Dobrodošli v drugi publikaciji serije člankov, posvečenih Cisco ISE. V prvem izpostavljene so bile prednosti in razlike rešitev Network Access Control (NAC) od standarda AAA, edinstvenost Cisco ISE, arhitektura in postopek namestitve izdelka.
V tem članku se bomo poglobili v ustvarjanje računov, dodajanje strežnikov LDAP in integracijo z Microsoft Active Directory, pa tudi v nianse pri delu s PassiveID. Pred branjem toplo priporočam, da preberete .
1. Nekaj terminologije
Identiteta uporabnika — uporabniški račun, ki vsebuje podatke o uporabniku in tvori njegove poverilnice za dostop do omrežja. Naslednji parametri so običajno določeni v uporabniški identiteti: uporabniško ime, e-poštni naslov, geslo, opis računa, uporabniška skupina in vloga.
Uporabniške skupine - Skupine uporabnikov so zbirka posameznih uporabnikov, ki imajo skupen nabor privilegijev, ki jim omogočajo dostop do določenega nabora storitev in funkcij Cisco ISE.
Skupine uporabniških identitet - vnaprej določene skupine uporabnikov, ki že imajo določene informacije in vloge. Naslednje skupine uporabniških identitet obstajajo privzeto in jim lahko dodate uporabnike in skupine uporabnikov: Employee, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponzorski računi za upravljanje portala za goste), Guest, ActivatedGuest.
Uporabniška vloga - Uporabniška vloga je nabor dovoljenj, ki določajo, katera opravila lahko izvaja uporabnik in do katerih storitev lahko dostopa. Uporabniška vloga je pogosto povezana s skupino uporabnikov.
Poleg tega ima vsak uporabnik in skupina uporabnikov dodatne atribute, ki vam omogočajo, da označite in natančneje definirate danega uporabnika (skupino uporabnikov). Več informacij v .
2. Ustvarite lokalne uporabnike
1) V Cisco ISE je mogoče ustvariti lokalne uporabnike in jih uporabiti v pravilnikih dostopa ali jim celo dodeliti skrbniško vlogo izdelka. Izberite Skrbništvo → Upravljanje identitet → Identitete → Uporabniki → Dodaj.
Slika 1: Dodajanje lokalnega uporabnika v Cisco ISE
2) V oknu, ki se prikaže, ustvarite lokalnega uporabnika, mu dajte geslo in druge jasne parametre.
Slika 2. Ustvarjanje lokalnega uporabnika v Cisco ISE
3) Uporabnike je mogoče tudi uvoziti. V istem zavihku Skrbništvo → Upravljanje identitet → Identitete → Uporabniki izberite možnost uvoz in z uporabniki naložite datoteko csv ali txt. Če želite dobiti predlogo, izberite Ustvarite predlogo, nato pa ga v primerni obliki izpolnite s podatki o uporabnikih.
Slika 3. Uvoz uporabnikov v Cisco ISE
3. Dodajanje strežnikov LDAP
Naj vas spomnim, da je LDAP priljubljen protokol na ravni aplikacije, ki vam omogoča prejemanje informacij, izvajanje avtentikacije, iskanje računov v imenikih strežnika LDAP in deluje na vratih 389 ali 636 (SS). Izraziti primeri strežnikov LDAP so Active Directory, Sun Directory, Novell eDirectory in OpenLDAP. Vsak vnos v imeniku LDAP je definiran z DN (razločno ime) in za oblikovanje politike dostopa se pojavi naloga pridobivanja računov, skupin uporabnikov in atributov.
V Cisco ISE je mogoče konfigurirati dostop do številnih strežnikov LDAP, s čimer se doseže redundanca. Če primarni strežnik LDAP ni na voljo, bo ISE poskušal vzpostaviti stik s sekundarnim in tako naprej. Poleg tega, če obstajata 2 PAN-ja, je mogoče enemu LDAP dati prednost za primarni PAN, drugemu LDAP pa za sekundarni PAN.
ISE podpira 2 vrsti iskanja pri delu s strežniki LDAP: Iskanje uporabnika in Iskanje naslova MAC. Uporabniško iskanje vam omogoča iskanje po uporabniku v bazi podatkov LDAP in pridobivanje naslednjih informacij brez preverjanja pristnosti: uporabniki in njihovi atributi, skupine uporabnikov. MAC Address Lookup omogoča tudi iskanje po naslovu MAC v imenikih LDAP brez preverjanja pristnosti in pridobivanje informacij o napravi, skupini naprav po naslovih MAC in drugih specifičnih atributih.
Kot primer integracije dodajmo Active Directory v Cisco ISE kot strežnik LDAP.
1) Pojdite na zavihek Skrbništvo → Upravljanje identitet → Zunanji viri identitet → LDAP → Dodaj.
Slika 4. Dodajanje strežnika LDAP
2) V plošči splošno določite ime in shemo strežnika LDAP (v našem primeru Active Directory).
Slika 5. Dodajanje strežnika LDAP s shemo Active Directory
3) Nato pojdite na povezava zavihek in določite Ime gostitelja/naslov IP AD strežnika, vrata (389 - LDAP, 636 - SSL LDAP), poverilnice skrbnika domene (Admin DN - polno DN), druge parametre lahko pustite kot privzete.
Obvestilo: Uporabite podrobnosti skrbniške domene, da se izognete morebitnim težavam.
Slika 6. Vnos podatkov strežnika LDAP
4) V zavihku Organizacija imenikov morate določiti območje imenika prek DN, iz katerega želite potegniti uporabnike in skupine uporabnikov.
Slika 7. Določanje imenikov, iz katerih želite pridobiti skupine uporabnikov
5) Pojdi do okna Skupine → Dodaj → Izberi skupine iz imenika za izbiro vlečnih skupin s strežnika LDAP.
Slika 8. Dodajanje skupin s strežnika LDAP
6) V oknu, ki se prikaže, kliknite Pridobi skupine. Če so se skupine združile, so bili predhodni koraki uspešno opravljeni. V nasprotnem primeru poskusite z drugim skrbnikom in preverite razpoložljivost ISE s strežnikom LDAP, ki uporablja protokol LDAP.
Slika 9. Seznam omogočenih skupin uporabnikov
7) V zavihku Lastnosti po želji lahko določite, kateri atributi iz strežnika LDAP naj bodo potegnjeni gor in v oknu napredne nastavitve omogoči možnost Omogoči spremembo gesla, ki bo uporabnike prisilil k spremembi gesla, če je poteklo ali je bilo ponastavljeno. V vsakem primeru kliknite Prijave se nadaljevati.
8) Strežnik LDAP se prikaže v ustreznem zavihku in ga lahko kasneje uporabite za ustvarjanje pravilnikov dostopa.
Slika 10. Seznam dodanih strežnikov LDAP
4. Integracija z Active Directory
1) Z dodajanjem strežnika Microsoft Active Directory kot strežnika LDAP smo prejeli uporabnike, skupine uporabnikov, ne pa tudi dnevnikov. Nato predlagam nastavitev popolne integracije AD s Cisco ISE. Pojdite na zavihek Administracija → Upravljanje identitet → Zunanji viri identitet → Active Directory → Dodaj.
Opomba: Za uspešno integracijo z AD mora biti ISE v domeni in imeti popolno povezljivost s strežniki DNS, NTP in AD, sicer nič ne bo delovalo.
Slika 11. Dodajanje strežnika Active Directory
2) V okno, ki se prikaže, vnesite podatke skrbnika domene in potrdite polje Shranite poverilnice. Poleg tega lahko določite OU (Organizacijska enota), če se ISE nahaja v določeni OU. Nato boste morali izbrati vozlišča Cisco ISE, ki jih želite povezati z domeno.
Slika 12. Vnos poverilnic
3) Preden dodate krmilnike domene, se prepričajte, da na PSN v zavihku Skrbništvo → Sistem → Uvajanje možnost omogočena Storitev pasivne identitete. Pasivni ID — možnost, ki omogoča prevajanje uporabnika v IP in obratno. PassiveID prejema informacije iz AD prek WMI, posebnih agentov AD ali vrat SPAN na stikalu (ni najboljša možnost).
Opomba: če želite preveriti stanje pasivnega ID-ja, vnesite v konzolo ISE pokaži status aplikacije je | vključi PassiveID.
Slika 13. Omogočanje možnosti PassiveID
4) Pojdite na zavihek Skrbništvo → Upravljanje identitet → Zunanji viri identitet → Aktivni imenik → Pasivni ID in izberite možnost Dodajte DC-je. Nato s potrditvenimi polji izberite zahtevane krmilnike domene in kliknite OK.
Slika 14. Dodajanje krmilnikov domene
5) Izberite dodane DC-je in kliknite gumb Uredi. Prosimo, navedite FQDN vaš DC, prijavo in geslo za domeno ter možnost komunikacije WMI ali Agent. Izberite WMI in kliknite OK.
Slika 15. Vnos informacij o krmilniku domene
6) Če WMI ni prednostna metoda komuniciranja z imenikom Active Directory, lahko uporabite agente ISE. Metoda agenta je, da lahko na strežnik namestite posebne agente, ki bodo izdajali prijavne dogodke. Na voljo sta 2 možnosti namestitve: avtomatska in ročna. Za samodejno namestitev agenta v isti zavihek Pasivni ID izberite Dodaj agenta → Razmesti novega agenta (DC mora imeti dostop do interneta). Nato izpolnite zahtevana polja (ime agenta, FQDN strežnika, prijavo/geslo skrbnika domene) in kliknite OK.
Slika 16. Samodejna namestitev agenta ISE
7) Če želite ročno namestiti agenta Cisco ISE, morate izbrati Registrirajte obstoječega agenta. Mimogrede, agenta lahko prenesete na zavihku Delovni centri → PassiveID → Ponudniki → Agenti → Download Agent.
Slika 17. Prenos agenta ISE
Pomembno: PassiveID ne bere dogodkov Odjava! Pokliče se parameter, odgovoren za časovno omejitev čas staranja uporabniške seje in je privzeto enako 24 ur. Zato se ob koncu delovnega dne odjavite sami ali pa napišite kakšno skripto, ki bo samodejno odjavila vse prijavljene uporabnike.
Za informacijo Odjava Uporabljajo se "sonde končne točke". V Cisco ISE obstaja več sond končnih točk: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS uporabo sonde CoA (Change of Authorization) paketi zagotavljajo informacije o spreminjanju uporabniških pravic (to zahteva vdelano 802.1X), SNMP, konfiguriran na dostopnih stikalih, pa bo zagotovil informacije o povezanih in odklopljenih napravah.
Spodaj je primer, ki je pomemben za konfiguracijo Cisco ISE + AD brez 802.1X in RADIUS: uporabnik je prijavljen na računalniku z operacijskim sistemom Windows, ne da bi se odjavil, prijaviti se iz drugega računalnika prek WiFi. V tem primeru bo seja na prvem računalniku še vedno aktivna, dokler ne pride do časovne omejitve ali prisilne odjave. Če imajo naprave drugačne pravice, bo nazadnje prijavljena naprava uporabila svoje pravice.
8) Dodatki v zavihku Administracija → Upravljanje identitet → Zunanji viri identitet → Active Directory → Skupine → Dodaj → Izberi skupine iz imenika lahko izberete skupine iz AD, ki jih želite dodati v ISE (v našem primeru je bilo to storjeno v 3. koraku “Dodajanje strežnika LDAP”). Izberite možnost Pridobi skupine → OK.
Slika 18 a). Vlečenje skupin uporabnikov iz imenika Active Directory
9) V zavihku Delovni centri → PassiveID → Pregled → Nadzorna plošča lahko spremljate število aktivnih sej, število virov podatkov, agentov in več.
Slika 19. Spremljanje aktivnosti uporabnika domene
10) V zavihku Sesije v živo prikazane so trenutne seje. Integracija z AD je konfigurirana.
Slika 20. Aktivne seje uporabnikov domene
5. Zaključek
Ta članek je pokrival teme ustvarjanja lokalnih uporabnikov v Cisco ISE, dodajanja strežnikov LDAP in integracije z Microsoft Active Directory. Naslednji članek bo obravnaval gostujoči dostop v obliki redundantnega vodnika.
Če imate kakršna koli vprašanja o tej temi ali potrebujete pomoč pri testiranju izdelka, se obrnite na .
Spremljajte novosti na naših kanalih (, , , , ).
Vir: www.habr.com