Witamy w drugim wpisie z serii Cisco ISE. Na początku zwrócono uwagę na zalety i różnice rozwiązań Network Access Control (NAC) od standardowego AAA, unikalność Cisco ISE, architekturę i proces instalacji produktu.
W tym artykule zagłębimy się w tworzenie kont, dodawanie serwerów LDAP i integrację z Microsoft Active Directory, a także niuanse pracy z PassiveID. Przed przeczytaniem gorąco polecam lekturę .
1. Trochę terminologii
Tożsamość użytkownika - konto użytkownika, które zawiera informacje o użytkowniku i generuje jego dane uwierzytelniające umożliwiające dostęp do sieci. Następujące parametry są zwykle określane w Tożsamości użytkownika: nazwa użytkownika, adres e-mail, hasło, opis konta, grupa użytkowników i rola.
Grupy użytkowników - grupy użytkowników to zbiór indywidualnych użytkowników, którzy mają wspólny zestaw uprawnień umożliwiających im dostęp do określonego zestawu usług i funkcji Cisco ISE.
Grupy tożsamości użytkowników — predefiniowane grupy użytkowników, które mają już określone informacje i role. Domyślnie istnieją następujące grupy tożsamości użytkowników, można do nich dodawać użytkowników i grupy użytkowników: Pracownik (pracownik), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (konta sponsorów do zarządzania portalem dla gości), Gość (gość), ActivatedGuest (aktywowany gość).
rola użytkownika- Rola użytkownika to zestaw uprawnień, które określają, jakie zadania może wykonywać użytkownik i do jakich usług ma dostęp. Często rola użytkownika jest powiązana z grupą użytkowników.
Ponadto każdy użytkownik i grupa użytkowników posiada dodatkowe atrybuty pozwalające na wybranie i dokładniejsze zdefiniowanie tego użytkownika (grupy użytkowników). Więcej informacji w .
2. Utwórz użytkowników lokalnych
1) Cisco ISE ma możliwość tworzenia lokalnych użytkowników i używania ich w polityce dostępu, a nawet przydzielania roli administratora produktu. Wybierać Administracja → Zarządzanie tożsamością → Tożsamości → Użytkownicy → Dodaj.
Rysunek 1 Dodawanie użytkownika lokalnego do Cisco ISE
2) W wyświetlonym oknie utwórz użytkownika lokalnego, ustaw hasło i inne zrozumiałe parametry.
Rysunek 2. Tworzenie użytkownika lokalnego w Cisco ISE
3) Użytkownicy mogą być również importowani. W tej samej zakładce Administracja → Zarządzanie tożsamością → Tożsamości → Użytkownicy Wybierz opcję import i przesłać plik csv lub txt z użytkownikami. Aby uzyskać szablon wybierz Wygeneruj szablon, to należy go wypełnić informacjami o użytkownikach w odpowiedniej formie.
Rysunek 3 Importowanie użytkowników do Cisco ISE
3. Dodanie serwerów LDAP
Przypomnę, że LDAP to popularny protokół na poziomie aplikacji, który umożliwia odbieranie informacji, przeprowadzanie uwierzytelniania, wyszukiwanie kont w katalogach serwerów LDAP, działa na porcie 389 lub 636 (SS). Wybitnymi przykładami serwerów LDAP są Active Directory, Sun Directory, Novell eDirectory i OpenLDAP. Każdy wpis w katalogu LDAP jest zdefiniowany przez DN (Distinguished Name), a zadanie pobierania kont, grup użytkowników i atrybutów jest tworzone w celu utworzenia polityki dostępu.
W Cisco ISE istnieje możliwość skonfigurowania dostępu do wielu serwerów LDAP, tym samym realizując redundancję. Jeśli podstawowy (podstawowy) serwer LDAP jest niedostępny, ISE spróbuje uzyskać dostęp do pomocniczego (pomocniczego) i tak dalej. Dodatkowo, jeśli istnieją 2 sieci PAN, jednemu LDAP można nadać priorytet dla podstawowej sieci PAN, a drugiemu LDAP dla drugorzędnej sieci PAN.
ISE obsługuje 2 typy wyszukiwania (wyszukiwania) podczas pracy z serwerami LDAP: wyszukiwanie użytkownika i wyszukiwanie adresu MAC. Wyszukiwanie użytkowników umożliwia wyszukanie użytkownika w bazie danych LDAP i uzyskanie następujących informacji bez uwierzytelniania: użytkownicy i ich atrybuty, grupy użytkowników. Wyszukiwanie adresów MAC umożliwia również wyszukiwanie według adresu MAC w katalogach LDAP bez uwierzytelniania oraz uzyskiwanie informacji o urządzeniu, grupie urządzeń według adresów MAC i innych określonych atrybutów.
Jako przykład integracji dodajmy Active Directory do Cisco ISE jako serwer LDAP.
1) Przejdź do zakładki Administracja → Zarządzanie tożsamością → Zewnętrzne źródła tożsamości → LDAP → Dodaj.
Rysunek 4. Dodawanie serwera LDAP
2) W panelu Ogólne podaj nazwę i schemat serwera LDAP (w naszym przypadku Active Directory).
Rysunek 5. Dodawanie serwera LDAP ze schematem Active Directory
3) Następnie przejdź do Statystyki z konta zakładkę i wybierz Nazwa hosta/adres IP Server AD, port (389 - LDAP, 636 - SSL LDAP), poświadczenia administratora domeny (Admin DN - full DN), pozostałe parametry można pozostawić jako domyślne.
Operacja: użyj danych domeny administratora, aby uniknąć potencjalnych problemów.
Rysunek 6 Wprowadzanie danych serwera LDAP
4) W zakładce Organizacja katalogu należy określić obszar katalogu poprzez nazwę wyróżniającą, z której mają być pobierani użytkownicy i grupy użytkowników.
Rysunek 7. Określenie katalogów, z których grupy użytkowników mogą się pobierać
5) Podejdź do okna Grupy → Dodaj → Wybierz grupy z katalogu aby wybrać ściągane grupy z serwera LDAP.
Rysunek 8. Dodawanie grup z serwera LDAP
6) W wyświetlonym oknie kliknij Pobierz grupy. Jeśli grupy się zatrzymały, oznacza to, że wstępne kroki zostały pomyślnie zakończone. W przeciwnym razie spróbuj innego administratora i sprawdź dostępność ISE z serwerem LDAP za pośrednictwem protokołu LDAP.
Rysunek 9. Lista wyciągniętych grup użytkowników
7) W zakładce Atrybuty opcjonalnie możesz określić, które atrybuty z serwera LDAP mają zostać pobrane iw oknie Ustawienia zaawansowane włącz opcję Włącz zmianę hasła, co zmusi użytkowników do zmiany hasła, jeśli wygasło lub zostało zresetowane. W każdym razie kliknij Prześlij kontynuować.
8) Serwer LDAP pojawił się w odpowiedniej zakładce i może być używany do tworzenia zasad dostępu w przyszłości.
Rysunek 10. Lista dodanych serwerów LDAP
4. Integracja z Active Directory
1) Dodając serwer Microsoft Active Directory jako serwer LDAP, otrzymaliśmy użytkowników, grupy użytkowników, ale żadnych logów. Następnie proponuję skonfigurować pełną integrację AD z Cisco ISE. Przejdź do zakładki Administracja → Zarządzanie tożsamością → Zewnętrzne źródła tożsamości → Active Directory → Dodaj.
Uwaga: aby integracja z AD przebiegła pomyślnie, ISE musi znajdować się w domenie i mieć pełną łączność z serwerami DNS, NTP i AD, inaczej nic z tego nie będzie.
Rysunek 11. Dodawanie serwera Active Directory
2) W wyświetlonym oknie wprowadź dane administratora domeny i zaznacz pole Przechowuj dane uwierzytelniające. Dodatkowo możesz określić jednostkę organizacyjną (OU), jeśli ISE znajduje się w określonej jednostce organizacyjnej. Następnie musisz wybrać węzły Cisco ISE, które chcesz połączyć z domeną.
Rysunek 12. Wprowadzanie poświadczeń
3) Przed dodaniem kontrolerów domeny upewnij się, że na PSN w zakładce Administracja → System → Wdrożenie opcja włączona Pasywna usługa tożsamości. identyfikator pasywny - opcja pozwalająca na przetłumaczenie Użytkownika na IP i odwrotnie. PassiveID pobiera informacje z AD przez WMI, specjalnych agentów AD lub port SPAN na przełączniku (nie jest to najlepsza opcja).
Uwaga: aby sprawdzić stan pasywnego identyfikatora, wpisz w konsoli ISE pokaż status aplikacji to | zawierać pasywny identyfikator.
Rysunek 13. Włączanie opcji PassiveID
4) Przejdź do zakładki Administracja → Zarządzanie tożsamością → Zewnętrzne źródła tożsamości → Active Directory → PassiveID i wybierz opcję Dodaj kontrolery domeny. Następnie zaznacz niezbędne kontrolery domeny za pomocą pól wyboru i kliknij OK.
Rysunek 14. Dodawanie kontrolerów domeny
5) Wybierz dodane DC i kliknij przycisk Edytować. sprecyzować Nazwa FQDN Twój DC, login i hasło do domeny oraz opcję łącza WMI lub Agent. Wybierz WMI i kliknij OK.
Rysunek 15 Wprowadzanie danych kontrolera domeny
6) Jeśli usługa WMI nie jest preferowanym sposobem komunikacji z usługą Active Directory, można użyć agentów ISE. Metoda agenta polega na tym, że możesz zainstalować specjalnych agentów na serwerach, które będą emitować zdarzenia logowania. Istnieją 2 opcje instalacji: automatyczna i ręczna. Aby automatycznie zainstalować agenta na tej samej karcie identyfikator pasywny Wybierz przedmiot Dodaj agenta → Wdróż nowego agenta (DC musi mieć dostęp do Internetu). Następnie wypełnij wymagane pola (nazwa agenta, FQDN serwera, login/hasło administratora domeny) i kliknij OK.
Rysunek 16. Automatyczna instalacja agenta ISE
7) Aby ręcznie zainstalować agenta Cisco ISE, wybierz element Zarejestruj istniejącego agenta. Nawiasem mówiąc, możesz pobrać agenta w zakładce Centra robocze → PassiveID → Dostawcy → Agenci → Agent pobierania.
Rysunek 17. Pobieranie agenta ISE
Ważne: PassiveID nie czyta zdarzeń wylogowanie! Parametr odpowiedzialny za przekroczenie limitu czasu jest wywoływany czas starzenia się sesji użytkownika i domyślnie wynosi 24 godziny. Dlatego powinieneś albo wylogować się na koniec dnia roboczego, albo napisać jakiś skrypt, który automatycznie wyloguje wszystkich zalogowanych użytkowników.
Dla informacji wylogowanie Stosowane są „sondy końcowe” - sondy końcowe. W Cisco ISE dostępnych jest kilka sond punktów końcowych: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. PROMIEŃ sonda za pomocą CoA (Change of Authorization) zawiera informacje o zmianie uprawnień użytkownika (wymaga to osadzonego pliku 802.1X) oraz skonfigurowany na przełącznikach dostępowych SNMP, poda informacje o podłączonych i odłączonych urządzeniach.
Poniższy przykład dotyczy konfiguracji Cisco ISE + AD bez 802.1X i RADIUS: użytkownik jest zalogowany na komputerze z systemem Windows, bez wylogowania, loguje się z innego komputera przez Wi-Fi. W takim przypadku sesja na pierwszym komputerze będzie nadal aktywna do momentu przekroczenia limitu czasu lub wymuszonego wylogowania. Wtedy, jeśli urządzenia mają różne uprawnienia, to ostatnio zalogowane urządzenie zastosuje swoje uprawnienia.
8) Opcjonalne w zakładce Administracja → Zarządzanie tożsamością → Zewnętrzne źródła tożsamości → Active Directory → Grupy → Dodaj → Wybierz grupy z katalogu możesz wybrać grupy z AD, które chcesz podciągnąć na ISE (w naszym przypadku zostało to zrobione w kroku 3 „Dodawanie serwera LDAP”). Wybierz opcję Pobierz grupy → OK.
Rysunek 18a). Ściąganie grup użytkowników z Active Directory
9) W zakładce Work Centers → PassiveID → Przegląd → Pulpit nawigacyjny możesz obserwować liczbę aktywnych sesji, liczbę źródeł danych, agentów i nie tylko.
Rysunek 19. Monitorowanie aktywności użytkowników domeny
10) W zakładce Sesje na żywo wyświetlane są bieżące sesje. Skonfigurowano integrację z usługą AD.
Rysunek 20. Aktywne sesje użytkowników domeny
5. Wniosek
W tym artykule omówiono tematy tworzenia użytkowników lokalnych w Cisco ISE, dodawania serwerów LDAP i integracji z Microsoft Active Directory. W następnym artykule zwrócimy uwagę na dostęp dla gości w formie zbędnego przewodnika.
Jeśli masz pytania dotyczące tego tematu lub potrzebujesz pomocy w testowaniu produktu, prosimy o kontakt .
Bądź na bieżąco z aktualizacjami na naszych kanałach (, , , , ).
Źródło: www.habr.com