá¯á·á á¡áááºá¡áá»ááºážáá»á¬ážá á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážá MAC Address Lookup ááẠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáááŒáá² LDAP áááºážááœáŸááºáá»á¬ážááœáẠMAC ááááºá á¬ááŒáá·áºááŸá¬ááœá±ááá¯ááºááŒá®áž á ááºáá á¹á ááºážáá áºáá¯á MAC ááááºá á¬áá»á¬ážááŸáá·áº á¡ááŒá¬ážáá±á¬ áá®ážááŒá¬áž attribute áá»á¬ážááŒáá·áº á ááºáá á¹á ááºážá¡á¯ááºá á¯áá áºáá¯á¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠááá°ááá¯ááºáááºá
áá±á«ááºážá ááºážááŒááºážáááá°áá¬á¡áá±ááŒáá·áºá LDAP áá¬áá¬á¡ááŒá ẠCisco ISE ááá¯á· Active Directory ááᯠááá·áºááŒáá«á áá¯á·á
1) tab ááá¯ááœá¬ážáá«á á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â ááŒááºá á¡áá±á¬ááºá¡áá¬ážáá»á¬áž â LDAP â áá±á«ááºážááá·áºáá«á
áá¯á¶ 4á LDAP áá¬áá¬ááá¯ááá·áºááŒááºážá
2) panel ááœáẠáá±áá¯áá» LDAP áá¬áá¬á¡áááºááŸáá·áº á¡á á®á¡á ááºááᯠáááºááŸááºáá« (áá»áœááºá¯ááºááá¯á·á ááá á¹á ááœáẠActive Directory)á
áá¯á¶ 5á Active Directory schema ááŒáá·áº LDAP áá¬áá¬ááᯠáá±á«ááºážááá·áºááŒááºážá
3) Next ááá¯ááœá¬ážáá«á áá¯áá¹ááá¹ážááá¬ááá°áá®áá°ááºá¬ážá tab ááŸáá·áºáááºááŸááºáá«á áááºáá¶áá°á¡áááº/ IP ááááºá ᬠáá¬áᬠADá ááááºáááºáž (389 - LDAPá 636 - SSL LDAP)á ááá¯ááááºážá á®áá¶ááá·áºááœá²áá°á¡áá±á¬ááºá¡áá¬ážáá»á¬áž (Admin DN - DN á¡ááŒáá·áºá¡á á¯á¶)á á¡ááŒá¬ážáá±á¬ áá±á¬ááºáá»á¬ážááᯠáá°áááºážá¡ááá¯ááºáž áá»ááºáá¬ážááá¯ááºáááºá
ááœá±á¬ááá¯: ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ááŒá¿áá¬áá»á¬ážááá¯ááŸá±á¬ááºááŸá¬ážááẠadmin ááá¯ááááºážá¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááá¯áá¯á¶ážáá«á
áá¯á¶ 6. LDAP áá¬áá¬áá±áá¬ááᯠááá·áºááœááºážááŒááºážá
4) tab ááœáẠáááºážááœáŸááºá¡ááœá²á·á¡á ááºáž á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠááœá²áá¯ááºááá·áº DN ááŸáá áºááá·áº áááºážááœáŸááºá§áááá¬ááᯠáááºáááºááŸááºááá·áºáááºá
áá¯á¶ 7á á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠááœá²áá¯ááºááá·áº áááºážááœáŸááºáá»á¬ážááᯠáááºááŸááºááŒááºážá
5) ááŒáááºážáá±á«ááºááá¯ááœá¬ážáá«á á¡ááœá²á·áá»á¬áž â áá±á«ááºážááá·áºáá« â áááºážááœáŸááºá០á¡ááœá²á·áá»á¬ážááᯠááœá±ážáá»ááºáá«á LDAP áá¬áá¬á០ááœá²áá¯ááºááá·áºá¡ááœá²á·áá»á¬ážááᯠááœá±ážáá»ááºáááºá
áá¯á¶ áá LDAP áá¬áá¬á០á¡á¯ááºá á¯áá»á¬ážááᯠáá±á«ááºážááá·áºááŒááºážá
6) áá±á«áºáá¬áá±á¬áááºážááá¯ážááœáẠááá áºááŸáááºáá«á á¡ááœá²á·áá»á¬ážááᯠááŒááºáááºááá°áá«á á¡ááœá²á·áá»á¬áž áá°ážáá±á«ááºážáá«áááºáá²á·áá»áŸáẠááá¬áá¡ááá·áºáá»á¬áž á¡á±á¬ááºááŒááºá áœá¬ ááŒá®ážááŒá±á¬ááºáá²á·áá«áááºá ááá¯ááºáá«á á¡ááŒá¬ážá á®áá¶ááá·áºááœá²áá°ááᯠá ááºážááŒáá·áºááŒá®áž LDAP áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á LDAP áá¬áá¬ááŒáá·áº ISE áááŸáááá¯ááºááŸá¯ááᯠá á áºáá±ážáá«á
áá¯á¶ 9á ááœáá·áºáá¬ážááá·áº á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážá á¬áááºáž
7) tab ááœáẠAttribute ááœá± LDAP áá¬áá¬á០áááºááá·áº attribute áá»á¬ážááᯠáááºááœá±ážáá»ááºááá¯ááºááŒá®áž áááºážááá¯ážááœáẠááœá²áá¯ááºááá·áºááẠá¡áááºá·ááŒááºá·áá»áááºááŸáááŸá¯áá»á¬áž option ááá¯ááœáá·áºáá«á á áá¬ážááŸááºááŒá±á¬ááºážááŒááºážááᯠááœáá·áºáá«ááááºážááẠáááºáááºážáá¯ááºááœá¬ážáá«á ááá¯á·ááá¯áẠááŒááºáááºáááºááŸááºáá¶ááá«á á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡á¬áž áááºážááá¯á·á á áá¬ážááŸááºááᯠááŒá±á¬ááºážáá²ááẠááœááºážá¡á¬ážáá±ážáááºááŒá áºáááºá áá¬áá²ááŒá áºááŒá ẠááŸáááºáá«á Submit áááºáááºá
8) LDAP áá¬áá¬ááẠáááºááá¯ááºáᬠáááºááºááœáẠáá±á«áºáá¬ááŒá®áž áá±á¬ááºááá¯ááºážááœáẠáááºáá±á¬ááºááœáá·áº áá°áá«ááá»á¬ážááᯠáááºáá®ážááẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
áá¯á¶ 10á ááá·áºááœááºážáá¬ážáá±á¬ LDAP áá¬áá¬áá»á¬ážá á¬áááºáž
4. Active Directory ááŸáá·áº áá±á«ááºážá ááºááŒááºážá
1) Microsoft Active Directory áá¬áá¬ááᯠLDAP áá¬áá¬á¡ááŒá Ạááá·áºááœááºážááŒááºážááŒáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠáááºáá¶áááŸááá±á¬áºáááºáž ááŸááºáááºážáá»á¬ážááá¯ááºáá«á áá±á¬ááºáá áºáá¯á Cisco ISE ááŸáá·áº AD áá±á«ááºážá ááºážááŸá¯ááᯠáááºááŸááºááẠáá»áœááºá¯ááºá¡ááŒá¶ááŒá¯áá«áááºá áááºááºááá¯á·ááœá¬ážáá«á á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â ááŒááºá á¡áá±á¬ááºá¡áá¬ážáá»á¬áž â á¡áááºáááºáá±á¬ áááºážááœáŸáẠâ áá±á«ááºážááá·áºáá«á
ááŸááºáá»ááº: AD ááŸáá·áº á¡á±á¬ááºááŒááºá áœá¬áá±á«ááºážá ááºážááŒááºážá¡ááœááºá ISE ááẠááá¯ááááºážáá áºáá¯ááœááºááŸáááááºááŒá áºááŒá®áž DNSá NTP ááŸáá·áº AD áá¬áá¬áá»á¬ážááŸáá·áº á¡ááŒáá·áºá¡ááá»áááºáááºááŸá¯ááŸáááááºá ááá¯ááºáá«á áááºááá·áºá¡áá¬á០á¡áá¯ááºáááŒá áºáá«á
áá¯á¶ ááá Active Directory áá¬áá¬ááᯠáá±á«ááºážááá·áºááŒááºážá
2) áá±á«áºáá¬áá±á¬áááºážááá¯ážááœááºá ááá¯ááááºážá á®áá¶ááá·áºááœá²áá°á¡áá»ááºá¡áááºááá¯ááá¯ááºááá·áºááŒá®áž áá±á¬ááºá áºááᯠá¡ááŸááºááŒá áºáá«á á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠááááºážáááºážáá«á ááá¯á·á¡ááŒáẠISE ááẠáá®ážááŒá¬áž OU áá áºáá¯ááœáẠáááºááŸááá«á OU (Organizational Unit) ááᯠááẠáááºááŸááºááá¯ááºáá«áááºá ááá¯á·áá±á¬ááºá áááºááẠááá¯ááááºážááá¯á· áá»áááºáááºááá¯áá±á¬ Cisco ISE node áá»á¬ážááᯠááœá±ážáá»ááºááááºááŒá áºáááºá
áá¯á¶ 12á á¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá·áºááœááºážááŒááºážá
3) ááá¯ááááºážááááºážáá»á¯ááºáááááá¬áá»á¬ážáááá·áºáá®á áááºááºááŸá PSN ááœáẠáá±áá»á¬áá«á á±á á¡á¯ááºáá»á¯ááºáá±áž â á áá Ạâ ááŒáá·áºáá»ááºááŒááºážá ááœá±ážáá»ááºááŸá¯ááᯠááœáá·áºáá¬ážáááºá Passive Identity áááºáá±á¬ááºááŸá¯. PassiveID â User ááᯠIP ááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¬áá¬ááŒááºááẠááœáá·áºááŒá¯ááá·áº ááœá±ážáá»ááºááŸá¯áá áºáá¯á PassiveID ááẠWMIá á¡áá°áž AD á¡á±ážáá»áá·áºáá»á¬ážááŸáááá·áº AD áá¶á០á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºáá¶áááŸáááẠááá¯á·ááá¯áẠswitch áá±á«áºááŸá SPAN port áá áºáᯠ(á¡áá±á¬ááºážáá¯á¶ážááœá±ážáá»ááºááŸá¯ááá¯ááºáá«)á
ááŸááºáá»ááº: Passive ID á¡ááŒá±á¡áá±ááᯠá á áºáá±ážááẠISE ááœááºááá¯ážááºááœáẠááá·áºááœááºážáá«á á¡ááá®áá±ážááŸááºážá¡ááŒá±á¡áá±ááẠ| ááŒááẠPassiveID áá«áááºáá«áááºá
áá¯á¶ 13á PassiveID ááœá±ážáá»ááºááŸá¯ááᯠááœáá·áºááŒááºážá
4) tab ááá¯ááœá¬ážáá«á á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â ááŒááºá á¡áá±á¬ááºá¡áá¬ážáá»á¬áž â Active Directory â PassiveID option ááá¯ááœá±ážáá«á DCs ááá·áºáá«á. ááá¯á·áá±á¬ááºá checkbox áá»á¬ážááŒáá·áº ááá¯á¡ááºáá±á¬ domain controllers ááá¯ááœá±ážáá»ááºááŒá®áž ááŸáááºáá«á á¡áá¯áá±á
áá¯á¶ 14á ááá¯ááááºáž ááááºážáá»á¯ááºáááááá¬áá»á¬áž áá±á«ááºážááá·áºááŒááºážá
5) Added DCs ááá¯ááœá±ážáá»ááºááŒá®áž ááá¯ááºááá¯ááŸáááºáá«á Edit ááá¯á áá»á±ážáá°ážááŒá¯á ááœáŸááºááŒáá« FQDN áááºá DCá ááá¯ááááºážáááºáá±á¬ááºááŒááºážááŸáá·áº á áá¬ážááŸááºá¡ááŒáẠáááºááœááºáá±ážááœá±ážáá»ááºááŸá¯áá áºáᯠWMI ááá¯á·ááá¯áẠááá¯ááºá á¬ážááŸááº. WMI ááá¯ááœá±ážááŒá®áž ááá áºááŸáááºáá«á á¡áá¯áá±á
áá¯á¶ 15á ááá¯ááááºáž ááááºážáá»á¯ááºáááááᬠá¡áá»ááºá¡ááẠááá·áºááœááºážááŒááºážá
6) WMI ááẠActive Directory ááŸáá·áº áááºááœááºááŒááºážá áŠážá á¬ážáá±ážáááºážáááºážááá¯ááºáá«áá ISE á¡á±ážáá»áá·áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá á¡á±ážáá»áá·áºáááºážáááºážááŸá¬ áá±á¬á·ááºá¡ááºááŒá áºáááºáá»á¬ážááᯠáá¯ááºáá±ážááá·áº áá¬áá¬ááœáẠá¡áá°ážá¡á±ážáá»áá·áºáá»á¬ážááᯠáááºáááºááá¯ááºáááºá áááºáááºááŸá¯ááœá±ážáá»ááºá áᬠ2 áá¯ááŸáááẠ- á¡ááá¯á¡áá»á±á¬ááºááŸáá·áº manual á áá°áá®áá±á¬áááºááºááœáẠá¡á±ážáá»áá·áºááᯠá¡ááá¯á¡áá»á±á¬áẠááá·áºááœááºážááẠPassiveID item ááá¯ááœá±ážáá« Add Agent â Agent á¡áá áºááᯠDeploy áá¯ááºáá«á (DC ááœáẠá¡ááºáá¬ááẠá¡áá¯á¶ážááŒá¯ááá¯ááºááááºá ááá¯á·áá±á¬áẠááá¯á¡ááºáá±á¬ á¡ááœááºáá»á¬áž (á¡á±ážáá»áá·áºá¡áááºá áá¬áᬠFQDNá ááá¯ááááºážá á®áá¶ááá·áºááœá²áá° áá±á¬á·ááºá¡ááº/á áá¬ážááŸááº) ááá¯ááŒáá·áºááŒá®áž ááŸáááºáá«á á¡áá¯áá±á
áá¯á¶ 16á ISE á¡á±ážáá»áá·áº á¡ááá¯á¡áá»á±á¬áẠáááºáááºááŒááºážá
7) Cisco ISE á¡á±ážáá»áá·áºááᯠááá¯ááºááá¯ááºááá·áºááœááºážáááºá áááºááœá±ážáá»ááºááẠááá¯á¡ááºáááºá áááºááŸáááá¯ááºá á¬ážááŸááºááᯠááŸááºáá¯á¶áááºáá«á. á áá¬ážáá ááºá áááºááẠááá¯ááºá á¬ážááŸááºááᯠáááºááºááœáẠáá±á«ááºážáá¯ááºáá¯ááºááá¯ááºáááºá á¡áá¯ááºá ááºáá¬áá»á¬áž â PassiveID â áá¶á·ááá¯ážáá±ážáá°áá»á¬áž â á¡á±ážáá»áá·áºáá»á¬áž â ááá¯ááºá á¬ážááŸáẠáá±á«ááºážáá¯ááºáá¯ááºáá«á
áá¯á¶ 17á ISE á¡á±ážáá»áá·áºááᯠáá±á«ááºážáá¯ááºáá¯ááºáá±áááºá
áá«áá¬áááºá¡áá±ážááŒá®ážáá«áááº: PassiveID ááẠááŒá áºáááºáá»á¬ážááᯠááááºáá«á áá±á¬á·ááºá¡á±á¬á·ááºáá¯ááºááœááºááŒááºáž! á¡áá»áááºááœááºááŸá¯á¡ááœáẠáá¬áááºááŸááá±á¬ áá±á¬ááºááᯠáá±á«áºáááºá á¡áá¯á¶ážááŒá¯áá° session aging á¡áá»ááẠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº 24 áá¬áá®ááŸáá·áº áá®áá»áŸáááºá ááá¯á·ááŒá±á¬áá·áºá áááºá¡áá¯ááºáá¯ááºááá·áºáá±á·áá¡áá¯á¶ážááœáẠááá·áºááá¯ááºááẠáá±á¬á·ááºááœáá·áºááá·áºáááºá ááá¯á·ááá¯áẠáá±á¬á·ááºá¡ááºáááºá¡áá¯á¶ážááŒá¯áá°á¡á¬ážáá¯á¶ážááᯠá¡ááá¯á¡áá»á±á¬ááºááœááºá á±ááá·áº script áá áºáá»áá¯ážáá»áá¯ážáá±ážáá«á
ááááºážá¡áá»ááºá¡áááºá¡ááœáẠáá±á¬á·ááºá¡á±á¬á·ááºáá¯ááºááœááºááŒááºáž âEndpoint probesâ ááᯠá¡áá¯á¶ážááŒá¯áááºá Cisco ISE ááœáẠendpoint probe á¡áá»á¬ážá¡ááŒá¬ážááŸááááº- RADIUSá SNMP Trapá SNMP Queryá DHCPá DNSá HTTPá Netflowá NMAP á áááºááºá RADIUS probe ááᯠá¡áá¯á¶ážááŒá¯ CoA (Change of Authorization) áááºáá±á·áá»áºáá»á¬ážááẠá¡áá¯á¶ážááŒá¯áá°á¡ááœáá·áºá¡áá±ážáá»á¬áž ááŒá±á¬ááºážáá²ááŒááºážááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠáá¶á·ááá¯ážáá±ážááẠ(áááºážááẠááŒáŸá¯ááºááœááºážáá¬ážááẠááá¯á¡ááºáááºá 802.1X) ááŸáá·áº access switches ááœáẠconfigured SNMP ááẠáá»áááºáááºáá¬ážáá±á¬ ááŸáá·áº á¡áááºááŒááºáá±áá±á¬ á ááºáá á¹á ááºážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááᯠáá±ážáááá·áºáááºá
á¡á±á¬ááºááœáẠ802.1X ááŸáá·áº RADIUS ááá«áá±á¬ Cisco ISE + AD configuration á¡ááœáẠáááºááá¯ááºááá·áº á¥ááá¬áá áºáá¯ááŒá áºáá«áááº- á¡áá¯á¶ážááŒá¯áá°ááẠáá±á¬á·ááºááááºááŒááºážáááŒá¯áá² Windows á ááºáá áºáá¯ááœáẠá¡áá±á¬áá·áºáááºáá¬ážááŒá®ážá á¡ááŒá¬áž PC á០WiFi ááŸáá áºááá·áº á¡áá±á¬áá·áºáááºáá«á á€á¡ááŒá±á¡áá±ááœááºá ááá PC áá±á«áºááŸá á ááºááŸááºááẠá¡áá»áááºáá¯ááºááœá¬ážááŒááºáž ááá¯á·ááá¯áẠá¡áááºážá¡áá»áẠáá±á¬á·ááºááááºááŒááºáž áááŒá áºáá±á«áºááá»ááºáž áááºááŒáœáá±áááºááŒá áºáááºá ááá¯á·áá±á¬ááºá á ááºáá»á¬ážááœáẠááá°áá®áá±á¬á¡ááœáá·áºá¡áá±ážáá»á¬ážááŸááá«áá áá±á¬ááºáá¯á¶ážáááºáá±á¬ááºáá¬ážááá·áºá ááºáá á¹á ááºážááẠáááºážáá¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠá¡áá¯á¶ážáá»áááºááŒá áºáááºá
8) tab ááœááºá¡ááá¯áá»á¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â á¡áá±á¬ááºá¡áá¬áž á á®áá¶ááá·áºááœá²ááŸá¯ â ááŒááºá á¡áá±á¬ááºá¡áá¬áž á¡áááºážá¡ááŒá áºáá»á¬áž â á¡áááºáááºáá±á¬ áááºážááœáŸáẠâ á¡ááœá²á·áá»á¬áž â áá±á«ááºážááá·áºááŒááºáž â áááºážááœáŸááºá០á¡á¯ááºá á¯áá»á¬ážááᯠááœá±ážáá« ISE ááœáẠáááºááá·áºááá¯áá±á¬ AD á¡ááœá²á·áá»á¬ážááᯠáááºááœá±ážáá»ááºááá¯ááºááẠ(áá»áœááºá¯ááºááá¯á·áááá á¹á ááœááºá áááºážááᯠá¡ááá·áº 3 âLDAP áá¬áá¬áá áºáá¯ááá·áºááŒááºážâ ááœáẠáá¯ááºáá±á¬ááºáá²á·áááº)á ááœá±ážáá»ááºááŸá¯áá áºáá¯ááᯠááœá±ážáá»ááºáá«á á¡ááœá²á·áá»á¬áž â OK ááá¯ááá°áá«á.
áá¯á¶ 18 a)á Active Directory á០á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠááœá²áá¯ááºááŒááºážá
9) tab ááœáẠá¡áá¯ááºá ááºáá¬áá»á¬áž â PassiveID â ááŒá¯á¶áá¯á¶áá¯á¶ážáááºáá»áẠâ áááºááŸáºáá¯áẠáááºááŒáœáá±á¬ session á¡áá±á¡ááœááºá áá±áá¬áááºážááŒá áºá¡áá±á¡ááœááºá á¡á±ážáá»áá·áºáá»á¬ážááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážááᯠáááºá á±á¬áá·áºááŒáá·áºááá¯ááºáááºá
áá¯á¶ 19á ááá¯ááááºážá¡áá¯á¶ážááŒá¯áá° áá¯ááºáá±á¬ááºáá»ááºááᯠá á±á¬áá·áºááŒáá·áºááŒááºážá
10) tab ááœáẠááá¯ááºááá¯ááºá¡á ááºážá¡áá±ážáá»á¬áž áááºááŸá session áá»á¬ážááá¯ááŒááá¬ážáááºá AD ááŸáá·áº áá±á«ááºážá ááºážááŒááºážááᯠá á®á ááºáááºááŸááºáá¬ážáááºá
áá¯á¶ 20á ááá¯ááááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá áááºááŒáœáá±á¬á¡á ááºážá¡áá±ážáá»á¬áž
áá áááá¯á¶áž
á€áá±á¬ááºážáá«ážááẠCisco ISE ááœáẠáá±ááá¶á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáááºáá®ážááŒááºážá LDAP áá¬áá¬áá»á¬ážááᯠáá±á«ááºážááá·áºááŒááºážááŸáá·áº Microsoft Active Directory ááŸáá·áº áá±á«ááºážá ááºážááŒááºážááá¯ááºáᬠáá±á«ááºážá ááºáá»á¬áž áá«áááºáááºá áá±á¬ááºáá±á¬ááºážáá«ážááœáẠá§áá·áºáááºáááºáá±á¬ááºááœáá·áºááᯠáááá¯á¡ááºáá±á¬áááºážááœáŸááºáá¯á¶á á¶ááŒáá·áº áá±á¬áºááŒáá«áááºá
ááá·áºááœáẠá€á¡ááŒá±á¬ááºážá¡áá¬ááŸáá·áº áááºáááºá áá±ážááœááºážáá»á¬áž ááŸááá«á ááá¯á·ááá¯áẠáá¯ááºáá¯ááºááᯠá
ááºážáááºáá¬ááœáẠá¡áá°á¡áá® ááá¯á¡ááºáá«áá áá»á±ážáá°ážááŒá¯á áááºááœááºáá«á
áá»áœááºá¯ááºááá¯á·ááá»ááºáááºáá»á¬ážááŸá á¡ááºááááºáá»á¬ážá¡ááœáẠá
á±á¬áá·áºáá»áŸá±á¬áºááŒáá·áºááŸá¯áá« (
source: www.habr.com