Karibu kwa chapisho la pili katika mfululizo wa Cisco ISE. Katika ya kwanza faida na tofauti za suluhu za Udhibiti wa Ufikiaji wa Mtandao (NAC) kutoka kwa AAA ya kawaida, upekee wa Cisco ISE, usanifu na mchakato wa usakinishaji wa bidhaa ziliangaziwa.
Katika makala hii, tutazingatia kuunda akaunti, kuongeza seva za LDAP, na kuunganisha na Microsoft Active Directory, pamoja na nuances ya kufanya kazi na PassiveID. Kabla ya kusoma, ninapendekeza sana kusoma .
1. Baadhi ya istilahi
Utambulisho wa Mtumiaji - akaunti ya mtumiaji ambayo ina habari kuhusu mtumiaji na inazalisha sifa zake za kufikia mtandao. Vigezo vifuatavyo kwa kawaida hubainishwa katika Utambulisho wa Mtumiaji: jina la mtumiaji, anwani ya barua pepe, nenosiri, maelezo ya akaunti, kikundi cha watumiaji na jukumu.
Vikundi vya Watumiaji - vikundi vya watumiaji ni mkusanyiko wa watumiaji binafsi ambao wana seti ya kawaida ya marupurupu ambayo huwaruhusu kufikia seti maalum ya huduma na utendakazi za Cisco ISE.
Vikundi vya Utambulisho wa Mtumiaji - vikundi vya watumiaji vilivyoainishwa awali ambavyo tayari vina taarifa na majukumu fulani. Vikundi vifuatavyo vya Utambulisho wa Mtumiaji vipo kwa chaguomsingi, unaweza kuongeza watumiaji na vikundi vya watumiaji kwao: Mfanyakazi (mfanyikazi), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (akaunti za wafadhili za kudhibiti lango la wageni), Mgeni (mgeni), ActivatedGuest (mgeni aliyeamilishwa).
jukumu la mtumiaji- Jukumu la mtumiaji ni seti ya ruhusa zinazobainisha ni kazi gani mtumiaji anaweza kufanya na huduma gani anaweza kufikia. Mara nyingi jukumu la mtumiaji linahusishwa na kikundi cha watumiaji.
Zaidi ya hayo, kila mtumiaji na kikundi cha watumiaji kina sifa za ziada zinazokuwezesha kuchagua na kufafanua zaidi mtumiaji huyu (kikundi cha watumiaji). Habari zaidi ndani .
2. Unda watumiaji wa ndani
1) Cisco ISE ina uwezo wa kuunda watumiaji wa ndani na kuwatumia katika sera ya ufikiaji au hata kutoa jukumu la usimamizi wa bidhaa. Chagua Utawala → Usimamizi wa Kitambulisho → Vitambulisho → Watumiaji → Ongeza.
Kielelezo cha 1 Kuongeza Mtumiaji wa Karibu na Cisco ISE
2) Katika dirisha inayoonekana, tengeneza mtumiaji wa ndani, weka nenosiri na vigezo vingine vinavyoeleweka.
Kielelezo 2. Kuunda Mtumiaji wa Ndani katika Cisco ISE
3) Watumiaji wanaweza pia kuingizwa. Katika kichupo sawa Utawala → Usimamizi wa Vitambulisho → Vitambulisho → Watumiaji chagua chaguo Agiza na upakie faili ya csv au txt na watumiaji. Ili kupata kiolezo chagua Tengeneza Kiolezo, basi inapaswa kujazwa na habari kuhusu watumiaji katika fomu inayofaa.
Kielelezo 3 Inaingiza Watumiaji kwenye Cisco ISE
3. Kuongeza seva za LDAP
Acha nikukumbushe kwamba LDAP ni itifaki maarufu ya kiwango cha maombi ambayo hukuruhusu kupokea habari, kutekeleza uthibitishaji, kutafuta akaunti katika saraka za seva za LDAP, inafanya kazi kwenye bandari 389 au 636 (SS). Mifano maarufu ya seva za LDAP ni Active Directory, Sun Directory, Novell eDirectory, na OpenLDAP. Kila ingizo katika saraka ya LDAP hufafanuliwa na DN (Jina Lililotofautishwa) na kazi ya kurejesha akaunti, vikundi vya watumiaji na sifa huinuliwa ili kuunda sera ya ufikiaji.
Katika Cisco ISE, inawezekana kusanidi ufikiaji wa seva nyingi za LDAP, na hivyo kutekeleza upunguzaji wa kazi. Ikiwa seva ya msingi (ya msingi) ya LDAP haipatikani, basi ISE itajaribu kufikia ya sekondari (ya sekondari) na kadhalika. Zaidi ya hayo, ikiwa kuna PAN 2, basi LDAP moja inaweza kupewa kipaumbele kwa PAN ya msingi na LDAP nyingine kwa PAN ya pili.
ISE inasaidia aina 2 za utafutaji (kutafuta) wakati wa kufanya kazi na seva za LDAP: Kutafuta Mtumiaji na Kutafuta Anwani ya MAC. Utafutaji wa Mtumiaji hukuruhusu kutafuta mtumiaji katika hifadhidata ya LDAP na kupata maelezo yafuatayo bila uthibitishaji: watumiaji na sifa zao, vikundi vya watumiaji. Utafutaji wa Anwani ya MAC pia hukuruhusu kutafuta kwa kutumia anwani ya MAC katika saraka za LDAP bila uthibitishaji na kupata maelezo kuhusu kifaa, kikundi cha vifaa vinavyotumia anwani za MAC na sifa nyingine mahususi.
Kama mfano wa ujumuishaji, wacha tuongeze Saraka Inayotumika kwa Cisco ISE kama seva ya LDAP.
1) Nenda kwenye kichupo Utawala → Usimamizi wa Utambulisho → Vyanzo vya Utambulisho wa Nje → LDAP → Ongeza.
Kielelezo 4. Kuongeza seva ya LDAP
2) Katika paneli ujumla taja jina la seva ya LDAP na mpango (kwa upande wetu, Orodha ya Active).
Mchoro 5. Kuongeza seva ya LDAP kwa schema ya Saraka Inayotumika
3) Ifuatayo nenda kwa Connection tab na uchague Jina la mpangishaji/anwani ya IP Seva AD, bandari (389 - LDAP, 636 - SSL LDAP), vitambulisho vya msimamizi wa kikoa (Admin DN - DN kamili), vigezo vingine vinaweza kuachwa kama chaguo-msingi.
Kumbuka: tumia maelezo ya kikoa cha msimamizi ili kuepuka matatizo yanayoweza kutokea.
Kielelezo 6 Kuingiza Data ya Seva ya LDAP
4) Katika kichupo Shirika la Saraka unapaswa kutaja eneo la saraka kupitia DN kutoka mahali pa kuvuta watumiaji na vikundi vya watumiaji.
Mchoro 7. Uamuzi wa saraka kutoka ambapo vikundi vya watumiaji vinaweza kuvuta
5) Nenda kwenye dirisha Vikundi → Ongeza → Chagua Vikundi Kutoka Saraka kuchagua vikundi vya kuvuta kutoka kwa seva ya LDAP.
Mchoro 8. Kuongeza vikundi kutoka kwa seva ya LDAP
6) Katika dirisha inayoonekana, bofya Rejesha Vikundi. Ikiwa vikundi vimejiondoa, basi hatua za awali zimekamilika kwa mafanikio. Vinginevyo, jaribu msimamizi mwingine na uangalie upatikanaji wa ISE na seva ya LDAP kupitia itifaki ya LDAP.
Kielelezo 9. Orodha ya makundi ya watumiaji waliovutwa
7) Katika kichupo Sifa unaweza kubainisha kwa hiari ni sifa zipi kutoka kwa seva ya LDAP zinapaswa kuvutwa, na kwenye dirisha Mipangilio kuwezesha chaguo Washa ubadilishaji wa nenosiri, ambayo itawalazimisha watumiaji kubadilisha nenosiri lao ikiwa muda wake umeisha au kubadilishwa. Hata hivyo bonyeza kuwasilisha kuendelea.
8) Seva ya LDAP ilionekana kwenye kichupo sambamba na inaweza kutumika kuunda sera za ufikiaji katika siku zijazo.
Mchoro 10. Orodha ya seva za LDAP zilizoongezwa
4. Kuunganishwa na Orodha ya Active
1) Kwa kuongeza seva ya Saraka ya Microsoft Active kama seva ya LDAP, tulipata watumiaji, vikundi vya watumiaji, lakini hakuna kumbukumbu. Ifuatayo, ninapendekeza kusanidi ujumuishaji kamili wa AD na Cisco ISE. Nenda kwenye kichupo Utawala → Usimamizi wa Kitambulisho → Vyanzo vya Utambulisho wa Nje → Saraka Inayotumika → Ongeza.
Kumbuka: kwa ushirikiano wenye mafanikio na AD, ISE lazima iwe katika kikoa na iwe na muunganisho kamili na seva za DNS, NTP na AD, vinginevyo hakuna kitakachotokea.
Kielelezo 11. Kuongeza seva ya Saraka inayotumika
2) Katika dirisha inayoonekana, ingiza maelezo ya msimamizi wa kikoa na angalia kisanduku Hifadhi Hati. Zaidi ya hayo, unaweza kubainisha OU (Kitengo cha Shirika) ikiwa ISE iko katika OU maalum. Ifuatayo, itabidi uchague nodi za Cisco ISE ambazo unataka kuunganisha kwenye kikoa.
Kielelezo 12. Kuingiza sifa
3) Kabla ya kuongeza vidhibiti vya kikoa, hakikisha kuwa kwenye PSN kwenye kichupo Utawala → Mfumo → Usambazaji chaguo limewezeshwa Huduma ya Kitambulisho cha Pasifiki. PassiveID - chaguo ambayo inakuwezesha kutafsiri Mtumiaji kwa IP na kinyume chake. PassiveID hupata maelezo kutoka kwa AD kupitia WMI, mawakala maalum wa AD au mlango wa SPAN kwenye swichi (sio chaguo bora zaidi).
Kumbuka: ili kuangalia hali ya Passive ID, andika kwenye kiweko cha ISE onyesha hali ya ombi | ni pamoja na PassiveID.
Kielelezo 13. Kuwezesha chaguo la PassiveID
4) Nenda kwenye kichupo Utawala → Usimamizi wa Kitambulisho → Vyanzo vya Utambulisho wa Nje → Saraka Inayotumika → PassiveID na uchague chaguo Ongeza DCs. Ifuatayo, chagua vidhibiti muhimu vya kikoa na visanduku vya kuteua na ubofye OK.
Kielelezo 14. Kuongeza watawala wa kikoa
5) Chagua DC zilizoongezwa na ubofye kitufe Badilisha. Tafadhali taja FQDN DC yako, kuingia kwa kikoa na nenosiri, na chaguo la kiungo WMI au Wakala. Chagua WMI na ubofye OK.
Mchoro 15 Kuingiza maelezo ya kidhibiti cha kikoa
6) Ikiwa WMI si njia inayopendelewa ya kuwasiliana na Active Directory, basi mawakala wa ISE wanaweza kutumika. Njia ya wakala ni kwamba unaweza kusakinisha mawakala maalum kwenye seva ambazo zitatoa matukio ya kuingia. Kuna chaguzi 2 za ufungaji: moja kwa moja na mwongozo. Ili kusakinisha wakala kiotomatiki kwenye kichupo sawa PassiveID kuchagua Ongeza Wakala → Tekeleza Wakala Mpya (DC lazima iwe na ufikiaji wa mtandao). Kisha jaza sehemu zinazohitajika (jina la wakala, seva ya FQDN, kuingia/nenosiri la msimamizi wa kikoa) na ubofye. OK.
Kielelezo 16. Ufungaji wa moja kwa moja wa wakala wa ISE
7) Ili kusakinisha wakala wa Cisco ISE, chagua kipengee Sajili Ajenti Aliyepo. Kwa njia, unaweza kupakua wakala kwenye kichupo Vituo vya Kazi → PassiveID → Watoa Huduma → Mawakala → Wakala wa Upakuaji.
Kielelezo 17. Inapakua wakala wa ISE
Muhimu: PassiveID haisomi matukio kuingia! Kigezo kinachohusika na kuisha kwa muda kinaitwa wakati wa kuzeeka wa kikao cha mtumiaji na ni sawa na saa 24 kwa chaguo-msingi. Kwa hivyo, unapaswa kujiondoa mwenyewe mwishoni mwa siku ya kazi, au kuandika aina fulani ya hati ambayo itawaondoa kiotomatiki watumiaji wote walioingia.
Kwa taarifa kuingia "Probes za mwisho" hutumiwa - probes za mwisho. Kuna uchunguzi kadhaa wa mwisho katika Cisco ISE: RADIUS, SNMP Trap, Hoji ya SNMP, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS uchunguzi kwa kutumia CoA (Mabadiliko ya Uidhinishaji) vifurushi hutoa habari kuhusu kubadilisha haki za mtumiaji (hii inahitaji iliyopachikwa 802.1X), na kusanidiwa kwenye swichi za ufikiaji za SNMP, itatoa habari kuhusu vifaa vilivyounganishwa na vilivyotenganishwa.
Mfano ufuatao ni muhimu kwa usanidi wa Cisco ISE + AD bila 802.1X na RADIUS: mtumiaji ameingia kwenye mashine ya Windows, bila kufanya logoff, ingia kutoka kwa PC nyingine kupitia WiFi. Katika kesi hii, kikao kwenye Kompyuta ya kwanza bado kitafanya kazi hadi wakati wa kuisha utatokea au kuzima kwa kulazimishwa kutokea. Kisha ikiwa vifaa vina haki tofauti, basi kifaa cha mwisho kilichoingia kitatumia haki zake.
8) Hiari kwenye kichupo Utawala → Usimamizi wa Kitambulisho → Vyanzo vya Vitambulisho vya Nje → Saraka Inayotumika → Vikundi → Ongeza → Chagua Vikundi Kutoka Orodha unaweza kuchagua vikundi kutoka kwa AD ambavyo unataka kuvuta kwenye ISE (kwa upande wetu, hii ilifanyika katika hatua ya 3 "Kuongeza seva ya LDAP"). Chagua chaguo Rejesha Vikundi → Sawa.
Kielelezo 18 a). Kuvuta vikundi vya watumiaji kutoka kwa Saraka Inayotumika
9) Katika kichupo Vituo vya Kazi → PassiveID → Muhtasari → Dashibodi unaweza kuona idadi ya vipindi vinavyotumika, idadi ya vyanzo vya data, mawakala na zaidi.
Kielelezo 19. Kufuatilia shughuli za watumiaji wa kikoa
10) Katika kichupo Vikao vya moja kwa moja vipindi vya sasa vinaonyeshwa. Ujumuishaji na AD umesanidiwa.
Kielelezo 20. Vipindi vinavyotumika vya watumiaji wa kikoa
5. Hitimisho
Makala haya yalishughulikia mada za kuunda watumiaji wa ndani katika Cisco ISE, kuongeza seva za LDAP, na kuunganishwa na Microsoft Active Directory. Nakala inayofuata itaangazia ufikiaji wa wageni kwa njia ya mwongozo usiohitajika.
Ikiwa una maswali kuhusu mada hii au unahitaji usaidizi wa kujaribu bidhaa, tafadhali wasiliana .
Endelea kuwa nasi kwa sasisho katika chaneli zetu (, , , , ).
Chanzo: mapenzi.com