Cisco ISE: ਉਪਭੋਗਤਾ ਬਣਾਉਣਾ, LDAP ਸਰਵਰ ਜੋੜਨਾ, AD ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਨਾ। ਭਾਗ 2

Cisco ISE ਸੀਰੀਜ਼ ਦੀ ਦੂਜੀ ਪੋਸਟ ਵਿੱਚ ਤੁਹਾਡਾ ਸੁਆਗਤ ਹੈ। ਪਹਿਲੇ ਵਿੱਚ ਲੇਖ  ਸਟੈਂਡਰਡ AAA ਤੋਂ ਨੈੱਟਵਰਕ ਐਕਸੈਸ ਕੰਟਰੋਲ (NAC) ਹੱਲਾਂ ਦੇ ਫਾਇਦੇ ਅਤੇ ਅੰਤਰ, Cisco ISE ਦੀ ਵਿਲੱਖਣਤਾ, ਆਰਕੀਟੈਕਚਰ ਅਤੇ ਉਤਪਾਦ ਦੀ ਸਥਾਪਨਾ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਸ ਲੇਖ ਵਿੱਚ, ਅਸੀਂ ਖਾਤੇ ਬਣਾਉਣ, LDAP ਸਰਵਰਾਂ ਨੂੰ ਜੋੜਨ, ਅਤੇ Microsoft ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਦੇ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਨ ਦੇ ਨਾਲ-ਨਾਲ PassiveID ਨਾਲ ਕੰਮ ਕਰਨ ਦੀਆਂ ਬਾਰੀਕੀਆਂ ਬਾਰੇ ਵਿਚਾਰ ਕਰਾਂਗੇ। ਪੜ੍ਹਨ ਤੋਂ ਪਹਿਲਾਂ, ਮੈਂ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕਰਦਾ ਹਾਂ ਕਿ ਤੁਸੀਂ ਪੜ੍ਹੋ ਪਹਿਲਾ ਭਾਗ.

1. ਕੁਝ ਸ਼ਬਦਾਵਲੀ

ਉਪਭੋਗਤਾ ਪਛਾਣ - ਇੱਕ ਉਪਭੋਗਤਾ ਖਾਤਾ ਜਿਸ ਵਿੱਚ ਉਪਭੋਗਤਾ ਬਾਰੇ ਜਾਣਕਾਰੀ ਹੁੰਦੀ ਹੈ ਅਤੇ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਉਸਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਤਿਆਰ ਕਰਦਾ ਹੈ। ਨਿਮਨਲਿਖਤ ਮਾਪਦੰਡ ਆਮ ਤੌਰ 'ਤੇ ਉਪਭੋਗਤਾ ਪਛਾਣ ਵਿੱਚ ਨਿਰਧਾਰਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ: ਉਪਭੋਗਤਾ ਨਾਮ, ਈਮੇਲ ਪਤਾ, ਪਾਸਵਰਡ, ਖਾਤਾ ਵੇਰਵਾ, ਉਪਭੋਗਤਾ ਸਮੂਹ ਅਤੇ ਭੂਮਿਕਾ।

ਉਪਭੋਗਤਾ ਸਮੂਹ - ਉਪਭੋਗਤਾ ਸਮੂਹ ਵਿਅਕਤੀਗਤ ਉਪਭੋਗਤਾਵਾਂ ਦਾ ਇੱਕ ਸੰਗ੍ਰਹਿ ਹੁੰਦੇ ਹਨ ਜਿਹਨਾਂ ਕੋਲ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦਾ ਇੱਕ ਸਾਂਝਾ ਸਮੂਹ ਹੁੰਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ Cisco ISE ਸੇਵਾਵਾਂ ਅਤੇ ਫੰਕਸ਼ਨਾਂ ਦੇ ਇੱਕ ਖਾਸ ਸਮੂਹ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।

ਉਪਭੋਗਤਾ ਪਛਾਣ ਸਮੂਹ - ਪੂਰਵ ਪਰਿਭਾਸ਼ਿਤ ਉਪਭੋਗਤਾ ਸਮੂਹ ਜਿਨ੍ਹਾਂ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਕੁਝ ਜਾਣਕਾਰੀ ਅਤੇ ਭੂਮਿਕਾਵਾਂ ਹਨ। ਹੇਠਾਂ ਦਿੱਤੇ ਉਪਭੋਗਤਾ ਪਛਾਣ ਸਮੂਹ ਮੂਲ ਰੂਪ ਵਿੱਚ ਮੌਜੂਦ ਹਨ, ਤੁਸੀਂ ਉਹਨਾਂ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰ ਸਕਦੇ ਹੋ: ਕਰਮਚਾਰੀ (ਕਰਮਚਾਰੀ), ​​ਸਪਾਂਸਰ ਸਾਰੇ ਖਾਤੇ, ਸਪਾਂਸਰ ਸਮੂਹ ਖਾਤੇ, ਸਪਾਂਸਰ ਓਨ ਅਕਾਉਂਟਸ (ਮਹਿਮਾਨ ਪੋਰਟਲ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਸਪਾਂਸਰ ਖਾਤੇ), ਮਹਿਮਾਨ (ਮਹਿਮਾਨ), ਐਕਟੀਵੇਟਿਡ ਗੈਸਟ (ਸਰਗਰਮ ਮਹਿਮਾਨ)।

ਉਪਭੋਗਤਾ-ਭੂਮਿਕਾ- ਇੱਕ ਉਪਭੋਗਤਾ ਭੂਮਿਕਾ ਅਨੁਮਤੀਆਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੈ ਜੋ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦੀ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਕਿਹੜੇ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਕਿਹੜੀਆਂ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ। ਅਕਸਰ ਉਪਭੋਗਤਾ ਦੀ ਭੂਮਿਕਾ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸਮੂਹ ਨਾਲ ਜੁੜੀ ਹੁੰਦੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਰੇਕ ਉਪਭੋਗਤਾ ਅਤੇ ਉਪਭੋਗਤਾ ਸਮੂਹ ਵਿੱਚ ਵਾਧੂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹੁੰਦੀਆਂ ਹਨ ਜੋ ਤੁਹਾਨੂੰ ਇਸ ਉਪਭੋਗਤਾ (ਉਪਭੋਗਤਾ ਸਮੂਹ) ਨੂੰ ਚੁਣਨ ਅਤੇ ਹੋਰ ਖਾਸ ਤੌਰ 'ਤੇ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਦਿੰਦੀਆਂ ਹਨ। ਵਿੱਚ ਹੋਰ ਜਾਣਕਾਰੀ ਗਾਈਡ.

2. ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਬਣਾਓ

1) Cisco ISE ਕੋਲ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਬਣਾਉਣ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਪਹੁੰਚ ਨੀਤੀ ਵਿੱਚ ਵਰਤਣ ਜਾਂ ਉਤਪਾਦ ਪ੍ਰਸ਼ਾਸਨ ਦੀ ਭੂਮਿਕਾ ਦੇਣ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਚੁਣੋ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਪਛਾਣ → ਉਪਭੋਗਤਾ → ਸ਼ਾਮਲ ਕਰੋ।

ਚਿੱਤਰ 1 ਸਿਸਕੋ ISE ਵਿੱਚ ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਜੋੜਨਾ

2) ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਵਿੰਡੋ ਵਿੱਚ, ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਬਣਾਓ, ਇੱਕ ਪਾਸਵਰਡ ਅਤੇ ਹੋਰ ਸਮਝਣ ਯੋਗ ਪੈਰਾਮੀਟਰ ਸੈਟ ਕਰੋ।

ਚਿੱਤਰ 2. ਸਿਸਕੋ ISE ਵਿੱਚ ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਬਣਾਉਣਾ

3) ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵੀ ਆਯਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ. ਉਸੇ ਟੈਬ ਵਿੱਚ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਪਛਾਣ → ਉਪਭੋਗਤਾ ਇੱਕ ਵਿਕਲਪ ਚੁਣੋ ਆਯਾਤ ਕਰੋ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ csv ਜਾਂ txt ਫਾਈਲ ਅਪਲੋਡ ਕਰੋ। ਟੈਂਪਲੇਟ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਚੁਣੋ ਇੱਕ ਟੈਂਪਲੇਟ ਤਿਆਰ ਕਰੋ, ਫਿਰ ਇਸਨੂੰ ਇੱਕ ਢੁਕਵੇਂ ਰੂਪ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਨਾਲ ਭਰਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਚਿੱਤਰ 3 ਸਿਸਕੋ ISE ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਯਾਤ ਕਰਨਾ

3. LDAP ਸਰਵਰ ਜੋੜਨਾ

ਮੈਂ ਤੁਹਾਨੂੰ ਯਾਦ ਕਰਾਵਾਂ ਕਿ LDAP ਇੱਕ ਪ੍ਰਸਿੱਧ ਐਪਲੀਕੇਸ਼ਨ-ਪੱਧਰ ਦਾ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਜੋ ਤੁਹਾਨੂੰ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ, ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਨ, LDAP ਸਰਵਰਾਂ ਦੀਆਂ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਖਾਤਿਆਂ ਦੀ ਖੋਜ ਕਰਨ, ਪੋਰਟ 389 ਜਾਂ 636 (SS) 'ਤੇ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। LDAP ਸਰਵਰਾਂ ਦੀਆਂ ਪ੍ਰਮੁੱਖ ਉਦਾਹਰਨਾਂ ਹਨ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ, ਸਨ ਡਾਇਰੈਕਟਰੀ, ਨੋਵੇਲ ਈ-ਡਾਇਰੈਕਟਰੀ, ਅਤੇ ਓਪਨਐਲਡੀਏਪੀ। LDAP ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਹਰੇਕ ਐਂਟਰੀ ਨੂੰ ਇੱਕ DN (ਵਿਸ਼ੇਸ਼ ਨਾਮ) ਦੁਆਰਾ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇੱਕ ਪਹੁੰਚ ਨੀਤੀ ਬਣਾਉਣ ਲਈ ਖਾਤਿਆਂ, ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦਾ ਕੰਮ ਉਠਾਇਆ ਜਾਂਦਾ ਹੈ।

ਸਿਸਕੋ ISE ਵਿੱਚ, ਬਹੁਤ ਸਾਰੇ LDAP ਸਰਵਰਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਸੰਭਵ ਹੈ, ਜਿਸ ਨਾਲ ਰਿਡੰਡੈਂਸੀ ਲਾਗੂ ਹੁੰਦੀ ਹੈ। ਜੇਕਰ ਪ੍ਰਾਇਮਰੀ (ਪ੍ਰਾਇਮਰੀ) LDAP ਸਰਵਰ ਉਪਲਬਧ ਨਹੀਂ ਹੈ, ਤਾਂ ISE ਸੈਕੰਡਰੀ (ਸੈਕੰਡਰੀ) ਆਦਿ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੇਗਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜੇਕਰ 2 ਪੈਨ ਹਨ, ਤਾਂ ਇੱਕ LDAP ਨੂੰ ਪ੍ਰਾਇਮਰੀ ਪੈਨ ਲਈ ਅਤੇ ਦੂਜੇ LDAP ਨੂੰ ਸੈਕੰਡਰੀ ਪੈਨ ਲਈ ਤਰਜੀਹ ਦਿੱਤੀ ਜਾ ਸਕਦੀ ਹੈ।

LDAP ਸਰਵਰਾਂ ਨਾਲ ਕੰਮ ਕਰਦੇ ਸਮੇਂ ISE 2 ਕਿਸਮਾਂ ਦੇ ਲੁੱਕਅਪ (ਲੁੱਕਅੱਪ) ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ: ਯੂਜ਼ਰ ਲੁੱਕਅੱਪ ਅਤੇ MAC ਐਡਰੈੱਸ ਲੁੱਕਅੱਪ। ਯੂਜ਼ਰ ਲੁੱਕਅਪ ਤੁਹਾਨੂੰ LDAP ਡੇਟਾਬੇਸ ਵਿੱਚ ਇੱਕ ਉਪਭੋਗਤਾ ਦੀ ਖੋਜ ਕਰਨ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਿਨਾਂ ਹੇਠਾਂ ਦਿੱਤੀ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ: ਉਪਭੋਗਤਾ ਅਤੇ ਉਹਨਾਂ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ, ਉਪਭੋਗਤਾ ਸਮੂਹ। MAC ਐਡਰੈੱਸ ਲੁੱਕਅਪ ਤੁਹਾਨੂੰ ਬਿਨਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ LDAP ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ MAC ਐਡਰੈੱਸ ਦੁਆਰਾ ਖੋਜ ਕਰਨ ਅਤੇ ਡਿਵਾਈਸ, MAC ਐਡਰੈੱਸ ਦੁਆਰਾ ਡਿਵਾਈਸਾਂ ਦੇ ਇੱਕ ਸਮੂਹ, ਅਤੇ ਹੋਰ ਖਾਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਇੱਕ ਏਕੀਕਰਣ ਉਦਾਹਰਨ ਦੇ ਤੌਰ ਤੇ, ਚਲੋ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਸਿਸਕੋ ISE ਵਿੱਚ ਇੱਕ LDAP ਸਰਵਰ ਵਜੋਂ ਜੋੜੀਏ।

1) ਟੈਬ 'ਤੇ ਜਾਓ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਬਾਹਰੀ ਪਛਾਣ ਸਰੋਤ → LDAP → ਸ਼ਾਮਲ ਕਰੋ। 

ਚਿੱਤਰ 4. ਇੱਕ LDAP ਸਰਵਰ ਜੋੜਨਾ

2) ਪੈਨਲ ਵਿੱਚ ਜਨਰਲ LDAP ਸਰਵਰ ਦਾ ਨਾਮ ਅਤੇ ਸਕੀਮ ਦਿਓ (ਸਾਡੇ ਕੇਸ ਵਿੱਚ, ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ)। 

ਚਿੱਤਰ 5. ਇੱਕ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਕੀਮਾ ਨਾਲ ਇੱਕ LDAP ਸਰਵਰ ਜੋੜਨਾ

3) ਅੱਗੇ ਜਾਓ ਕੁਨੈਕਸ਼ਨ ਟੈਬ ਅਤੇ ਚੁਣੋ ਹੋਸਟਨਾਮ/IP ਪਤਾ ਸਰਵਰ AD, ਪੋਰਟ (389 - LDAP, 636 - SSL LDAP), ਡੋਮੇਨ ਪ੍ਰਸ਼ਾਸਕ ਪ੍ਰਮਾਣ ਪੱਤਰ (ਐਡਮਿਨ DN - ਪੂਰਾ DN), ਹੋਰ ਮਾਪਦੰਡਾਂ ਨੂੰ ਡਿਫੌਲਟ ਵਜੋਂ ਛੱਡਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਟਿੱਪਣੀ: ਸੰਭਾਵੀ ਸਮੱਸਿਆਵਾਂ ਤੋਂ ਬਚਣ ਲਈ ਐਡਮਿਨ ਡੋਮੇਨ ਵੇਰਵਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।

ਚਿੱਤਰ 6 LDAP ਸਰਵਰ ਡਾਟਾ ਦਾਖਲ ਕਰਨਾ

4) ਟੈਬ ਵਿੱਚ ਡਾਇਰੈਕਟਰੀ ਸੰਗਠਨ ਤੁਹਾਨੂੰ DN ਰਾਹੀਂ ਡਾਇਰੈਕਟਰੀ ਖੇਤਰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜਿੱਥੋਂ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਨੂੰ ਖਿੱਚਣਾ ਹੈ।

ਚਿੱਤਰ 7. ਡਾਇਰੈਕਟਰੀਆਂ ਦਾ ਨਿਰਧਾਰਨ ਜਿੱਥੋਂ ਉਪਭੋਗਤਾ ਸਮੂਹ ਖਿੱਚ ਸਕਦੇ ਹਨ

5) ਵਿੰਡੋ 'ਤੇ ਜਾਓ ਗਰੁੱਪ → ਜੋੜੋ → ਡਾਇਰੈਕਟਰੀ ਵਿੱਚੋਂ ਗਰੁੱਪ ਚੁਣੋ LDAP ਸਰਵਰ ਤੋਂ ਪੁੱਲ ਗਰੁੱਪ ਚੁਣਨ ਲਈ।

ਚਿੱਤਰ 8. LDAP ਸਰਵਰ ਤੋਂ ਗਰੁੱਪ ਜੋੜਨਾ

6) ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਵਿੰਡੋ ਵਿੱਚ, ਕਲਿੱਕ ਕਰੋ ਗਰੁੱਪ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰੋ। ਜੇ ਸਮੂਹਾਂ ਨੇ ਖਿੱਚ ਲਿਆ ਹੈ, ਤਾਂ ਸ਼ੁਰੂਆਤੀ ਕਦਮ ਸਫਲਤਾਪੂਰਵਕ ਪੂਰੇ ਹੋ ਗਏ ਹਨ. ਨਹੀਂ ਤਾਂ, ਕਿਸੇ ਹੋਰ ਪ੍ਰਸ਼ਾਸਕ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੋ ਅਤੇ LDAP ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ LDAP ਸਰਵਰ ਨਾਲ ISE ਦੀ ਉਪਲਬਧਤਾ ਦੀ ਜਾਂਚ ਕਰੋ।

ਚਿੱਤਰ 9. ਖਿੱਚੇ ਗਏ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਦੀ ਸੂਚੀ

7) ਟੈਬ ਵਿੱਚ ਗੁਣ ਤੁਸੀਂ ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਦੱਸ ਸਕਦੇ ਹੋ ਕਿ LDAP ਸਰਵਰ ਤੋਂ ਕਿਹੜੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਖਿੱਚਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਵਿੰਡੋ ਵਿੱਚ ਤਕਨੀਕੀ ਸੈਟਿੰਗਜ਼ ਵਿਕਲਪ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਪਾਸਵਰਡ ਤਬਦੀਲੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ, ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਪਣਾ ਪਾਸਵਰਡ ਬਦਲਣ ਲਈ ਮਜ਼ਬੂਰ ਕਰੇਗਾ ਜੇਕਰ ਇਹ ਮਿਆਦ ਪੁੱਗ ਗਈ ਹੈ ਜਾਂ ਰੀਸੈਟ ਕੀਤੀ ਗਈ ਹੈ। ਕਿਸੇ ਵੀ ਤਰ੍ਹਾਂ ਕਲਿੱਕ ਕਰੋ ਪੇਸ਼ ਚਾਲੂ.

8) LDAP ਸਰਵਰ ਅਨੁਸਾਰੀ ਟੈਬ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਇਆ ਹੈ ਅਤੇ ਭਵਿੱਖ ਵਿੱਚ ਪਹੁੰਚ ਨੀਤੀਆਂ ਬਣਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਚਿੱਤਰ 10. ਜੋੜੇ ਗਏ LDAP ਸਰਵਰਾਂ ਦੀ ਸੂਚੀ

4. ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਏਕੀਕਰਣ

1) ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ ਨੂੰ LDAP ਸਰਵਰ ਵਜੋਂ ਜੋੜ ਕੇ, ਸਾਨੂੰ ਉਪਭੋਗਤਾ, ਉਪਭੋਗਤਾ ਸਮੂਹ ਮਿਲੇ, ਪਰ ਕੋਈ ਲਾਗ ਨਹੀਂ। ਅੱਗੇ, ਮੈਂ Cisco ISE ਨਾਲ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਾਲ AD ਏਕੀਕਰਣ ਸਥਾਪਤ ਕਰਨ ਦਾ ਪ੍ਰਸਤਾਵ ਕਰਦਾ ਹਾਂ। ਟੈਬ 'ਤੇ ਜਾਓ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਬਾਹਰੀ ਪਛਾਣ ਸਰੋਤ → ਕਿਰਿਆਸ਼ੀਲ ਡਾਇਰੈਕਟਰੀ → ਸ਼ਾਮਲ ਕਰੋ। 

ਨੋਟ: AD ਦੇ ​​ਨਾਲ ਸਫਲ ਏਕੀਕਰਣ ਲਈ, ISE ਇੱਕ ਡੋਮੇਨ ਵਿੱਚ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ DNS, NTP ਅਤੇ AD ਸਰਵਰਾਂ ਨਾਲ ਪੂਰੀ ਕਨੈਕਟੀਵਿਟੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ, ਨਹੀਂ ਤਾਂ ਇਸ ਤੋਂ ਕੁਝ ਨਹੀਂ ਨਿਕਲੇਗਾ।

ਚਿੱਤਰ 11. ਇੱਕ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ ਜੋੜਨਾ

2) ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਵਿੰਡੋ ਵਿੱਚ, ਡੋਮੇਨ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਵੇਰਵੇ ਦਾਖਲ ਕਰੋ ਅਤੇ ਬਾਕਸ ਨੂੰ ਚੁਣੋ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਟੋਰ ਕਰੋ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜੇਕਰ ISE ਕਿਸੇ ਖਾਸ OU ਵਿੱਚ ਸਥਿਤ ਹੈ ਤਾਂ ਤੁਸੀਂ ਇੱਕ OU (ਸੰਗਠਨਾਤਮਕ ਇਕਾਈ) ਨਿਸ਼ਚਿਤ ਕਰ ਸਕਦੇ ਹੋ। ਅੱਗੇ, ਤੁਹਾਨੂੰ Cisco ISE ਨੋਡਸ ਦੀ ਚੋਣ ਕਰਨੀ ਪਵੇਗੀ ਜੋ ਤੁਸੀਂ ਡੋਮੇਨ ਨਾਲ ਜੁੜਨਾ ਚਾਹੁੰਦੇ ਹੋ।

ਚਿੱਤਰ 12. ਪ੍ਰਮਾਣ ਪੱਤਰ ਦਾਖਲ ਕਰਨਾ

3) ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਨੂੰ ਜੋੜਨ ਤੋਂ ਪਹਿਲਾਂ, ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਟੈਬ ਵਿੱਚ PSN 'ਤੇ ਹੈ ਪ੍ਰਸ਼ਾਸਨ → ਸਿਸਟਮ → ਤੈਨਾਤੀ ਵਿਕਲਪ ਸਮਰੱਥ ਹੈ ਪੈਸਿਵ ਪਛਾਣ ਸੇਵਾ. ਪੈਸਿਵ ਆਈ.ਡੀ - ਇੱਕ ਵਿਕਲਪ ਜੋ ਤੁਹਾਨੂੰ ਉਪਭੋਗਤਾ ਨੂੰ IP ਅਤੇ ਇਸਦੇ ਉਲਟ ਅਨੁਵਾਦ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। PassiveID AD ਤੋਂ WMI, ਵਿਸ਼ੇਸ਼ AD ਏਜੰਟਾਂ ਜਾਂ ਸਵਿੱਚ 'ਤੇ ਸਪੈਨ ਪੋਰਟ ਰਾਹੀਂ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ (ਸਭ ਤੋਂ ਵਧੀਆ ਵਿਕਲਪ ਨਹੀਂ)।

ਨੋਟ: ਪੈਸਿਵ ID ਦੀ ਸਥਿਤੀ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ, ISE ਕੰਸੋਲ ਵਿੱਚ ਟਾਈਪ ਕਰੋ ਐਪਲੀਕੇਸ਼ਨ ਸਥਿਤੀ ise ਦਿਖਾਓ | PassiveID ਸ਼ਾਮਲ ਕਰੋ।

ਚਿੱਤਰ 13. ਪੈਸਿਵਆਈਡੀ ਵਿਕਲਪ ਨੂੰ ਯੋਗ ਕਰਨਾ

4) ਟੈਬ 'ਤੇ ਜਾਓ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਬਾਹਰੀ ਪਛਾਣ ਸਰੋਤ → ਕਿਰਿਆਸ਼ੀਲ ਡਾਇਰੈਕਟਰੀ → ਪੈਸਿਵਆਈਡੀ ਅਤੇ ਵਿਕਲਪ ਦੀ ਚੋਣ ਕਰੋ DC ਸ਼ਾਮਲ ਕਰੋ. ਅੱਗੇ, ਚੈੱਕਬਾਕਸ ਦੇ ਨਾਲ ਲੋੜੀਂਦੇ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਦੀ ਚੋਣ ਕਰੋ ਅਤੇ ਕਲਿੱਕ ਕਰੋ ਠੀਕ ਹੈ.

ਚਿੱਤਰ 14. ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਸ਼ਾਮਲ ਕਰਨਾ

5) ਜੋੜੇ ਗਏ DC ਦੀ ਚੋਣ ਕਰੋ ਅਤੇ ਬਟਨ 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਸੰਪਾਦਿਤ ਕਰੋ. ਕਿਰਪਾ ਕਰਕੇ ਦੱਸੋ FQDN ਤੁਹਾਡਾ DC, ਡੋਮੇਨ ਲੌਗਇਨ ਅਤੇ ਪਾਸਵਰਡ, ਅਤੇ ਇੱਕ ਲਿੰਕ ਵਿਕਲਪ WMI ਜ ਏਜੰਟ. WMI ਚੁਣੋ ਅਤੇ ਕਲਿੱਕ ਕਰੋ ਠੀਕ ਹੈ.

ਚਿੱਤਰ 15 ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਵੇਰਵੇ ਦਾਖਲ ਕਰਨਾ

6) ਜੇਕਰ WMI ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਦਾ ਤਰਜੀਹੀ ਤਰੀਕਾ ਨਹੀਂ ਹੈ, ਤਾਂ ISE ਏਜੰਟਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਏਜੰਟ ਵਿਧੀ ਇਹ ਹੈ ਕਿ ਤੁਸੀਂ ਸਰਵਰਾਂ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਏਜੰਟ ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹੋ ਜੋ ਲੌਗਇਨ ਇਵੈਂਟਾਂ ਨੂੰ ਛੱਡਣਗੇ। ਇੱਥੇ 2 ਇੰਸਟਾਲੇਸ਼ਨ ਵਿਕਲਪ ਹਨ: ਆਟੋਮੈਟਿਕ ਅਤੇ ਮੈਨੂਅਲ। ਉਸੇ ਟੈਬ ਵਿੱਚ ਏਜੰਟ ਨੂੰ ਆਪਣੇ ਆਪ ਸਥਾਪਤ ਕਰਨ ਲਈ ਪੈਸਿਵ ਆਈ.ਡੀ ਆਈਟਮ ਦੀ ਚੋਣ ਕਰੋ ਏਜੰਟ ਸ਼ਾਮਲ ਕਰੋ → ਨਵਾਂ ਏਜੰਟ ਤਾਇਨਾਤ ਕਰੋ (ਡੀ.ਸੀ. ਵਿੱਚ ਇੰਟਰਨੈਟ ਪਹੁੰਚ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ)। ਫਿਰ ਲੋੜੀਂਦੇ ਖੇਤਰਾਂ (ਏਜੰਟ ਦਾ ਨਾਮ, ਸਰਵਰ FQDN, ਡੋਮੇਨ ਪ੍ਰਸ਼ਾਸਕ ਲੌਗਇਨ/ਪਾਸਵਰਡ) ਭਰੋ ਅਤੇ ਕਲਿੱਕ ਕਰੋ ਠੀਕ ਹੈ.

ਚਿੱਤਰ 16. ISE ਏਜੰਟ ਦੀ ਆਟੋਮੈਟਿਕ ਸਥਾਪਨਾ

7) ਸਿਸਕੋ ISE ਏਜੰਟ ਨੂੰ ਹੱਥੀਂ ਸਥਾਪਿਤ ਕਰਨ ਲਈ, ਆਈਟਮ ਦੀ ਚੋਣ ਕਰੋ ਮੌਜੂਦਾ ਏਜੰਟ ਨੂੰ ਰਜਿਸਟਰ ਕਰੋ. ਤਰੀਕੇ ਨਾਲ, ਤੁਸੀਂ ਟੈਬ ਵਿੱਚ ਏਜੰਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰ ਸਕਦੇ ਹੋ ਕੰਮ ਕੇਂਦਰ → ਪੈਸਿਵਆਈਡੀ → ਪ੍ਰਦਾਤਾ → ਏਜੰਟ → ਡਾਉਨਲੋਡ ਏਜੰਟ।

ਚਿੱਤਰ 17. ISE ਏਜੰਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ

ਇਹ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹੈ: PassiveID ਇਵੈਂਟਾਂ ਨੂੰ ਨਹੀਂ ਪੜ੍ਹਦਾ ਲਾਗ ਆਫ! ਸਮਾਂ ਸਮਾਪਤੀ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਪੈਰਾਮੀਟਰ ਨੂੰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨ ਦੀ ਉਮਰ ਵਧਣ ਦਾ ਸਮਾਂ ਅਤੇ ਮੂਲ ਰੂਪ ਵਿੱਚ 24 ਘੰਟੇ ਦੇ ਬਰਾਬਰ ਹੈ। ਇਸ ਲਈ, ਤੁਹਾਨੂੰ ਜਾਂ ਤਾਂ ਕੰਮਕਾਜੀ ਦਿਨ ਦੇ ਅੰਤ ਵਿੱਚ ਆਪਣੇ ਆਪ ਨੂੰ ਲੌਗਆਫ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਜਾਂ ਕਿਸੇ ਕਿਸਮ ਦੀ ਸਕ੍ਰਿਪਟ ਲਿਖਣੀ ਚਾਹੀਦੀ ਹੈ ਜੋ ਸਾਰੇ ਲੌਗਇਨ ਕੀਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਪਣੇ ਆਪ ਲੌਗਆਫ ਕਰ ਦੇਵੇਗੀ। 

ਜਾਣਕਾਰੀ ਲਈ ਲਾਗ ਆਫ "ਐਂਡਪੁਆਇੰਟ ਪੜਤਾਲਾਂ" ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ - ਟਰਮੀਨਲ ਪੜਤਾਲਾਂ। ਸਿਸਕੋ ISE ਵਿੱਚ ਕਈ ਐਂਡਪੁਆਇੰਟ ਪੜਤਾਲਾਂ ਹਨ: RADIUS, SNMP ਟ੍ਰੈਪ, SNMP ਕਿਊਰੀ, DHCP, DNS, HTTP, Netflow, NMAP ਸਕੈਨ। RADIUS ਵਰਤ ਕੇ ਪੜਤਾਲ ਸੀ.ਓ.ਏ (ਅਥਾਰਾਈਜ਼ੇਸ਼ਨ ਦੀ ਤਬਦੀਲੀ) ਪੈਕੇਜ ਉਪਭੋਗਤਾ ਅਧਿਕਾਰਾਂ ਨੂੰ ਬਦਲਣ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਿੰਦੇ ਹਨ (ਇਸ ਲਈ ਏਮਬੇਡ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ 802.1X), ਅਤੇ ਐਕਸੈਸ ਸਵਿੱਚਾਂ SNMP 'ਤੇ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ, ਕਨੈਕਟ ਕੀਤੇ ਅਤੇ ਡਿਸਕਨੈਕਟ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇਵੇਗਾ।

ਹੇਠ ਦਿੱਤੀ ਉਦਾਹਰਨ 802.1X ਅਤੇ RADIUS ਤੋਂ ਬਿਨਾਂ Cisco ISE + AD ਸੰਰਚਨਾ ਲਈ ਢੁਕਵੀਂ ਹੈ: ਇੱਕ ਉਪਭੋਗਤਾ ਵਿੰਡੋਜ਼ ਮਸ਼ੀਨ 'ਤੇ ਲੌਗਇਨ ਹੁੰਦਾ ਹੈ, ਲੌਗਆਫ ਕੀਤੇ ਬਿਨਾਂ, WiFi ਰਾਹੀਂ ਕਿਸੇ ਹੋਰ PC ਤੋਂ ਲੌਗਇਨ ਕਰਦਾ ਹੈ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਪਹਿਲੇ ਪੀਸੀ 'ਤੇ ਸੈਸ਼ਨ ਅਜੇ ਵੀ ਕਿਰਿਆਸ਼ੀਲ ਰਹੇਗਾ ਜਦੋਂ ਤੱਕ ਸਮਾਂ ਸਮਾਪਤ ਨਹੀਂ ਹੁੰਦਾ ਜਾਂ ਜ਼ਬਰਦਸਤੀ ਲੌਗਆਫ ਨਹੀਂ ਹੁੰਦਾ ਹੈ। ਫਿਰ ਜੇਕਰ ਡਿਵਾਈਸਾਂ ਦੇ ਵੱਖ-ਵੱਖ ਅਧਿਕਾਰ ਹਨ, ਤਾਂ ਆਖਰੀ ਲੌਗਇਨ ਕੀਤੀ ਡਿਵਾਈਸ ਇਸਦੇ ਅਧਿਕਾਰਾਂ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ।

8) ਟੈਬ ਵਿੱਚ ਵਿਕਲਪਿਕ ਪ੍ਰਸ਼ਾਸਨ → ਪਛਾਣ ਪ੍ਰਬੰਧਨ → ਬਾਹਰੀ ਪਛਾਣ ਸਰੋਤ → ਕਿਰਿਆਸ਼ੀਲ ਡਾਇਰੈਕਟਰੀ → ਸਮੂਹ → ਸ਼ਾਮਲ ਕਰੋ → ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਸਮੂਹ ਚੁਣੋ ਤੁਸੀਂ AD ਤੋਂ ਉਹਨਾਂ ਸਮੂਹਾਂ ਦੀ ਚੋਣ ਕਰ ਸਕਦੇ ਹੋ ਜਿਨ੍ਹਾਂ ਨੂੰ ਤੁਸੀਂ ISE 'ਤੇ ਖਿੱਚਣਾ ਚਾਹੁੰਦੇ ਹੋ (ਸਾਡੇ ਕੇਸ ਵਿੱਚ, ਇਹ ਕਦਮ 3 "ਇੱਕ LDAP ਸਰਵਰ ਜੋੜਨਾ" ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਸੀ)। ਇੱਕ ਵਿਕਲਪ ਚੁਣੋ ਗਰੁੱਪ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰੋ → ਠੀਕ ਹੈ. 

ਚਿੱਤਰ 18 a)। ਕਿਰਿਆਸ਼ੀਲ ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਨੂੰ ਖਿੱਚਣਾ

9) ਟੈਬ ਵਿੱਚ ਕੰਮ ਕੇਂਦਰ → ਪੈਸਿਵਆਈਡੀ → ਸੰਖੇਪ ਜਾਣਕਾਰੀ → ਡੈਸ਼ਬੋਰਡ ਤੁਸੀਂ ਕਿਰਿਆਸ਼ੀਲ ਸੈਸ਼ਨਾਂ ਦੀ ਗਿਣਤੀ, ਡੇਟਾ ਸਰੋਤਾਂ ਦੀ ਗਿਣਤੀ, ਏਜੰਟਾਂ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਦੇਖ ਸਕਦੇ ਹੋ।

ਚਿੱਤਰ 19. ਡੋਮੇਨ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨਾ

10) ਟੈਬ ਵਿੱਚ ਲਾਈਵ ਸੈਸ਼ਨ ਮੌਜੂਦਾ ਸੈਸ਼ਨ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੇ ਗਏ ਹਨ। AD ਨਾਲ ਏਕੀਕਰਨ ਸੰਰਚਿਤ ਹੈ।

ਚਿੱਤਰ 20. ਡੋਮੇਨ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸਰਗਰਮ ਸੈਸ਼ਨ

5. ਸਿੱਟਾ

ਇਸ ਲੇਖ ਵਿੱਚ ਸਿਸਕੋ ISE ਵਿੱਚ ਸਥਾਨਕ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ, LDAP ਸਰਵਰਾਂ ਨੂੰ ਜੋੜਨ, ਅਤੇ Microsoft ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਨ ਦੇ ਵਿਸ਼ਿਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਅਗਲਾ ਲੇਖ ਇੱਕ ਬੇਲੋੜੀ ਗਾਈਡ ਦੇ ਰੂਪ ਵਿੱਚ ਮਹਿਮਾਨ ਪਹੁੰਚ ਨੂੰ ਉਜਾਗਰ ਕਰੇਗਾ।

ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਇਸ ਵਿਸ਼ੇ ਬਾਰੇ ਕੋਈ ਸਵਾਲ ਹਨ ਜਾਂ ਉਤਪਾਦ ਦੀ ਜਾਂਚ ਕਰਨ ਵਿੱਚ ਮਦਦ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸੰਪਰਕ ਕਰੋ ਲਿੰਕ ਨੂੰ.

ਸਾਡੇ ਚੈਨਲਾਂ ਵਿੱਚ ਅੱਪਡੇਟ ਲਈ ਜੁੜੇ ਰਹੋ (ਤਾਰ, ਫੇਸਬੁੱਕ, VK, TS ਹੱਲ ਬਲੌਗ, Yandex.Zen).

ਸਰੋਤ: www.habr.com