د سیسکو ISE لړۍ کې دوهم پوسټ ته ښه راغلاست. په لومړي سر کې د معیاري AAA څخه د شبکې لاسرسي کنټرول (NAC) حلونو ګټې او توپیرونه ، د سیسکو ISE انفرادیت ، جوړښت او د محصول نصبولو پروسه په ګوته شوي.
پدې مقاله کې ، موږ به د حسابونو رامینځته کولو ، د LDAP سرورونو اضافه کولو ، او د مایکروسافټ فعال لارښود سره مدغم کولو ، په بیله بیا د PassiveID سره د کار کولو باریکیو ته پام وکړو. د لوستلو دمخه، زه په کلکه سپارښتنه کوم چې تاسو ولولئ .
1. ځینې اصطلاحات
د کارونکي پیژندنه - د کارونکي حساب چې د کارونکي په اړه معلومات لري او شبکې ته د لاسرسي لپاره د هغه اسناد رامینځته کوي. لاندې پیرامیټونه په عمومي ډول د کارونکي په پیژندنه کې مشخص شوي: کارن نوم، بریښنالیک آدرس، پټنوم، د حساب توضیحات، د کارونکي ګروپ، او رول.
کارونکي ډلې - د کاروونکي ګروپونه د انفرادي کاروونکو ټولګه ده چې د امتیازاتو ګډ سیټ لري چې دوی ته اجازه ورکوي د سیسکو ISE خدماتو او دندو ځانګړي سیټ ته لاسرسی ومومي.
د کارن پیژندنې ډلې - مخکې تعریف شوي کاروونکي ګروپونه چې دمخه ځانګړي معلومات او رول لري. د کارونکي پیژندنې لاندې ډلې په ډیفالټ شتون لري ، تاسو کولی شئ دوی ته کارونکي او د کارونکي ډلې اضافه کړئ: کارمند (کارمند) ، سپانسر ټول حسابونه ، سپانسر ګروپ حسابونه (د میلمه پورټل اداره کولو لپاره سپانسر حسابونه) ، میلمه (میلمه) ، فعال میلمانه (فعال شوی میلمه).
د کارونکي رول د کارونکي رول د اجازې یوه مجموعه ده چې دا ټاکي چې کوم دندې ترسره کولی شي او کوم خدماتو ته لاسرسی موندلی شي. ډیری وختونه د کارونکي رول د کاروونکو یوې ډلې سره تړاو لري.
برسېره پردې، هر کارونکي او د کاروونکي ګروپ اضافي ځانګړتیاوې لري چې تاسو ته اجازه درکوي چې دا کاروونکي (د کاروونکي ګروپ) وټاکئ او په ځانګړې توګه تعریف کړئ. نور معلومات په کې .
2. محلي کاروونکي جوړ کړئ
1) سیسکو ISE د دې وړتیا لري چې محلي کاروونکي رامینځته کړي او د لاسرسي پالیسۍ کې یې وکاروي یا حتی د محصول اداره کولو رول ورکړي. وټاکئ اداره ← د شناخت مدیریت → پیژندنه → کاروونکي → اضافه کول.
شکل 1 سیسکو ISE ته د محلي کارونکي اضافه کول
2) په هغه کړکۍ کې چې ښکاره کیږي، یو ځایی کاروونکي جوړ کړئ، یو پټنوم او نور د پوهیدو وړ پیرامیټونه تنظیم کړئ.
شکل 2. په سیسکو ISE کې د محلي کارونکي رامینځته کول
3) کاروونکي هم وارد کیدی شي. په ورته ټب کې اداره ← د هویت مدیریت → شناخت → کاروونکي یو اختیار غوره کړئ د وارداتو او د کاروونکو سره د csv یا txt فایل اپلوډ کړئ. د ټیمپلیټ ترلاسه کولو لپاره غوره کړئ یو ټیمپلیټ جوړ کړئنو دا باید په مناسبه بڼه د کاروونکو په اړه د معلوماتو سره ډک شي.
شکل 3 په سیسکو ISE کې د کاروونکو واردول
3. د LDAP سرورونو اضافه کول
اجازه راکړئ تاسو ته یادونه وکړم چې LDAP د غوښتنلیک کچې مشهور پروتوکول دی چې تاسو ته اجازه درکوي معلومات ترلاسه کړئ ، تصدیق وکړئ ، د LDAP سرورونو لارښودونو کې د حسابونو لټون وکړئ ، په پورټ 389 یا 636 (SS) کې کار وکړئ. د LDAP سرورونو مهم مثالونه فعال ډایرکټرۍ، د لمر لارښود، نویل ای ډیریکټري، او OpenLDAP دي. په LDAP ډایرکټر کې هره ننوتل د DN (ممیز نوم) لخوا تعریف شوي او د حسابونو ، کاروونکو ډلو او ځانګړتیاو بیرته ترلاسه کولو دنده د لاسرسي پالیسي رامینځته کولو لپاره راپورته کیږي.
په سیسکو ISE کې، دا ممکنه ده چې ډیری LDAP سرورونو ته لاسرسی تنظیم کړئ، په دې توګه بې ځایه پلي کول. که لومړنی (لومړنی) LDAP سرور شتون ونلري، نو ISE به هڅه وکړي چې ثانوي (ثانوي) او داسې نور ته لاسرسی ومومي. سربیره پردې، که چیرې دوه PAN شتون ولري، نو یو LDAP د لومړني PAN لپاره او بل LDAP د ثانوي PAN لپاره لومړیتوب ورکول کیدی شي.
ISE د LDAP سرورونو سره د کار کولو په وخت کې د 2 ډوله لټون (لوک اپ) ملاتړ کوي: د کارونکي لټون او د MAC ادرس لټون. د کارونکي لټون تاسو ته اجازه درکوي چې په LDAP ډیټابیس کې د یو کارونکي لټون وکړئ او لاندې معلومات پرته له تصدیق ترلاسه کړئ: کارونکي او د دوی ځانګړتیاوې، د کارونکي ډلې. د MAC پته لټون تاسو ته اجازه درکوي پرته له تصدیق کولو LDAP لارښودونو کې د MAC پتې لخوا لټون وکړئ او د وسیلې په اړه معلومات ترلاسه کړئ ، د MAC پتې لخوا د وسیلو یوه ډله ، او نور ځانګړي صفات.
د ادغام مثال په توګه، اجازه راکړئ چې فعال ډایرکټر سیسکو ISE ته د LDAP سرور په توګه اضافه کړو.
1) ټب ته لاړ شئ اداره ← د هویت مدیریت → د بهرنۍ پیژندنې سرچینې → LDAP → اضافه کول.
شکل 4. د LDAP سرور اضافه کول
2) په پینل کې جنرال د LDAP سرور نوم او سکیم مشخص کړئ (زموږ په قضیه کې، فعال لارښود).
شکل 5. د فعال لارښود سکیما سره د LDAP سرور اضافه کول
3) بل ته لاړ شئ پیوستون ټب او انتخاب کړئ کوربه نوم/IP پته د سرور AD، پورټ (389 - LDAP، 636 - SSL LDAP)، د ډومین مدیر اسناد (اډمین DN - بشپړ DN)، نور پیرامیټونه د ډیفالټ په توګه پریښودل کیدی شي.
تبصره: د احتمالي ستونزو څخه مخنیوي لپاره د مدیر ډومین توضیحات وکاروئ.
شکل 6 د LDAP سرور ډیټا داخلول
4) په یوه ټب کې د لارښود تنظیم تاسو باید د ډایرکټر ساحه د DN له لارې مشخص کړئ له کوم ځای څخه چې کاروونکي او د کاروونکو ګروپونه راوباسي.
شکل 7. د لارښودونو مشخص کول له کوم ځای څخه چې د کاروونکو ګروپونه پورته کولی شي
5) کړکۍ ته لاړ شئ ګروپونه ← اضافه کول → له لارښود څخه ګروپونه غوره کړئ د LDAP سرور څخه د پلګ ګروپونو غوره کولو لپاره.
شکل 8. د LDAP سرور څخه د ګروپونو اضافه کول
6) په هغه کړکۍ کې چې ښکاري، کلیک وکړئ د ګروپونو ترلاسه کول. که ګروپونه پورته شوي وي، نو لومړني ګامونه په بریالیتوب سره بشپړ شوي دي. که نه نو، د بل مدیر هڅه وکړئ او د LDAP پروتوکول له لارې د LDAP سرور سره د ISE شتون وګورئ.
شکل 9. د ایستل شویو کاروونکو ګروپونو لیست
7) په یوه ټب کې صفات تاسو کولی شئ په اختیاري توګه مشخص کړئ چې د LDAP سرور څخه کوم ځانګړتیاوې باید پورته شي، او په کړکۍ کې پرمختللي ترتیبات اختیار فعال کړئ د پټنوم بدلون فعال کړئ، کوم چې به کاروونکي دې ته اړ کړي چې خپل پټنوم بدل کړي که چیرې دا پای ته رسیدلی وي یا بیا تنظیم شوی وي. په هرصورت کلیک وکړئ سپارل ادامه ورکول.
8) د LDAP سرور په اړونده ټب کې ښکاره شو او په راتلونکي کې د لاسرسي پالیسۍ جوړولو لپاره کارول کیدی شي.
شکل 10. د اضافه شوي LDAP سرورونو لیست
4. د فعال لارښود سره یوځای کول
1) د LDAP سرور په توګه د مایکروسافټ فعال لارښود سرور په اضافه کولو سره، موږ کاروونکي، د کاروونکي ګروپونه ترلاسه کړل، مګر لاګونه نشته. بیا ، زه وړاندیز کوم چې د سیسکو ISE سره د بشپړ AD ادغام تنظیم کړم. ټب ته لاړ شئ اداره ← د هویت مدیریت → د بهرنۍ پیژندنې سرچینې → فعال لارښود → اضافه کول.
نوټ: د AD سره د بریالي ادغام لپاره، ISE باید په ډومین کې وي او د DNS، NTP او AD سرورونو سره بشپړ ارتباط ولري، که نه نو هیڅ شی به یې نه راځي.
شکل 11. د فعال لارښود سرور اضافه کول
2) په هغه کړکۍ کې چې څرګندیږي ، د ډومین مدیر توضیحات دننه کړئ او بکس چیک کړئ د ذخیره کولو اسناد. سربیره پردې، تاسو کولی شئ یو OU (تنظیمي واحد) مشخص کړئ که چیرې ISE په یو ځانګړي OU کې موقعیت ولري. بیا، تاسو باید د سیسکو ISE نوډونه غوره کړئ چې تاسو غواړئ د ډومین سره وصل شئ.
شکل 12. د اسنادو داخلول
3) د ډومین کنټرولر اضافه کولو دمخه، ډاډ ترلاسه کړئ چې په PSN کې په ټب کې اداره → سیسټم → ځای پرځای کول اختیار فعال شوی د غیر فعال پیژندنې خدمت. غیر فعال ID - یو اختیار چې تاسو ته اجازه درکوي د کارونکي IP ته وژباړئ او برعکس. PassiveID د AD څخه معلومات د WMI له لارې ترلاسه کوي، د ځانګړي AD اجنټانو یا په سویچ کې د اسپان پورټ (غوره انتخاب نه دی).
نوټ: د غیر فعال ID حالت چک کولو لپاره، په ISE کنسول کې ټایپ کړئ د غوښتنلیک حالت ښکاره کړئ ise | PassiveID شامل کړئ.
شکل 13. د PassiveID اختیار فعالول
4) ټب ته لاړ شئ اداره ← د هویت مدیریت → د بهرنۍ پیژندنې سرچینې → فعال لارښود → غیر فعال ID او انتخاب غوره کړئ DCs اضافه کړئ. بیا ، د چیک باکسونو سره اړین ډومین کنټرولر غوره کړئ او کلیک وکړئ هوکی.
شکل 14. د ډومین کنټرولر اضافه کول
5) اضافه شوي DCs غوره کړئ او تڼۍ کلیک وکړئ سمول. مهرباني وکړئ په نښه یې کړئ FQDN ستاسو DC، د ډومین ننوتل او پټنوم، او د لینک اختیار WMI او یا استازي. WMI غوره کړئ او کلیک وکړئ هوکی.
شکل 15 د ډومین کنټرولر توضیحاتو ته ننوتل
6) که چیرې WMI د فعال لارښود سره د خبرو اترو غوره لاره نه وي نو بیا د ISE اجنټ کارول کیدی شي. د اجنټ طریقه دا ده چې تاسو کولی شئ په سرورونو کې ځانګړي اجنټان نصب کړئ چې د ننوتلو پیښو خپروي. د نصب کولو دوه اختیارونه شتون لري: اتوماتیک او لارښود. په اتوماتيک ډول په ورته ټب کې اجنټ نصب کړئ غیر فعال ID توکي غوره کړئ اجنټ اضافه کړئ ← نوی اجنټ ځای په ځای کړئ (DC باید انټرنیټ ته لاسرسی ولري). بیا اړین ځایونه ډک کړئ (د اجنټ نوم، سرور FQDN، د ډومین مدیر ننوتل / پاسورډ) او کلیک وکړئ هوکی.
شکل 16. د ISE اجنټ اتوماتیک نصب کول
7) د سیسکو ISE اجنټ په لاسي ډول نصبولو لپاره ، توکي غوره کړئ موجوده اجنټ راجستر کړئ. په هرصورت، تاسو کولی شئ په ټب کې اجنټ ډاونلوډ کړئ د کار مرکزونه → غیر فعال ID → چمتو کونکي → اجنټ → ډاونلوډ ایجنټ.
شکل 17. د ISE اجنټ ډاونلوډ کول
دا مهمه ده: PassiveID پیښې نه لوستل کیږي وتون! د وخت پای ته رسیدو لپاره مسؤل پیرامیټر ویل کیږي د کارونکي سیشن عمر وخت او د ډیفالټ له مخې 24 ساعته مساوي دي. له همدې امله، تاسو باید د کاري ورځې په پای کې خپل ځان لاګ آف کړئ، یا یو ډول سکریپټ ولیکئ چې په اتوماتيک ډول به ټول ننوتل شوي کاروونکي لاګ آف کړي.
د معلوماتو لپاره وتون "د پای ټکی تحقیقات" کارول کیږي - ترمینل تحقیقات. په سیسکو ISE کې د پای ټکي ډیری تحقیقات شتون لري: RADIUS، SNMP Trap، SNMP Query، DHCP، DNS، HTTP، Netflow، NMAP سکین. وړانګې د کارولو تحقیقات CoA (د واک بدلول) کڅوړې د کارونکي د حقونو بدلولو په اړه معلومات ورکوي (دا یو سرایت ته اړتیا لري 802.1X)، او د لاسرسي سویچونو SNMP کې تنظیم شوي، به د تړل شوي او منحل شوي وسیلو په اړه معلومات ورکړي.
لاندې مثال د 802.1X او RADIUS پرته د سیسکو ISE + AD ترتیب لپاره اړونده دی: یو کارونکی په وینډوز ماشین کې ننوت شوی ، پرته لدې چې لاګ آف ترسره کړي ، د وای فای له لارې د بل کمپیوټر څخه لاګ ان شي. پدې حالت کې ، په لومړي کمپیوټر کې ناسته به لاهم فعاله وي تر هغه چې وخت پای ته ورسیږي یا جبري لاګ آف پیښ شي. بیا که وسیلې مختلف حقونه ولري ، نو وروستی ننوتل شوی وسیله به خپل حقونه پلي کړي.
8) په ټب کې اختیاري اداره ← د هویت مدیریت → د بهرنۍ پیژندنې سرچینې → فعال لارښود → ګروپونه → اضافه کول → له لارښود څخه ګروپونه غوره کړئ تاسو کولی شئ د AD څخه ډلې غوره کړئ چې تاسو غواړئ په ISE کې راوباسئ (زموږ په قضیه کې ، دا په 3 مرحله کې ترسره شوی "د LDAP سرور اضافه کول"). یو اختیار غوره کړئ د ګروپونو ترلاسه کول ← سم.
شکل 18 الف). د فعال لارښود څخه د کاروونکو ګروپونو ایستل
9) په یوه ټب کې د کار مرکزونه → PassiveID → عمومي کتنه → ډشبورډ تاسو کولی شئ د فعال غونډو شمیر ، د معلوماتو سرچینو شمیر ، اجنټان او نور ډیر څه وګورئ.
شکل 19. د ډومین کاروونکو فعالیت څارنه
10) په یوه ټب کې ژوندۍ ناستې اوسنۍ ناستې ښودل کیږي. د AD سره یوځای کول ترتیب شوي.
شکل 20. د ډومین کاروونکو فعالې ناستې
5. پایله
دا مقاله په سیسکو ISE کې د محلي کاروونکو رامینځته کولو موضوعات پوښلي، د LDAP سرورونو اضافه کول، او د مایکروسافټ فعال لارښود سره یوځای کول. راتلونکی مقاله به د میلمنو لاسرسی د بې ځایه لارښود په بڼه روښانه کړي.
که تاسو د دې موضوع په اړه پوښتنې لرئ یا د محصول ازموینې کې مرستې ته اړتیا لرئ، مهرباني وکړئ اړیکه ونیسئ .
د تازه معلوماتو لپاره زموږ په چینلونو کې پاتې شئ (, , , , ).
سرچینه: www.habr.com