Cisco ISE தொடரின் இரண்டாவது இடுகைக்கு வரவேற்கிறோம். முதலில் நிலையான AAA இலிருந்து நெட்வொர்க் அணுகல் கட்டுப்பாடு (NAC) தீர்வுகளின் நன்மைகள் மற்றும் வேறுபாடுகள், சிஸ்கோ ISE இன் தனித்துவம், கட்டமைப்பு மற்றும் தயாரிப்பின் நிறுவல் செயல்முறை ஆகியவை சிறப்பிக்கப்பட்டன.
இந்தக் கட்டுரையில், கணக்குகளை உருவாக்குதல், எல்டிஏபி சேவையகங்களைச் சேர்ப்பது மற்றும் மைக்ரோசாஃப்ட் ஆக்டிவ் டைரக்டரியுடன் ஒருங்கிணைத்தல், அத்துடன் PassiveID உடன் பணிபுரியும் நுணுக்கங்கள் ஆகியவற்றைப் பற்றி ஆராய்வோம். படிப்பதற்கு முன், நீங்கள் படிக்குமாறு நான் கடுமையாக பரிந்துரைக்கிறேன் .
1. சில சொற்கள்
பயனர் அடையாளம் - பயனரைப் பற்றிய தகவல்களைக் கொண்ட ஒரு பயனர் கணக்கு மற்றும் பிணையத்தை அணுகுவதற்கான அவரது நற்சான்றிதழ்களை உருவாக்குகிறது. பின்வரும் அளவுருக்கள் பொதுவாக பயனர் அடையாளத்தில் குறிப்பிடப்படுகின்றன: பயனர் பெயர், மின்னஞ்சல் முகவரி, கடவுச்சொல், கணக்கு விளக்கம், பயனர் குழு மற்றும் பங்கு.
பயனர் குழுக்கள் - பயனர் குழுக்கள் என்பது ஒரு குறிப்பிட்ட சிஸ்கோ ISE சேவைகள் மற்றும் செயல்பாடுகளை அணுக அனுமதிக்கும் பொதுவான சலுகைகள் கொண்ட தனிப்பட்ட பயனர்களின் தொகுப்பாகும்.
பயனர் அடையாள குழுக்கள் ஏற்கனவே குறிப்பிட்ட தகவல்கள் மற்றும் பாத்திரங்களைக் கொண்ட முன் வரையறுக்கப்பட்ட பயனர் குழுக்கள். பின்வரும் பயனர் அடையாளக் குழுக்கள் இயல்பாகவே உள்ளன, அவற்றில் பயனர்களையும் பயனர் குழுக்களையும் நீங்கள் சேர்க்கலாம்: பணியாளர் (பணியாளர்), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (விருந்தினர் போர்ட்டலை நிர்வகிப்பதற்கான ஸ்பான்சர் கணக்குகள்), விருந்தினர் (விருந்தினர்), செயல்படுத்தப்பட்ட விருந்தினர் (செயல்படுத்தப்பட்ட விருந்தினர்).
பயனர் பங்கு- பயனர் பங்கு என்பது ஒரு பயனர் என்ன பணிகளைச் செய்ய முடியும் மற்றும் என்ன சேவைகளை அணுக முடியும் என்பதைத் தீர்மானிக்கும் அனுமதிகளின் தொகுப்பாகும். பெரும்பாலும் ஒரு பயனர் பங்கு பயனர்களின் குழுவுடன் தொடர்புடையது.
மேலும், ஒவ்வொரு பயனருக்கும் பயனர் குழுவிற்கும் கூடுதல் பண்புக்கூறுகள் உள்ளன, அவை இந்த பயனரை (பயனர் குழு) தேர்ந்தெடுக்கவும் மேலும் குறிப்பாக வரையறுக்கவும் உங்களை அனுமதிக்கின்றன. மேலும் தகவல் இல் .
2. உள்ளூர் பயனர்களை உருவாக்கவும்
1) Cisco ISE ஆனது உள்ளூர் பயனர்களை உருவாக்கி அவர்களை அணுகல் கொள்கையில் பயன்படுத்த அல்லது தயாரிப்பு நிர்வாகப் பங்கைக் கொடுக்கும் திறனைக் கொண்டுள்ளது. தேர்ந்தெடு நிர்வாகம் → அடையாள மேலாண்மை → அடையாளங்கள் → பயனர்கள் → சேர்.
படம் 1 சிஸ்கோ ISE இல் உள்ளூர் பயனரைச் சேர்த்தல்
2) தோன்றும் சாளரத்தில், உள்ளூர் பயனரை உருவாக்கவும், கடவுச்சொல் மற்றும் பிற புரிந்துகொள்ளக்கூடிய அளவுருக்களை அமைக்கவும்.
படம் 2. சிஸ்கோ ISE இல் ஒரு உள்ளூர் பயனரை உருவாக்குதல்
3) பயனர்களையும் இறக்குமதி செய்யலாம். அதே தாவலில் நிர்வாகம் → அடையாள மேலாண்மை → அடையாளங்கள் → பயனர்கள் ஒரு விருப்பத்தைத் தேர்ந்தெடுக்கவும் இறக்குமதி பயனர்களுடன் csv அல்லது txt கோப்பை பதிவேற்றவும். டெம்ப்ளேட்டைப் பெற, தேர்ந்தெடுக்கவும் ஒரு டெம்ப்ளேட்டை உருவாக்கவும், பின்னர் அது பொருத்தமான படிவத்தில் பயனர்களைப் பற்றிய தகவல்களால் நிரப்பப்பட வேண்டும்.
படம் 3 சிஸ்கோ ISE இல் பயனர்களை இறக்குமதி செய்கிறது
3. LDAP சேவையகங்களைச் சேர்த்தல்
LDAP என்பது ஒரு பிரபலமான பயன்பாட்டு நிலை நெறிமுறை என்பதை உங்களுக்கு நினைவூட்டுகிறேன், இது தகவல்களைப் பெறவும், அங்கீகரிப்பு செய்யவும், LDAP சேவையகங்களின் கோப்பகங்களில் கணக்குகளைத் தேடவும், போர்ட் 389 அல்லது 636 (SS) இல் வேலை செய்யவும் உங்களை அனுமதிக்கிறது. LDAP சேவையகங்களின் முக்கிய எடுத்துக்காட்டுகள் ஆக்டிவ் டைரக்டரி, சன் டைரக்டரி, நோவெல் ஈ டைரக்டரி மற்றும் ஓபன்எல்டிஏபி. LDAP கோப்பகத்தில் உள்ள ஒவ்வொரு உள்ளீடும் DN ஆல் வரையறுக்கப்படுகிறது.
சிஸ்கோ ISE இல், பல LDAP சேவையகங்களுக்கான அணுகலை உள்ளமைக்க முடியும், அதன் மூலம் பணிநீக்கத்தை செயல்படுத்துகிறது. முதன்மை (முதன்மை) LDAP சேவையகம் இல்லை என்றால், ISE இரண்டாம் நிலை (இரண்டாம் நிலை) மற்றும் பலவற்றை அணுக முயற்சிக்கும். கூடுதலாக, 2 PANகள் இருந்தால், முதன்மை PANக்கு ஒரு LDAPயும், இரண்டாம் நிலை PANக்கு மற்றொரு LDAPயும் முன்னுரிமை அளிக்கப்படும்.
LDAP சேவையகங்களுடன் பணிபுரியும் போது ISE 2 வகையான தேடலை (லுக்அப்) ஆதரிக்கிறது: பயனர் தேடுதல் மற்றும் MAC முகவரி தேடுதல். பயனர் தேடுதல் LDAP தரவுத்தளத்தில் ஒரு பயனரைத் தேட மற்றும் அங்கீகாரம் இல்லாமல் பின்வரும் தகவலைப் பெற உங்களை அனுமதிக்கிறது: பயனர்கள் மற்றும் அவர்களின் பண்புக்கூறுகள், பயனர் குழுக்கள். MAC முகவரி தேடுதல் அங்கீகாரம் இல்லாமல் LDAP கோப்பகங்களில் MAC முகவரி மூலம் தேடவும் மற்றும் சாதனம், MAC முகவரிகள் மூலம் சாதனங்களின் குழு மற்றும் பிற குறிப்பிட்ட பண்புக்கூறுகள் பற்றிய தகவலைப் பெறவும் உங்களை அனுமதிக்கிறது.
ஒரு ஒருங்கிணைப்பு எடுத்துக்காட்டாக, சிஸ்கோ ஐஎஸ்இக்கு ஆக்டிவ் டைரக்டரியை எல்டிஏபி சர்வராகச் சேர்ப்போம்.
1) தாவலுக்குச் செல்லவும் நிர்வாகம் → அடையாள மேலாண்மை → வெளிப்புற அடையாள ஆதாரங்கள் → LDAP → சேர்.
படம் 4. LDAP சேவையகத்தைச் சேர்த்தல்
2) பேனலில் பொது LDAP சேவையகத்தின் பெயர் மற்றும் திட்டத்தை குறிப்பிடவும் (எங்கள் விஷயத்தில், செயலில் உள்ள அடைவு).
படம் 5. ஆக்டிவ் டைரக்டரி ஸ்கீமாவுடன் LDAP சேவையகத்தைச் சேர்த்தல்
3) அடுத்து செல்லவும் இணைப்பு தாவல் மற்றும் தேர்ந்தெடுக்கவும் ஹோஸ்ட்பெயர்/IP முகவரி சர்வர் AD, போர்ட் (389 - LDAP, 636 - SSL LDAP), டொமைன் நிர்வாகி நற்சான்றிதழ்கள் (நிர்வாகம் DN - முழு DN), பிற அளவுருக்கள் இயல்புநிலையாக விடப்படலாம்.
கருத்து: சாத்தியமான சிக்கல்களைத் தவிர்க்க நிர்வாகி டொமைன் விவரங்களைப் பயன்படுத்தவும்.
படம் 6 LDAP சர்வர் தரவை உள்ளிடுகிறது
4) தாவலில் அடைவு அமைப்பு பயனர்கள் மற்றும் பயனர் குழுக்களை எங்கிருந்து இழுக்க வேண்டும் என்று DN மூலம் அடைவுப் பகுதியைக் குறிப்பிட வேண்டும்.
படம் 7. பயனர் குழுக்கள் மேலே இழுக்கக்கூடிய கோப்பகங்களைத் தீர்மானித்தல்
5) சாளரத்திற்குச் செல்லவும் குழுக்கள் → சேர் → கோப்பகத்திலிருந்து குழுக்களைத் தேர்ந்தெடுக்கவும் LDAP சேவையகத்திலிருந்து இழுக்கும் குழுக்களைத் தேர்ந்தெடுக்க.
படம் 8. LDAP சேவையகத்திலிருந்து குழுக்களைச் சேர்த்தல்
6) தோன்றும் விண்டோவில் கிளிக் செய்யவும் குழுக்களை மீட்டெடுக்கவும். குழுக்கள் இழுத்துச் சென்றால், பூர்வாங்க நடவடிக்கைகள் வெற்றிகரமாக முடிக்கப்பட்டுள்ளன. இல்லையெனில், மற்றொரு நிர்வாகியை முயற்சிக்கவும் மற்றும் LDAP நெறிமுறை மூலம் LDAP சேவையகத்துடன் ISE இன் கிடைக்கும் தன்மையை சரிபார்க்கவும்.
படம் 9. இழுக்கப்பட்ட பயனர் குழுக்களின் பட்டியல்
7) தாவலில் காரணிகள் LDAP சேவையகத்திலிருந்து எந்தப் பண்புக்கூறுகள் மேலே இழுக்கப்பட வேண்டும் என்பதை நீங்கள் விருப்பப்படி குறிப்பிடலாம். மேம்பட்ட அமைப்புகள் விருப்பத்தை இயக்கு கடவுச்சொல் மாற்றத்தை இயக்கு, இது காலாவதியாகிவிட்டாலோ அல்லது மீட்டமைக்கப்பட்டாலோ பயனர்கள் தங்கள் கடவுச்சொல்லை மாற்றும்படி கட்டாயப்படுத்தும். எப்படியும் கிளிக் செய்யவும் சமர்ப்பிக்கவும் தொடர.
8) LDAP சேவையகம் தொடர்புடைய தாவலில் தோன்றியது மற்றும் எதிர்காலத்தில் அணுகல் கொள்கைகளை உருவாக்கப் பயன்படுத்தலாம்.
படம் 10. சேர்க்கப்பட்ட LDAP சேவையகங்களின் பட்டியல்
4. செயலில் உள்ள கோப்பகத்துடன் ஒருங்கிணைப்பு
1) மைக்ரோசாஃப்ட் ஆக்டிவ் டைரக்டரி சர்வரை LDAP சேவையகமாகச் சேர்ப்பதன் மூலம், பயனர்கள், பயனர் குழுக்களைப் பெற்றோம், ஆனால் பதிவுகள் இல்லை. அடுத்து, சிஸ்கோ ISE உடன் முழு அளவிலான AD ஒருங்கிணைப்பை அமைக்க நான் முன்மொழிகிறேன். தாவலுக்குச் செல்லவும் நிர்வாகம் → அடையாள மேலாண்மை → வெளிப்புற அடையாள ஆதாரங்கள் → செயலில் உள்ள அடைவு → சேர்.
குறிப்பு: AD உடன் வெற்றிகரமாக ஒருங்கிணைக்க, ISE ஒரு டொமைனில் இருக்க வேண்டும் மற்றும் DNS, NTP மற்றும் AD சேவையகங்களுடன் முழு இணைப்பையும் கொண்டிருக்க வேண்டும், இல்லையெனில் அதில் எதுவும் வராது.
படம் 11. செயலில் உள்ள அடைவு சேவையகத்தைச் சேர்த்தல்
2) தோன்றும் சாளரத்தில், டொமைன் நிர்வாகி விவரங்களை உள்ளிட்டு பெட்டியை சரிபார்க்கவும் சான்றுகளை சேமிக்கவும். கூடுதலாக, ISE ஒரு குறிப்பிட்ட OU இல் அமைந்திருந்தால், OU (நிறுவன அலகு) ஐ நீங்கள் குறிப்பிடலாம். அடுத்து, நீங்கள் டொமைனுடன் இணைக்க விரும்பும் Cisco ISE முனைகளைத் தேர்ந்தெடுக்க வேண்டும்.
படம் 12. நற்சான்றிதழ்களை உள்ளிடுதல்
3) டொமைன் கன்ட்ரோலர்களைச் சேர்ப்பதற்கு முன், தாவலில் PSN இல் இருப்பதை உறுதிசெய்யவும் நிர்வாகம் → சிஸ்டம் → வரிசைப்படுத்தல் விருப்பம் இயக்கப்பட்டது செயலற்ற அடையாள சேவை. செயலற்ற ஐடி - பயனரை ஐபிக்கு மொழிபெயர்க்க உங்களை அனுமதிக்கும் ஒரு விருப்பம். PassiveID ஆனது AD இலிருந்து WMI, சிறப்பு AD முகவர்கள் அல்லது ஸ்விட்சில் உள்ள SPAN போர்ட் வழியாக தகவல்களைப் பெறுகிறது (சிறந்த விருப்பம் அல்ல).
குறிப்பு: செயலற்ற ஐடியின் நிலையைச் சரிபார்க்க, ISE கன்சோலில் தட்டச்சு செய்யவும் விண்ணப்ப நிலையை காட்டு | செயலற்ற ஐடி அடங்கும்.
படம் 13. PassiveID விருப்பத்தை இயக்குகிறது
4) தாவலுக்குச் செல்லவும் நிர்வாகம் → அடையாள மேலாண்மை → வெளிப்புற அடையாள ஆதாரங்கள் → செயலில் உள்ள அடைவு → PassiveID மற்றும் விருப்பத்தைத் தேர்ந்தெடுக்கவும் DC களைச் சேர்க்கவும். அடுத்து, தேர்வுப்பெட்டிகளுடன் தேவையான டொமைன் கன்ட்ரோலர்களைத் தேர்ந்தெடுத்து கிளிக் செய்யவும் சரி.
படம் 14. டொமைன் கன்ட்ரோலர்களைச் சேர்த்தல்
5) சேர்க்கப்பட்ட DCகளைத் தேர்ந்தெடுத்து பொத்தானைக் கிளிக் செய்யவும் தொகு. குறிக்கவும் FQDN உங்கள் DC, டொமைன் உள்நுழைவு மற்றும் கடவுச்சொல் மற்றும் ஒரு இணைப்பு விருப்பம் WMI அல்லது அதிபர். WMI ஐத் தேர்ந்தெடுத்து கிளிக் செய்யவும் சரி.
படம் 15 டொமைன் கன்ட்ரோலர் விவரங்களை உள்ளிடுகிறது
6) ஆக்டிவ் டைரக்டரியுடன் தொடர்புகொள்வதற்கு WMI விருப்பமான வழி இல்லை என்றால், ISE முகவர்களைப் பயன்படுத்தலாம். முகவர் முறை என்னவென்றால், உள்நுழைவு நிகழ்வுகளை வெளியிடும் சிறப்பு முகவர்களை நீங்கள் சேவையகங்களில் நிறுவலாம். 2 நிறுவல் விருப்பங்கள் உள்ளன: தானியங்கி மற்றும் கையேடு. அதே தாவலில் முகவரைத் தானாக நிறுவ செயலற்ற ஐடி உருப்படியைத் தேர்ந்தெடுக்கவும் முகவரைச் சேர் → புதிய முகவரைப் பயன்படுத்தவும் (DC இணைய அணுகல் வேண்டும்). பின்னர் தேவையான புலங்களை நிரப்பவும் (முகவர் பெயர், சர்வர் FQDN, டொமைன் நிர்வாகி உள்நுழைவு/கடவுச்சொல்) மற்றும் கிளிக் செய்யவும் சரி.
படம் 16. ISE ஏஜெண்டின் தானியங்கி நிறுவல்
7) Cisco ISE முகவரை கைமுறையாக நிறுவ, உருப்படியைத் தேர்ந்தெடுக்கவும் ஏற்கனவே உள்ள முகவரைப் பதிவு செய்யவும். மூலம், நீங்கள் தாவலில் முகவர் பதிவிறக்க முடியும் பணி மையங்கள் → PassiveID → வழங்குநர்கள் → முகவர்கள் → பதிவிறக்க முகவர்.
படம் 17. ISE முகவரைப் பதிவிறக்குகிறது
அது முக்கியம்: PassiveID நிகழ்வுகளைப் படிக்காது உள்நுழைவு! காலக்கெடுவுக்கு பொறுப்பான அளவுரு அழைக்கப்படுகிறது பயனர் அமர்வு வயதான நேரம் மற்றும் முன்னிருப்பாக 24 மணிநேரத்திற்கு சமம். எனவே, வேலை நாளின் முடிவில் நீங்களே வெளியேற வேண்டும் அல்லது உள்நுழைந்துள்ள அனைத்து பயனர்களையும் தானாக வெளியேற்றும் சில வகையான ஸ்கிரிப்டை எழுத வேண்டும்.
தகவலுக்கு உள்நுழைவு "எண்ட்பாயிண்ட் ஆய்வுகள்" பயன்படுத்தப்படுகின்றன - முனைய ஆய்வுகள். சிஸ்கோ ISE இல் பல இறுதிப்புள்ளி ஆய்வுகள் உள்ளன: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP ஸ்கேன். வரம்பு RADIUS பயன்படுத்தி ஆய்வு CoA (அங்கீகரிப்பின் மாற்றம்) தொகுப்புகள் பயனர் உரிமைகளை மாற்றுவது பற்றிய தகவல்களைத் தருகின்றன (இதற்கு உட்பொதிக்கப்பட வேண்டும் 802.1X), மற்றும் அணுகல் சுவிட்சுகள் SNMP இல் கட்டமைக்கப்பட்டது, இணைக்கப்பட்ட மற்றும் துண்டிக்கப்பட்ட சாதனங்கள் பற்றிய தகவலை வழங்கும்.
802.1X மற்றும் RADIUS இல்லாமல் Cisco ISE + AD உள்ளமைவுக்கு பின்வரும் எடுத்துக்காட்டு பொருத்தமானது: ஒரு பயனர் விண்டோஸ் கணினியில் உள்நுழைந்துள்ளார், லாக்ஆஃப் செய்யாமல், WiFi வழியாக மற்றொரு கணினியிலிருந்து உள்நுழையவும். இந்த வழக்கில், நேரம் முடிவடையும் வரை அல்லது கட்டாய லாக்ஆஃப் ஏற்படும் வரை முதல் கணினியில் அமர்வு செயலில் இருக்கும். சாதனங்களுக்கு வெவ்வேறு உரிமைகள் இருந்தால், கடைசியாக உள்நுழைந்த சாதனம் அதன் உரிமைகளைப் பயன்படுத்தும்.
8) தாவலில் விருப்பமானது நிர்வாகம் → அடையாள மேலாண்மை → வெளிப்புற அடையாள ஆதாரங்கள் → செயலில் உள்ள அடைவு → குழுக்கள் → சேர் → கோப்பகத்திலிருந்து குழுக்களைத் தேர்ந்தெடு AD இலிருந்து நீங்கள் ISE இல் மேலே செல்ல விரும்பும் குழுக்களைத் தேர்ந்தெடுக்கலாம் (எங்கள் விஷயத்தில், இது படி 3 “LDAP சேவையகத்தைச் சேர்ப்பது” இல் செய்யப்பட்டது). ஒரு விருப்பத்தைத் தேர்ந்தெடுக்கவும் குழுக்களை மீட்டெடுக்கவும் → சரி.
படம் 18 a). செயலில் உள்ள கோப்பகத்திலிருந்து பயனர் குழுக்களை இழுக்கிறது
9) தாவலில் பணி மையங்கள் → PassiveID → மேலோட்டம் → டாஷ்போர்டு செயலில் உள்ள அமர்வுகளின் எண்ணிக்கை, தரவு மூலங்களின் எண்ணிக்கை, முகவர்கள் மற்றும் பலவற்றை நீங்கள் அவதானிக்கலாம்.
படம் 19. டொமைன் பயனர்களின் செயல்பாட்டைக் கண்காணித்தல்
10) தாவலில் நேரடி அமர்வுகள் தற்போதைய அமர்வுகள் காட்டப்படும். AD உடன் ஒருங்கிணைப்பு கட்டமைக்கப்பட்டுள்ளது.
படம் 20. டொமைன் பயனர்களின் செயலில் உள்ள அமர்வுகள்
5. முடிவுக்கு
இந்த கட்டுரை சிஸ்கோ ISE இல் உள்ளூர் பயனர்களை உருவாக்குதல், LDAP சேவையகங்களைச் சேர்ப்பது மற்றும் மைக்ரோசாஃப்ட் ஆக்டிவ் டைரக்டரியுடன் ஒருங்கிணைத்தல் ஆகியவற்றை உள்ளடக்கியது. அடுத்த கட்டுரை, தேவையற்ற வழிகாட்டி வடிவத்தில் விருந்தினர் அணுகலை முன்னிலைப்படுத்தும்.
இந்தத் தலைப்பைப் பற்றி ஏதேனும் கேள்விகள் இருந்தால் அல்லது தயாரிப்பைச் சோதிக்க உதவி தேவைப்பட்டால், தயவுசெய்து தொடர்பு கொள்ளவும் .
எங்கள் சேனல்களில் புதுப்பிப்புகளுக்கு காத்திருங்கள் (, , , , ).
ஆதாரம்: www.habr.com