Vitajte pri druhom príspevku v sérii Cisco ISE. V prvom boli zdôraznené výhody a rozdiely riešení Network Access Control (NAC) od štandardných AAA, jedinečnosť Cisco ISE, architektúra a proces inštalácie produktu.
V tomto článku sa budeme venovať vytváraniu účtov, pridávaniu serverov LDAP a integrácii s Microsoft Active Directory, ako aj nuansám práce s PassiveID. Pred čítaním dôrazne odporúčam prečítať si .
1. Trochu terminológie
Identita používateľa - užívateľský účet, ktorý obsahuje informácie o užívateľovi a generuje jeho prihlasovacie údaje pre prístup do siete. Nasledujúce parametre sú zvyčajne špecifikované v Identite používateľa: meno používateľa, e-mailová adresa, heslo, popis účtu, skupina používateľov a rola.
Skupiny užívateľov - skupiny používateľov sú kolekciou jednotlivých používateľov, ktorí majú spoločnú sadu privilégií, ktoré im umožňujú prístup k špecifickej skupine služieb a funkcií Cisco ISE.
Skupiny identity používateľov – preddefinované skupiny používateľov, ktoré už majú určité informácie a roly. V predvolenom nastavení existujú nasledujúce skupiny identity používateľov, môžete do nich pridávať používateľov a skupiny používateľov: Zamestnanec (zamestnanec), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (účty sponzora pre správu portálu pre hostí), Guest (hosť), ActivatedGuest (aktivovaný hosť).
užívateľská rola- Rola používateľa je množina povolení, ktoré určujú, aké úlohy môže používateľ vykonávať a ku ktorým službám môže pristupovať. Rola používateľa je často spojená so skupinou používateľov.
Okrem toho má každý používateľ a skupina používateľov ďalšie atribúty, ktoré vám umožňujú vybrať a konkrétnejšie definovať tohto používateľa (skupinu používateľov). Viac informácií v .
2. Vytvorte lokálnych používateľov
1) Cisco ISE má schopnosť vytvárať lokálnych používateľov a používať ich v politike prístupu alebo dokonca prideliť rolu správy produktu. Vyberte Správa → Správa identít → Identity → Používatelia → Pridať.
Obrázok 1 Pridanie lokálneho používateľa do Cisco ISE
2) V zobrazenom okne vytvorte lokálneho používateľa, nastavte heslo a ďalšie zrozumiteľné parametre.
Obrázok 2. Vytvorenie lokálneho používateľa v Cisco ISE
3) Používatelia môžu byť tiež importovaní. Na tej istej karte Správa → Správa identít → Identity → Používatelia vyberte možnosť import a nahrajte súbor csv alebo txt s používateľmi. Ak chcete získať šablónu, vyberte Vytvorte šablónu, potom by ho mali vo vhodnej forme vyplniť informácie o používateľoch.
Obrázok 3 Import používateľov do Cisco ISE
3. Pridanie serverov LDAP
Dovoľte mi pripomenúť, že LDAP je populárny protokol na aplikačnej úrovni, ktorý vám umožňuje prijímať informácie, vykonávať autentifikáciu, vyhľadávať účty v adresároch serverov LDAP, pracuje na porte 389 alebo 636 (SS). Významnými príkladmi serverov LDAP sú Active Directory, Sun Directory, Novell eDirectory a OpenLDAP. Každá položka v adresári LDAP je definovaná DN (Distinguished Name) a úloha získavania účtov, skupín používateľov a atribútov sa zvyšuje na vytvorenie politiky prístupu.
V Cisco ISE je možné nakonfigurovať prístup k mnohým serverom LDAP, čím sa implementuje redundancia. Ak primárny (primárny) server LDAP nie je dostupný, ISE sa pokúsi o prístup k sekundárnemu (sekundárnemu) atď. Okrem toho, ak existujú 2 siete PAN, potom jeden LDAP môže mať prioritu pre primárny PAN a ďalší LDAP pre sekundárny PAN.
ISE podporuje 2 typy vyhľadávania (lookup) pri práci so servermi LDAP: User Lookup a MAC Address Lookup. User Lookup vám umožňuje vyhľadať používateľa v databáze LDAP a získať nasledujúce informácie bez autentifikácie: používatelia a ich atribúty, skupiny používateľov. MAC Address Lookup tiež umožňuje vyhľadávať podľa MAC adresy v LDAP adresároch bez autentifikácie a získavať informácie o zariadení, skupine zariadení podľa MAC adries a ďalších špecifických atribútoch.
Ako príklad integrácie pridajme Active Directory do Cisco ISE ako LDAP server.
1) Prejdite na kartu Správa → Správa identity → Externé zdroje identity → LDAP → Pridať.
Obrázok 4. Pridanie servera LDAP
2) V paneli všeobecný zadajte názov a schému servera LDAP (v našom prípade Active Directory).
Obrázok 5. Pridanie servera LDAP so schémou Active Directory
3) Ďalej prejdite na Spojenie kartu a vyberte Názov hostiteľa/IP adresa Server AD, port (389 - LDAP, 636 - SSL LDAP), poverenia správcu domény (Admin DN - úplné DN), ostatné parametre môžu byť ponechané ako predvolené.
Poznámka: použite podrobnosti o doméne správcu, aby ste sa vyhli potenciálnym problémom.
Obrázok 6 Zadávanie údajov servera LDAP
4) Na karte Organizácia adresárov mali by ste zadať oblasť adresára prostredníctvom DN, odkiaľ sa majú stiahnuť používatelia a skupiny používateľov.
Obrázok 7. Určenie adresárov, z ktorých sa môžu skupiny používateľov stiahnuť
5) Prejdite do okna Skupiny → Pridať → Vybrať skupiny z adresára vyberte skupiny sťahovania zo servera LDAP.
Obrázok 8. Pridávanie skupín zo servera LDAP
6) V zobrazenom okne kliknite na Načítať skupiny. Ak sa skupiny zdvihli, predbežné kroky boli úspešne dokončené. V opačnom prípade skúste iného správcu a skontrolujte dostupnosť ISE so serverom LDAP prostredníctvom protokolu LDAP.
Obrázok 9. Zoznam stiahnutých skupín používateľov
7) Na karte Atribúty môžete voliteľne určiť, ktoré atribúty zo servera LDAP sa majú stiahnuť, a v okne pokročilé nastavenia možnosť povoliť Povoliť zmenu hesla, ktorý prinúti používateľov zmeniť svoje heslo, ak jeho platnosť vypršala alebo bolo resetované. Každopádne kliknite Odoslať pokračovať.
8) Server LDAP sa objavil na príslušnej karte a možno ho v budúcnosti použiť na vytváranie politík prístupu.
Obrázok 10. Zoznam pridaných serverov LDAP
4. Integrácia s Active Directory
1) Pridaním servera Microsoft Active Directory ako servera LDAP sme získali používateľov, skupiny používateľov, ale žiadne protokoly. Ďalej navrhujem nastaviť plnohodnotnú integráciu AD s Cisco ISE. Prejdite na kartu Správa → Správa identít → Externé zdroje identity → Active Directory → Pridať.
Poznámka: pre úspešnú integráciu s AD musí byť ISE v doméne a musí mať plnú konektivitu so servermi DNS, NTP a AD, inak z toho nič nebude.
Obrázok 11. Pridanie servera Active Directory
2) V zobrazenom okne zadajte podrobnosti o správcovi domény a začiarknite políčko Poverenia obchodu. Okrem toho môžete určiť OU (organizačnú jednotku), ak sa ISE nachádza v špecifickej OU. Ďalej budete musieť vybrať uzly Cisco ISE, ktoré chcete pripojiť k doméne.
Obrázok 12. Zadávanie prihlasovacích údajov
3) Pred pridaním doménových radičov sa uistite, že na PSN v záložke Administrácia → Systém → Nasadenie možnosť povolená Služba pasívnej identity. PassiveID - možnosť, ktorá vám umožňuje preložiť používateľa na IP a naopak. PassiveID získava informácie z AD cez WMI, špeciálnych AD agentov alebo SPAN port na prepínači (nie je to najlepšia možnosť).
Poznámka: Ak chcete skontrolovať stav pasívneho ID, zadajte do konzoly ISE zobraziť stav aplikácie ise | vrátane PassiveID.
Obrázok 13. Povolenie možnosti PassiveID
4) Prejdite na kartu Administrácia → Správa identity → Externé zdroje identity → Active Directory → PassiveID a vyberte možnosť Pridajte DC. Potom pomocou začiarkavacích políčok vyberte potrebné radiče domény a kliknite na tlačidlo OK.
Obrázok 14. Pridanie radičov domény
5) Vyberte pridané DC a kliknite na tlačidlo Editovať. špecifikovať FQDN váš DC, prihlasovacie meno a heslo domény a možnosť prepojenia WMI alebo Činidlo. Vyberte WMI a kliknite OK.
Obrázok 15 Zadávanie podrobností o radiči domény
6) Ak WMI nie je preferovaný spôsob komunikácie s Active Directory, potom je možné použiť ISE agentov. Metóda agenta spočíva v tom, že na servery môžete nainštalovať špeciálnych agentov, ktorí budú vysielať udalosti prihlásenia. Existujú 2 možnosti inštalácie: automatická a manuálna. Ak chcete automaticky nainštalovať agenta na rovnakej karte PassiveID vybrať položku Pridať agenta → Nasadiť nového agenta (DC musí mať prístup na internet). Potom vyplňte požadované polia (meno agenta, FQDN servera, prihlasovacie meno/heslo správcu domény) a kliknite OK.
Obrázok 16. Automatická inštalácia agenta ISE
7) Ak chcete manuálne nainštalovať agenta Cisco ISE, vyberte príslušnú položku Zaregistrujte existujúceho agenta. Mimochodom, agenta si môžete stiahnuť na karte Pracovné centrá → PassiveID → Providers → Agents → Download Agent.
Obrázok 17. Sťahovanie agenta ISE
Dôležité: PassiveID nečíta udalosti odhlásenie! Zavolá sa parameter zodpovedný za časový limit čas starnutia používateľskej relácie a štandardne sa rovná 24 hodinám. Preto by ste sa mali na konci pracovného dňa buď odhlásiť sami, alebo napísať nejaký skript, ktorý automaticky odhlási všetkých prihlásených používateľov.
Pre informáciu odhlásenie Používajú sa „koncové sondy“ – koncové sondy. V Cisco ISE existuje niekoľko endpoint sond: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. POLOMER pomocou sondy CoA Balíky (Change of Authorization) poskytujú informácie o zmene používateľských práv (vyžaduje si to vložené 802.1X), a nakonfigurované na prístupových prepínačoch SNMP, budú poskytovať informácie o pripojených a odpojených zariadeniach.
Nasledujúci príklad je relevantný pre konfiguráciu Cisco ISE + AD bez 802.1X a RADIUS: používateľ je prihlásený na počítači so systémom Windows, bez odhlásenia sa, prihlasuje sa z iného počítača cez WiFi. V tomto prípade bude relácia na prvom počítači stále aktívna, kým nedôjde k vypršaniu časového limitu alebo vynútenému odhláseniu. Ak majú zariadenia rôzne práva, potom svoje práva uplatní posledné prihlásené zariadenie.
8) Voliteľné v záložke Správa → Správa identity → Externé zdroje identity → Active Directory → Skupiny → Pridať → Vybrať skupiny z adresára môžete vybrať skupiny z AD, ktoré chcete stiahnuť na ISE (v našom prípade to bolo vykonané v kroku 3 „Pridanie servera LDAP“). Vyberte možnosť Obnoviť skupiny → OK.
Obrázok 18 a). Sťahovanie skupín používateľov zo služby Active Directory
9) Na karte Pracovné centrá → PassiveID → Prehľad → Dashboard môžete sledovať počet aktívnych relácií, počet zdrojov údajov, agentov a ďalšie.
Obrázok 19. Sledovanie aktivity používateľov domény
10) Na karte Živé relácie zobrazia sa aktuálne relácie. Integrácia s AD je nakonfigurovaná.
Obrázok 20. Aktívne relácie používateľov domény
5. záver
Tento článok pokrýval témy vytvárania lokálnych používateľov v Cisco ISE, pridávania serverov LDAP a integrácie s Microsoft Active Directory. Nasledujúci článok upozorní na prístup hostí vo forme redundantného sprievodcu.
Ak máte otázky k tejto téme alebo potrebujete pomoc s testovaním produktu, kontaktujte nás .
Zostaňte naladení na aktualizácie v našich kanáloch (, , , , ).
Zdroj: hab.com