Maligayang pagdating sa pangalawang publikasyon ng isang serye ng mga artikulo na nakatuon sa Cisco ISE. Sa una ang mga pakinabang at pagkakaiba ng mga solusyon sa Network Access Control (NAC) mula sa karaniwang AAA, ang pagiging natatangi ng Cisco ISE, ang arkitektura at proseso ng pag-install ng produkto ay na-highlight.
Sa artikulong ito, susuriin natin ang paglikha ng mga account, pagdaragdag ng mga LDAP server at pagsasama sa Microsoft Active Directory, pati na rin ang mga nuances kapag nagtatrabaho sa PassiveID. Bago basahin, lubos kong inirerekumenda na basahin mo .
1. Ilang terminolohiya
Pagkakakilanlan ng Gumagamit — isang user account na naglalaman ng impormasyon tungkol sa user at bumubuo ng kanyang mga kredensyal para sa pag-access sa network. Ang mga sumusunod na parameter ay karaniwang tinutukoy sa User Identity: username, email address, password, paglalarawan ng account, grupo ng user, at tungkulin.
Grupo ng Gumagamit - Ang mga pangkat ng gumagamit ay isang koleksyon ng mga indibidwal na gumagamit na may isang karaniwang hanay ng mga pribilehiyo na nagpapahintulot sa kanila na ma-access ang isang partikular na hanay ng mga serbisyo at function ng Cisco ISE.
Mga Grupo ng Pagkakakilanlan ng Gumagamit - paunang natukoy na mga pangkat ng gumagamit na mayroon nang ilang partikular na impormasyon at tungkulin. Ang sumusunod na Mga Grupo ng Pagkakakilanlan ng User ay umiiral bilang default at maaari kang magdagdag ng mga user at pangkat ng user sa kanila: Empleyado, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (mga sponsor na account para sa pamamahala ng guest portal), Bisita, ActivatedGuest.
Tungkulin ng Gumagamit - Ang tungkulin ng user ay isang hanay ng mga pahintulot na tumutukoy kung anong mga gawain ang maaaring gawin ng isang user at kung anong mga serbisyo ang maa-access ng isang user. Kadalasan ang tungkulin ng user ay nauugnay sa isang pangkat ng mga user.
Bukod dito, ang bawat user at pangkat ng user ay may mga karagdagang katangian na nagbibigay-daan sa iyong i-highlight at mas partikular na tukuyin ang isang partikular na user (grupo ng gumagamit). Higit pang impormasyon sa .
2. Lumikha ng mga lokal na gumagamit
1) Sa Cisco ISE posible na lumikha ng mga lokal na user at gamitin ang mga ito sa mga patakaran sa pag-access o kahit na bigyan sila ng tungkulin sa pangangasiwa ng produkto. Pumili Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pagkakakilanlan → Mga Gumagamit → Magdagdag.
Figure 1: Pagdaragdag ng Lokal na User sa Cisco ISE
2) Sa lalabas na window, lumikha ng lokal na user, bigyan siya ng password at iba pang malinaw na mga parameter.
Figure 2. Paglikha ng lokal na user sa Cisco ISE
3) Maaari ding ma-import ang mga user. Sa parehong tab Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pagkakakilanlan → Mga Gumagamit Pumili ng opsyon Angkat at mag-upload ng csv o txt file kasama ng mga user. Upang makuha ang template, piliin Bumuo ng isang Template, pagkatapos ay dapat mong punan ito ng impormasyon tungkol sa mga user sa isang angkop na form.
Figure 3. Pag-import ng mga User sa Cisco ISE
3. Pagdaragdag ng mga LDAP server
Ipaalala ko sa iyo na ang LDAP ay isang sikat na protocol sa antas ng aplikasyon na nagbibigay-daan sa iyong makatanggap ng impormasyon, magsagawa ng pagpapatunay, maghanap ng mga account sa mga direktoryo ng LDAP server, at gumagana sa port 389 o 636 (SS). Ang mga kilalang halimbawa ng mga LDAP server ay Active Directory, Sun Directory, Novell eDirectory at OpenLDAP. Ang bawat entry sa direktoryo ng LDAP ay tinukoy ng isang DN (Distinguished Name) at upang bumalangkas ng isang patakaran sa pag-access, ang gawain ng pagkuha ng mga account, mga pangkat ng user at mga katangian ay lumitaw.
Sa Cisco ISE posible na i-configure ang pag-access sa maraming LDAP server, sa gayon ay napagtatanto ang kalabisan. Kung hindi available ang pangunahing LDAP server, susubukan ng ISE na makipag-ugnayan sa pangalawang server, at iba pa. Bukod pa rito, kung mayroong 2 PAN, maaaring unahin ang isang LDAP para sa pangunahing PAN, at maaaring unahin ang isa pang LDAP para sa pangalawang PAN.
Sinusuportahan ng ISE ang 2 uri ng lookup kapag nagtatrabaho sa mga LDAP server: User Lookup at MAC Address Lookup. Nagbibigay-daan sa iyo ang User Lookup na maghanap sa isang user sa isang database ng LDAP at makuha ang sumusunod na impormasyon nang walang pagpapatunay: mga user at kanilang mga katangian, mga pangkat ng user. Pinapayagan ka rin ng MAC Address Lookup na maghanap ayon sa MAC address sa mga direktoryo ng LDAP nang walang pagpapatotoo at kumuha ng impormasyon tungkol sa isang device, isang pangkat ng mga device ayon sa mga MAC address at iba pang partikular na katangian.
Bilang halimbawa ng pagsasama, idagdag natin ang Active Directory sa Cisco ISE bilang isang LDAP server.
1) Pumunta sa tab Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pinagmumulan ng Panlabas na Pagkakakilanlan → LDAP → Magdagdag.
Figure 4. Pagdaragdag ng LDAP server
2) Sa panel Pangkalahatan tukuyin ang pangalan at scheme ng LDAP server (sa aming kaso Active Directory).
Figure 5. Pagdaragdag ng LDAP server na may schema ng Active Directory
3) Susunod na pumunta sa koneksyon tab at tukuyin Hostname/IP address Server AD, port (389 - LDAP, 636 - SSL LDAP), mga kredensyal ng administrator ng domain (Admin DN - buong DN), maaaring iwanang default ang iba pang mga parameter.
Nota: Gamitin ang mga detalye ng domain ng admin upang maiwasan ang mga potensyal na problema.
Figure 6. Pagpasok ng data ng LDAP server
4) Sa tab Organisasyon ng Direktoryo dapat mong tukuyin ang lugar ng direktoryo sa pamamagitan ng DN kung saan kukunin ang mga user at grupo ng user.
Figure 7. Pagtukoy sa mga direktoryo kung saan kukunin ang mga pangkat ng gumagamit
5) Pumunta sa bintana Mga Grupo → Magdagdag → Piliin ang Mga Grupo Mula sa Direktoryo upang pumili ng mga pulling group mula sa LDAP server.
Figure 8. Pagdaragdag ng mga grupo mula sa LDAP server
6) Sa lalabas na window, i-click Kunin ang Mga Grupo. Kung ang mga grupo ay sumali, kung gayon ang mga paunang hakbang ay matagumpay na nakumpleto. Kung hindi, subukan ang isa pang administrator at suriin ang availability ng ISE sa isang LDAP server gamit ang LDAP protocol.
Figure 9. Listahan ng mga pinaganang pangkat ng user
7) Sa tab katangian maaari mong opsyonal na tukuyin kung aling mga katangian mula sa LDAP server ang dapat i-pull up, at sa window Advanced na Mga Setting paganahin ang opsyon Paganahin ang Pagbabago ng Password, na pipilitin ang mga user na baguhin ang kanilang password kung ito ay nag-expire na o na-reset. Alinmang paraan, i-click Ipasa upang magpatuloy.
8) Lumalabas ang LDAP server sa kaukulang tab at maaaring magamit sa ibang pagkakataon upang lumikha ng mga patakaran sa pag-access.
Figure 10. Listahan ng mga idinagdag na LDAP server
4. Pagsasama sa Active Directory
1) Sa pamamagitan ng pagdaragdag ng server ng Microsoft Active Directory bilang isang LDAP server, nakatanggap kami ng mga user, grupo ng user, ngunit hindi mga log. Susunod, iminumungkahi kong i-set up ang buong AD integration sa Cisco ISE. Pumunta sa tab Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pinagmumulan ng Panlabas na Pagkakakilanlan → Aktibong Direktoryo → Magdagdag.
Tandaan: Para sa matagumpay na pagsasama sa AD, ang ISE ay dapat na nasa isang domain at may ganap na koneksyon sa DNS, NTP at AD server, kung hindi, walang gagana.
Figure 11. Pagdaragdag ng server ng Active Directory
2) Sa lalabas na window, ipasok ang impormasyon ng administrator ng domain at lagyan ng check ang kahon Mga Kredensyal sa Tindahan. Bukod pa rito, maaari kang tumukoy ng OU (Organizational Unit) kung ang ISE ay matatagpuan sa isang partikular na OU. Susunod, kakailanganin mong piliin ang mga Cisco ISE node na gusto mong ikonekta sa domain.
Figure 12. Pagpasok ng mga kredensyal
3) Bago magdagdag ng mga controllers ng domain, siguraduhin na sa PSN sa tab Pangangasiwa → System → Deployment pinagana ang opsyon Passive Identity Service. PassiveID — isang opsyon na nagbibigay-daan sa iyong isalin ang User sa IP at vice versa. Ang PassiveID ay tumatanggap ng impormasyon mula sa AD sa pamamagitan ng WMI, mga espesyal na ahente ng AD, o isang SPAN port sa switch (hindi ang pinakamagandang opsyon).
Tandaan: upang suriin ang katayuan ng Passive ID, ilagay sa ISE console ipakita ang katayuan ng aplikasyon ay | isama ang PassiveID.
Figure 13. Paganahin ang PassiveID na opsyon
4) Pumunta sa tab Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pinagmumulan ng Panlabas na Pagkakakilanlan → Aktibong Direktoryo → PassiveID at piliin ang opsyon Magdagdag ng mga DC. Susunod, piliin ang kinakailangang mga controller ng domain sa pamamagitan ng mga checkbox at i-click OK.
Figure 14. Pagdaragdag ng mga controllers ng domain
5) Piliin ang mga idinagdag na DC at i-click ang button I-edit. Ipahiwatig FQDN iyong DC, domain login at password, pati na rin ang isang opsyon sa komunikasyon WMI o ahente. Piliin ang WMI at i-click OK.
Figure 15. Pagpasok ng impormasyon ng domain controller
6) Kung ang WMI ay hindi ang gustong paraan ng pakikipag-ugnayan sa Active Directory, maaaring gamitin ang mga ahente ng ISE. Ang paraan ng ahente ay maaari kang mag-install ng mga espesyal na ahente sa server na maglalabas ng mga kaganapan sa pag-login. Mayroong 2 pagpipilian sa pag-install: awtomatiko at manu-mano. Upang awtomatikong i-install ang ahente sa parehong tab PassiveID piliin Magdagdag ng Ahente → I-deploy ang Bagong Ahente (Dapat ay may Internet access ang DC). Pagkatapos ay punan ang mga kinakailangang field (pangalan ng ahente, FQDN ng server, login/password ng administrator ng domain) at i-click OK.
Figure 16. Awtomatikong pag-install ng ISE agent
7) Upang manu-manong i-install ang ahente ng Cisco ISE, kailangan mong pumili Irehistro ang Umiiral na Ahente. Sa pamamagitan ng paraan, maaari mong i-download ang ahente sa tab Mga Work Center → PassiveID → Provider → Mga Ahente → I-download ang Ahente.
Figure 17. Pag-download ng ISE agent
Mahalaga: Ang PassiveID ay hindi nagbabasa ng mga kaganapan maglog-off! Ang parameter na responsable para sa timeout ay tinatawag oras ng pagtanda ng session ng user at katumbas ng 24 na oras bilang default. Samakatuwid, dapat mong i-logoff ang iyong sarili sa pagtatapos ng araw ng trabaho, o magsulat ng ilang uri ng script na awtomatikong mag-logoff sa lahat ng naka-log in na user.
Para sa impormasyon maglog-off Ginagamit ang "endpoint probes". Mayroong ilang mga endpoint probe sa Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. rADIUS probe gamit CoA (Pagbabago ng Awtorisasyon) mga pakete ay nagbibigay ng impormasyon tungkol sa pagbabago ng mga karapatan ng gumagamit (ito ay nangangailangan ng isang naka-embed 802.1X), at ang SNMP na naka-configure sa mga switch ng access ay magbibigay ng impormasyon tungkol sa mga nakakonekta at nakadiskonektang device.
Nasa ibaba ang isang halimbawa na may kaugnayan para sa isang Cisco ISE + AD configuration na walang 802.1X at RADIUS: ang user ay naka-log in sa isang Windows machine, nang hindi gumagawa ng logoff, mag-log in mula sa isa pang PC sa pamamagitan ng WiFi. Sa kasong ito, magiging aktibo pa rin ang session sa unang PC hanggang sa magkaroon ng timeout o magkaroon ng sapilitang pag-logoff. Pagkatapos, kung may iba't ibang karapatan ang mga device, ilalapat ng huling naka-log in na device ang mga karapatan nito.
8) Mga extra sa tab Pangangasiwa → Pamamahala ng Pagkakakilanlan → Mga Pinagmumulan ng Panlabas na Pagkakakilanlan → Aktibong Direktoryo → Mga Grupo → Magdagdag → Pumili ng Mga Grupo Mula sa Direktoryo maaari kang pumili ng mga pangkat mula sa AD na gusto mong idagdag sa ISE (sa aming kaso, ginawa ito sa hakbang 3 "Pagdaragdag ng LDAP server"). Pumili ng opsyon Kunin ang Mga Grupo → OK.
Larawan 18 a). Pagkuha ng mga pangkat ng user mula sa Active Directory
9) Sa tab Mga Work Center → PassiveID → Pangkalahatang-ideya → Dashboard maaari mong subaybayan ang bilang ng mga aktibong session, ang bilang ng mga pinagmumulan ng data, mga ahente, at higit pa.
Figure 19. Pagsubaybay sa aktibidad ng gumagamit ng domain
10) Sa tab Mga Live Session ipinapakita ang mga kasalukuyang session. Ang pagsasama sa AD ay na-configure.
Figure 20. Mga aktibong session ng mga gumagamit ng domain
5. Konklusyon
Sinasaklaw ng artikulong ito ang mga paksa ng paglikha ng mga lokal na user sa Cisco ISE, pagdaragdag ng mga LDAP server at pagsasama sa Microsoft Active Directory. Sasaklawin ng susunod na artikulo ang pag-access ng bisita sa anyo ng isang kalabisan na gabay.
Kung mayroon kang anumang mga katanungan sa paksang ito o nangangailangan ng tulong sa pagsubok ng produkto, mangyaring makipag-ugnayan .
Manatiling nakatutok para sa mga update sa aming mga channel (, , , , ).
Pinagmulan: www.habr.com