Хуш омадед ба нашри дуюми силсилаи мақолаҳо бахшида ба Cisco ISE. Дар аввал бартариҳо ва фарқиятҳои қарорҳои назорати дастрасӣ ба шабака (NAC) аз стандарти AAA, беназирии Cisco ISE, меъморӣ ва раванди насби маҳсулот таъкид карда шуданд.
Дар ин мақола, мо ба эҷоди ҳисобҳо, илова кардани серверҳои LDAP ва ҳамгироӣ бо Microsoft Active Directory, инчунин нозукиҳо ҳангоми кор бо PassiveID меомӯзем. Пеш аз хондан, ман ба шумо тавсия медиҳам, ки хонед .
1. Баъзе истилоҳот
Шиносоии корбар — ҳисоби корбар, ки дорои маълумот дар бораи корбар ва маълумоти эътимоднокии ӯро барои дастрасӣ ба шабака ташкил медиҳад. Параметрҳои зерин маъмулан дар шахсияти корбар муайян карда мешаванд: номи корбар, суроғаи почтаи электронӣ, парол, тавсифи ҳисоб, гурӯҳи корбар ва нақш.
Гурӯҳҳои корбарон - Гурӯҳҳои корбарон маҷмӯи корбарони инфиродӣ мебошанд, ки маҷмӯи умумии имтиёзҳо доранд, ки ба онҳо имкон медиҳанд, ки ба маҷмӯи мушаххаси хидматҳо ва хусусиятҳои Cisco ISE дастрасӣ пайдо кунанд.
Гурӯҳҳои шахсияти корбар - гурӯҳҳои корбарони пешакӣ муайяншуда, ки аллакай маълумот ва нақшҳои муайян доранд. Гурӯҳҳои зерини шахсияти корбарон ба таври нобаёнӣ вуҷуд доранд ва шумо метавонед ба онҳо корбарон ва гурӯҳҳои корбаронро илова кунед: Корманд, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ҳисобҳои сарпарастӣ барои идоракунии портали меҳмонон), Меҳмон, ActivatedGuest.
Нақши корбар - Нақши корбар маҷмӯи иҷозатҳоест, ки муайян мекунад, ки корбар кадом вазифаҳоро иҷро карда метавонад ва ба кадом хидматҳо дастрасӣ пайдо кунад. Аксар вақт нақши корбар бо як гурӯҳи корбарон алоқаманд аст.
Ғайр аз он, ҳар як корбар ва гурӯҳи корбарон дорои атрибутҳои иловагӣ мебошанд, ки ба шумо имкон медиҳанд, ки корбари додашударо (гурӯҳи корбарон) равшан ва мушаххастар муайян кунед. Маълумоти бештар дар .
2. Эҷоди корбарони маҳаллӣ
1) Дар Cisco ISE имконпазир аст, ки корбарони маҳаллӣ эҷод карда, онҳоро дар сиёсатҳои дастрасӣ истифода баранд ё ҳатто ба онҳо нақши маъмурияти маҳсулот дод. Интихоб кунед Маъмурият → Идоракунии шахсият → Шахсиятҳо → Истифодабарандагон → Илова.
Тасвири 1: Илова кардани корбари маҳаллӣ ба Cisco ISE
2) Дар равзанаи пайдошуда корбари маҳаллӣ эҷод кунед, ба ӯ парол ва дигар параметрҳои равшанро диҳед.
Расми 2. Эҷоди корбари маҳаллӣ дар Cisco ISE
3) Истифодабарандагон инчунин метавонанд ворид карда шаванд. Дар ҳамон ҷадвал Маъмурият → Идоракунии шахсият → Шахсиятҳо → Истифодабарандагон як вариантро интихоб кунед Воридот ва файли csv ё txt-ро бо корбарон бор кунед. Барои гирифтани қолаб, -ро интихоб кунед Шаблон эҷод кунед, пас шумо бояд онро бо маълумот дар бораи корбарон дар шакли мувофиқ пур кунед.
Расми 3. Воридоти корбарон ба Cisco ISE
3. Илова кардани серверҳои LDAP
Ёдовар мешавам, ки LDAP як протоколи маъмули сатҳи барнома мебошад, ки ба шумо имкон медиҳад, ки маълумот гиред, аутентификатсия кунед, ҳисобҳоро дар феҳристҳои сервери LDAP ҷустуҷӯ кунед ва дар порти 389 ё 636 (SS) кор кунед. Намунаҳои намоёни серверҳои LDAP Active Directory, Sun Directory, Novell eDirectory ва OpenLDAP мебошанд. Ҳар як вуруд дар феҳристи LDAP аз ҷониби DN (Номи барҷаста) муайян карда мешавад ва барои таҳияи сиёсати дастрасӣ вазифаи дарёфти ҳисобҳо, гурӯҳҳо ва атрибутҳо ба миён меояд.
Дар Cisco ISE имкон дорад, ки дастрасӣ ба серверҳои зиёди LDAP-ро танзим кард ва ба ин васила зиёдатӣ ба амал меояд. Агар сервери ибтидоии LDAP дастрас набошад, ISE кӯшиш мекунад бо сервери дуюмдараҷа тамос гирад ва ғайра. Илова бар ин, агар 2 PAN мавҷуд бошад, пас як LDAP-ро барои PAN ибтидоӣ ва як LDAP-ро барои PAN дуюмдараҷа авлавият додан мумкин аст.
ISE ду намуди ҷустуҷӯро ҳангоми кор бо серверҳои LDAP дастгирӣ мекунад: Ҷустуҷӯи корбар ва Ҷустуҷӯи суроғаи MAC. Ҷустуҷӯи корбар ба шумо имкон медиҳад, ки корбарро дар пойгоҳи додаҳои LDAP ҷустуҷӯ кунед ва маълумоти зеринро бе аутентификатсия дарёфт кунед: корбарон ва атрибутҳои онҳо, гурӯҳҳои корбарон. Ҷустуҷӯи суроғаи MAC инчунин ба шумо имкон медиҳад, ки аз рӯи суроғаи MAC дар феҳристҳои LDAP бе аутентификатсия ҷустуҷӯ кунед ва дар бораи дастгоҳ, гурӯҳи дастгоҳҳо аз рӯи суроғаҳои MAC ва дигар атрибутҳои мушаххас маълумот гиред.
Ҳамчун намунаи ҳамгироӣ, биёед Active Directory-ро ба Cisco ISE ҳамчун сервери LDAP илова кунем.
1) Ба ҷадвал равед Маъмурият → Идоракунии шахсият → Сарчашмаҳои шахсияти беруна → LDAP → Илова.
Расми 4. Илова кардани сервери LDAP
2) Дар панел генерал ном ва схемаи сервери LDAP-ро муайян кунед (дар ҳолати мо Active Directory).
Расми 5. Илова кардани сервери LDAP бо схемаи Active Directory
3) Минбаъд ба Пайвастшавӣ ҷадвал ва муайян кунед Номи мизбон/Суроғаи IP Сервери AD, порт (389 - LDAP, 636 - SSL LDAP), эътимодномаи мудири домен (Admin DN - пурра DN), параметрҳои дигарро ҳамчун пешфарз гузоштан мумкин аст.
эрод гирифтан: Барои пешгирӣ кардани мушкилоти эҳтимолӣ тафсилоти домени администраторро истифода баред.
Расми 6. Ворид кардани маълумоти сервери LDAP
4) Дар ҷадвал Ташкилоти директория шумо бояд майдони феҳристро тавассути DN муайян кунед, ки аз он корбарон ва гурӯҳҳои корбаронро кашед.
Тасвири 7. Муайян кардани феҳристҳо, ки аз онҳо гурӯҳҳои корбарон бояд кашида шаванд
5) Ба тиреза равед Гурӯҳҳо → Илова → Гурӯҳҳоро аз директория интихоб кунед барои интихоби гурӯҳҳои ҷалбкунанда аз сервери LDAP.
Расми 8. Илова кардани гурӯҳҳо аз сервери LDAP
6) Дар равзанаи пайдошуда клик кунед Ҷустуҷӯи гурӯҳҳо. Агар гурӯҳҳо ҳамроҳ шуда бошанд, пас қадамҳои пешакӣ бомуваффақият анҷом дода шудаанд. Дар акси ҳол, мудири дигарро санҷед ва мавҷудияти ISE-ро бо сервери LDAP бо истифода аз протоколи LDAP санҷед.
Расми 9. Рӯйхати гурӯҳҳои корбарони фаъол
7) Дар ҷадвал хусусиятҳои шумо метавонед ба таври ихтиёрӣ муайян кунед, ки кадом атрибутҳо аз сервери LDAP бояд кашида шаванд ва дар тиреза Танзимоти Advanced имконоти фаъол Иваз кардани паролро фаъол созед, ки корбаронро маҷбур мекунад, ки пароли худро иваз кунанд, агар мӯҳлати он гузашта бошад ё аз нав барқарор карда шавад. Дар ҳар сурат, клик кунед Садо давом додан.
8) Сервери LDAP дар ҷадвали мувофиқ пайдо мешавад ва онро баъдтар барои эҷоди сиёсатҳои дастрасӣ истифода бурдан мумкин аст.
Тасвири 10. Рӯйхати серверҳои иловашудаи LDAP
4. Интегратсия бо Active Directory
1) Бо илова кардани сервери Microsoft Active Directory ба сифати сервери LDAP, мо корбарон, гурӯҳҳои корбаронро гирифтем, аммо на гузоришҳо. Баъдан, ман пешниҳод мекунам, ки ҳамгироии пурраи AD бо Cisco ISE таъсис дода шавад. Ба ҷадвал равед Маъмурият → Идоракунии шахсият → Сарчашмаҳои шахсияти беруна → Directory Active → Илова.
Эзоҳ: Барои ҳамгироии муваффақ бо AD, ISE бояд дар домен бошад ва бо серверҳои DNS, NTP ва AD пайвасти пурра дошта бошад, вагарна ҳеҷ чиз кор намекунад.
Расми 11. Илова кардани сервери Active Directory
2) Дар тирезае, ки пайдо мешавад, маълумоти мудири доменро ворид кунед ва қуттиро қайд кунед Маълумотномаҳои нигоҳдорӣ. Илова бар ин, шумо метавонед як OU (Воҳиди ташкилӣ) -ро муайян кунед, агар ISE дар як созмони мушаххас ҷойгир бошад. Баъдан, шумо бояд гиреҳҳои Cisco ISE-ро интихоб кунед, ки мехоҳед ба домен пайваст шавед.
Расми 12. Дохил кардани маълумот
3) Пеш аз илова кардани контроллерҳои домен, боварӣ ҳосил кунед, ки дар PSN дар ҷадвал Маъмурият → Система → Ҷойгиркунӣ имконоти фаъол Хадамоти шахсияти ғайрифаъол. PassiveID — хосияте, ки ба шумо имкон медиҳад корбарро ба IP ва баръакс тарҷума кунед. PassiveID аз AD тавассути WMI, агентҳои махсуси AD ё порти SPAN дар коммутатор маълумот мегирад (на беҳтарин вариант).
Эзоҳ: барои санҷидани ҳолати ID пассив, ба консол ISE ворид кунед нишон додани ҳолати ариза | PassiveID-ро дар бар мегирад.
Расми 13. Даргиронидани имконоти PassiveID
4) Ба ҷадвал равед Маъмурият → Идоракунии шахсият → Сарчашмаҳои шахсияти беруна → Directory Active → PassiveID ва интихобро интихоб кунед Иловаи DC. Баъдан, контроллерҳои домени лозимиро бо қуттиҳои қайд интихоб кунед ва клик кунед Хуб.
Расми 14. Илова кардани контроллерҳои домен
5) DC-ҳои иловашударо интихоб кунед ва тугмаро пахш кунед Таҳрир кунед. Хоҳишмандам FQDN DC-и шумо, логин ва пароли домен, инчунин имконоти иртибот WMI ё Агент. WMI-ро интихоб кунед ва клик кунед Хуб.
Расми 15. Ворид кардани маълумоти домени контроллер
6) Агар WMI усули афзалиятноки муошират бо Active Directory набошад, пас агентҳои ISE метавонанд истифода шаванд. Усули агент ин аст, ки шумо метавонед агентҳои махсусро дар сервер насб кунед, ки рӯйдодҳои воридшавиро нашр мекунанд. 2 варианти насбкунӣ вуҷуд дорад: автоматӣ ва дастӣ. Барои ба таври худкор насб кардани агент дар ҳамон ҷадвал PassiveID ҷузъро интихоб кунед Иловаи агент → Агенти навро ҷойгир кунед (DC бояд ба интернет дастрасӣ дошта бошад). Сипас майдонҳои лозимиро пур кунед (номи агент, сервер FQDN, воридшавӣ/пароли мудири домен) ва клик кунед Хуб.
Расми 16. Насби худкори агенти ISE
7) Барои ба таври дастӣ насб кардани агенти Cisco ISE, шумо бояд интихоб кунед Агенти мавҷударо ба қайд гиред. Дар омади гап, шумо метавонед агентро дар ҷадвал зеркашӣ кунед Марказҳои корӣ → PassiveID → Провайдерҳо → Агентҳо → Агентро зеркашӣ кунед.
Расми 17. Зеркашии агенти ISE
Ин ба муҳим аст: PassiveID рӯйдодҳоро намехонад баромадан! Параметре, ки барои вақтхушӣ масъул аст, даъват карда мешавад вақти пиршавии сессияи корбар ва бо нобаёнӣ ба 24 соат баробар аст. Аз ин рӯ, шумо бояд ё дар охири рӯзи корӣ худатонро хориҷ кунед, ё ягон намуди скрипт нависед, ки ҳамаи корбарони воридшударо ба таври худкор хомӯш мекунад.
Барои маълумот баромадан "Пробҳои ниҳоӣ" истифода мешаванд. Дар Cisco ISE якчанд санҷишҳои ниҳоӣ мавҷуданд: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. радиус бо истифода аз санҷиш КоА Бастаҳои (Тағйир додани ваколатҳо) маълумотро дар бораи тағир додани ҳуқуқҳои корбар таъмин мекунанд (ин барои воридшуда талаб карда мешавад) 802.1X) ва SNMP, ки дар коммутаторҳои дастрасӣ танзим карда шудааст, дар бораи дастгоҳҳои пайвастшуда ва ҷудошуда маълумот медиҳад.
Дар зер намунаи мувофиқ барои конфигуратсияи Cisco ISE + AD бе 802.1X ва RADIUS оварда шудааст: корбар дар мошини Windows ворид шудааст, бидуни хомӯш шудан, аз компютери дигар тавассути WiFi ворид шавед. Дар ин ҳолат, сеанс дар компютери аввал то фаро расидани мӯҳлат ё қатъ шудани маҷбурӣ фаъол боқӣ мемонад. Сипас, агар дастгоҳҳо ҳуқуқҳои гуногун дошта бошанд, дастгоҳи охирини воридшуда ҳуқуқҳои худро татбиқ мекунад.
8) Иловаҳо дар ҷадвал Маъмурият → Идоракунии шахсият → Сарчашмаҳои шахсияти беруна → Directory Active → Гурӯҳҳо → Илова → Гурӯҳҳоро аз директория интихоб кунед шумо метавонед гурӯҳҳоеро аз AD интихоб кунед, ки мехоҳед ба ISE илова кунед (дар ҳолати мо ин дар қадами 3 "Илова кардани сервери LDAP" анҷом дода шудааст). Интихобро интихоб кунед Ҷустуҷӯи гурӯҳҳо → Хуб.
Расми 18 а). Гирифтани гурӯҳҳои корбарон аз Active Directory
9) Дар ҷадвал Марказҳои корӣ → PassiveID → Шарҳи → Панели идоракунӣ шумо метавонед шумораи сессияҳои фаъол, шумораи манбаъҳои маълумот, агентҳо ва ғайраро назорат кунед.
Расми 19. Мониторинги фаъолияти корбарони домен
10) Дар ҷадвал Ҷаласаҳои зинда сеансҳои ҷорӣ намоиш дода мешаванд. Интегратсия бо AD танзим карда шудааст.
Расми 20. Сеансҳои фаъоли истифодабарандагони домен
5. Хулоса
Ин мақола мавзӯъҳои эҷоди корбарони маҳаллӣ дар Cisco ISE, илова кардани серверҳои LDAP ва ҳамгироӣ бо Microsoft Active Directory-ро дар бар гирифт. Мақолаи навбатӣ дастрасии меҳмононро дар шакли дастури зиёдатӣ фаро мегирад.
Агар шумо дар ин мавзӯъ ягон савол дошта бошед ё дар озмоиши маҳсулот кӯмак талаб кунед, лутфан тамос гиред .
Барои навсозиҳо ба каналҳои мо пайравӣ кунед (, , , , ).
Манбаъ: will.com