Ku soo dhawaada qormada labaad ee taxanaha Cisco ISE. Marka hore faa'iidooyinka iyo kala duwanaanshaha Xakamaynta Helitaanka Shabakadda (NAC) ee xalalka AAA ee caadiga ah, gaar ahaan Cisco ISE, qaab-dhismeedka iyo habka rakibidda alaabta ayaa la muujiyay.
Maqaalkan, waxaan u daadagi doonaa abuurista xisaabaadka, ku darida adeegayaasha LDAP, iyo ku biirinta Hagaha Firfircoon ee Microsoft, iyo sidoo kale nuucyada la shaqaynta PassiveID. Kahor akhrinta, waxaan aad ugu talinayaa inaad akhrido .
1. Qaar ka mid ah erey-bixinta
Aqoonsiga Isticmaalaha - akoon isticmaale oo ka kooban macluumaadka isticmaalaha oo soo saara aqoonsigiisa gelitaanka shabakadda. Halbeegyada soo socda ayaa sida caadiga ah lagu qeexay Aqoonsiga Isticmaalaha: Magaca isticmaalaha, iimaylka, erayga sirta ah, sharaxaada akoontada, kooxda isticmaalaha, iyo doorka.
Kooxaha Isticmaalayaasha -Kooxaha adeegsaduhu waa ururin isticmaaleyaal gaar ah kuwaas oo leh dhawr mudnaanta oo u oggolaanaya inay galaan adeeg iyo hawlo gaar ah oo Cisco ISE ah.
Kooxaha Aqoonsiga Isticmaalaha - Kooxaha isticmaale ee horay loo sii qeexay kuwaas oo horey u haystay macluumaad iyo doorar gaar ah. Kooxaha Aqoonsiga Isticmaalaha ee soo socda ayaa si toos ah u jira, waxaad ku dari kartaa isticmaalayaasha iyo kooxaha isticmaala iyaga: Shaqaale (shaqaale), SponsorAllAccounts, SponsorGroupAccounts, SponsorOwnAccounts (koonada kafaala qaadka ee maaraynta marinka martida), Marti (marti), Martida Firfircoon (marti firfircoon).
door isticmaale- Doorka adeegsaduhu waa rukhsadyo go'aaminaya waxa uu qabanayo isticmaaluhu iyo adeegyada uu geli karo. Badana doorka isticmaaluhu wuxuu la xidhiidhaa koox isticmaaleyaal ah.
Waxaa intaa dheer, isticmaale kasta iyo koox isticmaale kastaa waxay leedahay sifooyin dheeri ah oo kuu oggolaanaya inaad doorato oo aad si gaar ah u qeexdo isticmaaleyahan (koox isticmaale). Macluumaad dheeraad ah gudaha .
2. Abuur isticmaalayaasha maxalliga ah
1) Cisco ISE waxay awood u leedahay inay abuurto isticmaalayaasha maxalliga ah oo ay u isticmaasho siyaasad gelitaanka ama xitaa siiso doorka maamulka badeecada. Dooro Maamulka → Maareynta Aqoonsiga → Aqoonsiga → Isticmaalayaasha → Ku dar.
Jaantuska 1 Ku-Dridda Isticmaalaha Maxaliga ah ee Cisco ISE
2) Daaqadda soo muuqata, samee isticmaale maxalli ah, samee furaha sirta ah iyo cabbirro kale oo la fahmi karo.
Jaantuska 2. Abuuritaanka Isticmaale Maxali ah gudaha Cisco ISE
3) Isticmaalayaasha sidoo kale waa la soo dejin karaa. Isla tab Maamulka → Maareynta Aqoonsiga → Aqoonsiga → Isticmaalayaasha dooro ikhtiyaar Soo dejinta oo la geli csv ama faylka txt isticmaalayaasha. Si aad u hesho template dooro Samee Template, ka dibna waa in lagu buuxiyaa macluumaadka ku saabsan isticmaalayaasha qaab ku habboon.
Jaantuska 3 Soo dejinta Isticmaalayaasha Cisco ISE
3. Ku darida adeegayaasha LDAP
Aan ku xasuusiyo in LDAP ay tahay hab-maamuus heer-arji ah oo caan ah kaasoo kuu ogolaanaya inaad hesho macluumaadka, sameyso xaqiijinta, ka raadi akoonnada hagayaasha server-yada LDAP, ka shaqeysa dekedda 389 ama 636 (SS). Tusaalooyinka caanka ah ee adeegayaasha LDAP waa Hagaha Firfircoon, Hagaha Qoraxda, Novell eDirectory, iyo OpenLDAP. Gelin kasta oo ku jira tusaha LDAP waxaa lagu qeexay DN (Magaca La-soocay) iyo hawsha soo celinta akoonnada, kooxaha adeegsadaha iyo sifooyinka ayaa kor loo qaadayaa si loo sameeyo siyaasad gelitaan.
Sisiko ISE, waxa suurtagal ah in lagu habeeyo gelitaanka adeegayaal badan oo LDAP ah, si loo hirgeliyo shaqo-joojin. Haddii serfarka LDAP ee aasaasiga ah (primary) aan la heli karin, markaas ISE waxay isku dayi doontaa inay gasho dugsiga sare (sare) iyo wixii la mid ah. Intaa waxaa dheer, haddii ay jiraan 2 PAN, markaas hal LDAP ayaa mudnaanta la siin karaa PAN aasaasiga ah iyo LDAP kale ee PAN-ga sare.
ISE waxay taageertaa 2 nooc oo raadinta (lookup) marka ay la shaqaynayso adeegayaasha LDAP: Raadinta Isticmaalaha iyo Raadinta Cinwaanka MAC. Raadinta Isticmaalaha waxay kuu ogolaaneysaa inaad ka raadiso isticmaale xogta LDAP oo aad hesho macluumaadka soo socda iyada oo aan la hubin: isticmaalayaasha iyo sifooyinkooda, kooxaha isticmaalaha. Raadinta Cinwaanka MAC sidoo kale waxay kuu oggolaaneysaa inaad ka raadiso cinwaanka MAC ee tusmooyinka LDAP adigoon hubin oo aad ka hesho macluumaadka ku saabsan aaladda, koox aalado cinwaanno MAC ah, iyo astaamo kale oo gaar ah.
Tusaale ahaan is dhexgalka, aynu ku darno Hagaha Active ee Cisco ISE server LDAP ahaan.
1) Tag tab Maamulka → Maareynta Aqoonsiga → Ilaha Aqoonsiga Dibadda → LDAP → Kudar.
Jaantuska 4. Ku darida server-ka LDAP
2) In guddi General cadee magaca server-ka LDAP iyo nidaamka (xaaladkeena, Hagaha Firfircoon).
Jaantuska 5. Ku darida server-ka LDAP oo wata hagaha hagaha firfircoon
3) Marka xigta tag Connection tab oo dooro Magaca martida/ciwaanka IP-ga Adeegga AD, deked (389 - LDAP, 636 - SSL LDAP), aqoonsiga maamulka domainka (Admin DN - DN buuxa), cabirrada kale ayaa looga tagi karaa si aan caadi ahayn.
tacliiqIsticmaal faahfaahinta domainka maamulka si aad uga fogaato dhibaatooyinka iman kara.
Jaantuska 6 Gelida Xogta Adeegga LDAP
4) In tab Ururka Tusaha waa inaad sheegtaa meesha hagaha ee DN ka meesha laga soo jiido isticmaalayaasha iyo kooxaha isticmaala.
Jaantuska 7. Go'aaminta hagaha halka ay kooxaha isticmaalayaashu ka soo bixi karaan
5) Aad daaqadda Kooxaha → Ku dar → Ka dooro Kooxo Hagaha si aad u doorato kooxaha ka soo jiida serverka LDAP.
Jaantuska 8. Ku darida kooxaha server-ka LDAP
6) Daaqada soo muuqata, guji Soo celi kooxaha Haddii kooxuhu kor u qaadeen, markaa tillaabooyinka hordhaca ah si guul leh ayaa loo dhammeeyey. Haddii kale, isku day maamule kale oo hubi helitaanka ISE ee server-ka LDAP adoo adeegsanaya borotokoolka LDAP.
Jaantuska 9. Liiska kooxaha isticmaale ee la jiiday
7) In tab Sifo waxaad si ikhtiyaari ah u qeexi kartaa sifooyinka server-ka LDAP ee ay tahay in kor loo qaado, iyo daaqadda Goobaha Habboon karti doorasho Daar beddelka erayga sirta ah, taasoo ku qasbi doonta isticmaalayaasha inay beddelaan furaha sirta ah haddii uu dhacay ama dib loo dajiyay. Si kastaba ha ahaatee guji Gudbi in la sii wado.
8) Server LDAP wuxuu ka soo muuqday tab u dhiganta waxaana loo isticmaali karaa in lagu sameeyo siyaasadaha gelitaanka mustaqbalka.
Jaantuska 10. Liiska adeegayaasha LDAP ee lagu daray
4. La qabsiga Hagaha Firfircoon
1) Adigoo ku daraya Microsoft Active Directory server-ka LDAP ahaan, waxaan helnay isticmaalayaasha, kooxaha isticmaalaha, laakiin ma jiro qoraallo. Marka xigta, waxaan soo jeedinayaa inaan dejiyo is dhexgalka AD oo buuxa oo leh Cisco ISE. Tag tab Maamulka → Maareynta Aqoonsiga → Ilaha Aqoonsiga Dibadda → Hagaha Firfircoon → Ku dar.
Fiiro gaar ah: si guul leh loogula xiriiro AD, ISE waa in ay ku jirtaa domain oo ay si buuxda ula xiriirto DNS, NTP iyo AD server, haddii kale waxba kama soo baxayaan.
Jaantuska 11. Ku darida server-ka Hagaha firfircoon
2) Daaqadda soo muuqata, geli faahfaahinta maamulka domainka oo calaamadee sanduuqa Aqoonsiga Kaydka Intaa waxaa dheer, waxaad cayimi kartaa OU (Utubta Hay'adda) haddii ISE ay ku taal OU gaar ah. Marka xigta, waa inaad doorataa noodhka Cisco ISE ee aad rabto inaad ku xidho domainka.
Jaantuska 12. Gelida shahaadooyinka
3) Kahor intaadan ku darin kontaroolayaasha domain, iska hubi in PSN ee tabka Maamulka → Nidaamka → Dirista doorasho karti Adeegga Aqoonsiga Dadban. PassiveID - doorasho kuu ogolaanaysa inaad u turjunto Isticmaalaha IP iyo lidkeeda. PassiveID waxay xogta ka heshaa AD iyada oo loo sii marinayo WMI, wakiilada AD ee gaarka ah ama dekeda SPAN ee shidhka (ma aha doorashada ugu fiican).
Fiiro gaar ah: si aad u hubiso heerka aqoonsiga Passive-ka, ku qor ISE console show heerka codsiga ise | ku dar PassiveID.
Jaantuska 13. Awoodsiinta ikhtiyaarka PassiveID
4) Tag tab Maamulka → Maareynta Aqoonsiga → Ilaha Aqoonsiga Dibadda → Tusaha Firfircoon → PassiveID oo dooro ikhtiyaarka Ku dar DC-yada. Marka xigta, dooro maamulayaasha domain lagama maarmaanka ah oo wata sanduuqyada hubinta oo guji OK.
Jaantuska 14. Ku darista maamulayaasha domainka
5) Dooro DC-yada lagu daray oo guji badhanka Isbedel. Fadlan sheeg FQDN DC-gaaga, domain login iyo password, iyo ikhtiyaarka isku xidhka WMI ama Agent. Dooro WMI oo guji OK.
Jaantuska 15 Gelida tafaasiisha maamulaha domainka
6) Haddii WMI aysan ahayn habka la door biday ee lagula xiriiri karo Hagaha Active, markaa wakiilada ISE waa la isticmaali karaa. Habka wakiilku waa inaad ku rakibi karto wakiillo gaar ah server-yada kuwaas oo sii deyn doona dhacdooyinka gelitaanka. Waxaa jira laba ikhtiyaar oo rakibid: si toos ah iyo buug-gacmeed. Si toos ah loogu rakibo wakiilka isla tab isku mid ah PassiveID dooro shayga Ku dar Wakiil → U dir Wakiil Cusub (DC waa inay lahaataa marin internet). Markaas buuxi meelaha loo baahan yahay (magaca wakiilka, server FQDN, domain admin login/password) oo guji OK.
Jaantus 16. Si toos ah u rakibida wakiilka ISE
7) Si aad gacanta ugu rakibto wakiilka Cisco ISE, door shayga Diiwaangeli wakiilka jira. Jid ahaan, waxaad kala soo bixi kartaa wakiilka tab Xarumaha Shaqada → PassiveID → Bixiyeyaasha → Wakiilada → Soodejinta Wakiilka.
Jaantuska 17. Soo dejinta wakiilka ISE
Waxaa muhiim ah in: PassiveID ma akhriyo dhacdooyinka ka bax! Halbeegga ka mas'uulka ah wakhtiga dhimista ayaa la yiraahdaa wakhtiga gabowda fadhiga isticmaalaha waxayna la mid tahay 24 saacadood sida caadiga ah. Sidaa darteed, waa in aad is-qortaa dhammaadka maalinta shaqada, ama aad qorto nooc ka mid ah qoraallada si toos ah u calaamadeynaya dhammaan isticmaalayaasha galay.
Wixii macluumaad ah ka bax "Endpoint probes" ayaa loo isticmaalaa - baaritaanka terminal. Waxaa jira dhowr baaritaan oo bar dhamaadka ah gudaha Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS baaritaan la isticmaalayo CoA (Beddelka Ogolaanshaha) xidhmooyinka waxay ku siinayaa macluumaad ku saabsan beddelka xuquuqda isticmaalaha (tani waxay u baahan tahay gundhig 802.1X), oo lagu habeeyey furayaasha gelitaanka SNMP, waxay ku siin doontaa macluumaadka ku saabsan aaladaha ku xidhan iyo kuwa go'ay.
Tusaalaha soo socdaa waxa uu khuseeyaa Cisco ISE + AD qaabaynta iyada oo aan lahayn 802.1X iyo RADIUS: isticmaaluhu waxa uu ku jiraa mishiinka Windows, isaga oo aan samayn wax calaamad ah, ka gal PC kale iyada oo loo sii marayo WiFi. Xaaladdan oo kale, fadhiga kombuyuutarka ugu horreeya ayaa weli shaqayn doona ilaa wakhtigu ka dhacayo ama calaamadda qasabka ah ay dhacayso. Markaa haddii aaladuhu leeyihiin xuquuqo kala duwan, markaa aaladda ugu dambeysa ee la soo galiyay waxay adeegsan doontaa xuquuqdeeda.
8) Ikhtiyaar ah in tab Maamulka → Maareynta Aqoonsiga → Ilaha Aqoonsiga Dibadda → Tusaha Firfircoon → Kooxaha → Ku dar → Kooxo ka dooro Tusaha waxaad ka dooran kartaa kooxaha AD ee aad rabto inaad ku soo jiidato ISE (xaaladkeena, tan waxaa lagu sameeyay tallaabada 3 "Ku darista server LDAP"). Dooro ikhtiyaar Soo celi kooxaha → OK.
Jaantuska 18 a). Ka soo jiidashada kooxaha isticmaalaha Hagaha Active
9) In tab Xarumaha Shaqada → PassiveID → Dulmar → Dashboard waxaad ilaalin kartaa tirada fadhiyada firfircoon, tirada ilaha xogta, wakiilada, iyo in ka badan.
Jaantuska 19. La socodka dhaqdhaqaaqa isticmaalayaasha domainka
10) In tab Fadhiyada tooska ah fadhiyada hadda waa la soo bandhigay. La qabsiga AD waa la habeeyey.
Jaantuska 20. Fadhiyada firfircoon ee isticmaalayaasha domainka
5. Gunaanad
Maqaalkani waxa uu daboolay mawduucyada abuurista isticmaalayaasha maxalliga ah ee Cisco ISE, ku darista adeegayaasha LDAP, iyo ku biirinta Hagaha Firfircoon ee Microsoft. Maqaalka soo socda ayaa muujin doona gelitaanka martida qaab hage aan loo baahnayn.
Haddii aad hayso su'aalo ku saabsan mawduucan ama aad u baahan tahay caawimo tijaabinta alaabta, fadlan la xidhiidh .
la soco wixii ku soo kordha kanaaladayada (, , , , ).
Source: www.habr.com