Cisco ISE- အသုံးပြုသူများကို ဖန်တီးခြင်း၊ LDAP ဆာဗာများထည့်ခြင်း၊ AD နှင့် ပေါင်းစပ်ခြင်း။ အပိုင်း 2

Cisco ISE အတွက် ရည်ရွယ်ထားသော ဆောင်းပါးအတွဲလိုက်၏ ဒုတိယမြောက်ထုတ်ဝေမှုကို ကြိုဆိုပါသည်။ ပထမ၌ ဆောင်းပါး  စံ AAA မှ Network Access Control (NAC) ဖြေရှင်းချက်များ၏ အားသာချက်များနှင့် ကွာခြားချက်များ၊ Cisco ISE ၏ ထူးခြားမှု၊ ထုတ်ကုန်၏ တည်ဆောက်ပုံနှင့် တပ်ဆင်မှု လုပ်ငန်းစဉ်များကို မီးမောင်းထိုးပြခဲ့သည်။

ဤဆောင်းပါးတွင် ကျွန်ုပ်တို့သည် အကောင့်များဖန်တီးခြင်း၊ LDAP ဆာဗာများထည့်ခြင်းနှင့် Microsoft Active Directory နှင့် ပေါင်းစည်းခြင်းအပြင် PassiveID နှင့် လုပ်ဆောင်သည့်အခါ ကွဲပြားချက်များကိုပါ ထည့်သွင်းဆွေးနွေးပါမည်။ မဖတ်ခင် လေးလေးနက်နက် ဖတ်ကြည့်ဖို့ အကြံပြုချင်ပါတယ်။ ပထမပိုင်း.

1. အချို့သော အသုံးအနှုန်းများ

အသုံးပြုသူအထောက်အထား — အသုံးပြုသူနှင့်ပတ်သက်သည့် အချက်အလက်များပါရှိသော သုံးစွဲသူအကောင့်တစ်ခုဖြစ်ပြီး ကွန်ရက်ကိုဝင်ရောက်ခြင်းအတွက် ၎င်း၏အထောက်အထားများကို ပုံစံချပေးသည်။ အောက်ဖော်ပြပါ ကန့်သတ်ချက်များကို ပုံမှန်အားဖြင့် User Identity တွင် သတ်မှတ်ထားသည်- အသုံးပြုသူအမည်၊ အီးမေးလ်လိပ်စာ၊ စကားဝှက်၊ အကောင့်ဖော်ပြချက်၊ အသုံးပြုသူအုပ်စုနှင့် အခန်းကဏ္ဍ။

အသုံးပြုသူအုပ်စုများ - အသုံးပြုသူအုပ်စုများသည် Cisco ISE ဝန်ဆောင်မှုများနှင့် အင်္ဂါရပ်အစုံကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည့် ဘုံအခွင့်အရေးများရှိသည့် သုံးစွဲသူတစ်ဦးချင်းစီ၏ အစုအဝေးတစ်ခုဖြစ်သည်။

အသုံးပြုသူ အထောက်အထား အုပ်စုများ - အချို့သော အချက်အလက်နှင့် အခန်းကဏ္ဍများ ရှိနှင့်ပြီးသား သုံးစွဲသူအုပ်စုများ။ အောက်ပါ User Identity Groups များသည် မူရင်းအတိုင်းတည်ရှိပြီး သုံးစွဲသူများနှင့် အသုံးပြုသူအုပ်စုများကို ၎င်းတို့ထံ သင်ပေါင်းထည့်နိုင်သည်- Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ဧည့်သည်ပေါ်တယ်ကို စီမံခန့်ခွဲရန်အတွက် ပံ့ပိုးကူညီသူအကောင့်များ), Guest, ActivatedGuest။

အသုံးပြုသူအခန်းကဏ္ဍ - အသုံးပြုသူအခန်းကဏ္ဍသည် အသုံးပြုသူလုပ်ဆောင်နိုင်သည့်အရာများနှင့် အသုံးပြုသူဝင်ရောက်နိုင်သည့်ဝန်ဆောင်မှုများကို ဆုံးဖြတ်ပေးသည့် ခွင့်ပြုချက်အစုအဝေးတစ်ခုဖြစ်သည်။ မကြာခဏဆိုသလို အသုံးပြုသူအခန်းကဏ္ဍသည် သုံးစွဲသူအုပ်စုနှင့် ဆက်စပ်နေပါသည်။

ထို့အပြင်၊ အသုံးပြုသူနှင့် အသုံးပြုသူအုပ်စုတစ်ခုစီတွင် သင့်အား မီးမောင်းထိုးပြရန်နှင့် ပေးထားသည့်အသုံးပြုသူ (အသုံးပြုသူအုပ်စု) ကို ပိုမိုတိကျစွာသတ်မှတ်နိုင်စေမည့် နောက်ထပ် attribute များရှိသည်။ ပိုမိုသိရှိလိုပါက လမ်းညွှန်.

2. ပြည်တွင်းအသုံးပြုသူများကို ဖန်တီးပါ။

1) Cisco ISE တွင် ပြည်တွင်းအသုံးပြုသူများကို ဖန်တီးပြီး ၎င်းတို့အား ဝင်ရောက်ခွင့်မူဝါဒများတွင် အသုံးပြုရန် သို့မဟုတ် ၎င်းတို့အား ထုတ်ကုန်စီမံခန့်ခွဲရေး အခန်းကဏ္ဍကိုပင် ပေးအပ်နိုင်သည်။ ရွေးပါ။ စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → အထောက်အထားများ → အသုံးပြုသူများ → ပေါင်းထည့်ပါ။

ပုံ 1- Cisco ISE သို့ Local User တစ်ဦးကို ပေါင်းထည့်ခြင်း။

2) ပေါ်လာသောဝင်းဒိုးတွင်၊ ဒေသခံအသုံးပြုသူတစ်ဦးကိုဖန်တီးပါ၊ စကားဝှက်နှင့်အခြားရှင်းလင်းသောဘောင်များကိုပေးလိုက်ပါ။

ပုံ 2. Cisco ISE တွင် ဒေသခံအသုံးပြုသူ ဖန်တီးခြင်း။

3) အသုံးပြုသူများကိုလည်းတင်သွင်းနိုင်သည်။ တူညီသောတက်ဘ်တွင် စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → အထောက်အထားများ → အသုံးပြုသူများ ရွေးချယ်မှုတစ်ခုကို ရွေးချယ်ပါ။ တင်သွင်း အသုံးပြုသူများနှင့်အတူ csv သို့မဟုတ် txt ဖိုင်ကို အပ်လုဒ်လုပ်ပါ။ နမူနာပုံစံကို ရယူရန်၊ ရွေးချယ်ပါ။ Template တစ်ခု ဖန်တီးပါ။ထို့နောက် သင့်လျော်သောပုံစံဖြင့် အသုံးပြုသူများအကြောင်း အချက်အလက်များဖြင့် ၎င်းကို ဖြည့်စွက်သင့်သည်။

ပုံ 3. Cisco ISE သို့ အသုံးပြုသူများကို တင်သွင်းခြင်း။

3. LDAP ဆာဗာများကိုထည့်ခြင်း။

LDAP သည် သင့်အား သတင်းအချက်အလက်များရယူရန်၊ စစ်မှန်ကြောင်းသက်သေပြခြင်း၊ LDAP ဆာဗာလမ်းညွှန်များတွင် အကောင့်များရှာဖွေရန်နှင့် port 389 သို့မဟုတ် 636 (SS) တွင် လုပ်ဆောင်နိုင်သော နာမည်ကြီး အပလီကေးရှင်းအဆင့် ပရိုတိုကောတစ်ခုဖြစ်ကြောင်း ကျွန်ုပ်အား သတိပေးပါရစေ။ LDAP ဆာဗာများ၏ ထင်ရှားသော ဥပမာများမှာ Active Directory၊ Sun Directory၊ Novell eDirectory နှင့် OpenLDAP တို့ဖြစ်သည်။ LDAP လမ်းညွှန်ရှိ ထည့်သွင်းမှုတစ်ခုစီကို DN (ထူးခြားသောအမည်) က သတ်မှတ်ပြီး ဝင်ရောက်ခွင့်မူဝါဒကို ရေးဆွဲရန်၊ အကောင့်များ ပြန်လည်ရယူခြင်း၊ အသုံးပြုသူအုပ်စုများနှင့် ရည်ညွှန်းချက်များကို ပြန်လည်ရယူခြင်း၏ တာဝန်သည် ပေါ်ပေါက်ပါသည်။

Cisco ISE တွင် LDAP ဆာဗာများစွာကို ဝင်ရောက်အသုံးပြုခွင့်ကို စီစဉ်သတ်မှတ်နိုင်သည်၊ ထို့ကြောင့် မလိုအပ်တော့ကြောင်း သိရှိလာပါသည်။ ပင်မ LDAP ဆာဗာကို မရရှိနိုင်ပါက၊ ISE သည် ဒုတိယတစ်ခုအား ဆက်သွယ်ရန် ကြိုးစားလိမ့်မည်၊ အစရှိသည်ဖြင့်။ ထို့အပြင်၊ PAN 2 ခုရှိပါက၊ Primary PAN အတွက် LDAP တစ်ခုကို ဦးစားပေးနိုင်ပြီး အခြား LDAP သည် ဒုတိယ PAN အတွက် ဦးစားပေးနိုင်ပါသည်။

ISE သည် LDAP ဆာဗာများနှင့် အလုပ်လုပ်သောအခါ ရှာဖွေမှု အမျိုးအစား 2 ခုကို ပံ့ပိုးပေးသည်- အသုံးပြုသူ ရှာဖွေခြင်း နှင့် MAC လိပ်စာရှာဖွေခြင်း ။ User Lookup သည် သင့်အား LDAP ဒေတာဘေ့စ်တွင် အသုံးပြုသူတစ်ဦးအား ရှာဖွေနိုင်ပြီး စစ်မှန်ကြောင်းအထောက်အထားမရှိဘဲ အောက်ပါအချက်အလက်များကို ထုတ်ယူနိုင်သည်- အသုံးပြုသူများနှင့် ၎င်းတို့၏ အရည်အချင်းများ၊ အသုံးပြုသူအုပ်စုများ။ MAC Address Lookup သည် စစ်မှန်ကြောင်းအထောက်အထားမပြဘဲ LDAP လမ်းညွှန်များတွင် MAC လိပ်စာဖြင့်ရှာဖွေနိုင်ပြီး စက်ပစ္စည်းတစ်ခု၊ MAC လိပ်စာများနှင့် အခြားသော သီးခြား attribute များဖြင့် စက်ပစ္စည်းအုပ်စုတစ်ခုအကြောင်း အချက်အလက်များကို ရယူနိုင်သည်။

ပေါင်းစည်းခြင်း၏နမူနာအနေဖြင့်၊ LDAP ဆာဗာအဖြစ် Cisco ISE သို့ Active Directory ကို ထည့်ကြပါစို့။

1) tab ကိုသွားပါ။ စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → ပြင်ပ အထောက်အထားများ → LDAP → ပေါင်းထည့်ပါ။ 

ပုံ 4။ LDAP ဆာဗာကိုထည့်ခြင်း။

2) panel တွင် ယေဘုယျ LDAP ဆာဗာအမည်နှင့် အစီအစဉ်ကို သတ်မှတ်ပါ (ကျွန်ုပ်တို့၏ ကိစ္စတွင် Active Directory)။ 

ပုံ 5။ Active Directory schema ဖြင့် LDAP ဆာဗာကို ပေါင်းထည့်ခြင်း။

3) Next ကိုသွားပါ။ လုပ္ငန္းသဘာ၀တူညီသူမ်ား၏ tab နှင့်သတ်မှတ်ပါ။ လက်ခံသူအမည်/ IP လိပ်စာ ဆာဗာ AD၊ ဆိပ်ကမ်း (389 - LDAP၊ 636 - SSL LDAP)၊ ဒိုမိန်းစီမံခန့်ခွဲသူအထောက်အထားများ (Admin DN - DN အပြည့်အစုံ)၊ အခြားသော ဘောင်များကို မူရင်းအတိုင်း ချန်ထားနိုင်သည်။

ပွောဆို: ဖြစ်နိုင်ချေရှိသောပြဿနာများကိုရှောင်ရှားရန် admin ဒိုမိန်းအသေးစိတ်အချက်အလက်များကိုသုံးပါ။

ပုံ 6. LDAP ဆာဗာဒေတာကို ထည့်သွင်းခြင်း။

4) tab တွင် လမ်းညွှန်အဖွဲ့အစည်း အသုံးပြုသူများနှင့် အသုံးပြုသူအုပ်စုများကို ဆွဲထုတ်မည့် DN မှတစ်ဆင့် လမ်းညွှန်ဧရိယာကို သင်သတ်မှတ်သင့်သည်။

ပုံ 7။ အသုံးပြုသူအုပ်စုများကို ဆွဲထုတ်မည့် လမ်းညွှန်များကို သတ်မှတ်ခြင်း။

5) ပြတင်းပေါက်ကိုသွားပါ။ အဖွဲ့များ → ပေါင်းထည့်ပါ → လမ်းညွှန်မှ အဖွဲ့များကို ရွေးချယ်ပါ။ LDAP ဆာဗာမှ ဆွဲထုတ်သည့်အဖွဲ့များကို ရွေးချယ်ရန်။

ပုံ ၈။ LDAP ဆာဗာမှ အုပ်စုများကို ပေါင်းထည့်ခြင်း။

6) ပေါ်လာသောဝင်းဒိုးတွင် ကလစ်နှိပ်ပါ။ အဖွဲ့များကို ပြန်လည်ရယူပါ။ အဖွဲ့များ ပူးပေါင်းပါဝင်ခဲ့လျှင် ပဏာမအဆင့်များ အောင်မြင်စွာ ပြီးမြောက်ခဲ့ပါသည်။ မဟုတ်ပါက အခြားစီမံခန့်ခွဲသူကို စမ်းကြည့်ပြီး LDAP ပရိုတိုကောကို အသုံးပြု၍ LDAP ဆာဗာဖြင့် ISE ရရှိနိုင်မှုကို စစ်ဆေးပါ။

ပုံ 9။ ဖွင့်ထားသည့် အသုံးပြုသူအုပ်စုများစာရင်း

7) tab တွင် Attribute တွေ LDAP ဆာဗာမှ မည်သည့် attribute များကို သင်ရွေးချယ်နိုင်ပြီး ဝင်းဒိုးတွင် ဆွဲထုတ်သင့်သည် အဆင့်မြင့်ချိန်ညှိမှုများ option ကိုဖွင့်ပါ။ စကားဝှက်ပြောင်းခြင်းကို ဖွင့်ပါ။၎င်းသည် သက်တမ်းကုန်သွားပါက သို့မဟုတ် ပြန်လည်သတ်မှတ်ခံရပါက အသုံးပြုသူများအား ၎င်းတို့၏ စကားဝှက်ကို ပြောင်းလဲရန် တွန်းအားပေးမည်ဖြစ်သည်။ ဘာပဲဖြစ်ဖြစ် နှိပ်ပါ။ Submit ဆက်ရန်။

8) LDAP ဆာဗာသည် သက်ဆိုင်ရာ တက်ဘ်တွင် ပေါ်လာပြီး နောက်ပိုင်းတွင် ဝင်ရောက်ခွင့် မူဝါဒများကို ဖန်တီးရန် အသုံးပြုနိုင်သည်။

ပုံ 10။ ထည့်သွင်းထားသော LDAP ဆာဗာများစာရင်း

4. Active Directory နှင့် ပေါင်းစပ်ခြင်း။

1) Microsoft Active Directory ဆာဗာကို LDAP ဆာဗာအဖြစ် ထည့်သွင်းခြင်းဖြင့် အသုံးပြုသူများ၊ အသုံးပြုသူအုပ်စုများကို လက်ခံရရှိသော်လည်း မှတ်တမ်းများမဟုတ်ပါ။ နောက်တစ်ခု၊ Cisco ISE နှင့် AD ပေါင်းစည်းမှုကို သတ်မှတ်ရန် ကျွန်ုပ်အကြံပြုပါသည်။ တက်ဘ်သို့သွားပါ။ စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → ပြင်ပ အထောက်အထားများ → အသက်ဝင်သော လမ်းညွှန် → ပေါင်းထည့်ပါ။ 

မှတ်ချက်: AD နှင့် အောင်မြင်စွာပေါင်းစည်းခြင်းအတွက်၊ ISE သည် ဒိုမိန်းတစ်ခုတွင်ရှိရမည်ဖြစ်ပြီး DNS၊ NTP နှင့် AD ဆာဗာများနှင့် အပြည့်အဝချိတ်ဆက်မှုရှိရမည်၊ မဟုတ်ပါက မည်သည့်အရာမှ အလုပ်မဖြစ်ပါ။

ပုံ ၁၁။ Active Directory ဆာဗာကို ပေါင်းထည့်ခြင်း။

2) ပေါ်လာသောဝင်းဒိုးတွင်၊ ဒိုမိန်းစီမံခန့်ခွဲသူအချက်အလက်ကိုရိုက်ထည့်ပြီး ဘောက်စ်ကို အမှန်ခြစ်ပါ။ အထောက်အထားများကို သိမ်းဆည်းပါ။ ထို့အပြင် ISE သည် သီးခြား OU တစ်ခုတွင် တည်ရှိပါက OU (Organizational Unit) ကို သင် သတ်မှတ်နိုင်ပါသည်။ ထို့နောက်၊ သင်သည် ဒိုမိန်းသို့ ချိတ်ဆက်လိုသော Cisco ISE node များကို ရွေးချယ်ရမည်ဖြစ်သည်။

ပုံ 12။ အထောက်အထားများ ထည့်သွင်းခြင်း။

3) ဒိုမိန်းထိန်းချုပ်ကိရိယာများမထည့်မီ၊ တက်ဘ်ရှိ PSN တွင် သေချာပါစေ။ အုပ်ချုပ်ရေး → စနစ် → ဖြန့်ကျက်ခြင်း။ ရွေးချယ်မှုကို ဖွင့်ထားသည်။ Passive Identity ဝန်ဆောင်မှု. PassiveID — User ကို IP နှင့် အပြန်အလှန် ဘာသာပြန်ရန် ခွင့်ပြုသည့် ရွေးချယ်မှုတစ်ခု။ PassiveID သည် WMI၊ အထူး AD အေးဂျင့်များမှတဆင့် AD ထံမှ အချက်အလက်များကို လက်ခံရရှိသည် သို့မဟုတ် switch ပေါ်ရှိ SPAN port တစ်ခု (အကောင်းဆုံးရွေးချယ်မှုမဟုတ်ပါ)။

မှတ်ချက်: Passive ID အခြေအနေကို စစ်ဆေးရန် ISE ကွန်ဆိုးလ်တွင် ထည့်သွင်းပါ။ အပလီကေးရှင်းအခြေအနေသည် | ပြရန် PassiveID ပါဝင်ပါတယ်။

ပုံ 13။ PassiveID ရွေးချယ်မှုကို ဖွင့်ခြင်း။

4) tab ကိုသွားပါ။ စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → ပြင်ပ အထောက်အထားများ → Active Directory → PassiveID option ကိုရွေးပါ။ DCs ထည့်ပါ။. ထို့နောက်၊ checkbox များဖြင့် လိုအပ်သော domain controllers ကိုရွေးချယ်ပြီး နှိပ်ပါ။ အိုကေ။

ပုံ 14။ ဒိုမိန်း ထိန်းချုပ်ကိရိယာများ ပေါင်းထည့်ခြင်း။

5) Added DCs ကိုရွေးချယ်ပြီး ခလုတ်ကိုနှိပ်ပါ။ Edit ကို။ ကျေးဇူးပြု၍ ညွှန်ပြပါ FQDN သင်၏ DC၊ ဒိုမိန်းဝင်ရောက်ခြင်းနှင့် စကားဝှက်အပြင် ဆက်သွယ်ရေးရွေးချယ်မှုတစ်ခု WMI သို့မဟုတ် ကိုယ်စားလှယ်. WMI ကိုရွေးပြီး ကလစ်နှိပ်ပါ။ အိုကေ။

ပုံ 15။ ဒိုမိန်း ထိန်းချုပ်ကိရိယာ အချက်အလက် ထည့်သွင်းခြင်း။

6) WMI သည် Active Directory နှင့် ဆက်သွယ်ခြင်း၏ ဦးစားပေးနည်းလမ်းမဟုတ်ပါက၊ ISE အေးဂျင့်များကို အသုံးပြုနိုင်ပါသည်။ အေးဂျင့်နည်းလမ်းမှာ လော့ဂ်အင်ဖြစ်ရပ်များကို ထုတ်ပေးမည့် ဆာဗာတွင် အထူးအေးဂျင့်များကို တပ်ဆင်နိုင်သည်။ တပ်ဆင်မှုရွေးချယ်စရာ 2 ခုရှိသည် - အလိုအလျောက်နှင့် manual ။ တူညီသောတက်ဘ်တွင် အေးဂျင့်ကို အလိုအလျောက် ထည့်သွင်းရန် PassiveID item ကိုရွေးပါ Add Agent → Agent အသစ်ကို Deploy လုပ်ပါ။ (DC တွင် အင်တာနက် အသုံးပြုနိုင်ရမည်။ ထို့နောက် လိုအပ်သော အကွက်များ (အေးဂျင့်အမည်၊ ဆာဗာ FQDN၊ ဒိုမိန်းစီမံခန့်ခွဲသူ လော့ဂ်အင်/စကားဝှက်) ကိုဖြည့်ပြီး နှိပ်ပါ။ အိုကေ။

ပုံ 16။ ISE အေးဂျင့် အလိုအလျောက် တပ်ဆင်ခြင်း။

7) Cisco ISE အေးဂျင့်ကို ကိုယ်တိုင်ထည့်သွင်းရန်၊ သင်ရွေးချယ်ရန် လိုအပ်သည်။ လက်ရှိကိုယ်စားလှယ်ကို မှတ်ပုံတင်ပါ။. စကားမစပ်၊ သင်သည် ကိုယ်စားလှယ်ကို တက်ဘ်တွင် ဒေါင်းလုဒ်လုပ်နိုင်သည်။ အလုပ်စင်တာများ → PassiveID → ပံ့ပိုးပေးသူများ → အေးဂျင့်များ → ကိုယ်စားလှယ် ဒေါင်းလုဒ်လုပ်ပါ။

ပုံ 17။ ISE အေးဂျင့်ကို ဒေါင်းလုဒ်လုပ်နေသည်။

ဒါဟာရန်အရေးကြီးပါသည်: PassiveID သည် ဖြစ်ရပ်များကို မဖတ်ပါ။ လော့ဂ်အော့ဖ်လုပ်ထွက်ခြင်း! အချိန်လွန်မှုအတွက် တာဝန်ရှိသော ဘောင်ကို ခေါ်သည်။ အသုံးပြုသူ session aging အချိန် ပုံမှန်အားဖြင့် 24 နာရီနှင့် ညီမျှသည်။ ထို့ကြောင့်၊ သင်အလုပ်လုပ်သည့်နေ့၏အဆုံးတွင် သင့်ကိုယ်သင် လော့ဂ်ဖွင့်သင့်သည်၊ သို့မဟုတ် လော့ဂ်အင်ဝင်အသုံးပြုသူအားလုံးကို အလိုအလျောက်ထွက်စေမည့် script တစ်မျိုးမျိုးရေးပါ။ 

သတင်းအချက်အလက်အတွက် လော့ဂ်အော့ဖ်လုပ်ထွက်ခြင်း “Endpoint probes” ကို အသုံးပြုသည်။ Cisco ISE တွင် endpoint probe အများအပြားရှိသည်- RADIUS၊ SNMP Trap၊ SNMP Query၊ DHCP၊ DNS၊ HTTP၊ Netflow၊ NMAP စကင်န်။ RADIUS probe ကို အသုံးပြု CoA (Change of Authorization) ပက်ကေ့ဂျ်များသည် အသုံးပြုသူအခွင့်အရေးများ ပြောင်းလဲခြင်းဆိုင်ရာ အချက်အလက်များကို ပံ့ပိုးပေးသည် (၎င်းသည် မြှုပ်သွင်းထားရန် လိုအပ်သည်။ 802.1X) နှင့် access switches တွင် configured SNMP သည် ချိတ်ဆက်ထားသော နှင့် အဆက်ပြတ်နေသော စက်ပစ္စည်းများအကြောင်း အချက်အလက်ကို ပေးလိမ့်မည်။

အောက်တွင် 802.1X နှင့် RADIUS မပါဘဲ Cisco ISE + AD ဖွဲ့စည်းမှုအတွက် သက်ဆိုင်သည့် ဥပမာတစ်ခု ဖော်ပြထားပါသည်- အသုံးပြုသူသည် အောက်ပါနေရာသို့ ဝင်ရောက်ထားသည်။ Windows WiFi မှတစ်ဆင့် အခြား PC မှ စက်တစ်ခုသို့ logout မလုပ်ဘဲ login ဝင်ပါ။ ဤကိစ္စတွင်၊ ပထမဆုံး PC ရှိ session သည် timeout သို့မဟုတ် forced logoff မဖြစ်ပွားမချင်း active ဖြစ်နေမည်ဖြစ်သည်။ ထို့နောက်၊ device များတွင် permission များ မတူညီပါက၊ နောက်ဆုံး login ဝင်ထားသော device သည် ၎င်း၏ permission များကို အသုံးပြုလိမ့်မည်။

8) tab တွင်အပိုများ စီမံခန့်ခွဲမှု → အထောက်အထား စီမံခန့်ခွဲမှု → ပြင်ပ အထောက်အထား အရင်းအမြစ်များ → အသက်ဝင်သော လမ်းညွှန် → အဖွဲ့များ → ပေါင်းထည့်ခြင်း → လမ်းညွှန်မှ အုပ်စုများကို ရွေးပါ ISE တွင် သင်ထည့်လိုသော AD အဖွဲ့များကို သင်ရွေးချယ်နိုင်သည် (ကျွန်ုပ်တို့၏ကိစ္စတွင်၊ ၎င်းကို အဆင့် 3 “LDAP ဆာဗာတစ်ခုထည့်ခြင်း” တွင် လုပ်ဆောင်ခဲ့သည်)။ ရွေးချယ်မှုတစ်ခုကို ရွေးချယ်ပါ။ အဖွဲ့များ → OK ကိုရယူပါ။. 

ပုံ 18 a)။ Active Directory မှ အသုံးပြုသူအုပ်စုများကို ဆွဲထုတ်ခြင်း။

9) tab တွင် အလုပ်စင်တာများ → PassiveID → ခြုံငုံသုံးသပ်ချက် → ဒက်ရှ်ဘုတ် တက်ကြွသော session အရေအတွက်၊ ဒေတာရင်းမြစ်အရေအတွက်၊ အေးဂျင့်များနှင့် အခြားအရာများကို သင်စောင့်ကြည့်နိုင်သည်။

ပုံ 19။ ဒိုမိန်းအသုံးပြုသူ လုပ်ဆောင်ချက်ကို စောင့်ကြည့်ခြင်း။

10) tab တွင် တိုက်ရိုက်အစည်းအဝေးများ လက်ရှိ session များကိုပြသထားသည်။ AD နှင့် ပေါင်းစည်းခြင်းကို စီစဉ်သတ်မှတ်ထားသည်။

ပုံ 20။ ဒိုမိန်းအသုံးပြုသူများ၏ တက်ကြွသောအစည်းအဝေးများ

၈။ နိဂုံး

ဤဆောင်းပါးသည် Cisco ISE တွင် ဒေသခံအသုံးပြုသူများကို ဖန်တီးခြင်း၊ LDAP ဆာဗာများကို ပေါင်းထည့်ခြင်းနှင့် Microsoft Active Directory နှင့် ပေါင်းစည်းခြင်းဆိုင်ရာ ခေါင်းစဉ်များ ပါဝင်သည်။ နောက်ဆောင်းပါးတွင် ဧည့်သည်ဝင်ရောက်ခွင့်ကို မလိုအပ်သောလမ်းညွှန်ပုံစံဖြင့် ဖော်ပြပါမည်။

သင့်တွင် ဤအကြောင်းအရာနှင့် ပတ်သက်၍ မေးခွန်းများ ရှိပါက သို့မဟုတ် ထုတ်ကုန်ကို စမ်းသပ်ရာတွင် အကူအညီ လိုအပ်ပါက၊ ကျေးဇူးပြု၍ ဆက်သွယ်ပါ။ link ကို.

ကျွန်ုပ်တို့၏ချန်နယ်များရှိ အပ်ဒိတ်များအတွက် စောင့်မျှော်ကြည့်ရှုပါ (ကွေးနနျးစာ, Facebook က, VK, TS Solution Blog, Yandex Zen).

source: www.habr.com