سسڪو ISE لاءِ وقف ڪيل مضمونن جي هڪ سيريز جي ٻي اشاعت ۾ ڀليڪار. پهرين ۾ معياري AAA مان نيٽ ورڪ رسائي ڪنٽرول (NAC) حل جا فائدا ۽ فرق، سسڪو ISE جي انفراديت، پيداوار جي فن تعمير ۽ تنصيب جي عمل کي نمايان ڪيو ويو.
هن آرٽيڪل ۾ اسين اڪائونٽس ٺاهڻ، LDAP سرورز کي شامل ڪرڻ ۽ Microsoft Active Directory سان انضمام، ۽ گڏوگڏ PassiveID سان ڪم ڪرڻ وقت نزاڪت بابت غور ڪنداسين. پڙهڻ کان اڳ، مان ڏاڍي صلاح ڏيان ٿو ته توهان پڙهو .
1. ڪجھ اصطلاح
استعمال ڪندڙ جي سڃاڻپ - هڪ صارف کاتو جنهن ۾ استعمال ڪندڙ جي باري ۾ معلومات شامل آهي ۽ نيٽ ورڪ تائين رسائي لاءِ سندس سندون ٺاهي ٿو. هيٺيون پيٽرول عام طور تي استعمال ڪندڙ جي سڃاڻپ ۾ بيان ڪيا ويا آهن: يوزر نالو، اي ميل پتو، پاسورڊ، اڪائونٽ تفصيل، صارف گروپ، ۽ ڪردار.
يوزر گروپس - استعمال ڪندڙ گروپ انفرادي استعمال ڪندڙن جو مجموعو آھن جن وٽ مراعات جو ھڪڙو عام سيٽ آھي جيڪي انھن کي سِسکو ISE خدمتن ۽ خاصيتن جي مخصوص سيٽ تائين رسائي جي اجازت ڏين ٿا.
استعمال ڪندڙ جي سڃاڻپ گروپ - اڳواٽ بيان ڪيل صارف گروپ جيڪي اڳ ۾ ئي ڪجهه معلومات ۽ ڪردار آهن. ھيٺ ڏنل يوزر شناختي گروپ ڊفالٽ طور تي موجود آھن ۽ توھان انھن ۾ استعمال ڪندڙ ۽ يوزر گروپ شامل ڪري سگھو ٿا: ملازم، اسپانسر آل اڪائونٽ، اسپانسر گروپ اڪائونٽس، اسپانسر اوون اڪائونٽس (مهمان پورٽل کي منظم ڪرڻ لاءِ اسپانسر اڪائونٽس)، گيسٽ، ايڪٽيويٽ گيسٽ.
استعمال ڪندڙ جو ڪردار - هڪ صارف جو ڪردار اجازتن جو هڪ سيٽ آهي جيڪو اهو طئي ڪري ٿو ته صارف ڪهڙن ڪمن کي انجام ڏئي سگهي ٿو ۽ صارف ڪهڙي خدمتن تائين رسائي ڪري سگهي ٿو. گهڻو ڪري هڪ صارف ڪردار استعمال ڪندڙن جي هڪ گروپ سان لاڳاپيل آهي.
ان کان علاوه، هر صارف ۽ استعمال ڪندڙ گروپ ۾ اضافي خاصيتون آهن جيڪي توهان کي نمايان ڪرڻ جي اجازت ڏين ٿيون ۽ خاص طور تي هڪ ڏنل صارف (يوزر گروپ) کي بيان ڪري ٿو. وڌيڪ معلومات ۾ .
2. مقامي استعمال ڪندڙ ٺاھيو
1) Cisco ISE ۾ اهو ممڪن آهي ته مقامي صارفين ٺاهي ۽ انهن کي رسائي پاليسين ۾ استعمال ڪن يا انهن کي پروڊڪٽ انتظامي ڪردار پڻ ڏيو. چونڊيو انتظاميه → سڃاڻپ جو انتظام → سڃاڻپ → استعمال ڪندڙ → شامل ڪريو.
شڪل 1: سسڪو ISE ۾ مقامي استعمال ڪندڙ کي شامل ڪرڻ
2) ونڊو ۾ جيڪو ظاهر ٿئي ٿو، هڪ مقامي صارف ٺاهيو، هن کي پاسورڊ ۽ ٻيا صاف پيٽرولر ڏيو.
شڪل 2. Cisco ISE ۾ مقامي صارف ٺاهڻ
3) صارف پڻ درآمد ڪري سگھجن ٿا. ساڳي ٽيب ۾ انتظاميه → سڃاڻپ جو انتظام → سڃاڻپ → استعمال ڪندڙ هڪ اختيار چونڊيو آمد ۽ صارفين سان گڏ هڪ csv يا txt فائل اپ لوڊ ڪريو. ٽيمپليٽ حاصل ڪرڻ لاء، چونڊيو هڪ ٽيمپليٽ ٺاهيو، پوءِ توھان ان کي ڀرڻ گھرجي استعمال ڪندڙن بابت معلومات سان ھڪڙي مناسب فارم ۾.
شڪل 3. سسڪو ISE ۾ صارفين کي درآمد ڪرڻ
3. LDAP سرور شامل ڪرڻ
مان توهان کي ياد ڏياران ٿو ته LDAP هڪ مشهور ايپليڪيشن-سطح پروٽوڪول آهي جيڪو توهان کي معلومات حاصل ڪرڻ، تصديق ڪرڻ، LDAP سرور ڊاريڪٽريز ۾ اڪائونٽس ڳولڻ، ۽ پورٽ 389 يا 636 (SS) تي هلائڻ جي اجازت ڏئي ٿو. LDAP سرورز جا نمايان مثال آهن Active Directory، Sun Directory، Novell eDirectory ۽ OpenLDAP. LDAP ڊاريڪٽري ۾ هر داخلا DN (Distinguished Name) جي ذريعي بيان ڪئي وئي آهي ۽ رسائي جي پاليسي ٺاهڻ لاءِ، اڪائونٽس، يوزر گروپس ۽ خاصيتون ٻيهر حاصل ڪرڻ جو ڪم پيدا ٿئي ٿو.
Cisco ISE ۾ ڪيترن ئي LDAP سرورن تائين پهچ کي ترتيب ڏيڻ ممڪن آهي، ان ڪري فالج جو احساس ٿئي ٿو. جيڪڏهن پرائمري LDAP سرور دستياب ناهي، ISE ڪوشش ڪندو ثانوي سرور سان رابطو ڪرڻ جي، وغيره. اضافي طور تي، جيڪڏهن 2 PAN آهن، پوء هڪ LDAP پرائمري PAN لاء ترجيح ٿي سگهي ٿو، ۽ ٻيو LDAP ثانوي PAN لاء ترجيح ڏئي سگهجي ٿو.
ISE 2 قسم جي لوڪ اپ کي سپورٽ ڪري ٿو جڏهن LDAP سرورز سان ڪم ڪري ٿو: يوزر لوڪ اپ ۽ ميڪ ايڊريس لوڪ اپ. يوزر لُڪ اپ توهان کي اجازت ڏئي ٿو ته صارف کي LDAP ڊيٽابيس ۾ ڳولھيو ۽ ھيٺ ڏنل معلومات حاصل ڪريو بغير تصديق جي: استعمال ڪندڙ ۽ انھن جون خاصيتون، يوزر گروپ. MAC ائڊريس لوڪ اپ توهان کي اجازت ڏئي ٿو ته LDAP ڊاريڪٽريز ۾ MAC ايڊريس ذريعي ڳولا ڪريو بغير تصديق جي ۽ هڪ ڊوائيس بابت معلومات حاصل ڪريو، ڊوائيسز جو هڪ گروپ MAC پتي ۽ ٻين مخصوص خاصيتن ذريعي.
انٽيگريشن جي مثال طور، اچو ته ايڪٽو ڊاريڪٽري کي سسڪو ISE ۾ LDAP سرور طور شامل ڪريون.
1) ٽيب ڏانھن وڃو انتظاميه → سڃاڻپ جو انتظام → خارجي سڃاڻپ جا ذريعا → LDAP → شامل ڪريو.
شڪل 4. LDAP سرور شامل ڪرڻ
2) پينل ۾ جنرل LDAP سرور جو نالو ۽ اسڪيم بيان ڪريو (اسان جي صورت ۾ Active Directory).
شڪل 5. هڪ فعال ڊاريڪٽري اسڪيما سان LDAP سرور شامل ڪرڻ
3) اڳيان وڃو ڪنيڪشن tab ۽ وضاحت ڪريو ميزبان نالو/IP پتو سرور AD، پورٽ (389 - LDAP، 636 - SSL LDAP)، ڊومين ايڊمنسٽريٽر سندون (ايڊمنسٽريٽر ڊي اين - مڪمل ڊي اين)، ٻيا پيرا ميٽرز ڊفالٽ طور ڇڏي سگھجن ٿا.
ويچاري: امڪاني مسئلن کان بچڻ لاءِ منتظم ڊومين جا تفصيل استعمال ڪريو.
شڪل 6. LDAP سرور ڊيٽا داخل ڪرڻ
4) ٽيب ۾ ڊاريڪٽري آرگنائيزيشن توھان کي ڊاريڪٽري واري علائقي کي DN ذريعي بيان ڪرڻ گھرجي جتان صارفين ۽ يوزر گروپن کي ڪڍڻ لاءِ.
شڪل 7. ڊاريڪٽريز جو تعين ڪرڻ جنهن مان صارف گروپن کي ڪڍڻو آهي
5) ونڊو ڏانھن وڃو گروپ → شامل ڪريو → ڊاريڪٽري مان گروپ چونڊيو LDAP سرور مان ڇڪڻ وارا گروپ چونڊڻ لاءِ.
شڪل 8. LDAP سرور مان گروپ شامل ڪرڻ
6) ونڊو ۾ جيڪو ظاهر ٿئي ٿو، ڪلڪ ڪريو گروپن کي ٻيهر حاصل ڪريو. جيڪڏهن گروپ شامل ٿي ويا آهن، ته پوء ابتدائي مرحلن کي ڪاميابي سان مڪمل ڪيو ويو آهي. ٻي صورت ۾، ٻئي منتظم جي ڪوشش ڪريو ۽ LDAP پروٽوڪول استعمال ڪندي LDAP سرور سان ISE جي دستيابي کي چيڪ ڪريو.
شڪل 9. فعال صارف گروپن جي فهرست
7) ٽيب ۾ جا حصا توھان اختياري طور تي بيان ڪري سگھوٿا ته LDAP سرور مان ڪھڙا خاصيتون مٿي کنيا وڃن، ۽ ونڊو ۾ اعلي جوڙجڪ اختيار کي فعال ڪريو پاسورڊ تبديلي کي فعال ڪريو، جيڪو استعمال ڪندڙن کي مجبور ڪندو ته انهن جو پاسورڊ تبديل ڪرڻ جي صورت ۾ جيڪڏهن اهو ختم ٿي چڪو آهي يا ٻيهر سيٽ ڪيو ويو آهي. ڪنهن به صورت ۾، ڪلڪ ڪريو درج ڪريو جاري رکڻ.
8) LDAP سرور لاڳاپيل ٽيب ۾ ظاهر ٿئي ٿو ۽ بعد ۾ رسائي پاليسين ٺاهڻ لاء استعمال ڪري سگهجي ٿو.
شڪل 10. شامل ڪيل LDAP سرورن جي فهرست
4. فعال ڊاريڪٽري سان انضمام
1) Microsoft Active Directory سرور کي LDAP سرور جي طور تي شامل ڪرڻ سان، اسان صارفين، يوزر گروپس، پر لاگس حاصل ڪيا. اڳيون، مان سسڪو ISE سان مڪمل AD انضمام کي ترتيب ڏيڻ جي صلاح ڏيان ٿو. ٽيب ڏانھن وڃو انتظاميه → سڃاڻپ جو انتظام → خارجي سڃاڻپ جا ذريعا → فعال ڊائريڪٽري → شامل ڪريو.
نوٽ: AD سان ڪامياب انضمام لاءِ، ISE کي ڊومين ۾ هجڻ گھرجي ۽ DNS، NTP ۽ AD سرورز سان مڪمل ڪنيڪشن هجڻ گھرجي، ٻي صورت ۾ ڪجھ به ڪم نه ڪندو.
شڪل 11. هڪ فعال ڊائريڪٽري سرور شامل ڪرڻ
2) ونڊو ۾ جيڪو ظاهر ٿئي ٿو، ڊومين ايڊمنسٽريٽر جي معلومات داخل ڪريو ۽ دٻي کي چيڪ ڪريو اسٽور جي سند. اضافي طور تي، توهان هڪ OU (تنظيمي يونٽ) جي وضاحت ڪري سگهو ٿا جيڪڏهن ISE هڪ مخصوص OU ۾ واقع آهي. اڳيون، توھان کي چونڊڻو پوندو Cisco ISE نوڊس جيڪي توھان ڊومين سان ڳنڍڻ چاھيو ٿا.
شڪل 12. سند داخل ڪرڻ
3) ڊومين ڪنٽرولرز کي شامل ڪرڻ کان اڳ، پڪ ڪريو ته ٽيب ۾ PSN تي انتظاميه → سسٽم → مقرري اختيار چالو ڪيو غير فعال سڃاڻپ سروس. PassiveID - ھڪڙو اختيار جيڪو توھان کي يوزر کي IP ۽ ان جي برعڪس ترجمو ڪرڻ جي اجازت ڏئي ٿو. PassiveID معلومات حاصل ڪري ٿو AD کان WMI ذريعي، خاص AD ايجنٽن، يا سوئچ تي SPAN بندرگاهه (نه بهترين اختيار).
نوٽ: غير فعال ID جي حيثيت چيڪ ڪرڻ لاء، داخل ڪريو ISE ڪنسول ڏيکاريو ايپليڪيشن اسٽيٽس آهي | PassiveID شامل ڪريو.
شڪل 13. PassiveID آپشن کي فعال ڪرڻ
4) ٽيب ڏانھن وڃو انتظاميه → سڃاڻپ جو انتظام → خارجي سڃاڻپ جا ذريعا → فعال ڊائريڪٽري → PassiveID ۽ اختيار چونڊيو ڊي سي شامل ڪريو. اڳيون، چيڪ بڪس ذريعي گهربل ڊومين سنڀاليندڙ چونڊيو ۽ ڪلڪ ڪريو ٺيڪ.
شڪل 14. ڊومين ڪنٽرولر شامل ڪرڻ
5) شامل ٿيل ڊي سي چونڊيو ۽ بٽڻ تي ڪلڪ ڪريو ترميم ڪريو ظاهر ڪيو ايف آر ڊي اين توهان جو ڊي سي، ڊومين لاگ ان ۽ پاسورڊ، انهي سان گڏ هڪ مواصلاتي اختيار WMI يا ايجنٽ. WMI چونڊيو ۽ ڪلڪ ڪريو ٺيڪ.
شڪل 15. ڊومين ڪنٽرولر جي معلومات داخل ڪرڻ
6) جيڪڏهن WMI نه آهي ترجيحي طريقي سان رابطي لاءِ Active Directory، پوءِ ISE ايجنٽ استعمال ڪري سگھجن ٿا. ايجنٽ جو طريقو اهو آهي ته توهان سرور تي خاص ايجنٽ انسٽال ڪري سگهو ٿا جيڪي لاگ ان واقعا جاري ڪندا. اتي 2 تنصيب جا اختيار آھن: خودڪار ۽ دستي. ساڳئي ٽيب ۾ ايجنٽ کي خودڪار طور تي انسٽال ڪرڻ لاء PassiveID منتخب ڪريو ايجنٽ شامل ڪريو → نئون ايجنٽ مقرر ڪريو (ڊي سي کي انٽرنيٽ جي رسائي هجڻ گهرجي). پوءِ گھربل فيلڊ ڀريو (ايجنٽ جو نالو، سرور FQDN، ڊومين ايڊمنسٽريٽر لاگ ان/پاسورڊ) ۽ ڪلڪ ڪريو ٺيڪ.
شڪل 16. ISE ايجنٽ جي خودڪار تنصيب
7) دستي طور سسڪو ISE ايجنٽ کي انسٽال ڪرڻ لاءِ، توھان کي چونڊڻ جي ضرورت آھي رجسٽرڊ موجوده ايجنٽ. رستي جي ذريعي، توهان ٽئب ۾ ايجنٽ ڊائون لوڊ ڪري سگهو ٿا ڪم سينٽر → PassiveID → فراهم ڪندڙ → ايجنٽ → ڊائون لوڊ ايجنٽ.
شڪل 17. ڊائون لوڊ ڪرڻ ISE ايجنٽ
ان لاء ضروري آهي: PassiveID واقعا نه پڙهي لاگ ان! ٽائم آئوٽ لاءِ ذميوار پيٽرولر کي سڏيو ويندو آهي استعمال ڪندڙ سيشن جي عمر جو وقت ۽ ڊفالٽ طور 24 ڪلاڪن جي برابر آهي. تنهن ڪري، توهان کي گهرجي ته يا ته ڪم ڪندڙ ڏينهن جي آخر ۾ پنهنجو پاڻ کي لاگ آف ڪريو، يا ڪجهه قسم جو اسڪرپٽ لکو جيڪو خودڪار طريقي سان لاگ ان ٿيل سڀني صارفين کي لاگ آف ڪري ڇڏيندو.
ڄاڻ لاءِ لاگ ان "آخري نقطي جاچ" استعمال ٿيل آهن. سسڪو ISE ۾ ڪيترائي آخري نقطا پروبس آهن: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS استعمال ڪندي تحقيق CoA (اختيار جي تبديلي) پيڪيجز صارف جي حقن کي تبديل ڪرڻ جي باري ۾ معلومات مهيا ڪري ٿو (هن کي ايمبيڊڊ جي ضرورت آهي 802.1X)، ۽ SNMP رسائي سوئچز تي ترتيب ڏنل ڳنڍيل ۽ ڊسڪنيڪٽ ڊوائيسز بابت معلومات مهيا ڪندو.
هيٺ 802.1X ۽ RADIUS کان سواءِ Cisco ISE + AD ترتيبن لاءِ لاڳاپيل مثال آهي: صارف ونڊوز مشين تي لاگ ان ٿيل آهي، لاگ آف ڪرڻ کان سواءِ، وائي فائي ذريعي ٻئي پي سي تان لاگ ان ٿيو. انهي صورت ۾، پهرين پي سي تي سيشن اڃا تائين سرگرم هوندو جيستائين وقت ختم ٿئي يا زبردستي لاگ آف ٿئي. پوء، جيڪڏهن ڊوائيسز مختلف حق آهن، آخري لاگ ان ڊوائيس ان جا حق لاڳو ڪندو.
8) ٽيب ۾ اضافي انتظاميه → سڃاڻپ جو انتظام → خارجي سڃاڻپ جا ذريعا → فعال ڊاريڪٽري → گروپ → شامل ڪريو → ڊائريڪٽري مان گروپ چونڊيو توهان AD مان گروپ چونڊي سگهو ٿا جيڪي توهان ISE ۾ شامل ڪرڻ چاهيو ٿا (اسان جي صورت ۾، اهو قدم 3 ۾ ڪيو ويو آهي "LDAP سرور شامل ڪرڻ"). هڪ اختيار چونڊيو گروپ ٻيهر حاصل ڪريو → ٺيڪ.
شڪل 18 الف). فعال ڊاريڪٽري مان صارف گروپن کي ڇڪڻ
9) ٽيب ۾ ڪم جا مرڪز → PassiveID → جائزو → ڊيش بورڊ توھان مانيٽر ڪري سگھو ٿا فعال سيشن جو تعداد، ڊيٽا ذريعن جو تعداد، ايجنٽ، ۽ وڌيڪ.
شڪل 19. نگراني ڊومين صارف سرگرمي
10) ٽيب ۾ لائيو سيشن موجوده سيشن ڏيکاريل آهن. AD سان انضمام ترتيب ڏنل آهي.
شڪل 20. ڊومين استعمال ڪندڙن جا فعال سيشن
5. نتيجو
هي آرٽيڪل سسڪو ISE ۾ مقامي صارفين ٺاهڻ، LDAP سرورز کي شامل ڪرڻ ۽ Microsoft Active Directory سان ضم ٿيڻ جا موضوع شامل ڪيا ويا آهن. ايندڙ مضمون ۾ مهمانن جي رسائي کي بيڪار گائيڊ جي صورت ۾ شامل ڪيو ويندو.
جيڪڏھن توھان وٽ ھن موضوع تي ڪي سوال آھن يا مصنوعات جي جانچ ڪرڻ ۾ مدد جي ضرورت آھي، مھرباني ڪري رابطو ڪريو .
اسان جي چينلز ۾ تازه ڪاري لاء نظر رکون (, , , , ).
جو ذريعو: www.habr.com