Wilujeng sumping di pos kadua dina séri Cisco ISE. Dina kahiji kaunggulan jeung bédana Network Aksés Control (NAC) solusi tina standar AAA, nu uniqueness of Cisco ISE, arsitéktur sarta prosés instalasi produk ieu disorot.
Dina artikel ieu, urang bakal nalungtik nyieun akun, nambahkeun server LDAP, sarta integrasi jeung Microsoft Active Directory, kitu ogé nuansa gawé bareng PassiveID. Sateuacan maca, kuring nyarankeun pisan yén anjeun maca .
1. Sababaraha terminologi
Idéntitas pamaké - rekening pamaké nu ngandung émbaran ngeunaan pamaké sarta ngahasilkeun kredensial na pikeun ngakses jaringan. Parameter di handap ieu ilaharna dieusian dina Idéntitas Pamaké: ngaran pamaké, alamat surélék, kecap akses, déskripsi akun, grup pamaké, jeung peran.
Grup Anggota - grup pamaké mangrupakeun kumpulan pamaké individu anu boga set umum tina hak husus anu ngamungkinkeun aranjeunna pikeun ngakses hiji set husus jasa jeung fungsi Cisco ISE.
Grup Idéntitas Pamaké - grup pamaké nu geus ditangtukeun nu geus boga informasi jeung kalungguhan tangtu. Grup Identity Pamaké di handap aya sacara standar, anjeun tiasa nambihan pangguna sareng grup pangguna ka aranjeunna: Karyawan (pagawe), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (akun sponsor pikeun ngatur portal tamu), Tamu (tamu), ActivatedGuest (tamu diaktipkeun).
peran pamaké- Peran pangguna mangrupikeun sakumpulan idin anu nangtukeun tugas naon anu tiasa dilakukeun ku pangguna sareng jasa naon anu tiasa diaksés. Mindeng peran pamaké pakait sareng grup pamaké.
Leuwih ti éta, unggal pamaké sarta grup pamaké boga atribut tambahan nu ngidinan Anjeun pikeun milih tur leuwih husus nangtukeun pamaké ieu (grup pamaké). Inpo leuwih lengkep dina .
2. Jieun pamaké lokal
1) Cisco ISE mibanda kamampuhan pikeun nyieun pamaké lokal sarta ngagunakeun éta dina kawijakan aksés atawa malah masihan peran administrasi produk. Pilih Administrasi → Manajemén Idéntitas → Idéntitas → Pamaké → Tambah.
angka 1 Nambahkeun pamaké Lokal pikeun Cisco ISE
2) Dina jandela nu nembongan, nyieun pamaké lokal, nyetel sandi sarta parameter kaharti séjén.
angka 2. Nyieun pamaké Lokal di Cisco ISE
3) Pamaké ogé tiasa diimpor. Dina tab anu sami Administrasi → Manajemén Idéntitas → Idéntitas → Pamaké pilih hiji pilihan impor sareng unggah file csv atanapi txt sareng pangguna. Pikeun meunangkeun template pilih Ngahasilkeun Citakan, mangka kudu dieusian ku informasi ngeunaan pamaké dina formulir merenah.
angka 3 Importing pamaké kana Cisco ISE
3. Nambahkeun server LDAP
Abdi ngingetkeun yén LDAP mangrupikeun protokol tingkat aplikasi anu populer anu ngamungkinkeun anjeun nampi inpormasi, ngalaksanakeun auténtikasi, milarian akun dina diréktori pangladén LDAP, dianggo dina port 389 atanapi 636 (SS). Conto pangladén pangladén LDAP nyaéta Active Directory, Sun Directory, Novell eDirectory, sareng OpenLDAP. Unggal éntri dina diréktori LDAP didefinisikeun ku DN (Ngaran Dibédakeun) jeung tugas retrieving akun, grup pamaké sarta atribut diangkat pikeun ngabentuk kawijakan aksés.
Dina Cisco ISE, kasebut nyaéta dimungkinkeun pikeun ngonpigurasikeun aksés ka loba server LDAP, kukituna ngalaksanakeun redundancy. Upami server LDAP primér (primer) henteu sayogi, maka ISE bakal nyobian ngaksés sékundér (sekundér) sareng saterasna. Salaku tambahan, upami aya 2 PAN, maka hiji LDAP tiasa diprioritaskeun pikeun PAN primér sareng LDAP sanés pikeun PAN sekundér.
ISE ngadukung 2 jinis lookup (lookup) nalika damel sareng server LDAP: User Lookup sareng MAC Address Lookup. Pamaké Lookup ngidinan Anjeun pikeun neangan pamaké dina database LDAP tur meunangkeun inpo di handap ieu tanpa auténtikasi: pamaké sarta atribut maranéhanana, grup pamaké. MAC Address Lookup ogé ngamungkinkeun anjeun milarian ku alamat MAC dina diréktori LDAP tanpa auténtikasi sareng kéngingkeun inpormasi ngeunaan alat, sakelompok alat ku alamat MAC, sareng atribut khusus anu sanés.
Salaku conto integrasi, hayu urang tambahkeun Active Directory ka Cisco ISE salaku server LDAP.
1) Pindah ka tab Administrasi → Manajemén Idéntitas → Sumber Idéntitas Eksternal → LDAP → Tambah.
Gambar 4. Nambahkeun hiji server LDAP
2) Dina panel umum tangtukeun ngaran jeung skéma pangladén LDAP (dina hal urang, Active Directory).
Gambar 5. Nambahkeun server LDAP kalawan skéma Active Directory
3) Teras angkat ka hubungan tab tur pilih Hostname/alamat IP Server AD, port (389 - LDAP, 636 - SSL LDAP), kredensial administrator domain (Admin DN - DN pinuh), parameter séjén bisa ditinggalkeun salaku standar.
nyarios: nganggo wincik domain admin pikeun nyegah masalah poténsial.
Gambar 6 Ngasupkeun Data Server LDAP
4) Dina tab Organisasi diréktori Anjeun kudu nangtukeun wewengkon diréktori ngaliwatan DN ti mana narik pamaké sarta grup pamaké.
Gambar 7. Tekad tina directories ti mana grup pamaké bisa narik nepi
5) Pindah ka jandela Grup → Tambah → Pilih Grup Tina Diréktori pikeun milih grup tarik ti server LDAP.
Gambar 8. Nambahkeun grup ti server LDAP
6) Dina jandela nu nembongan, klik Meunangkeun Grup. Lamun grup geus ditarik nepi, mangka léngkah awal geus réngsé junun. Upami teu kitu, coba administrator sejen tur pariksa kasadiaan ISE kalawan server LDAP via protokol LDAP.
angka 9. Daptar grup pamaké ditarik
7) Dina tab atribut Anjeun optionally bisa nangtukeun mana atribut ti server LDAP kudu ditarik ka luhur, sarta dina jandela Setélan canggih aktipkeun pilihan Aktipkeun robah sandi, nu bakal maksa pamaké pikeun ngarobah sandi maranéhna lamun geus kadaluwarsa atawa geus reset. Atoh klik patuh neruskeun.
8) server LDAP mucunghul dina tab pakait jeung bisa dipaké pikeun ngabentuk kawijakan aksés dina mangsa nu bakal datang.
angka 10. Daptar server LDAP ditambahkeun
4. Integrasi jeung Active Directory
1) Ku nambahkeun server Microsoft Active Directory salaku server LDAP, urang meunang pamaké, grup pamaké, tapi euweuh log. Salajengna, abdi ngajukeun pikeun nyetél integrasi AD full-fledged kalawan Cisco ISE. Pindah ka tab Administrasi → Manajemén Idéntitas → Sumber Idéntitas Eksternal → Active Directory → Tambah.
Catetan: pikeun integrasi suksés kalayan AD, ISE kudu dina domain sarta mibanda konektipitas pinuh ku DNS, NTP sarta server AD, disebutkeun euweuh bakal datang ti eta.
Angka 11. Nambahkeun server Active Directory
2) Dina jandela nu nembongan, asupkeun wincik administrator domain jeung pariksa kotak Kapercayaan toko. Salaku tambahan, anjeun tiasa netepkeun OU (Unit Organisasi) upami ISE aya dina OU khusus. Salajengna, anjeun kedah milih titik Cisco ISE anu anjeun hoyong sambungkeun kana domain.
Gambar 12. Ngasupkeun Kapercayaan
3) Sateuacan nambahkeun Controllers domain, pastikeun yén dina PSN dina tab Administrasi → Sistem → Panyebaran pilihan diaktipkeun Service Idéntitas pasip. PasifID - pilihan anu ngamungkinkeun anjeun narjamahkeun Pamaké kana IP sareng sabalikna. PassiveID nampi inpormasi ti AD via WMI, agén AD khusus atanapi port SPAN dina saklar (sanés pilihan anu pangsaéna).
Catetan: pikeun pariksa status ID pasip, ngetik dina konsol ISE némbongkeun status aplikasi ise | kaasup PassiveID.
angka 13. Aktipkeun pilihan PassiveID
4) Pindah ka tab Administrasi → Manajemén Idéntitas → Sumber Idéntitas Eksternal → Active Directory → PassiveID tur pilih pilihan Tambahkeun DCs. Teras, pilih pangendali domain anu diperyogikeun sareng kotak centang teras klik OK.
angka 14. Nambahkeun controller domain
5) Pilih DCs ditambahkeun teras klik tombol Édit. Punten nunjukkeun FQDN DC anjeun, login domain sareng kecap akses, sareng pilihan tautan WMI atawa agen. Pilih WMI teras klik OK.
angka 15 Ngasupkeun rinci controller domain
6) Upami WMI sanes cara anu dipikaresep pikeun komunikasi sareng Active Directory, maka agén ISE tiasa dianggo. Metodeu agén nyaéta anjeun tiasa masang agén khusus dina server anu bakal ngaluarkeun acara login. Aya 2 pilihan pamasangan: otomatis sareng manual. Pikeun otomatis masang agén dina tab anu sami PasifID pilih barang Tambahkeun Agen → Nyebarkeun Agen Anyar (DC kedah gaduh aksés Internét). Teras eusian widang anu diperyogikeun (ngaran agén, server FQDN, login administrator domain / sandi) teras klik OK.
angka 16. instalasi otomatis tina agén ISE
7) Pikeun masang agén Cisco ISE sacara manual, pilih itemna Ngadaptarkeun Agen Aya. Ku jalan kitu, anjeun tiasa ngaunduh agén dina tab Pusat Gawé → PassiveID → Panyadia → Agén → Unduh Agén.
angka 17. Ngundeur agén ISE
Kadé ka: PassiveID henteu maca kajadian kaluar! Parameter nanggungjawaban kanggo timeout disebut sesi pamaké waktos sepuh sareng sami sareng 24 jam sacara standar. Ku alatan éta, anjeun kudu boh logoff diri dina ahir poé gawé, atawa nulis sababaraha jenis Aksara nu bakal otomatis logoff sadaya pamaké asup log.
Kanggo inpo kaluar "Endpoint probes" dipaké - terminal probes. Aya sababaraha panyilidikan endpoint di Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. radius usik ngagunakeun CoA (Robah Otorisasina) bungkusan méré informasi ngeunaan ngarobah hak pamaké (ieu merlukeun hiji embedded 802.1X), sarta ngonpigurasi dina aksés switch SNMP, bakal masihan informasi ngeunaan alat disambungkeun tur dipegatkeun.
Conto di handap ieu relevan pikeun Cisco ISE + Konfigurasi AD tanpa 802.1X jeung radius: a pamaké asup dina mesin Windows, tanpa ngalakukeun logoff, asup ti PC sejen via WiFi. Dina hal ieu, sési dina PC kahiji bakal tetep aktip nepi ka waktu béak atawa kaluar paksa lumangsung. Teras upami alat-alatna ngagaduhan hak anu béda, maka alat anu terakhir log in bakal nerapkeun hakna.
8) Pilihan dina tab Administrasi → Manajemén Idéntitas → Sumber Idéntitas Éksternal → Diréktori Aktif → Grup → Tambah → Pilih Grup Tina Diréktori Anjeun tiasa milih grup ti AD nu Anjeun hoyong tarik up on ISE (bisi kami, ieu dipigawé dina hambalan 3 "Nambahan hiji server LDAP"). Milih hiji pilihan Meunangkeun Grup → OK.
Gambar 18 a). Narik grup pamaké ti Active Directory
9) Dina tab Puseur Gawé → PassiveID → Tinjauan → Dashboard Anjeun tiasa niténan jumlah sési aktip, jumlah sumber data, agén, sareng nu sanesna.
Gambar 19. Ngawas aktivitas pamaké domain
10) Dina tab Sesi Langsung sesi ayeuna dipintonkeun. Integrasi sareng AD dikonpigurasi.
Gambar 20. Sesi aktif pamaké domain
5. Kacindekan
Artikel ieu nutupan jejer nyieun pamaké lokal di Cisco ISE, nambahkeun server LDAP, sarta integrasi jeung Microsoft Active Directory. Artikel salajengna bakal nyorot aksés tamu dina bentuk pituduh anu kaleuleuwihan.
Upami anjeun gaduh patarosan ngeunaan topik ieu atanapi peryogi bantosan pikeun nguji produk, mangga ngahubungi .
Tetep katala pikeun apdet dina saluran kami (, , , , ).
sumber: www.habr.com