Velkommen til den andre publikasjonen av en serie artikler dedikert til Cisco ISE. I det første fordelene og forskjellene med Network Access Control (NAC)-løsninger fra standard AAA, det unike ved Cisco ISE, arkitekturen og installasjonsprosessen til produktet ble fremhevet.
I denne artikkelen vil vi fordype oss i å lage kontoer, legge til LDAP-servere og integrere med Microsoft Active Directory, samt nyansene ved å jobbe med PassiveID. Før du leser, anbefaler jeg på det sterkeste at du leser .
1. Litt terminologi
Brukeridentitet - en brukerkonto som inneholder informasjon om brukeren og genererer hans legitimasjon for tilgang til nettverket. Følgende parametere er vanligvis spesifisert i brukeridentitet: brukernavn, e-postadresse, passord, kontobeskrivelse, brukergruppe og rolle.
Brukergrupper - brukergrupper er en samling individuelle brukere som har et felles sett med privilegier som lar dem få tilgang til et spesifikt sett med Cisco ISE-tjenester og -funksjoner.
Brukeridentitetsgrupper - forhåndsdefinerte brukergrupper som allerede har visse opplysninger og roller. Følgende brukeridentitetsgrupper eksisterer som standard, og du kan legge til brukere og brukergrupper til dem: Ansatt, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsorkontoer for administrasjon av gjesteportalen), Guest, ActivatedGuest.
brukerrolle- En brukerrolle er et sett med tillatelser som bestemmer hvilke oppgaver en bruker kan utføre og hvilke tjenester en bruker har tilgang til. Ofte er en brukerrolle knyttet til en gruppe brukere.
Hver bruker og brukergruppe har dessuten tilleggsattributter som lar deg fremheve og mer spesifikt definere en gitt bruker (brukergruppe). Mer informasjon i .
2. Opprett lokale brukere
1) Cisco ISE har muligheten til å opprette lokale brukere og bruke dem i en tilgangspolicy eller til og med gi en rolle som produktadministrasjon. Plukke ut Administrasjon → Identitetsadministrasjon → Identiteter → Brukere → Legg til.
Figur 1: Legge til en lokal bruker til Cisco ISE
2) I vinduet som vises, opprett en lokal bruker, gi ham et passord og andre klare parametere.
Figur 2. Opprette en lokal bruker i Cisco ISE
3) Brukere kan også importeres. I samme fane Administrasjon → Identitetsadministrasjon → Identiteter → Brukere Velg et alternativ Import og last opp csv- eller txt-fil med brukere. For å få en mal velg Generer en mal, så bør du fylle den med informasjon om brukere i en passende form.
Figur 3 Importere brukere til Cisco ISE
3. Legge til LDAP-servere
La meg minne deg på at LDAP er en populær protokoll på applikasjonsnivå som lar deg motta informasjon, utføre autentisering, søke etter kontoer i katalogene til LDAP-servere, fungerer på port 389 eller 636 (SS). Fremtredende eksempler på LDAP-servere er Active Directory, Sun Directory, Novell eDirectory og OpenLDAP. Hver oppføring i LDAP-katalogen er definert av en DN (Distinguished Name) og oppgaven med å hente kontoer, brukergrupper og attributter heves for å danne en tilgangspolicy.
I Cisco ISE er det mulig å konfigurere tilgang til mange LDAP-servere, og dermed implementere redundans. Hvis den primære (primære) LDAP-serveren ikke er tilgjengelig, vil ISE prøve å få tilgang til den sekundære (sekundære) og så videre. I tillegg, hvis det er 2 PAN, kan én LDAP prioriteres for den primære PAN og en annen LDAP for den sekundære PAN.
ISE støtter 2 typer oppslag når du arbeider med LDAP-servere: Brukeroppslag og MAC-adresseoppslag. Brukeroppslag lar deg søke etter en bruker i en LDAP-database og hente følgende informasjon uten autentisering: brukere og deres attributter, brukergrupper. MAC Address Lookup lar deg også søke etter MAC-adresse i LDAP-kataloger uten autentisering og få informasjon om en enhet, en gruppe enheter etter MAC-adresser og andre spesifikke attributter.
Som et eksempel på integrasjon, la oss legge til Active Directory til Cisco ISE som en LDAP-server.
1) Gå til fanen Administrasjon → Identitetsadministrasjon → Eksterne identitetskilder → LDAP → Legg til.
Figur 4. Legge til en LDAP-server
2) I panelet general spesifiser LDAP-servernavnet og -skjemaet (i vårt tilfelle Active Directory).
Figur 5. Legge til en LDAP-server med et Active Directory-skjema
3) Gå deretter til Tilkobling fanen og velg Vertsnavn/IP-adresse Server AD, port (389 - LDAP, 636 - SSL LDAP), domeneadministratorlegitimasjon (Admin DN - full DN), andre parametere kan stå som standard.
Note: Bruk administratordomenedetaljene for å unngå potensielle problemer.
Figur 6. Legge inn LDAP-serverdata
4) I en fane Katalogorganisasjon du bør spesifisere katalogområdet gjennom DN hvorfra brukere og brukergrupper skal hentes.
Figur 7. Bestemmelse av kataloger hvor brukergrupper kan trekke opp
5) Gå til vinduet Grupper → Legg til → Velg grupper fra katalog for å velge trekkegrupper fra LDAP-serveren.
Figur 8. Legge til grupper fra LDAP-serveren
6) Klikk på i vinduet som vises Hent grupper. Hvis gruppene har trukket opp, er de foreløpige trinnene fullført. Ellers kan du prøve en annen administrator og sjekke tilgjengeligheten til ISE med LDAP-serveren via LDAP-protokollen.
Figur 9. Liste over aktiverte brukergrupper
7) I en fane attributter du kan valgfritt spesifisere hvilke attributter fra LDAP-serveren som skal trekkes opp, og i vinduet Avanserte innstillinger aktivere alternativet Aktiver endring av passord, som vil tvinge brukere til å endre passordet hvis det har utløpt eller blitt tilbakestilt. Uansett klikk Send å fortsette.
8) LDAP-serveren dukket opp i den tilsvarende fanen og kan brukes til å danne tilgangspolicyer i fremtiden.
Figur 10. Liste over lagt til LDAP-servere
4. Integrasjon med Active Directory
1) Ved å legge til Microsoft Active Directory-serveren som en LDAP-server, fikk vi brukere, brukergrupper, men ingen logger. Deretter foreslår jeg å sette opp fullverdig AD-integrasjon med Cisco ISE. Gå til fanen Administrasjon → Identitetsbehandling → Eksterne identitetskilder → Active Directory → Legg til.
Merk: for vellykket integrasjon med AD må ISE være i et domene og ha full tilkobling til DNS, NTP og AD servere, ellers blir det ingenting av det.
Figur 11. Legge til en Active Directory-server
2) I vinduet som vises, skriv inn domeneadministratordetaljene og merk av i boksen Lagre legitimasjon. I tillegg kan du spesifisere en OU (Organisasjonsenhet) hvis ISE er lokalisert i en spesifikk OU. Deretter må du velge Cisco ISE-nodene du vil koble til domenet.
Figur 12. Oppgi legitimasjon
3) Før du legger til domenekontrollere, sørg for at på PSN i fanen Administrasjon → System → Implementering alternativet aktivert Passiv identitetstjeneste. Passiv ID — et alternativ som lar deg oversette bruker til IP og omvendt. PassiveID får informasjon fra AD via WMI, spesielle AD-agenter eller SPAN-port på switchen (ikke det beste alternativet).
Merk: for å sjekke passiv ID-status, skriv inn i ISE-konsollen vis søknadsstatus ise | inkludere passiv ID.
Figur 13. Aktivering av alternativet PassiveID
4) Gå til fanen Administrasjon → Identitetsadministrasjon → Eksterne identitetskilder → Active Directory → PassivID og velg alternativet Legg til DC-er. Deretter velger du de nødvendige domenekontrollerne med avmerkingsbokser og klikker OK.
Figur 14. Legge til domenekontrollere
5) Velg de tillagte DC-ene og klikk på knappen Rediger. Vennligst oppgi FQDN din DC, domenepålogging og passord, samt et kommunikasjonsalternativ WMI eller Agent. Velg WMI og klikk OK.
Figur 15 Angi domenekontrollerdetaljer
6) Hvis WMI ikke er den foretrukne måten å kommunisere med Active Directory på, kan ISE-agenter brukes. Agentmetoden er at du kan installere spesielle agenter på serverne som skal sende ut påloggingshendelser. Det er 2 installasjonsalternativer: automatisk og manuell. For å automatisk installere agenten i samme fane Passiv ID Velg en Legg til agent → Distribuer ny agent (DC må ha Internett-tilgang). Deretter fyller du ut de nødvendige feltene (agentnavn, server FQDN, pålogging/passord for domeneadministrator) og klikker OK.
Figur 16. Automatisk installasjon av ISE-agenten
7) Velg elementet for å installere Cisco ISE-agenten manuelt Registrer eksisterende agent. Agenten kan du forresten laste ned i fanen Arbeidssentre → Passiv ID → Leverandører → Agenter → Last ned agent.
Figur 17. Nedlasting av ISE-agenten
Det er viktig å: PassiveID leser ikke hendelser avlogging! Parameteren som er ansvarlig for timeout kalles aldringstiden for brukerøkten og er lik 24 timer som standard. Derfor bør du enten selv logge av på slutten av arbeidsdagen, eller skrive et slags script som automatisk vil logge av alle påloggede brukere.
Til informasjon avlogging "Endepunktsonder" brukes. Det er flere endepunktsonder i Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS sonde bruker CoA (Change of Authorization)-pakker gir informasjon om endring av brukerrettigheter (dette krever en innebygd 802.1X), og konfigurert på tilgangssvitsjer SNMP, vil gi informasjon om tilkoblede og frakoblede enheter.
Følgende eksempel er relevant for en Cisco ISE + AD-konfigurasjon uten 802.1X og RADIUS: en bruker er logget på en Windows-maskin, uten å logge av, logger på fra en annen PC via WiFi. I dette tilfellet vil økten på den første PC-en fortsatt være aktiv inntil det oppstår et tidsavbrudd eller en tvungen utlogging. Så hvis enhetene har forskjellige rettigheter, vil den sist påloggede enheten bruke rettighetene sine.
8) Valgfritt i fanen Administrasjon → Identitetsbehandling → Eksterne identitetskilder → Active Directory → Grupper → Legg til → Velg grupper fra katalogen du kan velge grupper fra AD som du vil trekke opp på ISE (i vårt tilfelle ble dette gjort i trinn 3 "Legge til en LDAP-server"). Velg et alternativ Hent grupper → OK.
Figur 18 a). Trekker brukergrupper fra Active Directory
9) I en fane Arbeidssentre → Passiv ID → Oversikt → Dashboard du kan observere antall aktive økter, antall datakilder, agenter og mer.
Figur 19. Overvåking av aktiviteten til domenebrukere
10) I en fane Live økter gjeldende økter vises. Integrasjon med AD er konfigurert.
Figur 20. Aktive økter for domenebrukere
5. Konklusjon
Denne artikkelen dekket emnene for å opprette lokale brukere i Cisco ISE, legge til LDAP-servere og integrere med Microsoft Active Directory. Den neste artikkelen vil dekke gjestetilgang i form av en overflødig guide.
Hvis du har spørsmål om dette emnet eller trenger hjelp til å teste produktet, vennligst kontakt .
Følg med for oppdateringer i våre kanaler (, , , , ).
Kilde: www.habr.com