Mirë se vini në postimin e dytë në serinë Cisco ISE. Ne fillim u theksuan avantazhet dhe dallimet e zgjidhjeve të Kontrollit të Qasjes në Rrjet (NAC) nga standardi AAA, veçantia e Cisco ISE, arkitektura dhe procesi i instalimit të produktit.
Në këtë artikull, ne do të shqyrtojmë krijimin e llogarive, shtimin e serverëve LDAP dhe integrimin me Microsoft Active Directory, si dhe nuancat e punës me PassiveID. Para se të lexoni, ju rekomandoj fuqimisht të lexoni .
1. Disa terminologji
Identiteti i përdoruesit - një llogari përdoruesi që përmban informacione rreth përdoruesit dhe gjeneron kredencialet e tij për të hyrë në rrjet. Parametrat e mëposhtëm specifikohen në mënyrë tipike në identitetin e përdoruesit: emri i përdoruesit, adresa e emailit, fjalëkalimi, përshkrimi i llogarisë, grupi i përdoruesit dhe roli.
Grupet e Përdoruesve - Grupet e përdoruesve janë një koleksion përdoruesish individualë që kanë një grup të përbashkët privilegjesh që i lejojnë ata të aksesojnë një grup specifik shërbimesh dhe funksionesh Cisco ISE.
Grupet e Identitetit të Përdoruesit - grupe të paracaktuara përdoruesish që tashmë kanë informacione dhe role të caktuara. Grupet e mëposhtme të Identitetit të Përdoruesit ekzistojnë si parazgjedhje, ju mund t'u shtoni përdorues dhe grupe përdoruesish: Punonjës (punonjës), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (llogari sponsorizuese për menaxhimin e portalit të të ftuarve), Vizitor (mysafir), ActivatedGuest (mysafir i aktivizuar).
roli i përdoruesit- Roli i përdoruesit është një grup lejesh që përcaktojnë se cilat detyra mund të kryejë një përdorues dhe cilat shërbime mund të ketë akses. Shpesh një rol përdoruesi lidhet me një grup përdoruesish.
Për më tepër, çdo përdorues dhe grup përdoruesish ka atribute shtesë që ju lejojnë të zgjidhni dhe përcaktoni në mënyrë më specifike këtë përdorues (grup përdoruesish). Më shumë informacion në .
2. Krijoni përdorues lokalë
1) Cisco ISE ka aftësinë të krijojë përdorues lokalë dhe t'i përdorë ata në një politikë aksesi ose madje të japë një rol administrimi të produktit. Zgjidhni Administrimi → Menaxhimi i identitetit → Identitetet → Përdoruesit → Shto.
Figura 1 Shtimi i një përdoruesi lokal në Cisco ISE
2) Në dritaren që shfaqet, krijoni një përdorues lokal, vendosni një fjalëkalim dhe parametra të tjerë të kuptueshëm.
Figura 2. Krijimi i një përdoruesi lokal në Cisco ISE
3) Përdoruesit gjithashtu mund të importohen. Në të njëjtën skedë Administrimi → Menaxhimi i identitetit → Identitetet → Përdoruesit zgjidhni një opsion Import dhe ngarkoni skedarin csv ose txt me përdoruesit. Për të marrë një shabllon zgjidhni Gjeneroni një shabllon, atëherë duhet të plotësohet me informacione për përdoruesit në një formë të përshtatshme.
Figura 3 Importimi i përdoruesve në Cisco ISE
3. Shtimi i serverëve LDAP
Më lejoni t'ju kujtoj se LDAP është një protokoll popullor i nivelit të aplikacionit që ju lejon të merrni informacione, të kryeni vërtetimin, të kërkoni llogari në drejtoritë e serverëve LDAP, të punoni në portin 389 ose 636 (SS). Shembuj të shquar të serverëve LDAP janë Active Directory, Sun Directory, Novell eDirectory dhe OpenLDAP. Çdo hyrje në drejtorinë LDAP përcaktohet nga një DN (Emri i dalluar) dhe detyra e marrjes së llogarive, grupeve të përdoruesve dhe atributeve ngrihet për të formuar një politikë aksesi.
Në Cisco ISE, është e mundur të konfiguroni aksesin në shumë serverë LDAP, duke zbatuar kështu tepricën. Nëse serveri primar (primar) LDAP nuk është i disponueshëm, atëherë ISE do të përpiqet të hyjë në atë sekondar (sekondar) dhe kështu me radhë. Për më tepër, nëse ka 2 PAN, atëherë një LDAP mund t'i jepet përparësi për PAN primar dhe një LDAP tjetër për PAN dytësor.
ISE mbështet 2 lloje të kërkimit (kërkimit) kur punoni me serverët LDAP: Kërkimi i përdoruesit dhe Kërkimi i adresës MAC. Kërkimi i përdoruesit ju lejon të kërkoni për një përdorues në bazën e të dhënave LDAP dhe të merrni informacionin e mëposhtëm pa vërtetim: përdoruesit dhe atributet e tyre, grupet e përdoruesve. Kërkimi i adresave MAC ju lejon gjithashtu të kërkoni sipas adresës MAC në drejtoritë LDAP pa vërtetim dhe të merrni informacione për pajisjen, një grup pajisjesh sipas adresave MAC dhe atribute të tjera specifike.
Si shembull integrimi, le të shtojmë Active Directory në Cisco ISE si një server LDAP.
1) Shkoni te skeda Administrimi → Menaxhimi i identitetit → Burimet e jashtme të identitetit → LDAP → Shto.
Figura 4. Shtimi i një serveri LDAP
2) Në panel i përgjithshëm specifikoni emrin dhe skemën e serverit LDAP (në rastin tonë, Active Directory).
Figura 5. Shtimi i një serveri LDAP me një skemë Active Directory
3) Më pas shkoni te Lidhje tab dhe zgjidhni Emri i hostit/adresa IP Serveri AD, porti (389 - LDAP, 636 - SSL LDAP), kredencialet e administratorit të domenit (Admin DN - DN e plotë), parametrat e tjerë mund të lihen si parazgjedhje.
Shënim: përdorni detajet e domenit të administratorit për të shmangur problemet e mundshme.
Figura 6 Futja e të dhënave të serverit LDAP
4) Në skedën Organizata e Drejtorisë ju duhet të specifikoni zonën e drejtorisë përmes DN-së nga ku të tërhiqni përdoruesit dhe grupet e përdoruesve.
Figura 7. Përcaktimi i drejtorive nga ku mund të ngrihen grupet e përdoruesve
5) Shkoni në dritare Grupet → Shto → Zgjidh Grupet nga Drejtoria për të zgjedhur grupet tërheqëse nga serveri LDAP.
Figura 8. Shtimi i grupeve nga serveri LDAP
6) Në dritaren që shfaqet, klikoni Merr Grupet. Nëse grupet janë tërhequr, atëherë hapat paraprak janë përfunduar me sukses. Përndryshe, provoni një administrator tjetër dhe kontrolloni disponueshmërinë e ISE me serverin LDAP nëpërmjet protokollit LDAP.
Figura 9. Lista e grupeve të përdoruesve të tërhequr
7) Në skedën Atributet ju mund të specifikoni opsionalisht se cilat atribute nga serveri LDAP duhet të tërhiqen lart dhe në dritare Advanced Settings aktivizoni opsionin Aktivizo ndryshimin e fjalëkalimit, i cili do t'i detyrojë përdoruesit të ndryshojnë fjalëkalimin e tyre nëse ai ka skaduar ose është rivendosur. Në çdo rast, klikoni Dërgo për të vazhduar.
8) Serveri LDAP u shfaq në skedën përkatëse dhe mund të përdoret për të formuar politika aksesi në të ardhmen.
Figura 10. Lista e serverëve LDAP të shtuar
4. Integrimi me Active Directory
1) Duke shtuar serverin Microsoft Active Directory si server LDAP, morëm përdorues, grupe përdoruesish, por jo regjistra. Më pas, unë propozoj të vendoset integrimi i plotë i AD me Cisco ISE. Shkoni te skeda Administrimi → Menaxhimi i identitetit → Burimet e jashtme të identitetit → Active Directory → Shto.
Shenim: për integrim të suksesshëm me AD, ISE duhet të jetë në një domen dhe të ketë lidhje të plotë me serverët DNS, NTP dhe AD, përndryshe nuk do të vijë asgjë.
Figura 11. Shtimi i një serveri Active Directory
2) Në dritaren që shfaqet, futni detajet e administratorit të domenit dhe kontrolloni kutinë Kredencialet e dyqanit. Për më tepër, ju mund të specifikoni një OU (Njësi Organizative) nëse ISE ndodhet në një OU specifike. Më pas, do t'ju duhet të zgjidhni nyjet Cisco ISE që dëshironi të lidheni me domenin.
Figura 12. Futja e kredencialeve
3) Përpara se të shtoni kontrollues domeni, sigurohuni që në PSN në skedë Administrimi → Sistemi → Vendosja opsioni i aktivizuar Shërbimi i Identitetit Pasiv. ID pasive - një opsion që ju lejon të përktheni Përdoruesin në IP dhe anasjelltas. PassiveID merr informacion nga AD nëpërmjet WMI, agjentëve specialë AD ose portit SPAN në çelës (jo opsioni më i mirë).
Shenim: për të kontrolluar statusin e ID-së pasive, shkruani në tastierën ISE shfaq statusin e aplikimit ise | përfshijnë ID-në pasive.
Figura 13. Aktivizimi i opsionit PassiveID
4) Shkoni te skeda Administrimi → Menaxhimi i identitetit → Burimet e jashtme të identitetit → Drejtoria aktive → ID-ja pasive dhe zgjidhni opsionin Shto DC. Tjetra, zgjidhni kontrolluesit e nevojshëm të domenit me kutitë e kontrollit dhe klikoni OK.
Figura 14. Shtimi i kontrolluesve të domenit
5) Zgjidhni DC-të e shtuara dhe klikoni butonin Edit. Ju lutemi tregoni FQDN DC-ja juaj, identifikimi dhe fjalëkalimi i domenit, dhe një opsion lidhjeje WMI ose Agjent. Zgjidhni WMI dhe klikoni OK.
Figura 15 Futja e detajeve të kontrolluesit të domenit
6) Nëse WMI nuk është mënyra e preferuar për të komunikuar me Active Directory, atëherë mund të përdoren agjentët ISE. Metoda e agjentit është që ju mund të instaloni agjentë të veçantë në serverët që do të lëshojnë ngjarje të hyrjes. Ekzistojnë 2 opsione instalimi: automatik dhe manual. Për të instaluar automatikisht agjentin në të njëjtën skedë ID pasive zgjedh Shto agjent → Vendos agjent të ri (DC duhet të ketë akses në internet). Më pas plotësoni fushat e kërkuara (emri i agjentit, serveri FQDN, identifikimi/fjalëkalimi i administratorit të domenit) dhe klikoni OK.
Figura 16. Instalimi automatik i agjentit ISE
7) Për të instaluar manualisht agjentin Cisco ISE, zgjidhni artikullin Regjistro agjentin ekzistues. Nga rruga, ju mund ta shkarkoni agjentin në skedën Qendrat e punës → ID-ja pasive → Ofruesit → Agjentët → Agjenti i shkarkimit.
Figura 17. Shkarkimi i agjentit ISE
Rëndësishme: PassiveID nuk i lexon ngjarjet shkyçje! Parametri përgjegjës për skadimin e kohës quhet koha e plakjes së sesionit të përdoruesit dhe është e barabartë me 24 orë si parazgjedhje. Prandaj, ose duhet të dilni vetë në fund të ditës së punës, ose të shkruani një lloj skripti që do të largojë automatikisht të gjithë përdoruesit e regjistruar.
Për informacion shkyçje Përdoren "sonda të pikës fundore" - sonda terminale. Ekzistojnë disa sonda të pikës fundore në Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. Radius sondë duke përdorur CoA Paketat (Ndryshimi i Autorizimit) japin informacion në lidhje me ndryshimin e të drejtave të përdoruesit (kjo kërkon një të integruar 802.1X), dhe i konfiguruar në çelësat e aksesit SNMP, do të japë informacion për pajisjet e lidhura dhe të shkëputura.
Shembulli i mëposhtëm është i rëndësishëm për një konfigurim Cisco ISE + AD pa 802.1X dhe RADIUS: një përdorues është identifikuar në një makinë Windows, pa bërë shkëputje, identifikohet nga një kompjuter tjetër nëpërmjet WiFi. Në këtë rast, sesioni në kompjuterin e parë do të jetë ende aktiv derisa të ndodhë një afat kohor ose të ndodhë një dalje e detyruar. Pastaj nëse pajisjet kanë të drejta të ndryshme, atëherë pajisja e fundit e regjistruar do të zbatojë të drejtat e saj.
8) Opsionale në skedën Administrimi → Menaxhimi i identitetit → Burimet e jashtme të identitetit → Active Directory → Grupet → Shto → Zgjidh Grupet nga Drejtoria ju mund të zgjidhni grupet nga AD që dëshironi të tërhiqni në ISE (në rastin tonë, kjo u bë në hapin 3 "Shtimi i një serveri LDAP"). Zgjidhni një opsion Merrni Grupet → OK.
Figura 18 a). Tërheqja e grupeve të përdoruesve nga Active Directory
9) Në skedën Qendrat e punës → ID-ja pasive → Vështrim i përgjithshëm → Paneli mund të vëzhgoni numrin e seancave aktive, numrin e burimeve të të dhënave, agjentët dhe më shumë.
Figura 19. Monitorimi i aktivitetit të përdoruesve të domenit
10) Në skedën Seanca të drejtpërdrejta shfaqen sesionet aktuale. Integrimi me AD është konfiguruar.
Figura 20. Sesionet aktive të përdoruesve të domenit
5. përfundim
Ky artikull trajtoi temat e krijimit të përdoruesve lokalë në Cisco ISE, shtimit të serverëve LDAP dhe integrimit me Microsoft Active Directory. Artikulli vijues do të nxjerrë në pah aksesin e mysafirëve në formën e një udhëzuesi të tepërt.
Nëse keni pyetje në lidhje me këtë temë ose keni nevojë për ndihmë për testimin e produktit, ju lutemi kontaktoni .
Qëndroni të sintonizuar për përditësimet në kanalet tona (, , , , ).
Burimi: www.habr.com