सिस्को ISE: प्रयोगकर्ताहरू सिर्जना गर्दै, LDAP सर्भरहरू थप्दै, AD सँग एकीकरण गर्दै। भाग 2

सिस्को ISE श्रृंखलाको दोस्रो पोस्टमा स्वागत छ। पहिलो मा लेख  मानक AAA बाट नेटवर्क एक्सेस कन्ट्रोल (NAC) समाधानका फाइदाहरू र भिन्नताहरू, Cisco ISE को विशिष्टता, वास्तुकला र उत्पादनको स्थापना प्रक्रिया हाइलाइट गरियो।

यस लेखमा, हामी खाताहरू सिर्जना गर्ने, LDAP सर्भरहरू थप्ने, र माइक्रोसफ्ट एक्टिभ डाइरेक्टरीसँग एकीकरण गर्ने, साथै PassiveID सँग काम गर्ने सूक्ष्मताहरू बारे छलफल गर्नेछौं। पढ्नु अघि, म दृढतापूर्वक सिफारिस गर्दछु कि तपाई पढ्नु होस् पहिलो भाग.

1. केही शब्दावली

प्रयोगकर्ता पहिचान - एक प्रयोगकर्ता खाता जसले प्रयोगकर्ताको बारेमा जानकारी समावेश गर्दछ र नेटवर्क पहुँच गर्नका लागि उसको प्रमाणहरू उत्पन्न गर्दछ। निम्न प्यारामिटरहरू सामान्यतया प्रयोगकर्ता पहिचानमा निर्दिष्ट हुन्छन्: प्रयोगकर्ता नाम, इमेल ठेगाना, पासवर्ड, खाता विवरण, प्रयोगकर्ता समूह, र भूमिका।

प्रयोगकर्ता समूह - प्रयोगकर्ता समूहहरू व्यक्तिगत प्रयोगकर्ताहरूको सङ्कलन हुन् जससँग विशेषाधिकारहरूको साझा सेट छ जसले तिनीहरूलाई सिस्को ISE सेवाहरू र कार्यहरूको एक विशेष सेट पहुँच गर्न अनुमति दिन्छ।

प्रयोगकर्ता पहिचान समूह - पूर्वनिर्धारित प्रयोगकर्ता समूहहरू जुनसँग पहिले नै निश्चित जानकारी र भूमिकाहरू छन्। निम्न प्रयोगकर्ता पहिचान समूहहरू पूर्वनिर्धारित रूपमा अवस्थित छन्, तपाईंले तिनीहरूमा प्रयोगकर्ताहरू र प्रयोगकर्ता समूहहरू थप्न सक्नुहुन्छ: कर्मचारी (कर्मचारी), प्रायोजक सबै खाताहरू, प्रायोजक समूह खाताहरू, प्रायोजकहरू खाताहरू (अतिथि पोर्टल प्रबन्ध गर्नका लागि प्रायोजक खाताहरू), अतिथि (अतिथि), सक्रिय अतिथि (सक्रिय अतिथि)।

प्रयोगकर्ता भूमिका- प्रयोगकर्ता भूमिका अनुमतिहरूको सेट हो जसले प्रयोगकर्ताले कुन कार्यहरू गर्न सक्छ र कुन सेवाहरू पहुँच गर्न सक्छ भनेर निर्धारण गर्दछ। प्रायः प्रयोगकर्ताको भूमिका प्रयोगकर्ताहरूको समूहसँग सम्बन्धित हुन्छ।

यसबाहेक, प्रत्येक प्रयोगकर्ता र प्रयोगकर्ता समूहमा अतिरिक्त विशेषताहरू छन् जसले तपाईंलाई यो प्रयोगकर्ता (प्रयोगकर्ता समूह) चयन गर्न र थप विशेष रूपमा परिभाषित गर्न अनुमति दिन्छ। मा थप जानकारी गाइड.

2. स्थानीय प्रयोगकर्ताहरू सिर्जना गर्नुहोस्

1) Cisco ISE सँग स्थानीय प्रयोगकर्ताहरू सिर्जना गर्ने र पहुँच नीतिमा प्रयोग गर्ने वा उत्पादन प्रशासनको भूमिका पनि दिने क्षमता छ। चयन गर्नुहोस् प्रशासन → पहिचान व्यवस्थापन → पहिचान → प्रयोगकर्ता → थप्नुहोस्।

चित्र 1 सिस्को ISE मा स्थानीय प्रयोगकर्ता थप्दै

2) देखा पर्ने विन्डोमा, स्थानीय प्रयोगकर्ता सिर्जना गर्नुहोस्, पासवर्ड र अन्य बुझ्न योग्य प्यारामिटरहरू सेट गर्नुहोस्।

चित्र २. सिस्को ISE मा स्थानीय प्रयोगकर्ता सिर्जना गर्दै

3) प्रयोगकर्ताहरू पनि आयात गर्न सकिन्छ। एउटै ट्याबमा प्रशासन → पहिचान व्यवस्थापन → पहिचान → प्रयोगकर्ताहरू एक विकल्प चयन गर्नुहोस् आयात गर्नुहोस् र प्रयोगकर्ताहरूसँग csv वा txt फाइल अपलोड गर्नुहोस्। टेम्प्लेट प्राप्त गर्न चयन गर्नुहोस् टेम्प्लेट उत्पन्न गर्नुहोस्, त्यसपछि यो उपयुक्त फारममा प्रयोगकर्ताहरूको बारेमा जानकारी भरिएको हुनुपर्छ।

चित्र 3 सिस्को ISE मा प्रयोगकर्ताहरू आयात गर्दै

3. LDAP सर्भरहरू थप्दै

म तपाईंलाई सम्झाउन चाहन्छु कि LDAP एक लोकप्रिय अनुप्रयोग-स्तर प्रोटोकल हो जसले तपाईंलाई जानकारी प्राप्त गर्न, प्रमाणीकरण गर्न, LDAP सर्भरहरूको डाइरेक्टरीहरूमा खाताहरू खोज्न, पोर्ट 389 वा 636 (SS) मा काम गर्न अनुमति दिन्छ। LDAP सर्भरका प्रमुख उदाहरणहरू सक्रिय निर्देशिका, सन डाइरेक्टरी, नोवेल eDirectory, र OpenLDAP हुन्। LDAP डाइरेक्टरीमा प्रत्येक प्रविष्टिलाई DN (विशिष्ट नाम) द्वारा परिभाषित गरिएको छ र पहुँच नीति बनाउन खाताहरू, प्रयोगकर्ता समूहहरू र विशेषताहरू पुन: प्राप्त गर्ने कार्यलाई उठाइएको छ।

सिस्को ISE मा, धेरै LDAP सर्भरहरूमा पहुँच कन्फिगर गर्न सम्भव छ, जसले गर्दा अनावश्यकता लागू हुन्छ। यदि प्राथमिक (प्राथमिक) LDAP सर्भर उपलब्ध छैन भने, ISE ले माध्यमिक (सेकेन्डरी) र यस्तै अन्यमा पहुँच गर्ने प्रयास गर्नेछ। थप रूपमा, यदि त्यहाँ 2 PAN छन् भने, एउटा LDAP लाई प्राथमिक PAN को लागि र अर्को LDAP लाई माध्यमिक PAN को लागि प्राथमिकता दिन सकिन्छ।

LDAP सर्भरहरूसँग काम गर्दा ISE ले 2 प्रकारका लुकअप (लुकअप) लाई समर्थन गर्दछ: प्रयोगकर्ता लुकअप र MAC ठेगाना लुकअप। प्रयोगकर्ता लुकअपले तपाईंलाई LDAP डाटाबेसमा प्रयोगकर्ता खोज्न र प्रमाणीकरण बिना निम्न जानकारी प्राप्त गर्न अनुमति दिन्छ: प्रयोगकर्ताहरू र तिनीहरूका विशेषताहरू, प्रयोगकर्ता समूहहरू। MAC ठेगाना लुकअपले तपाईंलाई प्रमाणीकरण बिना LDAP डाइरेक्टरीहरूमा MAC ठेगाना खोज्न र यन्त्र, MAC ठेगानाहरूद्वारा यन्त्रहरूको समूह, र अन्य विशिष्ट विशेषताहरू बारे जानकारी प्राप्त गर्न अनुमति दिन्छ।

एकीकरण उदाहरणको रूपमा, सिस्को ISE मा LDAP सर्भरको रूपमा सक्रिय निर्देशिका थपौं।

1) ट्याबमा जानुहोस् प्रशासन → पहिचान व्यवस्थापन → बाह्य पहिचान स्रोतहरू → LDAP → थप्नुहोस्। 

चित्र ४. LDAP सर्भर थप्दै

2) प्यानलमा सामान्य LDAP सर्भर नाम र योजना निर्दिष्ट गर्नुहोस् (हाम्रो अवस्थामा, सक्रिय निर्देशिका)। 

चित्र 5. सक्रिय डाइरेक्टरी स्कीमा संग LDAP सर्भर थप्दै

3) अर्को जानुहोस् जडान ट्याब र चयन गर्नुहोस् होस्टनाम/आईपी ठेगाना सर्भर AD, पोर्ट (389 - LDAP, 636 - SSL LDAP), डोमेन प्रशासक प्रमाणहरू (प्रशासक DN - पूर्ण DN), अन्य प्यारामिटरहरू पूर्वनिर्धारित रूपमा छोड्न सकिन्छ।

भन्नु: सम्भावित समस्याहरूबाट बच्न प्रशासक डोमेन विवरणहरू प्रयोग गर्नुहोस्।

चित्र 6 LDAP सर्भर डाटा प्रविष्ट गर्दै

4) ट्याबमा निर्देशिका संगठन तपाईले DN मार्फत डाइरेक्टरी क्षेत्र निर्दिष्ट गर्नुपर्छ जहाँबाट प्रयोगकर्ता र प्रयोगकर्ता समूहहरू तान्न सकिन्छ।

चित्र 7. डाइरेक्टरीहरूको निर्धारण जहाँबाट प्रयोगकर्ता समूहहरू तान्न सक्छन्

5) विन्डोमा जानुहोस् समूहहरू → थप्नुहोस् → निर्देशिकाबाट समूहहरू चयन गर्नुहोस् LDAP सर्भरबाट पुल समूहहरू चयन गर्न।

चित्र 8. LDAP सर्भरबाट समूहहरू थप्दै

6) देखा पर्ने विन्डोमा क्लिक गर्नुहोस् समूहहरू पुन: प्राप्त गर्नुहोस्। यदि समूहहरू तानिएका छन् भने, प्रारम्भिक चरणहरू सफलतापूर्वक सम्पन्न भएका छन्। अन्यथा, अर्को प्रशासक प्रयास गर्नुहोस् र LDAP प्रोटोकल मार्फत LDAP सर्भरसँग ISE को उपलब्धता जाँच गर्नुहोस्।

चित्र 9. तानिएका प्रयोगकर्ता समूहहरूको सूची

7) ट्याबमा विशेषताहरु तपाईले वैकल्पिक रूपमा निर्दिष्ट गर्न सक्नुहुन्छ LDAP सर्भरबाट कुन विशेषताहरू तान्नु पर्छ, र सञ्झ्यालमा उन्नत सेटिंग्स विकल्प सक्षम गर्नुहोस् पासवर्ड परिवर्तन सक्षम गर्नुहोस्, जसले प्रयोगकर्ताहरूलाई उनीहरूको पासवर्ड परिवर्तन गर्न बाध्य पार्छ यदि यो म्याद सकिएको छ वा रिसेट गरिएको छ। जे भए पनि क्लिक गर्नुहोस् Submit जारी राख्न।

8) LDAP सर्भर सम्बन्धित ट्याबमा देखा पर्‍यो र भविष्यमा पहुँच नीतिहरू बनाउन प्रयोग गर्न सकिन्छ।

चित्र 10. थपिएको LDAP सर्भरहरूको सूची

4. सक्रिय निर्देशिका संग एकीकरण

1) माइक्रोसफ्ट एक्टिभ डाइरेक्टरी सर्भरलाई LDAP सर्भरको रूपमा थपेर, हामीले प्रयोगकर्ताहरू, प्रयोगकर्ता समूहहरू पायौं, तर लगहरू छैनन्। अर्को, म सिस्को ISE सँग पूर्ण AD एकीकरण सेटअप गर्ने प्रस्ताव गर्छु। ट्याबमा जानुहोस् प्रशासन → पहिचान व्यवस्थापन → बाह्य पहिचान स्रोतहरू → सक्रिय निर्देशिका → थप्नुहोस्। 

नोट: AD सँग सफल एकीकरणको लागि, ISE डोमेनमा हुनुपर्छ र DNS, NTP र AD सर्भरहरूसँग पूर्ण जडान हुनुपर्दछ, अन्यथा यसबाट केही आउँदैन।

चित्र 11. सक्रिय निर्देशिका सर्भर थप्दै

2) देखा पर्ने विन्डोमा, डोमेन प्रशासक विवरणहरू प्रविष्ट गर्नुहोस् र बाकस जाँच गर्नुहोस् भण्डार प्रमाणहरू। थप रूपमा, यदि ISE एक विशिष्ट OU मा अवस्थित छ भने तपाईंले OU (संगठनात्मक एकाइ) निर्दिष्ट गर्न सक्नुहुन्छ। अर्को, तपाईंले सिस्को ISE नोडहरू चयन गर्नुपर्नेछ जुन तपाईं डोमेनमा जडान गर्न चाहनुहुन्छ।

चित्र 12. प्रमाणहरू प्रविष्ट गर्दै

3) डोमेन नियन्त्रकहरू थप्नु अघि, ट्याबमा PSN मा सुनिश्चित गर्नुहोस् प्रशासन → प्रणाली → परिनियोजन विकल्प सक्षम निष्क्रिय पहिचान सेवा. निष्क्रिय आईडी - एक विकल्प जसले तपाईंलाई प्रयोगकर्तालाई IP मा अनुवाद गर्न अनुमति दिन्छ र यसको विपरीत। PassiveID ले AD बाट WMI, विशेष AD एजेन्टहरू वा स्विचमा SPAN पोर्ट मार्फत जानकारी प्राप्त गर्दछ (उत्तम विकल्प होइन)।

नोट: निष्क्रिय ID को स्थिति जाँच गर्न, ISE कन्सोलमा टाइप गर्नुहोस् आवेदन स्थिति ise देखाउनुहोस् | PassiveID समावेश गर्नुहोस्।

चित्र 13. PassiveID विकल्प सक्षम गर्दै

4) ट्याबमा जानुहोस् प्रशासन → पहिचान व्यवस्थापन → बाह्य पहिचान स्रोत → सक्रिय निर्देशिका → PassiveID र विकल्प चयन गर्नुहोस् DCs थप्नुहोस्। अर्को, चेकबक्सहरूको साथ आवश्यक डोमेन नियन्त्रकहरू चयन गर्नुहोस् र क्लिक गर्नुहोस् ठिक छ।

चित्र 14. डोमेन नियन्त्रकहरू थप्दै

5) थपिएका DCs चयन गर्नुहोस् र बटनमा क्लिक गर्नुहोस् सम्पादन गर्नुहोस्। कृपया संकेत गर्नुहोस् FQDN तपाईंको DC, डोमेन लगइन र पासवर्ड, र लिङ्क विकल्प WMI वा एजेन्ट। WMI चयन गर्नुहोस् र क्लिक गर्नुहोस् ठिक छ।

चित्र 15 डोमेन नियन्त्रक विवरणहरू प्रविष्ट गर्दै

6) यदि WMI एक्टिभ डाइरेक्टरीसँग सञ्चार गर्न रुचाइएको तरिका होइन भने, ISE एजेन्टहरू प्रयोग गर्न सकिन्छ। एजेन्ट विधि भनेको तपाईंले लगइन घटनाहरू उत्सर्जन गर्ने सर्भरहरूमा विशेष एजेन्टहरू स्थापना गर्न सक्नुहुन्छ। त्यहाँ 2 स्थापना विकल्पहरू छन्: स्वचालित र म्यानुअल। उही ट्याबमा स्वतः एजेन्ट स्थापना गर्न निष्क्रिय आईडी चयन एजेन्ट थप्नुहोस् → नयाँ एजेन्ट तैनात गर्नुहोस् (DC इन्टरनेट पहुँच हुनुपर्छ)। त्यसपछि आवश्यक फिल्डहरू भर्नुहोस् (एजेन्ट नाम, सर्भर FQDN, डोमेन प्रशासक लगइन/पासवर्ड) र क्लिक गर्नुहोस्। ठिक छ।

चित्र 16. ISE एजेन्टको स्वचालित स्थापना

7) सिस्को ISE एजेन्ट म्यानुअल रूपमा स्थापना गर्न, वस्तु चयन गर्नुहोस् अवस्थित एजेन्ट दर्ता गर्नुहोस्। वैसे, तपाईं ट्याबमा एजेन्ट डाउनलोड गर्न सक्नुहुन्छ कार्य केन्द्रहरू → PassiveID → प्रदायकहरू → एजेन्टहरू → डाउनलोड एजेन्ट।

चित्र 17. ISE एजेन्ट डाउनलोड गर्दै

यो महत्त्वपूर्ण छ: PassiveID ले घटनाहरू पढ्दैन लग अफ् गर्नुहोस्! टाइमआउटको लागि जिम्मेवार प्यारामिटर भनिन्छ प्रयोगकर्ता सत्र बुढ्यौली समय र पूर्वनिर्धारित रूपमा 24 घण्टा बराबर। त्यसकारण, तपाईंले या त कामको दिनको अन्त्यमा आफैलाई लगअफ गर्नुपर्छ, वा कुनै प्रकारको स्क्रिप्ट लेख्नुहोस् जसले सबै लगइन गरिएका प्रयोगकर्ताहरूलाई स्वचालित रूपमा लगअफ गर्नेछ। 

जानकारीको लागि लग अफ् गर्नुहोस् "इन्डपोइन्ट प्रोबहरू" प्रयोग गरिन्छ - टर्मिनल प्रोबहरू। सिस्को ISE मा धेरै अन्तबिन्दु प्रोबहरू छन्: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP स्क्यान। त्रिज्या प्रयोग गरेर अनुसन्धान CoA (प्राधिकरणको परिवर्तन) प्याकेजहरूले प्रयोगकर्ता अधिकारहरू परिवर्तन गर्ने बारे जानकारी दिन्छ (यसका लागि इम्बेडेड आवश्यक पर्दछ 802.1X), र पहुँच स्विच SNMP मा कन्फिगर गरिएको, जडान र विच्छेदन गरिएका उपकरणहरूको बारेमा जानकारी दिनेछ।

निम्न उदाहरण 802.1X र RADIUS बिना Cisco ISE + AD कन्फिगरेसनको लागि सान्दर्भिक छ: प्रयोगकर्ताले Windows मेसिनमा लग इन गरेको छ, लगअफ नगरिकन, WiFi मार्फत अर्को PC बाट लग इन गर्नुहोस्। यस अवस्थामा, पहिलो पीसीमा सत्र अझै सक्रिय रहनेछ जबसम्म समय समाप्त हुँदैन वा जबरजस्ती लगअफ हुन्छ। त्यसोभए यदि उपकरणहरूमा फरक अधिकारहरू छन् भने, अन्तिम लग इन गरिएको उपकरणले यसको अधिकारहरू लागू गर्नेछ।

8) ट्याबमा वैकल्पिक प्रशासन → पहिचान व्यवस्थापन → बाह्य पहिचान स्रोतहरू → सक्रिय निर्देशिका → समूहहरू → थप्नुहोस् → निर्देशिकाबाट समूहहरू चयन गर्नुहोस् तपाईंले AD बाट समूहहरू चयन गर्न सक्नुहुन्छ जुन तपाईं ISE मा तान्न चाहनुहुन्छ (हाम्रो अवस्थामा, यो चरण 3 मा गरिएको थियो "LDAP सर्भर थप्दै")। एउटा विकल्प छान्नुहोस् समूहहरू पुनःप्राप्त गर्नुहोस् → ठीक छ. 

चित्र 18 क)। सक्रिय निर्देशिकाबाट प्रयोगकर्ता समूहहरू तान्दै

9) ट्याबमा कार्य केन्द्रहरू → PassiveID → सिंहावलोकन → ड्यासबोर्ड तपाईं सक्रिय सत्रहरूको संख्या, डेटा स्रोतहरूको संख्या, एजेन्टहरू, र थप अवलोकन गर्न सक्नुहुन्छ।

चित्र 19. डोमेन प्रयोगकर्ताहरूको गतिविधि निगरानी गर्दै

10) ट्याबमा प्रत्यक्ष सत्रहरू हालका सत्रहरू प्रदर्शित छन्। AD सँग एकीकरण कन्फिगर गरिएको छ।

चित्र 20. डोमेन प्रयोगकर्ताहरूको सक्रिय सत्रहरू

Con. निष्कर्ष

यस लेखले Cisco ISE मा स्थानीय प्रयोगकर्ताहरू सिर्जना गर्ने, LDAP सर्भरहरू थप्ने, र Microsoft Active Directory सँग एकीकरण गर्ने विषयहरूलाई समेटेको छ। अर्को लेखले अनावश्यक गाइडको रूपमा अतिथि पहुँचलाई हाइलाइट गर्नेछ।

यदि तपाइँसँग यस विषयको बारेमा प्रश्नहरू छन् वा उत्पादन परीक्षण गर्न मद्दत चाहिन्छ भने, कृपया सम्पर्क गर्नुहोस् लिङ्क.

हाम्रा च्यानलहरूमा अद्यावधिकहरूको लागि सम्पर्कमा रहनुहोस् (तार, फेसबुक, VK, TS समाधान ब्लग, Yandex Zen).

स्रोत: www.habr.com