Bun venit la a doua postare din seria Cisco ISE. In primul au fost evidențiate avantajele și diferențele soluțiilor Network Access Control (NAC) față de standardul AAA, unicitatea Cisco ISE, arhitectura și procesul de instalare a produsului.
În acest articol, vom aprofunda în crearea de conturi, adăugarea de servere LDAP și integrarea cu Microsoft Active Directory, precum și nuanțele lucrului cu PassiveID. Înainte de a citi, vă recomand cu căldură să citiți .
1. O anumită terminologie
Identitatea utilizatorului - un cont de utilizator care conține informații despre utilizator și generează acreditările acestuia pentru accesarea rețelei. Următorii parametri sunt de obicei specificați în Identitatea utilizatorului: nume de utilizator, adresă de e-mail, parolă, descrierea contului, grup de utilizatori și rol.
Grupuri de utilizatori - grupurile de utilizatori sunt o colecție de utilizatori individuali care au un set comun de privilegii care le permit să acceseze un anumit set de servicii și funcții Cisco ISE.
Grupuri de identitate utilizator - grupuri de utilizatori predefinite care au deja anumite informații și roluri. Următoarele grupuri de identitate de utilizator există în mod implicit, le puteți adăuga utilizatori și grupuri de utilizatori: Employee (angajat), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (conturi de sponsor pentru gestionarea portalului de oaspeți), Guest (oaspete), ActivatedGuest (oaspete activat).
rol de utilizator- Un rol de utilizator este un set de permisiuni care determină ce sarcini poate îndeplini un utilizator și ce servicii poate accesa. Adesea, un rol de utilizator este asociat cu un grup de utilizatori.
Mai mult, fiecare utilizator și grup de utilizatori are atribute suplimentare care vă permit să selectați și să definiți mai precis acest utilizator (grup de utilizatori). Mai multe informații în .
2. Creați utilizatori locali
1) Cisco ISE are capacitatea de a crea utilizatori locali și de a-i folosi într-o politică de acces sau chiar de a acorda un rol de administrare a produsului. Selectați Administrare → Gestionare identități → Identități → Utilizatori → Adăugare.
Figura 1 Adăugarea unui utilizator local la Cisco ISE
2) În fereastra care apare, creați un utilizator local, setați o parolă și alți parametri de înțeles.
Figura 2. Crearea unui utilizator local în Cisco ISE
3) De asemenea, utilizatorii pot fi importați. În aceeași filă Administrare → Gestionarea identității → Identități → Utilizatori selecteaza o optiune Import și încărcați fișiere csv sau txt cu utilizatorii. Pentru a obține un șablon, selectați Generați un șablon, atunci ar trebui să fie completat cu informații despre utilizatori într-o formă adecvată.
Figura 3 Importarea utilizatorilor în Cisco ISE
3. Adăugarea serverelor LDAP
Permiteți-mi să vă reamintesc că LDAP este un protocol popular la nivel de aplicație care vă permite să primiți informații, să efectuați autentificare, să căutați conturi în directoarele serverelor LDAP, funcționează pe portul 389 sau 636 (SS). Exemple proeminente de servere LDAP sunt Active Directory, Sun Directory, Novell eDirectory și OpenLDAP. Fiecare intrare din directorul LDAP este definită de un DN (nume distinctiv) și sarcina de a prelua conturile, grupurile de utilizatori și atributele este ridicată pentru a forma o politică de acces.
În Cisco ISE, este posibil să configurați accesul la multe servere LDAP, implementând astfel redundanța. Dacă serverul LDAP primar (primar) nu este disponibil, atunci ISE va încerca să acceseze cel secundar (secundar) și așa mai departe. În plus, dacă există 2 PAN-uri, atunci un LDAP poate fi prioritizat pentru PAN-ul primar și un alt LDAP pentru PAN-ul secundar.
ISE acceptă 2 tipuri de căutare (căutare) atunci când lucrați cu servere LDAP: Căutare utilizator și Căutare adrese MAC. Căutare utilizator vă permite să căutați un utilizator în baza de date LDAP și să obțineți următoarele informații fără autentificare: utilizatori și atributele acestora, grupuri de utilizatori. Căutarea adresei MAC vă permite, de asemenea, să căutați după adresa MAC în directoarele LDAP fără autentificare și să obțineți informații despre dispozitiv, un grup de dispozitive după adrese MAC și alte atribute specifice.
Ca exemplu de integrare, să adăugăm Active Directory la Cisco ISE ca server LDAP.
1) Accesați fila Administrare → Gestionarea identității → Surse externe de identitate → LDAP → Adăugare.
Figura 4. Adăugarea unui server LDAP
2) În panou General specificați numele și schema serverului LDAP (în cazul nostru, Active Directory).
Figura 5. Adăugarea unui server LDAP cu o schemă Active Directory
3) Apoi mergeți la Conexiune filă și selectați Nume gazdă/adresă IP Server AD, port (389 - LDAP, 636 - SSL LDAP), acreditări de administrator de domeniu (Admin DN - full DN), alți parametri pot fi lăsați ca implicit.
Nota: utilizați detaliile domeniului de administrare pentru a evita potențialele probleme.
Figura 6 Introducerea datelor serverului LDAP
4) În tab Organizarea directorului ar trebui să specificați zona de director prin DN de unde să trageți utilizatorii și grupurile de utilizatori.
Figura 7. Determinarea directoarelor de unde pot trage grupurile de utilizatori
5) Accesați fereastra Grupuri → Adăugați → Selectați grupuri din director pentru a selecta grupurile de extragere de pe serverul LDAP.
Figura 8. Adăugarea de grupuri de pe serverul LDAP
6) În fereastra care apare, faceți clic pe Preluați grupuri. Dacă grupurile s-au oprit, atunci pașii preliminari au fost finalizați cu succes. În caz contrar, încercați alt administrator și verificați disponibilitatea ISE cu serverul LDAP prin protocolul LDAP.
Figura 9. Lista grupurilor de utilizatori extrase
7) În tab atribute opțional puteți specifica ce atribute de pe serverul LDAP ar trebui să fie trase în sus și în fereastră Setări avansate activați opțiunea Activați schimbarea parolei, care va forța utilizatorii să-și schimbe parola dacă aceasta a expirat sau a fost resetată. Oricum click Trimite mesaj a continua.
8) Serverul LDAP a apărut în fila corespunzătoare și poate fi folosit pentru a forma politici de acces în viitor.
Figura 10. Lista serverelor LDAP adăugate
4. Integrare cu Active Directory
1) Prin adăugarea serverului Microsoft Active Directory ca server LDAP, am obținut utilizatori, grupuri de utilizatori, dar fără jurnal. În continuare, îmi propun să configurați integrarea AD cu drepturi depline cu Cisco ISE. Accesați fila Administrare → Gestionarea identității → Surse externe de identitate → Active Directory → Adăugare.
Nota: pentru integrarea cu succes cu AD, ISE trebuie să fie într-un domeniu și să aibă conectivitate completă cu serverele DNS, NTP și AD, altfel nu va ieși nimic din asta.
Figura 11. Adăugarea unui server Active Directory
2) În fereastra care apare, introduceți detaliile administratorului de domeniu și bifați caseta Acreditările magazinului. În plus, puteți specifica o OU (Unitate organizațională) dacă ISE este situat într-o anumită OU. În continuare, va trebui să selectați nodurile Cisco ISE pe care doriți să le conectați la domeniu.
Figura 12. Introducerea acreditărilor
3) Înainte de a adăuga controlere de domeniu, asigurați-vă că pe PSN în filă Administrare → Sistem → Implementare opțiunea activată Serviciul de identitate pasivă. ID pasiv - o opțiune care vă permite să traduceți utilizator în IP și invers. PassiveID primește informații de la AD prin WMI, agenți AD speciali sau portul SPAN de pe switch (nu este cea mai bună opțiune).
Nota: pentru a verifica starea ID-ului pasiv, tastați în consola ISE arată starea aplicației ise | includ ID pasiv.
Figura 13. Activarea opțiunii PassiveID
4) Accesați fila Administrare → Managementul identității → Surse externe de identitate → Active Directory → PassiveID și selectați opțiunea Adăugați DC. Apoi, selectați controlerele de domeniu necesare cu casetele de selectare și faceți clic OK.
Figura 14. Adăugarea controlerelor de domeniu
5) Selectați DC-urile adăugate și faceți clic pe butonul Edit. specifica FQDN DC, numele și parola de domeniu și o opțiune de link WMI sau Agent. Selectați WMI și faceți clic OK.
Figura 15 Introducerea detaliilor controlerului de domeniu
6) Dacă WMI nu este modalitatea preferată de a comunica cu Active Directory, atunci agenții ISE pot fi utilizați. Metoda agentului este că puteți instala agenți speciali pe servere care vor emite evenimente de conectare. Există 2 opțiuni de instalare: automată și manuală. Pentru a instala automat agentul în aceeași filă ID pasiv selecta Adăugați agent → Implementați agent nou (DC trebuie să aibă acces la Internet). Apoi completați câmpurile necesare (nume agent, FQDN server, login/parolă administrator de domeniu) și faceți clic OK.
Figura 16. Instalarea automată a agentului ISE
7) Pentru a instala manual agentul Cisco ISE, selectați elementul Înregistrați agentul existent. Apropo, puteți descărca agentul din filă Centre de lucru → ID pasiv → Furnizori → Agenți → Agent de descărcare.
Figura 17. Descărcarea agentului ISE
Important: PassiveID nu citește evenimente Ieși din cont! Este apelat parametrul responsabil pentru timeout timpul de îmbătrânire a sesiunii utilizator și este egal cu 24 de ore în mod implicit. Prin urmare, ar trebui fie să vă deconectați la sfârșitul zilei de lucru, fie să scrieți un fel de script care va deconecta automat toți utilizatorii conectați.
Pentru informații Ieși din cont Se folosesc „sonde de punct final” - sonde terminale. Există mai multe sonde endpoint în Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RAZĂ sondă folosind CoA Pachetele (Schimbarea autorizației) oferă informații despre modificarea drepturilor utilizatorului (aceasta necesită un 802.1X), și configurat pe comutatoarele de acces SNMP, va oferi informații despre dispozitivele conectate și deconectate.
Următorul exemplu este relevant pentru o configurație Cisco ISE + AD fără 802.1X și RADIUS: un utilizator este conectat pe o mașină Windows, fără a face deconectare, se conectează de pe alt PC prin WiFi. În acest caz, sesiunea de pe primul computer va fi în continuare activă până când apare un timeout sau apare o deconectare forțată. Apoi, dacă dispozitivele au drepturi diferite, atunci ultimul dispozitiv conectat își va aplica drepturile.
8) Opțional în filă Administrare → Gestionarea identității → Surse externe de identitate → Active Directory → Grupuri → Adăugare → Selectați grupuri din director puteți selecta grupuri din AD pe care doriți să le extrageți pe ISE (în cazul nostru, acest lucru a fost făcut la pasul 3 „Adăugarea unui server LDAP”). Alege o opțiune Preluați grupuri → OK.
Figura 18 a). Extragerea grupurilor de utilizatori din Active Directory
9) În tab Centre de lucru → ID pasiv → Prezentare generală → Tablou de bord puteți observa numărul de sesiuni active, numărul de surse de date, agenți și multe altele.
Figura 19. Monitorizarea activității utilizatorilor domeniului
10) În tab Sesiuni live sunt afișate sesiunile curente. Integrarea cu AD este configurată.
Figura 20. Sesiuni active ale utilizatorilor domeniului
5. concluzie
Acest articol a acoperit subiectele despre crearea de utilizatori locali în Cisco ISE, adăugarea de servere LDAP și integrarea cu Microsoft Active Directory. Următorul articol va evidenția accesul oaspeților sub forma unui ghid redundant.
Dacă aveți întrebări despre acest subiect sau aveți nevoie de ajutor pentru testarea produsului, vă rugăm să contactați .
Rămâneți pe fază pentru actualizări pe canalele noastre (, , , , ).
Sursa: www.habr.com