Rea u amohela posong ea bobeli lethathamong la Cisco ISE. Ea pele melemo le liphapang tsa tharollo ea Network Access Control (NAC) ho tloha ho AAA e tloaelehileng, ho ikhethang ha Cisco ISE, meralo le mokhoa oa ho kenya sehlahisoa li ile tsa totobatsoa.
Sehloohong sena, re tla shebana le ho theha liak'haonte, ho eketsa li-server tsa LDAP, le ho kopanya le Microsoft Active Directory, hammoho le mefokolo ea ho sebetsa le PassiveID. Pele u bala, ke khothaletsa ka matla hore u bale .
1. Mareo a mang
Boitsebiso ba mosebedisi - akhaonto ea mosebedisi e nang le tlhahisoleseding e mabapi le mosebedisi mme e hlahisa mangolo a hae a ho fihlella marang-rang. Maemo a latelang a hlalositsoe ho Boitsebiso ba Mosebelisi: lebitso la mosebelisi, aterese ea lengolo-tsoibila, phasewete, tlhaloso ea ak'haonte, sehlopha sa basebelisi le karolo.
Lihlopha tsa Basebelisi - lihlopha tsa basebelisi ke pokello ea basebelisi ka bomong ba nang le litokelo tse tloaelehileng tse ba lumellang ho fumana litšebeletso le mesebetsi ea Cisco ISE.
User Identity Groups - lihlopha tsa basebelisi tse seng li ntse li e-na le lintlha tse itseng le mesebetsi. Lihlopha tse latelang tsa Boitsebiso ba Basebelisi li teng ka ho sa feleng, u ka eketsa basebelisi le lihlopha tsa basebelisi ho tsona: Mosebetsi (mosebetsi), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (liak'haonte tsa batšehetsi bakeng sa ho laola sebaka sa baeti), Moeti (moeti), ActivatedGuest (moeti ea kentsoeng).
karolo ea mosebelisi- Karolo ea mosebelisi ke sehlopha sa litumello tse khethollang hore na ke mesebetsi efe eo mosebelisi a ka e etsang le hore na ke litšebeletso life tseo a ka li fihlelang. Hangata karolo ea mosebedisi e amahanngoa le sehlopha sa basebelisi.
Ho feta moo, sehlopha se seng le se seng sa mosebelisi le mosebelisi se na le litšoaneleho tse ling tse u lumellang ho khetha le ho hlalosa ka ho hlaka mosebelisi enoa (sehlopha sa basebelisi). Lintlha tse ling ho .
2. Etsa basebelisi ba lehae
1) Cisco ISE e na le bokhoni ba ho theha basebelisi ba lehae le ho e sebelisa leanong la phihlello kapa ho fana ka karolo ea tsamaiso ea sehlahisoa. Khetha Tsamaiso → Tsamaiso ea Boitsebiso → Boitsebiso → Basebelisi → Eketsa.
Setšoantšo sa 1 Ho eketsa Mosebelisi oa Lehae ho Cisco ISE
2) Ka fensetere e hlahang, theha mosebelisi oa lehae, beha phasewete le liparamente tse ling tse utloisisehang.
Setšoantšo sa 2. Ho theha Mosebelisi oa Lehae ho Cisco ISE
3) Basebelisi le bona ba ka romelloa kantle ho naha. Ka tab e tšoanang Tsamaiso → Tsamaiso ea Boitsebiso → Boitsebiso → Basebelisi khetha kgetho Kenya le ho kenya faele ea csv kapa txt le basebelisi. Ho fumana template, khetha Hlahisa Template, joale e lokela ho tlatsoa ka boitsebiso bo mabapi le basebelisi ka foromo e loketseng.
Setšoantšo sa 3 Ho kenya Basebelisi ho Cisco ISE
3. Ho kenya li-server tsa LDAP
E re ke u hopotse hore LDAP ke protocol e tsebahalang ea boemo ba ts'ebeliso e u lumellang ho amohela tlhahisoleseling, ho etsa netefatso, ho batla li-account ho li-directory tsa li-server tsa LDAP, ho sebetsa ho port 389 kapa 636 (SS). Mehlala e hlahelletseng ea li-server tsa LDAP ke Active Directory, Sun Directory, Novell eDirectory, le OpenLDAP. Kenyo e 'ngoe le e 'ngoe bukeng ea LDAP e hlalosoa ke DN (Lebitso le Khethehileng) mme mosebetsi oa ho khutlisa liakhaonto, lihlopha tsa basebelisi le litšobotsi o phahamisoa ho theha pholisi ea phihlello.
Ho Cisco ISE, hoa khoneha ho hlophisa phihlello ea li-server tse ngata tsa LDAP, ka hona ho kenya ts'ebetsong bofokoli. Haeba seva ea mantlha (ea mantlha) ea LDAP e sa fumanehe, joale ISE e tla leka ho fihlella ea bobeli (ea bobeli) joalo-joalo. Ho feta moo, haeba ho na le li-PAN tse 2, joale LDAP e le 'ngoe e ka beoa pele bakeng sa PAN ea mantlha le LDAP e' ngoe bakeng sa PAN ea bobeli.
ISE e ts'ehetsa mefuta e 'meli ea ho batla (ho sheba) ha o sebetsa le li-server tsa LDAP: Ho Batla Basebelisi le ho Sheba Aterese ea MAC. User Lookup e u fa monyetla oa ho batla mosebelisi polokelong ea LDAP le ho fumana lintlha tse latelang ntle le netefatso: basebelisi le litšoaneleho tsa bona, lihlopha tsa basebelisi. Ho sheba Aterese ea MAC ho boetse ho u lumella ho batla ka aterese ea MAC ho li-directory tsa LDAP ntle le netefatso le ho fumana leseli mabapi le sesebelisoa, sehlopha sa lisebelisoa ka liaterese tsa MAC, le litšobotsi tse ling tse ikhethileng.
E le mohlala oa kopanyo, ha re kenyeng Active Directory ho Cisco ISE e le seva sa LDAP.
1) Eya ho tab Tsamaiso → Taolo ea Boitsebiso → Mehloli ea Boitsebiso ea Kantle → LDAP → Eketsa.
Setšoantšo sa 4. Ho eketsa seva sa LDAP
2) Ka phanele General Hlalosa lebitso la seva sa LDAP le morero (ho rona, Active Directory).
Setšoantšo sa 5. Ho eketsa seva sa LDAP ka schema sa Active Directory
3) E latelang e ea ho Kamano tab ebe o kgetha Lebitso la moamoheli/Aterese ea IP Seva AD, boema-kepe (389 - LDAP, 636 - SSL LDAP), lintlha tsa molaoli oa domain (Admin DN - DN e felletseng), litekanyo tse ling li ka sala e le tsa kamehla.
mantsoe: Sebelisa lintlha tsa domain name ho qoba mathata a ka bang teng.
Setšoantšo sa 6 Ho Kena Lintlha tsa Seva ea LDAP
4) Ho tab Directory Organization o lokela ho hlakisa sebaka sa directory ka DN ho tloha moo u ka hulang basebelisi le lihlopha tsa basebelisi.
Setšoantšo sa 7. Boikemisetso ba li-directory ho tloha moo lihlopha tsa basebelisi li ka emang teng
5) Eya ho fensetere Lihlopha → Eketsa → Khetha lihlopha ho tsoa ho Directory ho khetha hula lihlopha ho tsoa ho seva sa LDAP.
Setšoantšo sa 8. Ho eketsa lihlopha ho tsoa ho seva sa LDAP
6) Ka fensetere e hlahang, tobetsa Khutlisa Lihlopha. Haeba lihlopha li hula, joale mehato ea pele e phethiloe ka katleho. Ho seng joalo, leka molaoli e mong 'me u hlahlobe boteng ba ISE le seva sa LDAP ka LDAP protocol.
Setšoantšo sa 9. Lethathamo la lihlopha tsa basebelisi ba huloang
7) Ho tab litšobotsi o ka khetha ka boikhethelo hore na ke litšobotsi life tse tsoang ho seva sa LDAP tse lokelang ho huleloa holimo, le ka fensetere Maemo a tsoetseng pele etsa khetho Lumella phetoho ea password, e tla qobella basebelisi ho fetola phasewete ea bona haeba e feletsoe ke nako kapa e setiloe bocha. Leha ho le joalo tobetsa ikokobelletsa ho tswelapele.
8) Seva ea LDAP e hlahile ho tab e tsamaisanang mme e ka sebelisoa ho theha maano a phihlello nakong e tlang.
Setšoantšo sa 10. Lethathamo la li-server tsa LDAP tse ekelitsoeng
4. Ho kopanya le Active Directory
1) Ka ho kenyelletsa seva sa Microsoft Active Directory joalo ka seva sa LDAP, re na le basebelisi, lihlopha tsa basebelisi, empa ha ho na li-log. Ka mor'a moo, ke etsa tlhahiso ea ho theha kopano e feletseng ea AD le Cisco ISE. Eya ho tab Tsamaiso → Taolo ea Boitsebiso → Mehloli ea Boitsebiso ka Ntle → Bukana e sebetsang → Eketsa.
Ela hloko: bakeng sa ho kopanngoa ka katleho le AD, ISE e tlameha ho ba sebakeng sa marang-rang 'me e be le khokahanyo e feletseng le li-server tsa DNS, NTP le AD, ho seng joalo ha ho letho le tla tsoa ho eona.
Setšoantšo sa 11. Ho eketsa seva sa Active Directory
2) Ka fensetere e hlahang, kenya lintlha tsa domain administrator mme u hlahlobe lebokose Bopaki ba Lebenkele. Ho feta moo, o ka hlakisa OU (Mokhatlo oa Mokhatlo) haeba ISE e fumaneha ho OU e itseng. E latelang, o tla tlameha ho khetha li-node tsa Cisco ISE tseo u batlang ho li hokahanya le domain.
Setšoantšo sa 12. Ho kenya lintlha
3) Pele o eketsa balaoli ba domain, etsa bonnete ba hore ho PSN ho tab Tsamaiso → Sistimi → Ho tsamaisoa kgetho e nolofaditswe Tšebeletso ea Boitsebiso bo sa Feleng. Passive ID - khetho e u lumellang ho fetolela Mosebelisi ho IP le ka tsela e fapaneng. PassiveID e fumana leseli ho tsoa ho AD ka WMI, baemeli ba khethehileng ba AD kapa boema-kepe ba SPAN ho switch (eseng khetho e ntle ka ho fetisisa).
Ela hloko: ho lekola boemo ba Passive ID, thaepa ho ISE console bonts'a boemo ba ts'ebeliso ea ise | kenyeletsa PassiveID.
Setšoantšo sa 13. Ho nolofalletsa khetho ea PassiveID
4) Eya ho tab Tsamaiso → Taolo ea Boitsebiso → Mehloli ea Boitsebiso ka Ntle → Bukana e sebetsang → PassiveID ebe u khetha khetho Eketsa DCs. Ka mor'a moo, khetha li-control tse hlokahalang tse nang le li-checkbox ebe u tobetsa OK.
Setšoantšo sa 14. Ho eketsa balaoli ba domain
5) Khetha li-DC tse ekelitsoeng ebe o tobetsa konopo Fetola. Ka kopo bonts'a FQDN DC ea hau, ho kena ha domain le password, le khetho ea sehokelo WMI kapa moemeli. Khetha WMI ebe o tobetsa OK.
Setšoantšo sa 15 Ho kenya lintlha tsa taolo ea domain
6) Haeba WMI e se mokhoa o ratoang oa ho buisana le Active Directory, joale ho ka sebelisoa liakhente tsa ISE. Mokhoa oa moemeli ke hore o ka kenya li-agent tse khethehileng ho li-server tse tla ntša liketsahalo tsa ho kena. Ho na le likhetho tse 2 tsa ho kenya: othomathike le ka letsoho. Ho instola moemeli ho tab e tšoanang Passive ID khetha Kenya Moemeli → Kenya Moemeli e Mocha (DC e tlameha ho ba le phihlello ea Marang-rang). Ebe u tlatsa likarolo tse hlokahalang (lebitso la moemeli, FQDN ea seva, ho kena / password ea domain administrator) ebe o tobetsa OK.
Setšoantšo sa 16. Ho kenngoa ka mokhoa o itekanetseng oa moemeli oa ISE
7) Ho kenya moemeli oa Cisco ISE ka letsoho, khetha ntho eo Ngolisa Moemeli ea Ntseng Teng. Ka tsela, o ka khoasolla moemeli ho tab Litsi tsa Mosebetsi → PassiveID → Bafani → Baemeli → Moemeli oa Kholo.
Setšoantšo sa 17. Ho jarolla moemeli oa ISE
Ho bohlokoa ho: PassiveID ha e bale liketsahalo tsoa! Paramethara e ikarabellang bakeng sa ho qeta nako e bitsoa nako ea botsofali ea basebelisi mme e lekana le dihora tse 24 ka ho sa feleng. Ka hona, u lokela ho itokolla qetellong ea letsatsi la ts'ebetso, kapa u ngole mofuta o itseng oa mongolo o tla koala basebelisi bohle ba kentsoeng.
Bakeng sa boitsebiso tsoa "Endpoint probes" e sebelisoa - li-terminal probes. Ho na le lipatlisiso tse 'maloa tsa ho qetela ho Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. LEFOLO phenya ka ho sebelisa CoA (Change of Authorization) liphutheloana li fana ka leseli mabapi le ho fetola litokelo tsa mosebelisi (sena se hloka e kenyellelitsoeng 802.1X), 'me e hlophisitsoe ho li-switches tsa SNMP, e tla fana ka tlhahisoleseding mabapi le lisebelisoa tse hokahaneng le tse khaotsoeng.
Mohlala o latelang o bohlokoa bakeng sa tlhophiso ea Cisco ISE + AD ntle le 802.1X le RADIUS: mosebelisi o kentsoe mochining oa Windows, ntle le ho etsa logoff, kena ho tsoa ho PC e 'ngoe ka WiFi. Tabeng ena, seboka ho PC ea pele e ntse e tla sebetsa ho fihlela nako ea ho qeta nako e etsahala kapa ho kena ho qobelloa ho kena. Joale haeba lisebelisoa li na le litokelo tse fapaneng, joale sesebelisoa sa ho qetela se kentsoeng se tla sebelisa litokelo tsa sona.
8) Taba ea boikhethelo ho tab Tsamaiso → Taolo ea Boitsebiso → Mehloli ea Boitsebiso ea Kantle → Bukana e sebetsang → Lihlopha → Eketsa → Khetha Lihlopha ho Tsoa Lenaneng o ka khetha lihlopha ho tloha ho AD tseo u batlang ho li hula ho ISE (ho rona, sena se entsoe mohato oa 3 "Ho eketsa seva sa LDAP"). Khetha khetho Khutlisa Lihlopha → OK.
Setšoantšo sa 18 a). Ho hula lihlopha tsa basebelisi ho Active Directory
9) Ho tab Litsi tsa Mosebetsi → PassiveID → Kakaretso → Dashboard o ka bona palo ea linako tse sebetsang, palo ea mehloli ea data, baemeli, le tse ling.
Setšoantšo sa 19. Ho beha leihlo mosebetsi oa basebelisi ba domain
10) Ho tab Metsotso e Teng mananeo a jwale a bontshwa. Ho kopanngoa le AD ho lokiselitsoe.
Setšoantšo sa 20. Likopano tse sebetsang tsa basebelisi ba domain
5. Qetello
Sengoliloeng sena se buile ka lihlooho tsa ho theha basebelisi ba lehae ho Cisco ISE, ho eketsa li-server tsa LDAP, le ho hokahana le Microsoft Active Directory. Sengoliloeng se latelang se tla totobatsa phihlello ea baeti ka mokhoa oa tataiso e sa hlokeng letho.
Haeba u na le lipotso mabapi le sehlooho sena kapa u hloka thuso ea ho lekola sehlahisoa, ka kopo ikopanye .
Lula u mametse ho fumana lintlha tse ncha ho liteishene tsa rona (, , , , ).
Source: www.habr.com