Bem-vindo ao segundo post da série Cisco ISE. Em primeiro foram destacadas as vantagens e diferenças das soluções Network Access Control (NAC) do padrão AAA, a singularidade do Cisco ISE, a arquitetura e o processo de instalação do produto.
Neste artigo, vamos nos aprofundar na criação de contas, na adição de servidores LDAP e na integração com o Microsoft Active Directory, bem como nas nuances do trabalho com PassiveID. Antes de ler, eu recomendo fortemente que você leia .
1. Alguma terminologia
Identidade do usuário - uma conta de usuário que contém informações sobre o usuário e gera suas credenciais para acessar a rede. Os seguintes parâmetros são normalmente especificados em User Identity: nome de usuário, endereço de e-mail, senha, descrição da conta, grupo de usuários e função.
Grupos de usuários - os grupos de usuários são uma coleção de usuários individuais que têm um conjunto comum de privilégios que lhes permite acessar um conjunto específico de serviços e funções do Cisco ISE.
Grupos de identidade do usuário - grupos de usuários predefinidos que já possuem determinadas informações e funções. Os seguintes grupos de identidade do usuário existem por padrão, você pode adicionar usuários e grupos de usuários a eles: Employee (funcionário), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (contas do patrocinador para gerenciar o portal de visitantes), Guest (convidado), ActivatedGuest (convidado ativado).
papel do usuário- Uma função de usuário é um conjunto de permissões que determina quais tarefas um usuário pode executar e quais serviços podem acessar. Frequentemente, uma função de usuário está associada a um grupo de usuários.
Além disso, cada usuário e grupo de usuários possui atributos adicionais que permitem selecionar e definir mais especificamente esse usuário (grupo de usuários). Mais informações em .
2. Crie usuários locais
1) O Cisco ISE tem a capacidade de criar usuários locais e usá-los em uma política de acesso ou até mesmo dar uma função de administração do produto. Selecione Administração → Gerenciamento de identidade → Identidades → Usuários → Adicionar.
Figura 1 Adicionando um usuário local ao Cisco ISE
2) Na janela que aparece, crie um usuário local, defina uma senha e outros parâmetros compreensíveis.
Figura 2. Criando um usuário local no Cisco ISE
3) Os usuários também podem ser importados. Na mesma aba Administração → Gerenciamento de identidade → Identidades → Usuários selecione uma opção importação e carregue o arquivo csv ou txt com os usuários. Para obter um modelo, selecione Gerar um modelo, ele deve ser preenchido com informações sobre os usuários em um formulário adequado.
Figura 3 Importando usuários para o Cisco ISE
3. Adicionando servidores LDAP
Deixe-me lembrá-lo de que o LDAP é um protocolo popular em nível de aplicativo que permite receber informações, realizar autenticação, pesquisar contas nos diretórios dos servidores LDAP, funciona na porta 389 ou 636 (SS). Exemplos proeminentes de servidores LDAP são Active Directory, Sun Directory, Novell eDirectory e OpenLDAP. Cada entrada no diretório LDAP é definida por um DN (Nome Distinto) e a tarefa de recuperar contas, grupos de usuários e atributos é levantada para formar uma política de acesso.
No Cisco ISE, é possível configurar o acesso a vários servidores LDAP, implementando assim a redundância. Se o servidor LDAP primário (primário) não estiver disponível, o ISE tentará acessar o secundário (secundário) e assim por diante. Além disso, se houver 2 PANs, um LDAP poderá ser priorizado para o PAN primário e outro LDAP para o PAN secundário.
O ISE suporta 2 tipos de pesquisa (consulta) ao trabalhar com servidores LDAP: Pesquisa de usuário e Pesquisa de endereço MAC. User Lookup permite procurar um usuário no banco de dados LDAP e obter as seguintes informações sem autenticação: usuários e seus atributos, grupos de usuários. A pesquisa de endereço MAC também permite pesquisar por endereço MAC em diretórios LDAP sem autenticação e obter informações sobre o dispositivo, um grupo de dispositivos por endereços MAC e outros atributos específicos.
Como exemplo de integração, vamos adicionar o Active Directory ao Cisco ISE como um servidor LDAP.
1) Vá para a guia Administração → Gerenciamento de identidade → Fontes de identidade externas → LDAP → Adicionar.
Figura 4. Adicionando um servidor LDAP
2) No painel Geral especifique o nome e o esquema do servidor LDAP (no nosso caso, Active Directory).
Figura 5. Adicionando um servidor LDAP com um esquema do Active Directory
3) Em seguida, vá para Conexão guia e selecione Nome do host/endereço IP Servidor AD, porta (389 - LDAP, 636 - SSL LDAP), credenciais de administrador de domínio (Admin DN - DN completo), outros parâmetros podem ser deixados como padrão.
Nota: use os detalhes do domínio admin para evitar possíveis problemas.
Figura 6 Inserção de dados do servidor LDAP
4) Na aba Organização do diretório você deve especificar a área do diretório por meio do DN de onde extrair usuários e grupos de usuários.
Figura 7. Determinação de diretórios de onde os grupos de usuários podem acessar
5) Vá para a janela Grupos → Adicionar → Selecionar grupos do diretório para selecionar grupos pull do servidor LDAP.
Figura 8. Adicionando grupos do servidor LDAP
6) Na janela que aparece, clique em Recuperar Grupos. Se os grupos foram puxados para cima, as etapas preliminares foram concluídas com sucesso. Caso contrário, tente outro administrador e verifique a disponibilidade do ISE com o servidor LDAP por meio do protocolo LDAP.
Figura 9. Lista de grupos de usuários puxados
7) Na aba Atributos você pode, opcionalmente, especificar quais atributos do servidor LDAP devem ser extraídos e na janela Configurações avançadas habilitar opção Ativar alteração de senha, que forçará os usuários a alterar sua senha se ela tiver expirado ou for redefinida. De qualquer forma clique Submeter continuar.
8) O servidor LDAP apareceu na guia correspondente e pode ser usado para formar políticas de acesso no futuro.
Figura 10. Lista de servidores LDAP adicionados
4. Integração com Active Directory
1) Ao adicionar o servidor Microsoft Active Directory como um servidor LDAP, obtivemos usuários, grupos de usuários, mas nenhum log. Em seguida, proponho configurar a integração completa do AD com o Cisco ISE. Ir para a guia Administração → Gerenciamento de identidade → Fontes de identidade externas → Active Directory → Adicionar.
Nota: para uma integração bem-sucedida com o AD, o ISE deve estar em um domínio e ter conectividade total com os servidores DNS, NTP e AD, caso contrário, nada resultará disso.
Figura 11. Adicionando um servidor Active Directory
2) Na janela que aparece, digite os detalhes do administrador do domínio e marque a caixa Credenciais da loja. Além disso, você pode especificar uma OU (unidade organizacional) se o ISE estiver localizado em uma OU específica. Em seguida, você terá que selecionar os nós Cisco ISE que deseja conectar ao domínio.
Figura 12. Inserindo credenciais
3) Antes de adicionar controladores de domínio, verifique se na PSN na guia Administração → Sistema → Implantação opção habilitada Serviço de Identidade Passiva. Identificação passiva - uma opção que permite traduzir Usuário para IP e vice-versa. PassiveID obtém informações do AD via WMI, agentes AD especiais ou porta SPAN no switch (não é a melhor opção).
Nota: para verificar o status do Passive ID, digite no console do ISE mostre o status do aplicativo ise | incluir PassiveID.
Figura 13. Ativando a opção PassiveID
4) Ir para a guia Administração → Gerenciamento de identidade → Fontes externas de identidade → Active Directory → PassiveID e selecione a opção Adicionar controladores de domínio. Em seguida, selecione os controladores de domínio necessários com caixas de seleção e clique OK.
Figura 14. Adicionando controladores de domínio
5) Selecione os DCs adicionados e clique no botão Editar. especificar FQDN seu DC, login e senha de domínio e uma opção de link WMI ou Agente . Selecione WMI e clique OK.
Figura 15 Inserindo detalhes do controlador de domínio
6) Se o WMI não for a maneira preferida de se comunicar com o Active Directory, os agentes ISE poderão ser usados. O método do agente é que você pode instalar agentes especiais nos servidores que emitirão eventos de login. Existem 2 opções de instalação: automática e manual. Para instalar automaticamente o agente na mesma guia Identificação passiva Selecionar item Adicionar agente → Implantar novo agente (DC deve ter acesso à Internet). Em seguida, preencha os campos obrigatórios (nome do agente, FQDN do servidor, login/senha do administrador de domínio) e clique em OK.
Figura 16. Instalação automática do agente ISE
7) Para instalar manualmente o agente Cisco ISE, selecione o item Registrar Agente Existente. A propósito, você pode baixar o agente na guia Centros de trabalho → PassiveID → Provedores → Agentes → Agente de download.
Figura 17. Baixando o agente ISE
Importante: PassiveID não lê eventos logoff! O parâmetro responsável pelo timeout é chamado tempo de duração da sessão do usuário e é igual a 24 horas por padrão. Portanto, você deve fazer logoff no final do dia de trabalho ou escrever algum tipo de script que faça logoff automaticamente de todos os usuários conectados.
Para informação logoff "Sondas de endpoint" são usadas - sondas de terminal. Existem várias sondas de endpoint no Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RAIO sonda usando CoA (Mudança de Autorização) fornece informações sobre como alterar os direitos do usuário (isso requer um 802.1X) e configurado nos switches de acesso SNMP, dará informações sobre os dispositivos conectados e desconectados.
O exemplo a seguir é relevante para uma configuração Cisco ISE + AD sem 802.1X e RADIUS: um usuário está logado em uma máquina Windows, sem fazer logoff, loga em outro PC via WiFi. Nesse caso, a sessão no primeiro PC ainda estará ativa até que ocorra um tempo limite ou um logoff forçado. Então, se os dispositivos tiverem direitos diferentes, o último dispositivo conectado aplicará seus direitos.
8) Opcional na aba Administração → Gerenciamento de identidade → Fontes externas de identidade → Active Directory → Grupos → Adicionar → Selecionar grupos do diretório você pode selecionar grupos do AD que deseja obter no ISE (no nosso caso, isso foi feito na etapa 3 “Adicionando um servidor LDAP”). Escolha uma opção Recuperar Grupos → OK.
Figura 18 a). Puxando grupos de usuários do Active Directory
9) Na aba Centros de trabalho → PassiveID → Visão geral → Painel você pode observar o número de sessões ativas, o número de fontes de dados, agentes e muito mais.
Figura 19. Monitorando a atividade dos usuários do domínio
10) Na aba Sessões ao vivo as sessões atuais são exibidas. A integração com o AD está configurada.
Figura 20. Sessões ativas de usuários do domínio
5. Conclusão
Este artigo abordou os tópicos de criação de usuários locais no Cisco ISE, adição de servidores LDAP e integração com o Microsoft Active Directory. O próximo artigo destacará o acesso de convidados na forma de um guia redundante.
Se você tiver dúvidas sobre este tópico ou precisar de ajuda para testar o produto, entre em contato .
Fique atento às atualizações em nossos canais (, , , , ).
Fonte: habr.com