సిస్కో ISEకి అంకితం చేయబడిన కథనాల శ్రేణి యొక్క రెండవ ప్రచురణకు స్వాగతం. మొదటి లో
ఈ కథనంలో మేము ఖాతాలను సృష్టించడం, LDAP సర్వర్లను జోడించడం మరియు మైక్రోసాఫ్ట్ యాక్టివ్ డైరెక్టరీతో ఏకీకరణ, అలాగే PassiveIDతో పనిచేసేటప్పుడు సూక్ష్మ నైపుణ్యాలను పరిశీలిస్తాము. చదవడానికి ముందు, మీరు చదవమని నేను గట్టిగా సిఫార్సు చేస్తున్నాను
1. కొంత పరిభాష
వినియోగదారు గుర్తింపు — వినియోగదారు గురించి సమాచారాన్ని కలిగి ఉన్న వినియోగదారు ఖాతా మరియు నెట్వర్క్ను యాక్సెస్ చేయడానికి అతని ఆధారాలను రూపొందించడం. కింది పారామీటర్లు సాధారణంగా వినియోగదారు గుర్తింపులో పేర్కొనబడతాయి: వినియోగదారు పేరు, ఇమెయిల్ చిరునామా, పాస్వర్డ్, ఖాతా వివరణ, వినియోగదారు సమూహం మరియు పాత్ర.
వినియోగదారు గుంపులు - వినియోగదారు సమూహాలు అనేది సిస్కో ISE సేవలు మరియు ఫంక్షన్ల యొక్క నిర్దిష్ట సెట్ను యాక్సెస్ చేయడానికి అనుమతించే ప్రత్యేక అధికారాలను కలిగి ఉన్న వ్యక్తిగత వినియోగదారుల సమాహారం.
వినియోగదారు గుర్తింపు సమూహాలు - ఇప్పటికే నిర్దిష్ట సమాచారం మరియు పాత్రలను కలిగి ఉన్న ముందే నిర్వచించబడిన వినియోగదారు సమూహాలు. కింది వినియోగదారు గుర్తింపు సమూహాలు డిఫాల్ట్గా ఉన్నాయి మరియు మీరు వాటికి వినియోగదారులను మరియు వినియోగదారు సమూహాలను జోడించవచ్చు: ఉద్యోగి, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (అతిథి పోర్టల్ని నిర్వహించడానికి స్పాన్సర్ ఖాతాలు), అతిథి, యాక్టివేటెడ్ గెస్ట్.
వినియోగదారు పాత్ర - వినియోగదారు పాత్ర అనేది వినియోగదారు ఏ విధులను నిర్వహించగలరో మరియు వినియోగదారు ఏ సేవలను యాక్సెస్ చేయగలరో నిర్ణయించే అనుమతుల సమితి. తరచుగా వినియోగదారు పాత్ర వినియోగదారుల సమూహంతో అనుబంధించబడుతుంది.
అంతేకాకుండా, ప్రతి వినియోగదారు మరియు వినియోగదారు సమూహం ఇచ్చిన వినియోగదారుని (యూజర్ గ్రూప్) హైలైట్ చేయడానికి మరియు మరింత ప్రత్యేకంగా నిర్వచించడానికి మిమ్మల్ని అనుమతించే అదనపు లక్షణాలను కలిగి ఉంటుంది. లో మరింత సమాచారం
2. స్థానిక వినియోగదారులను సృష్టించండి
1) Cisco ISEలో స్థానిక వినియోగదారులను సృష్టించడం మరియు యాక్సెస్ విధానాలలో వారిని ఉపయోగించడం లేదా వారికి ఉత్పత్తి నిర్వహణ పాత్రను ఇవ్వడం సాధ్యమవుతుంది. ఎంచుకోండి అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → గుర్తింపులు → వినియోగదారులు → జోడించండి.
మూర్తి 1: సిస్కో ISEకి స్థానిక వినియోగదారుని జోడించడం
2) కనిపించే విండోలో, స్థానిక వినియోగదారుని సృష్టించండి, అతనికి పాస్వర్డ్ మరియు ఇతర స్పష్టమైన పారామితులను ఇవ్వండి.
మూర్తి 2. సిస్కో ISEలో స్థానిక వినియోగదారుని సృష్టించడం
3) వినియోగదారులు కూడా దిగుమతి చేసుకోవచ్చు. అదే ట్యాబ్లో అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → గుర్తింపులు → వినియోగదారులు ఎంపికను ఎంచుకోండి దిగుమతి మరియు వినియోగదారులతో csv లేదా txt ఫైల్ను అప్లోడ్ చేయండి. టెంప్లేట్ పొందడానికి, ఎంచుకోండి ఒక టెంప్లేట్ను రూపొందించండి, అప్పుడు మీరు తగిన ఫారమ్లో వినియోగదారుల గురించిన సమాచారాన్ని నింపాలి.
మూర్తి 3. సిస్కో ISEలోకి వినియోగదారులను దిగుమతి చేస్తోంది
3. LDAP సర్వర్లను జోడిస్తోంది
LDAP అనేది జనాదరణ పొందిన అప్లికేషన్-స్థాయి ప్రోటోకాల్ అని నేను మీకు గుర్తు చేస్తున్నాను, ఇది సమాచారాన్ని స్వీకరించడానికి, ప్రామాణీకరణను నిర్వహించడానికి, LDAP సర్వర్ డైరెక్టరీలలో ఖాతాల కోసం శోధించడానికి మరియు పోర్ట్ 389 లేదా 636 (SS)లో పని చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. LDAP సర్వర్లకు ప్రముఖ ఉదాహరణలు యాక్టివ్ డైరెక్టరీ, సన్ డైరెక్టరీ, నోవెల్ eDirectory మరియు OpenLDAP. LDAP డైరెక్టరీలోని ప్రతి ఎంట్రీ DN (విశిష్ట పేరు) ద్వారా నిర్వచించబడుతుంది మరియు యాక్సెస్ విధానాన్ని రూపొందించడానికి, ఖాతాలు, వినియోగదారు సమూహాలు మరియు లక్షణాలను తిరిగి పొందే పని తలెత్తుతుంది.
Cisco ISEలో అనేక LDAP సర్వర్లకు యాక్సెస్ని కాన్ఫిగర్ చేయడం సాధ్యమవుతుంది, తద్వారా రిడెండెన్సీని గ్రహించవచ్చు. ప్రాథమిక LDAP సర్వర్ అందుబాటులో లేకుంటే, ISE సెకండరీని సంప్రదించడానికి ప్రయత్నిస్తుంది. అదనంగా, 2 PANలు ఉన్నట్లయితే, ప్రాథమిక PAN కోసం ఒక LDAPకి ప్రాధాన్యత ఇవ్వబడుతుంది మరియు ద్వితీయ PAN కోసం మరొక LDAPకి ప్రాధాన్యత ఇవ్వబడుతుంది.
LDAP సర్వర్లతో పని చేస్తున్నప్పుడు ISE 2 రకాల శోధనకు మద్దతు ఇస్తుంది: వినియోగదారు శోధన మరియు MAC చిరునామా శోధన. వినియోగదారు శోధన LDAP డేటాబేస్లో వినియోగదారుని శోధించడానికి మరియు ప్రమాణీకరణ లేకుండా క్రింది సమాచారాన్ని తిరిగి పొందడానికి మిమ్మల్ని అనుమతిస్తుంది: వినియోగదారులు మరియు వారి లక్షణాలు, వినియోగదారు సమూహాలు. MAC అడ్రస్ లుకప్ మిమ్మల్ని ప్రామాణీకరణ లేకుండా LDAP డైరెక్టరీలలో MAC చిరునామా ద్వారా శోధించడానికి మరియు MAC చిరునామాలు మరియు ఇతర నిర్దిష్ట లక్షణాల ద్వారా పరికరం, పరికరాల సమూహం గురించి సమాచారాన్ని పొందేందుకు మిమ్మల్ని అనుమతిస్తుంది.
ఇంటిగ్రేషన్కు ఉదాహరణగా, సిస్కో ISEకి యాక్టివ్ డైరెక్టరీని LDAP సర్వర్గా జోడిద్దాం.
1) ట్యాబ్కు వెళ్లండి అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → బాహ్య గుర్తింపు మూలాలు → LDAP → జోడించు.
మూర్తి 4. LDAP సర్వర్ని కలుపుతోంది
2) ప్యానెల్లో జనరల్ LDAP సర్వర్ పేరు మరియు పథకాన్ని పేర్కొనండి (మా సందర్భంలో యాక్టివ్ డైరెక్టరీ).
మూర్తి 5. యాక్టివ్ డైరెక్టరీ స్కీమాతో LDAP సర్వర్ని జోడించడం
3) తదుపరి వెళ్ళండి కనెక్షన్ టాబ్ మరియు పేర్కొనండి హోస్ట్ పేరు/IP చిరునామా సర్వర్ AD, పోర్ట్ (389 - LDAP, 636 - SSL LDAP), డొమైన్ అడ్మినిస్ట్రేటర్ ఆధారాలు (అడ్మిన్ DN - పూర్తి DN), ఇతర పారామితులను డిఫాల్ట్గా వదిలివేయవచ్చు.
వ్యాఖ్య: సంభావ్య సమస్యలను నివారించడానికి నిర్వాహక డొమైన్ వివరాలను ఉపయోగించండి.
మూర్తి 6. LDAP సర్వర్ డేటాను నమోదు చేస్తోంది
4) ట్యాబ్లో డైరెక్టరీ ఆర్గనైజేషన్ మీరు వినియోగదారులు మరియు వినియోగదారు సమూహాలను లాగడానికి DN ద్వారా డైరెక్టరీ ప్రాంతాన్ని పేర్కొనాలి.
మూర్తి 7. వినియోగదారు సమూహాలను పైకి లాగడానికి డైరెక్టరీలను నిర్ణయించడం
5) విండోకు వెళ్లండి సమూహాలు → జోడించు → డైరెక్టరీ నుండి సమూహాలను ఎంచుకోండి LDAP సర్వర్ నుండి పుల్లింగ్ గ్రూపులను ఎంచుకోవడానికి.
మూర్తి 8. LDAP సర్వర్ నుండి సమూహాలను కలుపుతోంది
6) కనిపించే విండోలో, క్లిక్ చేయండి సమూహాలను తిరిగి పొందండి. సమూహాలు చేరినట్లయితే, ప్రాథమిక దశలు విజయవంతంగా పూర్తయ్యాయి. లేకపోతే, మరొక నిర్వాహకుడిని ప్రయత్నించండి మరియు LDAP ప్రోటోకాల్ని ఉపయోగించి LDAP సర్వర్తో ISE లభ్యతను తనిఖీ చేయండి.
మూర్తి 9. ప్రారంభించబడిన వినియోగదారు సమూహాల జాబితా
7) ట్యాబ్లో గుణాలు మీరు ఐచ్ఛికంగా LDAP సర్వర్ నుండి ఏ లక్షణాలను పైకి లాగాలి మరియు విండోలో పేర్కొనవచ్చు ఆధునిక సెట్టింగులు ఎంపికను ప్రారంభించండి పాస్వర్డ్ మార్పును ప్రారంభించండి, ఇది గడువు ముగిసినా లేదా రీసెట్ చేయబడినా వారి పాస్వర్డ్ను మార్చమని వినియోగదారులను బలవంతం చేస్తుంది. ఎలాగైనా, క్లిక్ చేయండి సమర్పించండి కొనసాగటానికి.
8) LDAP సర్వర్ సంబంధిత ట్యాబ్లో కనిపిస్తుంది మరియు తర్వాత యాక్సెస్ విధానాలను రూపొందించడానికి ఉపయోగించవచ్చు.
మూర్తి 10. జోడించబడిన LDAP సర్వర్ల జాబితా
4. యాక్టివ్ డైరెక్టరీతో ఇంటిగ్రేషన్
1) మైక్రోసాఫ్ట్ యాక్టివ్ డైరెక్టరీ సర్వర్ను LDAP సర్వర్గా జోడించడం ద్వారా, మేము వినియోగదారులను, వినియోగదారు సమూహాలను స్వీకరించాము, కానీ లాగ్లను స్వీకరించలేదు. తర్వాత, నేను సిస్కో ISEతో పూర్తి AD ఇంటిగ్రేషన్ని సెటప్ చేయమని సూచిస్తున్నాను. ట్యాబ్కి వెళ్లండి అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → బాహ్య గుర్తింపు మూలాలు → యాక్టివ్ డైరెక్టరీ → జోడించు.
గమనిక: ADతో విజయవంతమైన ఏకీకరణ కోసం, ISE తప్పనిసరిగా డొమైన్లో ఉండాలి మరియు DNS, NTP మరియు AD సర్వర్లతో పూర్తి కనెక్టివిటీని కలిగి ఉండాలి, లేకుంటే ఏదీ పని చేయదు.
మూర్తి 11. యాక్టివ్ డైరెక్టరీ సర్వర్ని కలుపుతోంది
2) కనిపించే విండోలో, డొమైన్ అడ్మినిస్ట్రేటర్ సమాచారాన్ని నమోదు చేసి, పెట్టెను ఎంచుకోండి ఆధారాలను నిల్వ చేయండి. అదనంగా, ISE నిర్దిష్ట OUలో ఉన్నట్లయితే మీరు OU (ఆర్గనైజేషనల్ యూనిట్)ని పేర్కొనవచ్చు. తర్వాత, మీరు డొమైన్కు కనెక్ట్ చేయాలనుకుంటున్న సిస్కో ISE నోడ్లను ఎంచుకోవాలి.
మూర్తి 12. ఆధారాలను నమోదు చేస్తోంది
3) డొమైన్ కంట్రోలర్లను జోడించే ముందు, ట్యాబ్లో PSNలో ఉందని నిర్ధారించుకోండి అడ్మినిస్ట్రేషన్ → సిస్టమ్ → విస్తరణ ఎంపిక ప్రారంభించబడింది నిష్క్రియ గుర్తింపు సేవ. నిష్క్రియ ID — వినియోగదారుని IPకి మరియు వైస్ వెర్సాకు అనువదించడానికి మిమ్మల్ని అనుమతించే ఒక ఎంపిక. PassiveID AD నుండి WMI, ప్రత్యేక AD ఏజెంట్లు లేదా స్విచ్లోని SPAN పోర్ట్ ద్వారా సమాచారాన్ని అందుకుంటుంది (ఉత్తమ ఎంపిక కాదు).
గమనిక: నిష్క్రియ ID స్థితిని తనిఖీ చేయడానికి, ISE కన్సోల్లో నమోదు చేయండి అప్లికేషన్ స్థితిని చూపించు | PassiveIDని చేర్చండి.
మూర్తి 13. PassiveID ఎంపికను ప్రారంభించడం
4) ట్యాబ్కి వెళ్లండి అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → బాహ్య గుర్తింపు మూలాలు → యాక్టివ్ డైరెక్టరీ → PassiveID మరియు ఎంపికను ఎంచుకోండి DCలను జోడించండి. తర్వాత, చెక్బాక్స్ల ద్వారా అవసరమైన డొమైన్ కంట్రోలర్లను ఎంచుకుని, క్లిక్ చేయండి అలాగే.
మూర్తి 14. డొమైన్ కంట్రోలర్లను కలుపుతోంది
5) జోడించిన DCలను ఎంచుకుని, బటన్ను క్లిక్ చేయండి మార్చు. సూచించండి FQDN మీ DC, డొమైన్ లాగిన్ మరియు పాస్వర్డ్, అలాగే కమ్యూనికేషన్ ఎంపిక WMI లేదా ఏజెంట్. WMI ఎంచుకోండి మరియు క్లిక్ చేయండి అలాగే.
మూర్తి 15. డొమైన్ కంట్రోలర్ సమాచారాన్ని నమోదు చేస్తోంది
6) యాక్టివ్ డైరెక్టరీతో కమ్యూనికేట్ చేయడానికి WMI ప్రాధాన్య పద్ధతి కాకపోతే, ISE ఏజెంట్లను ఉపయోగించవచ్చు. ఏజెంట్ పద్ధతి ఏమిటంటే, మీరు లాగిన్ ఈవెంట్లను జారీ చేసే ప్రత్యేక ఏజెంట్లను సర్వర్లో ఇన్స్టాల్ చేయవచ్చు. 2 ఇన్స్టాలేషన్ ఎంపికలు ఉన్నాయి: ఆటోమేటిక్ మరియు మాన్యువల్. అదే ట్యాబ్లో ఏజెంట్ను స్వయంచాలకంగా ఇన్స్టాల్ చేయడానికి నిష్క్రియ ID అంశాన్ని ఎంచుకోండి ఏజెంట్ని జోడించు → కొత్త ఏజెంట్ని అమలు చేయండి (DCకి ఇంటర్నెట్ సదుపాయం ఉండాలి). ఆపై అవసరమైన ఫీల్డ్లను పూరించండి (ఏజెంట్ పేరు, సర్వర్ FQDN, డొమైన్ అడ్మినిస్ట్రేటర్ లాగిన్/పాస్వర్డ్) మరియు క్లిక్ చేయండి అలాగే.
మూర్తి 16. ISE ఏజెంట్ యొక్క స్వయంచాలక సంస్థాపన
7) Cisco ISE ఏజెంట్ను మాన్యువల్గా ఇన్స్టాల్ చేయడానికి, మీరు ఎంచుకోవాలి ఇప్పటికే ఉన్న ఏజెంట్ని నమోదు చేయండి. మార్గం ద్వారా, మీరు ట్యాబ్లో ఏజెంట్ను డౌన్లోడ్ చేసుకోవచ్చు పని కేంద్రాలు → PassiveID → ప్రొవైడర్లు → ఏజెంట్లు → డౌన్లోడ్ ఏజెంట్.
మూర్తి 17. ISE ఏజెంట్ని డౌన్లోడ్ చేస్తోంది
ఇది ముఖ్యం: PassiveID ఈవెంట్లను చదవదు ముసివేయు! గడువు ముగిసే సమయానికి బాధ్యత వహించే పరామితి అంటారు వినియోగదారు సెషన్ వృద్ధాప్య సమయం మరియు డిఫాల్ట్గా 24 గంటలకు సమానం. కాబట్టి, మీరు పని దినం ముగిసే సమయానికి మీరే లాగ్ఆఫ్ చేసుకోవాలి లేదా లాగిన్ అయిన వినియోగదారులందరినీ స్వయంచాలకంగా లాగ్ఆఫ్ చేసే స్క్రిప్ట్ను వ్రాయండి.
సమాచారం కోసం ముసివేయు "ఎండ్పాయింట్ ప్రోబ్స్" ఉపయోగించబడతాయి. సిస్కో ISEలో అనేక ఎండ్ పాయింట్ ప్రోబ్స్ ఉన్నాయి: RADIUS, SNMP ట్రాప్, SNMP క్వెరీ, DHCP, DNS, HTTP, Netflow, NMAP స్కాన్. RADIUS ఉపయోగించి ప్రోబ్ CoA (ఆథరైజేషన్ మార్పు) ప్యాకేజీలు వినియోగదారు హక్కులను మార్చడం గురించి సమాచారాన్ని అందిస్తాయి (దీనికి పొందుపరచడం అవసరం 802.1X), మరియు యాక్సెస్ స్విచ్లపై కాన్ఫిగర్ చేయబడిన SNMP కనెక్ట్ చేయబడిన మరియు డిస్కనెక్ట్ చేయబడిన పరికరాల గురించి సమాచారాన్ని అందిస్తుంది.
802.1X మరియు RADIUS లేకుండా Cisco ISE + AD కాన్ఫిగరేషన్కు సంబంధించిన ఉదాహరణ క్రింద ఉంది: వినియోగదారు Windows మెషీన్లో లాగిన్ చేసి, లాగ్ఆఫ్ చేయకుండానే, WiFi ద్వారా మరొక PC నుండి లాగిన్ అవ్వండి. ఈ సందర్భంలో, గడువు ముగిసే వరకు లేదా బలవంతంగా లాగ్ఆఫ్ అయ్యే వరకు మొదటి PCలోని సెషన్ ఇప్పటికీ సక్రియంగా ఉంటుంది. అప్పుడు, పరికరాలకు వేర్వేరు హక్కులు ఉంటే, చివరిగా లాగిన్ చేసిన పరికరం దాని హక్కులను వర్తింపజేస్తుంది.
8) ట్యాబ్లో అదనపువి అడ్మినిస్ట్రేషన్ → గుర్తింపు నిర్వహణ → బాహ్య గుర్తింపు మూలాలు → క్రియాశీల డైరెక్టరీ → సమూహాలు → జోడించు → డైరెక్టరీ నుండి సమూహాలను ఎంచుకోండి మీరు ISEకి జోడించాలనుకుంటున్న AD నుండి సమూహాలను ఎంచుకోవచ్చు (మా విషయంలో, ఇది దశ 3 “LDAP సర్వర్ని జోడించడం”లో జరిగింది). ఒక ఎంపికను ఎంచుకోండి సమూహాలను తిరిగి పొందండి → సరే.
మూర్తి 18 a). యాక్టివ్ డైరెక్టరీ నుండి వినియోగదారు సమూహాలను లాగడం
9) ట్యాబ్లో పని కేంద్రాలు → PassiveID → అవలోకనం → డాష్బోర్డ్ మీరు సక్రియ సెషన్ల సంఖ్య, డేటా మూలాధారాల సంఖ్య, ఏజెంట్లు మరియు మరిన్నింటిని పర్యవేక్షించవచ్చు.
మూర్తి 19. డొమైన్ వినియోగదారు కార్యకలాపాన్ని పర్యవేక్షించడం
10) ట్యాబ్లో లైవ్ సెషన్స్ ప్రస్తుత సెషన్లు ప్రదర్శించబడతాయి. ADతో ఏకీకరణ కాన్ఫిగర్ చేయబడింది.
మూర్తి 20. డొమైన్ వినియోగదారుల క్రియాశీల సెషన్లు
5. ముగింపు
ఈ కథనం Cisco ISEలో స్థానిక వినియోగదారులను సృష్టించడం, LDAP సర్వర్లను జోడించడం మరియు Microsoft Active డైరెక్టరీతో అనుసంధానం చేయడం వంటి అంశాలను కవర్ చేసింది. తదుపరి కథనం రిడెండెంట్ గైడ్ రూపంలో అతిథి యాక్సెస్ను కవర్ చేస్తుంది.
మీకు ఈ అంశంపై ఏవైనా ప్రశ్నలు ఉంటే లేదా ఉత్పత్తిని పరీక్షించడంలో సహాయం కావాలంటే, దయచేసి సంప్రదించండి
మా ఛానెల్లలో నవీకరణల కోసం వేచి ఉండండి (
మూలం: www.habr.com