Cisco ISE මාලාවේ දෙවන පළ කිරීම වෙත සාදරයෙන් පිළිගනිමු. පළමු එකේ
මෙම ලිපියෙන්, අපි ගිණුම් නිර්මාණය කිරීම, LDAP සේවාදායකයන් එකතු කිරීම සහ Microsoft Active Directory සමඟ ඒකාබද්ධ කිරීම මෙන්ම PassiveID සමඟ වැඩ කිරීමේ සූක්ෂ්මතාවයන් පිළිබඳව සොයා බලනු ඇත. කියවීමට පෙර, ඔබ කියවන ලෙස මම තරයේ නිර්දේශ කරමි
1. සමහර පාරිභාෂිතය
පරිශීලක අනන්යතාවය - පරිශීලකයා පිළිබඳ තොරතුරු අඩංගු පරිශීලක ගිණුමක් සහ ජාලයට ප්රවේශ වීම සඳහා ඔහුගේ අක්තපත්ර ජනනය කරයි. පහත පරාමිති සාමාන්යයෙන් පරිශීලක අනන්යතාවයේ දක්වා ඇත: පරිශීලක නාමය, විද්යුත් තැපැල් ලිපිනය, මුරපදය, ගිණුම් විස්තරය, පරිශීලක කණ්ඩායම සහ භූමිකාව.
පරිශීලක කණ්ඩායම් - පරිශීලක කණ්ඩායම් යනු විශේෂිත Cisco ISE සේවා සහ කාර්යයන් සඳහා ප්රවේශ වීමට ඉඩ සලසන පොදු වරප්රසාද සමූහයක් ඇති තනි පරිශීලකයින්ගේ එකතුවකි.
පරිශීලක අනන්යතා කණ්ඩායම් - දැනටමත් නිශ්චිත තොරතුරු සහ භූමිකාවන් ඇති පූර්ව නිශ්චිත පරිශීලක කණ්ඩායම්. පහත පරිශීලක අනන්යතා කණ්ඩායම් පෙරනිමියෙන් පවතී, ඔබට ඒවාට පරිශීලකයින් සහ පරිශීලක කණ්ඩායම් එකතු කළ හැකිය: සේවක (සේවක), අනුග්රාහක කණ්ඩායම් ගිණුම්, අනුග්රාහක ගිණුම් (ආගන්තුක ද්වාරය කළමනාකරණය කිරීම සඳහා අනුග්රාහක ගිණුම්), ආගන්තුක (ආගන්තුක), සක්රිය ආගන්තුක (සක්රිය අමුත්තන්).
පරිශීලක භූමිකාව- පරිශීලක භූමිකාවක් යනු පරිශීලකයෙකුට කළ හැකි කාර්යයන් සහ ප්රවේශ විය හැකි සේවාවන් මොනවාද යන්න තීරණය කරන අවසර සමූහයකි. බොහෝ විට පරිශීලක භූමිකාවක් පරිශීලකයින් කණ්ඩායමක් සමඟ සම්බන්ධ වේ.
එපමණක් නොව, සෑම පරිශීලකයෙකුටම සහ පරිශීලක කණ්ඩායමකටම මෙම පරිශීලකයා (පරිශීලක කණ්ඩායම) තෝරා ගැනීමට සහ වඩාත් නිශ්චිතව නිර්වචනය කිරීමට ඉඩ සලසන අමතර ගුණාංග ඇත. වැඩි විස්තර තුළ
2. දේශීය පරිශීලකයින් සාදන්න
1) Cisco ISE හට දේශීය පරිශීලකයින් නිර්මාණය කිරීමට සහ ඔවුන් ප්රවේශ ප්රතිපත්තියක භාවිතා කිරීමට හෝ නිෂ්පාදන පරිපාලන භූමිකාවක් ලබා දීමට හැකියාව ඇත. තෝරන්න පරිපාලනය → අනන්යතා කළමනාකරණය → අනන්යතා → පරිශීලකයන් → එකතු කරන්න.
රූප සටහන 1 Cisco ISE වෙත දේශීය පරිශීලකයෙකු එක් කිරීම
2) දිස්වන කවුළුවෙහි, දේශීය පරිශීලකයෙකු සාදන්න, මුරපදයක් සහ අනෙකුත් තේරුම්ගත හැකි පරාමිතීන් සකසන්න.
රූපය 2. Cisco ISE හි දේශීය පරිශීලකයෙකු නිර්මාණය කිරීම
3) පරිශීලකයන් ද ආනයනය කළ හැක. එකම ටැබ් එකේ පරිපාලනය → අනන්යතා කළමනාකරණය → අනන්යතා → පරිශීලකයන් විකල්පයක් තෝරන්න ආනයන පරිශීලකයන් සමඟ csv හෝ txt ගොනුව උඩුගත කරන්න. අච්චුවක් ලබා ගැනීමට තෝරන්න සැකිල්ලක් ජනනය කරන්න, පසුව එය සුදුසු පෝරමයක පරිශීලකයින් පිළිබඳ තොරතුරු පිරවිය යුතුය.
රූපය 3 Cisco ISE වෙත පරිශීලකයින් ආනයනය කිරීම
3. LDAP සේවාදායකයන් එකතු කිරීම
LDAP යනු ඔබට තොරතුරු ලබා ගැනීමට, සත්යාපනය කිරීමට, LDAP සේවාදායක නාමාවලිවල ගිණුම් සෙවීමට, වරාය 389 හෝ 636 (SS) මත ක්රියා කිරීමට ඉඩ සලසන ජනප්රිය යෙදුම් මට්ටමේ ප්රොටෝකෝලයක් බව මම ඔබට මතක් කරමි. LDAP සේවාදායකයන් සඳහා කැපී පෙනෙන උදාහරණ වන්නේ Active Directory, Sun Directory, Novell eDirectory සහ OpenLDAP ය. LDAP නාමාවලියෙහි සෑම ප්රවේශයක්ම DN (විශිෂ්ඨ නාමයක්) මගින් නිර්වචනය කර ඇති අතර ප්රවේශ ප්රතිපත්තියක් සැකසීම සඳහා ගිණුම්, පරිශීලක කණ්ඩායම් සහ ගුණාංග ලබා ගැනීමේ කාර්යය ඉහළ නංවනු ලැබේ.
Cisco ISE හි, බොහෝ LDAP සේවාදායකයන් වෙත ප්රවේශය වින්යාස කිරීමට හැකි වන අතර එමඟින් අතිරික්තය ක්රියාත්මක වේ. ප්රාථමික (ප්රාථමික) LDAP සේවාදායකය නොමැති නම්, ISE ද්විතීයික (ද්විතියික) සහ යනාදිය වෙත ප්රවේශ වීමට උත්සාහ කරයි. අතිරේකව, PAN 2ක් තිබේ නම්, ප්රාථමික PAN එක සඳහා LDAP එකකට සහ ද්විතීයික PAN සඳහා තවත් LDAP එකකට ප්රමුඛත්වය දිය හැක.
ISE LDAP සේවාදායකයන් සමඟ වැඩ කිරීමේදී සෙවීම් වර්ග 2කට (සොයන්න) සහය දක්වයි: පරිශීලක සෙවීම සහ MAC ලිපින සෙවීම. පරිශීලක සෙවීම ඔබට LDAP දත්ත ගබඩාවේ පරිශීලකයෙකු සෙවීමට සහ සත්යාපනයකින් තොරව පහත තොරතුරු ලබා ගැනීමට ඉඩ සලසයි: පරිශීලකයන් සහ ඔවුන්ගේ ගුණාංග, පරිශීලක කණ්ඩායම්. MAC Address Lookup මඟින් ඔබට සහතික කිරීමකින් තොරව LDAP නාමාවලිවල MAC ලිපිනයෙන් සෙවීමට සහ උපාංගය, MAC ලිපින මගින් උපාංග සමූහයක් සහ වෙනත් විශේෂිත ගුණාංග පිළිබඳ තොරතුරු ලබා ගැනීමට ඉඩ සලසයි.
ඒකාබද්ධ කිරීමේ උදාහරණයක් ලෙස, අපි LDAP සේවාදායකයක් ලෙස Cisco ISE වෙත Active Directory එකතු කරමු.
1) ටැබ් එකට යන්න පරිපාලනය → අනන්යතා කළමනාකරණය → බාහිර අනන්යතා මූලාශ්ර → LDAP → එකතු කරන්න.
රූපය 4. LDAP සේවාදායකයක් එකතු කිරීම
2) පුවරුවේ ජනරාල් LDAP සේවාදායකයේ නම සහ යෝජනා ක්රමය සඳහන් කරන්න (අපගේ නඩුවේ, ක්රියාකාරී නාමාවලිය).
Figure 5. Active Directory schema එකක් සහිත LDAP සේවාදායකයක් එකතු කිරීම
3) ඊළඟට යන්න සම්බන්ධතාවය ටැබ් එක සහ තෝරන්න සත්කාරක නාමය/IP ලිපිනය සේවාදායක AD, port (389 - LDAP, 636 - SSL LDAP), වසම් පරිපාලක අක්තපත්ර (පරිපාලක DN - සම්පූර්ණ DN), අනෙකුත් පරාමිතීන් පෙරනිමියෙන් තැබිය හැක.
අදහස් දැක්වීම්: විය හැකි ගැටළු මඟහරවා ගැනීමට පරිපාලක වසම් විස්තර භාවිතා කරන්න.
රූප සටහන 6 LDAP සේවාදායක දත්ත ඇතුල් කිරීම
4) ටැබ් එකක නාමාවලි සංවිධානය පරිශීලකයින් සහ පරිශීලක කණ්ඩායම් ඇදගෙන යා යුතු ස්ථානයෙන් DN හරහා ඩිරෙක්ටරි ප්රදේශය සඳහන් කළ යුතුය.
රූපය 7. පරිශීලක කණ්ඩායම් ඉහළට ඇද දැමිය හැකි නාමාවලි නිර්ණය කිරීම
5) කවුළුව වෙත යන්න කණ්ඩායම් → එකතු කරන්න → නාමාවලියෙන් කණ්ඩායම් තෝරන්න LDAP සේවාදායකයෙන් අදින්න කණ්ඩායම් තේරීමට.
රූපය 8. LDAP සේවාදායකයෙන් කණ්ඩායම් එකතු කිරීම
6) දිස්වන කවුළුවෙහි, ක්ලික් කරන්න කණ්ඩායම් ලබාගන්න. කණ්ඩායම් ඉහළට ගෙන තිබේ නම්, මූලික පියවර සාර්ථකව නිම කර ඇත. එසේ නොමැතිනම්, වෙනත් පරිපාලකයෙකු උත්සාහ කර LDAP ප්රොටෝකෝලය හරහා LDAP සේවාදායකය සමඟ ISE තිබේදැයි පරීක්ෂා කරන්න.
රූපය 9. ඇදගත් පරිශීලක කණ්ඩායම් ලැයිස්තුව
7) ටැබ් එකක දන්ත ධාතුන් ඔබට විකල්ප වශයෙන් LDAP සේවාදායකයෙන් කුමන ගුණාංග ඉහළට ඇද දැමිය යුතුද යන්න සහ කවුළුව තුළ සඳහන් කළ හැක. උසස් සැකසුම් විකල්පය සක්රිය කරන්න මුරපදය වෙනස් කිරීම සබල කරන්න, එය කල් ඉකුත් වී ඇත්නම් හෝ නැවත සකස් කර ඇත්නම් ඔවුන්ගේ මුරපදය වෙනස් කිරීමට පරිශීලකයින්ට බල කෙරෙනු ඇත. කොහොම හරි ක්ලික් කරන්න ඉදිරිපත් කරන්න දිගටම කරගෙන යාමට.
8) LDAP සේවාදායකය අදාල පටිත්තෙහි දිස්වන අතර අනාගතයේදී ප්රවේශ ප්රතිපත්ති සැකසීමට භාවිතා කළ හැක.
රූපය 10. එකතු කරන ලද LDAP සේවාදායක ලැයිස්තුව
4. ක්රියාකාරී නාමාවලිය සමඟ ඒකාබද්ධ කිරීම
1) මයික්රොසොෆ්ට් ඇක්ටිව් ඩිරෙක්ටරි සේවාදායකය LDAP සේවාදායකයක් ලෙස එක් කිරීමෙන්, අපට පරිශීලකයින්, පරිශීලක කණ්ඩායම් ලැබුණි, නමුත් ලොග් නොමැත. මීළඟට, Cisco ISE සමඟ පූර්ණ-පරිපූර්ණ AD ඒකාබද්ධ කිරීම පිහිටුවීමට මම යෝජනා කරමි. ටැබ් එකට යන්න පරිපාලනය → අනන්යතා කළමනාකරණය → බාහිර අනන්යතා මූලාශ්ර → සක්රීය නාමාවලිය → එකතු කරන්න.
සටහන: AD සමඟ සාර්ථකව ඒකාබද්ධ වීම සඳහා, ISE වසමක තිබිය යුතු අතර DNS, NTP සහ AD සේවාදායකයන් සමඟ පූර්ණ සම්බන්ධතාවයක් තිබිය යුතුය, එසේ නොමැතිනම් එයින් කිසිවක් නොලැබේ.
Figure 11. Active Directory server එකක් එකතු කිරීම
2) දිස්වන කවුළුව තුළ, වසම් පරිපාලක විස්තර ඇතුළත් කර කොටුව සලකුණු කරන්න අක්තපත්ර ගබඩා කරන්න. මීට අමතරව, ISE නිශ්චිත OU එකක පිහිටා තිබේ නම්, ඔබට OU (සංවිධාන ඒකකය) නියම කළ හැක. ඊළඟට, ඔබට වසම වෙත සම්බන්ධ වීමට අවශ්ය Cisco ISE නෝඩ් තෝරා ගැනීමට සිදුවේ.
රූපය 12. අක්තපත්ර ඇතුළත් කිරීම
3) වසම් පාලක එකතු කිරීමට පෙර, ටැබය තුළ PSN මත බව සහතික කර ගන්න පරිපාලනය → පද්ධතිය → යෙදවීම විකල්පය සක්රීය කර ඇත නිෂ්ක්රීය හැඳුනුම් සේවාව. PassiveID - පරිශීලකයා IP වෙත සහ අනෙක් අතට පරිවර්තනය කිරීමට ඔබට ඉඩ සලසන විකල්පයකි. PassiveID ස්විචය මත WMI, විශේෂ AD නියෝජිතයන් හෝ SPAN port හරහා AD වෙතින් තොරතුරු ලබා ගනී (හොඳම විකල්පය නොවේ).
සටහන: Passive ID හි තත්ත්වය පරීක්ෂා කිරීමට, ISE කොන්සෝලය ටයිප් කරන්න අයදුම්පත් තත්ත්වය පෙන්වන්න | PassiveID ඇතුළත් වේ.
රූපය 13. PassiveID විකල්පය සක්රිය කිරීම
4) ටැබ් එකට යන්න පරිපාලනය → අනන්යතා කළමනාකරණය → බාහිර අනන්යතා මූලාශ්ර → සක්රීය නාමාවලිය → PassiveID සහ විකල්පය තෝරන්න DC එකතු කරන්න. ඊළඟට, පිරික්සුම් කොටු සහිත අවශ්ය වසම් පාලකයන් තෝරා ක්ලික් කරන්න හරි.
රූපය 14. වසම් පාලක එකතු කිරීම
5) එකතු කරන ලද DCs තෝරා බොත්තම ක්ලික් කරන්න සංස්කරණය කරන්න. කරුණාකර සඳහන් කරන්න FQDN ඔබගේ DC, වසම් පිවිසුම සහ මුරපදය, සහ සබැඳි විකල්පය ඩබ්ලිව්.එම්.අයි හෝ දිසාපති. WMI තෝරන්න සහ ක්ලික් කරන්න හරි.
රූපය 15 වසම් පාලක විස්තර ඇතුලත් කිරීම
6) සක්රීය නාමාවලිය සමඟ සන්නිවේදනය කිරීමට WMI වඩාත් කැමති ක්රමය නොවේ නම්, ISE නියෝජිතයන් භාවිතා කළ හැක. නියෝජිත ක්රමය නම් ඔබට පිවිසුම් සිදුවීම් නිකුත් කරන සේවාදායකයන් මත විශේෂ නියෝජිතයන් ස්ථාපනය කළ හැකිය. ස්ථාපන විකල්ප 2 ක් ඇත: ස්වයංක්රීය සහ අතින්. එකම ටැබය තුළ නියෝජිතයා ස්වයංක්රීයව ස්ථාපනය කිරීමට PassiveID තෝරා නියෝජිතයා එක් කරන්න → නව නියෝජිතයා යොදවන්න (DC අන්තර්ජාල ප්රවේශය තිබිය යුතුය). ඉන්පසු අවශ්ය ක්ෂේත්ර පුරවා (නියෝජිත නම, සේවාදායක FQDN, වසම් පරිපාලක පිවිසුම/මුරපදය) ක්ලික් කරන්න. හරි.
රූපය 16. ISE නියෝජිතයා ස්වයංක්රීයව ස්ථාපනය කිරීම
7) Cisco ISE නියෝජිතයා අතින් ස්ථාපනය කිරීමට, අයිතමය තෝරන්න පවතින නියෝජිතයා ලියාපදිංචි කරන්න. මාර්ගය වන විට, ඔබට ටැබ් එකෙහි නියෝජිතයා බාගත කළ හැකිය වැඩ මධ්යස්ථාන → PassiveID → සපයන්නන් → නියෝජිතයන් → බාගත කිරීමේ නියෝජිතයා.
රූපය 17. ISE නියෝජිතයා බාගත කිරීම
එය වැදගත් වේ: PassiveID සිදුවීම් කියවන්නේ නැත ඉවත් වීම! කල් ඉකුත්වීම සඳහා වගකිව යුතු පරාමිතිය ලෙස හැඳින්වේ පරිශීලක සැසි වයසට යාමේ කාලය සහ පෙරනිමියෙන් පැය 24 ට සමාන වේ. එමනිසා, ඔබ වැඩ කරන දිනය අවසානයේ ඔබම ඉවත් විය යුතුය, නැතහොත් ලොග් වී ඇති සියලුම පරිශීලකයින් ස්වයංක්රීයව ඉවත් වන ආකාරයේ ස්ක්රිප්ට් වර්ගයක් ලිවිය යුතුය.
තොරතුරු සඳහා ඉවත් වීම "Endpoint probes" භාවිතා වේ - පර්යන්ත පරීක්ෂණ. Cisco ISE හි අන්ත ලක්ෂ්ය පරීක්ෂණ කිහිපයක් තිබේ: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP ස්කෑන්. රේඩියස් භාවිතා කරමින් පරීක්ෂණය CoA (අධිපත්ය වෙනස් කිරීම) පැකේජ මඟින් පරිශීලක අයිතීන් වෙනස් කිරීම පිළිබඳ තොරතුරු සපයයි (මේ සඳහා කාවැද්දීමක් අවශ්ය වේ 802.1X), සහ SNMP ප්රවේශ ස්විචයන් මත වින්යාස කර ඇති අතර, සම්බන්ධිත සහ විසන්ධි වූ උපාංග පිළිබඳ තොරතුරු ලබා දෙනු ඇත.
802.1X සහ RADIUS නොමැතිව Cisco ISE + AD වින්යාසය සඳහා පහත උදාහරණය අදාළ වේ: පරිශීලකයෙකු වින්ඩෝස් යන්ත්රයක ලොග් වී ඇත, ලොග් ඔෆ් නොකර, වෙනත් පරිගණකයකින් WiFi හරහා ලොග් වන්න. මෙම අවස්ථාවෙහිදී, පළමු පරිගණකයේ සැසිය කල් ඉකුත්වීමක් සිදු වන තුරු හෝ බලහත්කාරයෙන් ඉවත් වීම සිදු වන තෙක් තවමත් සක්රියව පවතිනු ඇත. එවිට උපාංගවලට විවිධ අයිතිවාසිකම් තිබේ නම්, අවසන් වරට ලොග් වූ උපාංගය එහි අයිතිවාසිකම් අදාළ වේ.
8) ටැබය තුළ විකල්ප පරිපාලනය → අනන්යතා කළමනාකරණය → බාහිර අනන්යතා මූලාශ්ර → සක්රීය නාමාවලිය → කණ්ඩායම් → එකතු කරන්න → නාමාවලියෙන් කණ්ඩායම් තෝරන්න ඔබට ISE මත ඇදීමට අවශ්ය AD වෙතින් කණ්ඩායම් තෝරාගත හැක (අපගේ නඩුවේදී, මෙය පියවර 3 "LDAP සේවාදායකයක් එකතු කිරීම" තුල සිදු කරන ලදී). විකල්පයක් තෝරන්න කණ්ඩායම් ලබාගන්න → හරි.
රූපය 18 a). සක්රීය නාමාවලියෙන් පරිශීලක කණ්ඩායම් ඇද ගැනීම
9) ටැබ් එකක වැඩ මධ්යස්ථාන → PassiveID → දළ විශ්ලේෂණය → උපකරණ පුවරුව ඔබට සක්රිය සැසි ගණන, දත්ත මූලාශ්ර ගණන, නියෝජිතයින් සහ තවත් දේ නිරීක්ෂණය කළ හැක.
රූපය 19. වසම් භාවිතා කරන්නන්ගේ ක්රියාකාරකම් නිරීක්ෂණය කිරීම
10) ටැබ් එකක සජීවී සැසි වත්මන් සැසි දර්ශනය වේ. AD සමඟ ඒකාබද්ධ කිරීම වින්යාස කර ඇත.
රූපය 20. වසම් භාවිතා කරන්නන්ගේ ක්රියාකාරී සැසි
5. නිගමනය
මෙම ලිපිය Cisco ISE හි දේශීය පරිශීලකයින් නිර්මාණය කිරීම, LDAP සේවාදායකයන් එකතු කිරීම සහ Microsoft Active Directory සමඟ ඒකාබද්ධ කිරීම යන මාතෘකා ආවරණය කරන ලදී. මීළඟ ලිපියෙන් ආගන්තුක ප්රවේශය අනවශ්ය මාර්ගෝපදේශයක ආකාරයෙන් ඉස්මතු කරනු ඇත.
ඔබට මෙම මාතෘකාව පිළිබඳ ප්රශ්න ඇත්නම් හෝ නිෂ්පාදනය පරීක්ෂා කිරීමට උදවු අවශ්ය නම්, කරුණාකර සම්බන්ධ වන්න
අපගේ නාලිකා වල යාවත්කාලීන සඳහා රැඳී සිටින්න (
මූලාශ්රය: www.habr.com