ยินดีต้อนรับสู่โพสต์ที่สองในซีรี่ส์ Cisco ISE ในครั้งแรก ข้อดีและความแตกต่างของโซลูชัน Network Access Control (NAC) จากมาตรฐาน AAA เอกลักษณ์ของ Cisco ISE สถาปัตยกรรมและขั้นตอนการติดตั้งผลิตภัณฑ์
ในบทความนี้ เราจะเจาะลึกเกี่ยวกับการสร้างบัญชี การเพิ่มเซิร์ฟเวอร์ LDAP และการผสานรวมกับ Microsoft Active Directory รวมถึงความแตกต่างของการทำงานกับ PassiveID ก่อนอ่านฉันขอแนะนำให้คุณอ่าน .
1. คำศัพท์บางคำ
ข้อมูลประจำตัวของผู้ใช้ - บัญชีผู้ใช้ที่มีข้อมูลเกี่ยวกับผู้ใช้และสร้างข้อมูลรับรองสำหรับการเข้าถึงเครือข่าย โดยทั่วไป พารามิเตอร์ต่อไปนี้จะระบุไว้ใน User Identity: ชื่อผู้ใช้ ที่อยู่อีเมล รหัสผ่าน คำอธิบายบัญชี กลุ่มผู้ใช้ และบทบาท
กลุ่มผู้ใช้ - กลุ่มผู้ใช้คือชุดของผู้ใช้แต่ละคนที่มีชุดของสิทธิ์ทั่วไปที่อนุญาตให้พวกเขาเข้าถึงชุดบริการและฟังก์ชัน Cisco ISE เฉพาะ
กลุ่มข้อมูลประจำตัวผู้ใช้ - กลุ่มผู้ใช้ที่กำหนดไว้ล่วงหน้าซึ่งมีข้อมูลและบทบาทบางอย่างอยู่แล้ว User Identity Groups ต่อไปนี้มีอยู่ตามค่าเริ่มต้น คุณสามารถเพิ่มผู้ใช้และกลุ่มผู้ใช้ได้: Employee (พนักงาน), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (บัญชีผู้สนับสนุนสำหรับจัดการพอร์ทัลผู้เยี่ยมชม), Guest (guest), ActivatedGuest (ผู้เยี่ยมชมที่เปิดใช้งาน)
บทบาทของผู้ใช้- บทบาทของผู้ใช้คือชุดของสิทธิ์ที่กำหนดว่าผู้ใช้สามารถทำอะไรได้บ้างและบริการใดบ้างที่สามารถเข้าถึงได้ บ่อยครั้งที่บทบาทของผู้ใช้เชื่อมโยงกับกลุ่มผู้ใช้
นอกจากนี้ ผู้ใช้และกลุ่มผู้ใช้แต่ละรายยังมีแอตทริบิวต์เพิ่มเติมที่ให้คุณเลือกและกำหนดผู้ใช้นี้โดยเฉพาะ (กลุ่มผู้ใช้) ข้อมูลเพิ่มเติมใน .
2. สร้างผู้ใช้ในพื้นที่
1) Cisco ISE มีความสามารถในการสร้างผู้ใช้ภายในเครื่องและใช้ในนโยบายการเข้าถึงหรือแม้แต่มอบบทบาทการดูแลระบบผลิตภัณฑ์ เลือก การดูแลระบบ → การจัดการข้อมูลประจำตัว → ข้อมูลประจำตัว → ผู้ใช้ → เพิ่ม
รูปที่ 1 การเพิ่ม Local User ให้กับ Cisco ISE
2) ในหน้าต่างที่ปรากฏขึ้น ให้สร้างผู้ใช้ภายใน ตั้งรหัสผ่านและพารามิเตอร์อื่นๆ ที่เข้าใจได้
รูปที่ 2 การสร้าง Local User ใน Cisco ISE
3) ผู้ใช้ยังสามารถนำเข้า ในแท็บเดียวกัน การดูแลระบบ → การจัดการข้อมูลประจำตัว → ข้อมูลประจำตัว → ผู้ใช้ เลือกตัวเลือก นำเข้า และอัปโหลดไฟล์ csv หรือ txt กับผู้ใช้ หากต้องการรับเทมเพลตให้เลือก สร้างเทมเพลตจากนั้นควรกรอกข้อมูลเกี่ยวกับผู้ใช้ในรูปแบบที่เหมาะสม
รูปที่ 3 การอิมพอร์ตผู้ใช้เข้าสู่ Cisco ISE
3. การเพิ่มเซิร์ฟเวอร์ LDAP
ฉันขอเตือนคุณว่า LDAP เป็นโปรโตคอลระดับแอปพลิเคชันยอดนิยมที่ช่วยให้คุณได้รับข้อมูล ดำเนินการตรวจสอบสิทธิ์ ค้นหาบัญชีในไดเร็กทอรีของเซิร์ฟเวอร์ LDAP ทำงานบนพอร์ต 389 หรือ 636 (SS) ตัวอย่างที่โดดเด่นของเซิร์ฟเวอร์ LDAP ได้แก่ Active Directory, Sun Directory, Novell eDirectory และ OpenLDAP แต่ละรายการในไดเร็กทอรี LDAP ถูกกำหนดโดย DN (ชื่อเฉพาะ) และงานในการดึงบัญชี กลุ่มผู้ใช้ และแอตทริบิวต์จะถูกยกขึ้นเป็นนโยบายการเข้าถึง
ใน Cisco ISE คุณสามารถกำหนดค่าการเข้าถึงเซิร์ฟเวอร์ LDAP จำนวนมากได้ ซึ่งจะเป็นการดำเนินการซ้ำซ้อน หากไม่มีเซิร์ฟเวอร์ LDAP หลัก (หลัก) ISE จะพยายามเข้าถึงเซิร์ฟเวอร์รอง (สำรอง) เป็นต้น นอกจากนี้ หากมี 2 PAN คุณจะสามารถจัดลำดับความสำคัญของ LDAP หนึ่งรายการสำหรับ PAN หลักและอีก LDAP สำหรับ PAN รอง
ISE รองรับการค้นหา 2 ประเภท (การค้นหา) เมื่อทำงานกับเซิร์ฟเวอร์ LDAP: การค้นหาผู้ใช้และการค้นหาที่อยู่ MAC การค้นหาผู้ใช้ทำให้คุณสามารถค้นหาผู้ใช้ในฐานข้อมูล LDAP และรับข้อมูลต่อไปนี้โดยไม่ต้องตรวจสอบสิทธิ์: ผู้ใช้และแอตทริบิวต์ กลุ่มผู้ใช้ การค้นหาที่อยู่ MAC ยังช่วยให้คุณค้นหาตามที่อยู่ MAC ในไดเร็กทอรี LDAP โดยไม่ต้องตรวจสอบสิทธิ์ และรับข้อมูลเกี่ยวกับอุปกรณ์ กลุ่มของอุปกรณ์ตามที่อยู่ MAC และแอตทริบิวต์เฉพาะอื่นๆ
ในตัวอย่างการผสานรวม ลองเพิ่ม Active Directory ให้กับ Cisco ISE เป็นเซิร์ฟเวอร์ LDAP
1) ไปที่แท็บ การดูแลระบบ → การจัดการตัวตน → แหล่งที่มาของตัวตนภายนอก → LDAP → เพิ่ม
รูปที่ 4. การเพิ่มเซิร์ฟเวอร์ LDAP
2) ในแผง General ระบุชื่อเซิร์ฟเวอร์ LDAP และรูปแบบ (ในกรณีของเราคือ Active Directory)
รูปที่ 5. การเพิ่มเซิร์ฟเวอร์ LDAP ด้วยสคีมา Active Directory
3) ถัดไปไปที่ การเชื่อมต่อ แท็บและเลือก ชื่อโฮสต์/ที่อยู่ IP เซิร์ฟเวอร์ AD, พอร์ต (389 - LDAP, 636 - SSL LDAP), ข้อมูลประจำตัวของผู้ดูแลระบบโดเมน (Admin DN - DN เต็ม), พารามิเตอร์อื่นๆ สามารถปล่อยให้เป็นค่าเริ่มต้นได้
หมายเหตุ: ใช้รายละเอียดโดเมนผู้ดูแลระบบเพื่อหลีกเลี่ยงปัญหาที่อาจเกิดขึ้น
รูปที่ 6 การป้อนข้อมูลเซิร์ฟเวอร์ LDAP
4) ในแท็บ ทำเนียบองค์กร คุณควรระบุพื้นที่ไดเร็กทอรีผ่าน DN เพื่อดึงผู้ใช้และกลุ่มผู้ใช้
รูปที่ 7 การกำหนดไดเร็กทอรีที่กลุ่มผู้ใช้สามารถดึงขึ้นมาได้
5) ไปที่หน้าต่าง กลุ่ม → เพิ่ม → เลือกกลุ่มจากไดเรกทอรี เพื่อเลือกดึงกลุ่มจากเซิร์ฟเวอร์ LDAP
รูปที่ 8. การเพิ่มกลุ่มจากเซิร์ฟเวอร์ LDAP
6) ในหน้าต่างที่ปรากฏขึ้น ให้คลิก ดึงข้อมูลกลุ่ม หากดึงกลุ่มขึ้นมาได้ แสดงว่าขั้นตอนเบื้องต้นเสร็จสมบูรณ์แล้ว มิฉะนั้น ลองผู้ดูแลระบบรายอื่นและตรวจสอบความพร้อมใช้งานของ ISE กับเซิร์ฟเวอร์ LDAP ผ่านโปรโตคอล LDAP
รูปที่ 9 รายชื่อกลุ่มผู้ใช้ที่ดึงออกมา
7) ในแท็บ คุณสมบัติ คุณสามารถเลือกระบุแอตทริบิวต์ใดจากเซิร์ฟเวอร์ LDAP ที่ควรดึงขึ้นมา และในหน้าต่าง ตั้งค่าขั้นสูง เปิดใช้งานตัวเลือก เปิดใช้งานการเปลี่ยนรหัสผ่านซึ่งจะบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านหากรหัสผ่านหมดอายุหรือถูกรีเซ็ต ยังไงก็คลิก ส่ง เพื่อจะดำเนินการต่อ.
8) เซิร์ฟเวอร์ LDAP ปรากฏในแท็บที่เกี่ยวข้อง และสามารถใช้เพื่อสร้างนโยบายการเข้าถึงในอนาคต
รูปที่ 10. รายการเซิร์ฟเวอร์ LDAP ที่เพิ่มเข้ามา
4. การผสานรวมกับ Active Directory
1) การเพิ่มเซิร์ฟเวอร์ Microsoft Active Directory เป็นเซิร์ฟเวอร์ LDAP ทำให้เรามีผู้ใช้ กลุ่มผู้ใช้ แต่ไม่มีบันทึก ต่อไป ฉันเสนอให้ตั้งค่าการรวม AD เต็มรูปแบบกับ Cisco ISE ไปที่แท็บ การดูแลระบบ → การจัดการข้อมูลประจำตัว → แหล่งที่มาของข้อมูลประจำตัวภายนอก → Active Directory → เพิ่ม
หมายเหตุ: สำหรับการรวมกับ AD ที่ประสบความสำเร็จ ISE จะต้องอยู่ในโดเมนและมีการเชื่อมต่อกับเซิร์ฟเวอร์ DNS, NTP และ AD อย่างเต็มรูปแบบ มิฉะนั้นจะไม่มีอะไรเกิดขึ้น
รูปที่ 11. การเพิ่มเซิร์ฟเวอร์ Active Directory
2) ในหน้าต่างที่ปรากฏขึ้น ให้ป้อนรายละเอียดผู้ดูแลระบบโดเมนและทำเครื่องหมายที่ช่อง เก็บข้อมูลรับรอง นอกจากนี้ คุณสามารถระบุ OU (หน่วยขององค์กร) ได้หาก ISE อยู่ใน OU เฉพาะ ถัดไป คุณจะต้องเลือกโหนด Cisco ISE ที่คุณต้องการเชื่อมต่อกับโดเมน
รูปที่ 12. การป้อนข้อมูลประจำตัว
3) ก่อนเพิ่มตัวควบคุมโดเมน ตรวจสอบให้แน่ใจว่าบน PSN ในแท็บ การบริหาร → ระบบ → การปรับใช้ เปิดใช้งานตัวเลือกแล้ว บริการระบุตัวตนแบบพาสซีฟ. รหัสแฝง - ตัวเลือกที่ช่วยให้คุณแปลผู้ใช้เป็น IP และในทางกลับกัน PassiveID รับข้อมูลจาก AD ผ่าน WMI เอเจนต์ AD พิเศษหรือพอร์ต SPAN บนสวิตช์ (ไม่ใช่ตัวเลือกที่ดีที่สุด)
หมายเหตุ: เพื่อตรวจสอบสถานะของ Passive ID พิมพ์ในคอนโซล ISE แสดงสถานะการสมัคร ise | รวม PassiveID
รูปที่ 13. การเปิดใช้งานตัวเลือก PassiveID
4) ไปที่แท็บ การดูแลระบบ → การจัดการข้อมูลประจำตัว → แหล่งที่มาของข้อมูลประจำตัวภายนอก → Active Directory → PassiveID และเลือกตัวเลือก เพิ่ม DC. จากนั้น เลือกตัวควบคุมโดเมนที่จำเป็นพร้อมช่องทำเครื่องหมายแล้วคลิก ตกลง
รูปที่ 14. การเพิ่มตัวควบคุมโดเมน
5) เลือก DC ที่เพิ่มเข้ามาแล้วคลิกปุ่ม แก้ไข ระบุ เอฟคิวดีเอ็น DC ของคุณ การเข้าสู่ระบบโดเมนและรหัสผ่าน และตัวเลือกลิงก์ WMI หรือ ตัวแทน. เลือก WMI แล้วคลิก ตกลง
รูปที่ 15 การป้อนรายละเอียดตัวควบคุมโดเมน
6) หาก WMI ไม่ใช่วิธีที่ต้องการสื่อสารกับ Active Directory ก็สามารถใช้ตัวแทน ISE ได้ วิธีการของตัวแทนคือคุณสามารถติดตั้งตัวแทนพิเศษบนเซิร์ฟเวอร์ที่จะปล่อยเหตุการณ์การเข้าสู่ระบบ มีตัวเลือกการติดตั้ง 2 แบบ: แบบอัตโนมัติและแบบแมนนวล เพื่อติดตั้งเอเจนต์โดยอัตโนมัติในแท็บเดียวกัน รหัสแฝง เลือกรายการ เพิ่มตัวแทน → ปรับใช้ตัวแทนใหม่ (DC ต้องมีอินเทอร์เน็ต) จากนั้นกรอกข้อมูลในฟิลด์ที่จำเป็น (ชื่อตัวแทน, เซิร์ฟเวอร์ FQDN, ล็อกอิน/รหัสผ่านของผู้ดูแลระบบโดเมน) แล้วคลิก ตกลง
รูปที่ 16. การติดตั้งเอเจนต์ ISE โดยอัตโนมัติ
7) หากต้องการติดตั้ง Cisco ISE agent ด้วยตนเอง ให้เลือกรายการ ลงทะเบียนตัวแทนที่มีอยู่. อย่างไรก็ตาม คุณสามารถดาวน์โหลดเอเจนต์ได้ในแท็บ ศูนย์การทำงาน → PassiveID → ผู้ให้บริการ → ตัวแทน → ดาวน์โหลดตัวแทน
รูปที่ 17. การดาวน์โหลดเอเจนต์ ISE
สำคัญ: PassiveID ไม่อ่านเหตุการณ์ ออกจากระบบ! พารามิเตอร์ที่รับผิดชอบสำหรับการหมดเวลาถูกเรียก เวลาแก่ของเซสชันผู้ใช้ และเท่ากับ 24 ชั่วโมงตามค่าเริ่มต้น ดังนั้น คุณควรออกจากระบบด้วยตนเองเมื่อสิ้นสุดวันทำงาน หรือเขียนสคริปต์บางอย่างที่จะออกจากระบบของผู้ใช้ที่เข้าสู่ระบบทั้งหมดโดยอัตโนมัติ
สำหรับข้อมูล ออกจากระบบ มีการใช้ "โพรบปลายทาง" - เทอร์มินัลโพรบ มีโพรบปลายทางหลายรายการใน Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan รัศมี ใช้โพรบ โคเอ แพ็คเกจ (การเปลี่ยนแปลงการอนุญาต) ให้ข้อมูลเกี่ยวกับการเปลี่ยนแปลงสิทธิ์ของผู้ใช้ (ซึ่งต้องมีการฝัง 802.1X) และกำหนดค่าบนสวิตช์การเข้าถึง SNMP จะให้ข้อมูลเกี่ยวกับอุปกรณ์ที่เชื่อมต่อและไม่ได้เชื่อมต่อ
ตัวอย่างต่อไปนี้เกี่ยวข้องกับการกำหนดค่า Cisco ISE + AD ที่ไม่มี 802.1X และ RADIUS: ผู้ใช้เข้าสู่ระบบในเครื่อง Windows โดยไม่ได้ออกจากระบบ เข้าสู่ระบบจากพีซีเครื่องอื่นผ่าน WiFi ในกรณีนี้ เซสชันบนพีซีเครื่องแรกจะยังคงทำงานอยู่จนกว่าจะหมดเวลาหรือบังคับให้ออกจากระบบ จากนั้นหากอุปกรณ์มีสิทธิ์ต่างกัน อุปกรณ์ที่เข้าสู่ระบบล่าสุดจะใช้สิทธิ์นั้น
8) ตัวเลือกในแท็บ การดูแลระบบ → การจัดการข้อมูลประจำตัว → แหล่งที่มาของข้อมูลประจำตัวภายนอก → Active Directory → กลุ่ม → เพิ่ม → เลือกกลุ่มจากไดเร็กทอรี คุณสามารถเลือกกลุ่มจาก AD ที่คุณต้องการดึงข้อมูลบน ISE (ในกรณีของเรา ขั้นตอนนี้ทำในขั้นตอนที่ 3 “การเพิ่มเซิร์ฟเวอร์ LDAP”) เลือกตัวเลือก ดึงข้อมูลกลุ่ม → ตกลง.
รูปที่ 18 ก) ดึงกลุ่มผู้ใช้จาก Active Directory
9) ในแท็บ ศูนย์การทำงาน → PassiveID → ภาพรวม → แดชบอร์ด คุณสามารถสังเกตจำนวนเซสชันที่ใช้งานอยู่ จำนวนแหล่งข้อมูล เอเจนต์ และอื่นๆ
รูปที่ 19 การตรวจสอบกิจกรรมของผู้ใช้โดเมน
10) ในแท็บ การประชุมสด เซสชันปัจจุบันจะปรากฏขึ้น มีการกำหนดค่าการรวมเข้ากับ AD
รูปที่ 20. เซสชันที่ใช้งานอยู่ของผู้ใช้โดเมน
5 ข้อสรุป
บทความนี้กล่าวถึงหัวข้อการสร้างผู้ใช้ภายในเครื่องใน Cisco ISE การเพิ่มเซิร์ฟเวอร์ LDAP และการผสานรวมกับ Microsoft Active Directory บทความถัดไปจะเน้นการเข้าถึงของแขกในรูปแบบของคู่มือสำรอง
หากคุณมีคำถามเกี่ยวกับหัวข้อนี้หรือต้องการความช่วยเหลือในการทดสอบผลิตภัณฑ์ โปรดติดต่อ .
คอยติดตามการอัปเดตในช่องของเรา (, , , , ).
ที่มา: will.com