Välkommen till det andra inlägget i Cisco ISE-serien. I den första fördelarna och skillnaderna med Network Access Control (NAC)-lösningar från standard AAA, det unika med Cisco ISE, arkitekturen och installationsprocessen för produkten lyftes fram.
I den här artikeln kommer vi att fördjupa oss i att skapa konton, lägga till LDAP-servrar och integrera med Microsoft Active Directory, såväl som nyanserna av att arbeta med PassiveID. Innan du läser rekommenderar jag starkt att du läser .
1. Lite terminologi
Användaridentitet - ett användarkonto som innehåller information om användaren och genererar hans autentiseringsuppgifter för att komma åt nätverket. Följande parametrar anges vanligtvis i användaridentitet: användarnamn, e-postadress, lösenord, kontobeskrivning, användargrupp och roll.
Användargrupper - användargrupper är en samling individuella användare som har en gemensam uppsättning privilegier som tillåter dem att komma åt en specifik uppsättning Cisco ISE-tjänster och funktioner.
Användaridentitetsgrupper - fördefinierade användargrupper som redan har viss information och roller. Följande användaridentitetsgrupper finns som standard, du kan lägga till användare och användargrupper till dem: Anställd (anställd), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (sponsorkonton för att hantera gästportalen), Gäst (gäst), ActivatedGuest (aktiverad gäst).
användarroll- En användarroll är en uppsättning behörigheter som bestämmer vilka uppgifter en användare kan utföra och vilka tjänster som kan komma åt. Ofta är en användarroll kopplad till en grupp användare.
Dessutom har varje användare och användargrupp ytterligare attribut som gör att du kan välja och mer specifikt definiera denna användare (användargrupp). Mer information i .
2. Skapa lokala användare
1) Cisco ISE har förmågan att skapa lokala användare och använda dem i en åtkomstpolicy eller till och med ge en produktadministrativ roll. Välj Administration → Identitetshantering → Identiteter → Användare → Lägg till.
Figur 1 Lägga till en lokal användare till Cisco ISE
2) Skapa en lokal användare i fönstret som visas, ställ in ett lösenord och andra begripliga parametrar.
Figur 2. Skapa en lokal användare i Cisco ISE
3) Användare kan också importeras. På samma flik Administration → Identitetshantering → Identiteter → Användare Välj ett alternativ Importera och ladda upp csv- eller txt-fil med användare. För att få en mall välj Skapa en mall, då ska den fyllas med information om användare i lämplig form.
Figur 3 Importera användare till Cisco ISE
3. Lägga till LDAP-servrar
Låt mig påminna dig om att LDAP är ett populärt protokoll på applikationsnivå som låter dig ta emot information, utföra autentisering, söka efter konton i katalogerna på LDAP-servrar, fungerar på port 389 eller 636 (SS). Framträdande exempel på LDAP-servrar är Active Directory, Sun Directory, Novell eDirectory och OpenLDAP. Varje post i LDAP-katalogen definieras av ett DN (Distinguished Name) och uppgiften att hämta konton, användargrupper och attribut höjs för att bilda en åtkomstpolicy.
I Cisco ISE är det möjligt att konfigurera åtkomst till många LDAP-servrar och därigenom implementera redundans. Om den primära (primära) LDAP-servern inte är tillgänglig kommer ISE att försöka komma åt den sekundära (sekundära) och så vidare. Dessutom, om det finns 2 PAN, kan en LDAP prioriteras för den primära PAN och en annan LDAP för den sekundära PAN.
ISE stöder 2 typer av uppslag (lookup) när du arbetar med LDAP-servrar: User Lookup och MAC Address Lookup. User Lookup låter dig söka efter en användare i LDAP-databasen och få följande information utan autentisering: användare och deras attribut, användargrupper. MAC Address Lookup låter dig också söka efter MAC-adress i LDAP-kataloger utan autentisering och få information om enheten, en grupp enheter efter MAC-adresser och andra specifika attribut.
Som ett exempel på integration, låt oss lägga till Active Directory till Cisco ISE som en LDAP-server.
1) Gå till fliken Administration → Identitetshantering → Externa identitetskällor → LDAP → Lägg till.
Figur 4. Lägga till en LDAP-server
2) I panel Allmänt ange LDAP-serverns namn och schema (i vårt fall Active Directory).
Figur 5. Lägga till en LDAP-server med ett Active Directory-schema
3) Gå sedan till förbindelse fliken och välj Värdnamn/IP-adress Server AD, port (389 - LDAP, 636 - SSL LDAP), domänadministratörsuppgifter (Admin DN - full DN), andra parametrar kan lämnas som standard.
Notera: använd administratörsdomäninformationen för att undvika potentiella problem.
Figur 6 Ange LDAP-serverdata
4) I tab Katalogorganisation du bör ange katalogområdet genom DN varifrån användare och användargrupper ska hämtas.
Figur 7. Fastställande av kataloger varifrån användargrupper kan dra upp
5) Gå till fönstret Grupper → Lägg till → Välj grupper från katalog för att välja pull-grupper från LDAP-servern.
Figur 8. Lägga till grupper från LDAP-servern
6) Klicka på i fönstret som visas Hämta grupper. Om grupperna har dragit upp har de preliminära stegen genomförts framgångsrikt. Annars, försök med en annan administratör och kontrollera tillgängligheten för ISE med LDAP-servern via LDAP-protokollet.
Figur 9. Lista över utdragna användargrupper
7) I tab attribut du kan valfritt ange vilka attribut från LDAP-servern som ska dras upp, och i fönstret avancerade inställningar aktivera alternativet Aktivera lösenordsändring, vilket kommer att tvinga användare att ändra sitt lösenord om det har gått ut eller återställts. Klicka i alla fall Skicka att fortsätta.
8) LDAP-servern dök upp på motsvarande flik och kan användas för att skapa åtkomstpolicyer i framtiden.
Figur 10. Lista över tillagda LDAP-servrar
4. Integration med Active Directory
1) Genom att lägga till Microsoft Active Directory-servern som en LDAP-server fick vi användare, användargrupper, men inga loggar. Därefter föreslår jag att sätta upp fullfjädrad AD-integration med Cisco ISE. Gå till flik Administration → Identitetshantering → Externa identitetskällor → Active Directory → Lägg till.
Notera: för framgångsrik integration med AD måste ISE vara i en domän och ha full uppkoppling med DNS, NTP och AD-servrar, annars blir det inget av det.
Figur 11. Lägga till en Active Directory-server
2) I fönstret som visas anger du domänadministratörsuppgifterna och markerar rutan Lagra inloggningsuppgifter. Dessutom kan du ange en OU (Organizational Unit) om ISE finns i en specifik OU. Därefter måste du välja de Cisco ISE-noder som du vill ansluta till domänen.
Figur 12. Ange autentiseringsuppgifter
3) Innan du lägger till domänkontrollanter, se till att på PSN i fliken Administration → System → Implementering alternativet aktiverat Passiv identitetstjänst. Passivt ID - ett alternativ som låter dig översätta användare till IP och vice versa. PassiveID får information från AD via WMI, speciella AD-agenter eller SPAN-port på switchen (inte det bästa alternativet).
Notera: för att kontrollera statusen för det passiva ID:t, skriv in ISE-konsolen visa ansökan status ise | inkludera passivt ID.
Figur 13. Aktivering av alternativet PassiveID
4) Gå till flik Administration → Identitetshantering → Externa identitetskällor → Active Directory → Passivt ID och välj alternativet Lägg till DCs. Välj sedan nödvändiga domänkontrollanter med kryssrutor och klicka OK.
Figur 14. Lägga till domänkontrollanter
5) Välj de tillagda DC:erna och klicka på knappen Edit. Vänligen ange FQDN din DC, domäninloggning och lösenord och ett länkalternativ WMI eller Recensioner. Välj WMI och klicka OK.
Figur 15 Ange domänkontrollantinformation
6) Om WMI inte är det föredragna sättet att kommunicera med Active Directory, kan ISE-agenter användas. Agentmetoden är att du kan installera specialagenter på servrarna som kommer att avge inloggningshändelser. Det finns 2 installationsalternativ: automatisk och manuell. För att automatiskt installera agenten på samma flik Passivt ID Välj föremål Lägg till agent → Distribuera ny agent (DC måste ha tillgång till Internet). Fyll sedan i de obligatoriska fälten (agentnamn, server FQDN, domänadministratörs inloggning/lösenord) och klicka på OK.
Figur 16. Automatisk installation av ISE-agenten
7) För att manuellt installera Cisco ISE-agenten, välj objektet Registrera befintlig agent. Du kan förresten ladda ner agenten på fliken Arbetscenter → Passivt ID → Leverantörer → Agenter → Ladda ner Agent.
Figur 17. Ladda ner ISE-agenten
Viktigt: PassiveID läser inte händelser utloggning! Parametern som ansvarar för timeout anropas åldrande tid för användarsession och motsvarar 24 timmar som standard. Därför bör du antingen logga ut själv i slutet av arbetsdagen, eller skriva något slags skript som automatiskt loggar ut alla inloggade användare.
Efter information utloggning "Endpoint probes" används - terminala prober. Det finns flera ändpunktsonderingar i Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIE sond använder CoA (Change of Authorization)-paket ger information om att ändra användarrättigheter (detta kräver en inbäddad 802.1X), och konfigurerad på åtkomstswitchar SNMP, ger information om anslutna och frånkopplade enheter.
Följande exempel är relevant för en Cisco ISE + AD-konfiguration utan 802.1X och RADIUS: en användare är inloggad på en Windows-maskin, utan att logga ut, logga in från en annan PC via WiFi. I det här fallet kommer sessionen på den första datorn fortfarande att vara aktiv tills en timeout inträffar eller en påtvingad utloggning inträffar. Om enheterna sedan har olika rättigheter, kommer den senast inloggade enheten att tillämpa sina rättigheter.
8) Valfritt i fliken Administration → Identitetshantering → Externa identitetskällor → Active Directory → Grupper → Lägg till → Välj grupper från katalogen du kan välja grupper från AD som du vill dra upp på ISE (i vårt fall gjordes detta i steg 3 "Lägga till en LDAP-server"). Välj ett alternativ Hämta grupper → OK.
Figur 18a). Hämta användargrupper från Active Directory
9) I tab Arbetscenter → Passivt ID → Översikt → Dashboard du kan se antalet aktiva sessioner, antalet datakällor, agenter och mer.
Figur 19. Övervakning av domänanvändares aktivitet
10) I tab Live sessioner aktuella sessioner visas. Integration med AD är konfigurerad.
Figur 20. Aktiva sessioner för domänanvändare
5. slutsats
Den här artikeln behandlade ämnena för att skapa lokala användare i Cisco ISE, lägga till LDAP-servrar och integrera med Microsoft Active Directory. Nästa artikel kommer att belysa gäståtkomst i form av en redundant guide.
Om du har frågor om detta ämne eller behöver hjälp med att testa produkten, vänligen kontakta .
Håll utkik efter uppdateringar i våra kanaler (, , , , ).
Källa: will.com