Cisco ISE serisinin ikinci gönderisine hoş geldiniz. İlk olarak Ağ Erişim Kontrolü (NAC) çözümlerinin standart AAA'dan avantajları ve farklılıkları, Cisco ISE'nin benzersizliği, ürünün mimarisi ve kurulum süreci vurgulanmıştır.
Bu yazıda, hesap oluşturmayı, LDAP sunucuları eklemeyi ve Microsoft Active Directory ile entegrasyonu ve ayrıca PassiveID ile çalışmanın inceliklerini inceleyeceğiz. Okumadan önce mutlaka okumanızı tavsiye ederim .
1. Bazı terminoloji
Kullanıcı Kimliği - kullanıcı hakkında bilgi içeren ve ağa erişim için kimlik bilgilerini oluşturan bir kullanıcı hesabı. Aşağıdaki parametreler genellikle User Identity'de belirtilir: kullanıcı adı, e-posta adresi, parola, hesap açıklaması, kullanıcı grubu ve rol.
Kullanıcı Grupları - kullanıcı grupları, belirli bir Cisco ISE hizmetlerine ve işlevlerine erişmelerine izin veren ortak ayrıcalıklara sahip bireysel kullanıcıların bir koleksiyonudur.
Kullanıcı Kimliği Grupları - Halihazırda belirli bilgilere ve rollere sahip önceden tanımlanmış kullanıcı grupları. Aşağıdaki Kullanıcı Kimliği Grupları varsayılan olarak mevcuttur, bunlara kullanıcılar ve kullanıcı grupları ekleyebilirsiniz: Çalışan (çalışan), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (misafir portalını yönetmek için sponsor hesapları), Misafir (misafir), ActivatedGuest (etkinleştirilmiş misafir).
Kullanıcı rolü- Kullanıcı rolü, bir kullanıcının hangi görevleri gerçekleştirebileceğini ve hangi hizmetlere erişebileceğini belirleyen bir dizi izindir. Genellikle bir kullanıcı rolü, bir kullanıcı grubuyla ilişkilendirilir.
Ayrıca, her kullanıcı ve kullanıcı grubu, bu kullanıcıyı (kullanıcı grubu) seçmenize ve daha spesifik olarak tanımlamanıza izin veren ek özniteliklere sahiptir. Daha fazla bilgi .
2. Yerel kullanıcılar oluşturun
1) Cisco ISE, yerel kullanıcılar oluşturma ve bunları bir erişim politikasında kullanma ve hatta bir ürün yönetimi rolü verme yeteneğine sahiptir. Seçme Yönetim → Kimlik Yönetimi → Kimlikler → Kullanıcılar → Ekle.
Şekil 1 Cisco ISE'ye Yerel Kullanıcı Ekleme
2) Görünen pencerede yerel bir kullanıcı oluşturun, bir şifre ve diğer anlaşılır parametreler belirleyin.
Şekil 2. Cisco ISE'de Yerel Kullanıcı Oluşturma
3) Kullanıcılar da içe aktarılabilir. aynı sekmede Yönetim → Kimlik Yönetimi → Kimlikler → Kullanıcılar bir seçenek seçin ithalat ve kullanıcılarla birlikte csv veya txt dosyası yükleyin. Bir şablon almak için seçin Şablon Oluştur, ardından uygun bir biçimde kullanıcılarla ilgili bilgilerle doldurulmalıdır.
Şekil 3 Kullanıcıları Cisco ISE'ye Aktarma
3. LDAP sunucuları ekleme
LDAP'nin bilgi almanıza, kimlik doğrulaması yapmanıza, LDAP sunucularının dizinlerinde hesap aramanıza olanak tanıyan, 389 veya 636 numaralı bağlantı noktasında (SS) çalışan popüler bir uygulama düzeyinde protokol olduğunu hatırlatmama izin verin. LDAP sunucularının öne çıkan örnekleri Active Directory, Sun Directory, Novell eDirectory ve OpenLDAP'dir. LDAP dizinindeki her giriş, bir DN (Ayırt Edici Ad) tarafından tanımlanır ve hesapları, kullanıcı gruplarını ve öznitelikleri alma görevi, bir erişim ilkesi oluşturmak üzere yükseltilir.
Cisco ISE'de, birçok LDAP sunucusuna erişimi yapılandırmak, böylece yedeklilik uygulamak mümkündür. Birincil (birincil) LDAP sunucusu yoksa, ISE ikincil (ikincil) sunucuya erişmeye çalışır ve bu böyle devam eder. Ek olarak, 2 PAN varsa birincil PAN için bir LDAP'ye ve ikincil PAN için başka bir LDAP'ye öncelik verilebilir.
ISE, LDAP sunucularıyla çalışırken 2 tür aramayı (aramayı) destekler: Kullanıcı Arama ve MAC Adresi Arama. Kullanıcı Arama, LDAP veritabanında bir kullanıcı aramanıza ve şu bilgileri kimlik doğrulaması olmadan almanıza olanak tanır: kullanıcılar ve öznitelikleri, kullanıcı grupları. MAC Adresi Arama ayrıca, kimlik doğrulaması olmadan LDAP dizinlerinde MAC adresine göre arama yapmanıza ve cihaz, MAC adreslerine göre bir grup cihaz ve diğer belirli nitelikler hakkında bilgi almanıza olanak tanır.
Entegrasyon örneği olarak Cisco ISE'ye Active Directory'yi LDAP sunucusu olarak ekleyelim.
1) sekmeye gidin Yönetim → Kimlik Yönetimi → Dış Kimlik Kaynakları → LDAP → Ekle.
Şekil 4. LDAP sunucusu ekleme
2) Panelde genel LDAP sunucu adını ve şemasını belirtin (bizim durumumuzda Active Directory).
Şekil 5. Active Directory şemasıyla bir LDAP sunucusu ekleme
3) Sonraki git Bağlantısı sekmesine tıklayın ve seçin Ana bilgisayar adı/IP adresi Sunucu AD, bağlantı noktası (389 - LDAP, 636 - SSL LDAP), etki alanı yöneticisi kimlik bilgileri (Yönetici DN - tam DN), diğer parametreler varsayılan olarak bırakılabilir.
Dikkat: olası sorunlardan kaçınmak için yönetici etki alanı ayrıntılarını kullanın.
Şekil 6 LDAP Sunucusu Verilerini Girme
4) sekmesinde Dizin Organizasyonu dizin alanını, kullanıcıları ve kullanıcı gruplarını nereden çekeceğinizi DN aracılığıyla belirtmelisiniz.
Şekil 7. Kullanıcı gruplarının açabileceği dizinlerin belirlenmesi
5) Pencereye git Gruplar → Ekle → Dizinden Grupları Seç LDAP sunucusundan çekme gruplarını seçmek için.
Şekil 8. LDAP sunucusundan grup ekleme
6) Açılan pencerede tıklayın. Grupları Al. Gruplar ayağa kalktıysa, ön adımlar başarıyla tamamlandı. Aksi takdirde, başka bir yönetici deneyin ve LDAP protokolü aracılığıyla ISE'nin LDAP sunucusuyla kullanılabilirliğini kontrol edin.
Şekil 9. Çekilmiş kullanıcı gruplarının listesi
7) sekmesinde Özellikler isteğe bağlı olarak, LDAP sunucusundan hangi özniteliklerin alınması gerektiğini belirleyebilirsiniz ve pencerede Gelişmiş Ayarlar seçeneği etkinleştir Parola değişikliğini etkinleştir, süresi dolmuş veya sıfırlanmışsa kullanıcıları parolalarını değiştirmeye zorlar. neyse tıklayın Gönder devam etmek.
8) LDAP sunucusu ilgili sekmede göründü ve gelecekte erişim ilkeleri oluşturmak için kullanılabilir.
Şekil 10. Eklenen LDAP sunucularının listesi
4. Active Directory ile Entegrasyon
1) Microsoft Active Directory sunucusunu bir LDAP sunucusu olarak ekleyerek, kullanıcılarımız, kullanıcı gruplarımız var, ancak günlüklerimiz yok. Ardından, Cisco ISE ile tam teşekküllü AD entegrasyonu kurmayı öneriyorum. sekmeye git Yönetim → Kimlik Yönetimi → Dış Kimlik Kaynakları → Active Directory → Ekle.
Not: AD ile başarılı entegrasyon için, ISE'nin bir etki alanında olması ve DNS, NTP ve AD sunucuları ile tam bağlantısı olması gerekir, aksi takdirde bundan hiçbir şey çıkmaz.
Şekil 11. Active Directory sunucusu ekleme
2) Görünen pencerede, etki alanı yöneticisi ayrıntılarını girin ve kutuyu işaretleyin Kimlik Bilgilerini Saklayın. Ek olarak, ISE belirli bir OU'da yer alıyorsa, bir OU (Kuruluş Birimi) belirtebilirsiniz. Ardından, etki alanına bağlamak istediğiniz Cisco ISE düğümlerini seçmeniz gerekecektir.
Şekil 12. Kimlik bilgilerini girme
3) Etki alanı denetleyicileri eklemeden önce, PSN'de sekmesinde olduğundan emin olun. Yönetim → Sistem → Dağıtım seçenek etkin Pasif Kimlik Hizmeti. pasif kimlik - Kullanıcıyı IP'ye çevirmenize ve bunun tersini yapmanıza izin veren bir seçenek. PassiveID, AD'den WMI, özel AD aracıları veya anahtardaki SPAN bağlantı noktası (en iyi seçenek değil) aracılığıyla bilgi alır.
Not: Pasif Kimliğin durumunu kontrol etmek için ISE konsoluna yazın uygulama durumunu göster | PassiveID'yi içerir.
Şekil 13. PassiveID seçeneğinin etkinleştirilmesi
4) Sekmeye git Yönetim → Kimlik Yönetimi → Dış Kimlik Kaynakları → Active Directory → PassiveID ve seçeneği seçin DC ekle. Ardından, onay kutuları ile gerekli etki alanı denetleyicilerini seçin ve tıklayın Tamam.
Şekil 14. Etki alanı denetleyicileri ekleme
5) Eklenen DC'leri seçin ve düğmesine tıklayın Düzen. Belirtmek FQDN DC'niz, etki alanı oturum açma bilgileriniz ve parolanız ve bir bağlantı seçeneği WMI veya Danışman. WMI'yi seçin ve tıklayın Tamam.
Şekil 15 Etki alanı denetleyicisi ayrıntılarını girme
6) WMI, Active Directory ile iletişim kurmanın tercih edilen yolu değilse, ISE aracıları kullanılabilir. Aracı yöntemi, oturum açma olaylarını yayan sunuculara özel aracılar kurabilmenizdir. 2 kurulum seçeneği vardır: otomatik ve manuel. Aracıyı otomatik olarak aynı sekmeye yüklemek için pasif kimlik Öğeyi seçin Ajan Ekle → Yeni Ajan Dağıt (DC'nin İnternet erişimi olmalıdır). Ardından gerekli alanları (aracı adı, sunucu FQDN'si, etki alanı yöneticisi oturum açma adı/şifresi) doldurun ve tıklayın Tamam.
Şekil 16. ISE aracısının otomatik kurulumu
7) Cisco ISE aracısını manuel olarak kurmak için öğeyi seçin Mevcut Temsilciyi Kaydet. Bu arada, ajanı sekmesinden indirebilirsiniz. İş Merkezleri → PassiveID → Sağlayıcılar → Temsilciler → Aracı İndir.
Şekil 17. ISE aracısını indirme
Önemli: PassiveID olayları okumaz kapatma! Zaman aşımından sorumlu parametre çağrılır kullanıcı oturumu eskime süresi ve varsayılan olarak 24 saate eşittir. Bu nedenle, ya iş gününün sonunda oturumu kapatmalısınız ya da oturum açmış tüm kullanıcıların oturumunu otomatik olarak kapatacak bir tür komut dosyası yazmalısınız.
Bilgi için kapatma "Son nokta probları" kullanılır - terminal probları. Cisco ISE'de birkaç uç nokta araştırması vardır: RADIUS, SNMP Tuzağı, SNMP Sorgusu, DHCP, DNS, HTTP, Netflow, NMAP Taraması. RADIUS kullanarak araştırmak KoA (Yetki Değişikliği) paketleri değişen kullanıcı hakları hakkında bilgi verir (bu, yerleşik bir 802.1X) ve erişim anahtarlarında yapılandırılmış SNMP, bağlı ve bağlantısı kesilmiş cihazlar hakkında bilgi verecektir.
Aşağıdaki örnek, 802.1X ve RADIUS'suz bir Cisco ISE + AD yapılandırmasıyla ilgilidir: Bir kullanıcı, bir Windows makinesinde oturum açmış, oturumu kapatmadan, WiFi aracılığıyla başka bir PC'den oturum açmıştır. Bu durumda, ilk bilgisayardaki oturum, bir zaman aşımı oluşana veya zorunlu oturum kapatma gerçekleşene kadar etkin olmaya devam edecektir. Daha sonra, cihazların farklı hakları varsa, son giriş yapılan cihaz haklarını uygulayacaktır.
8) Sekmede isteğe bağlı Yönetim → Kimlik Yönetimi → Dış Kimlik Kaynakları → Active Directory → Gruplar → Ekle → Dizinden Grupları Seç AD'den ISE'ye çekmek istediğiniz grupları seçebilirsiniz (bizim durumumuzda bu, 3. adımda "LDAP sunucusu ekleme" yapılmıştır). Bir seçenek belirleyin Grupları Al → Tamam.
Şekil 18a). Kullanıcı gruplarını Active Directory'den çekme
9) sekmesinde İş Merkezleri → PassiveID → Genel Bakış → Gösterge Tablosu aktif oturum sayısını, veri kaynağı, aracı sayısını ve daha fazlasını gözlemleyebilirsiniz.
Şekil 19. Etki alanı kullanıcılarının etkinliğini izleme
10) sekmesinde Canlı Oturumlar geçerli oturumlar görüntülenir. AD ile entegrasyon yapılandırılır.
Şekil 20. Etki alanı kullanıcılarının aktif oturumları
5. Sonuç
Bu makale Cisco ISE'de yerel kullanıcı oluşturma, LDAP sunucuları ekleme ve Microsoft Active Directory ile entegrasyon konularını içermektedir. Bir sonraki makale, misafir erişimini gereksiz bir kılavuz biçiminde vurgulayacaktır.
Bu konuyla ilgili sorularınız varsa veya ürünü test etmek için yardıma ihtiyacınız varsa, lütfen bizimle iletişime geçin. .
Kanallarımızdaki güncellemeler için bizi izlemeye devam edin (, , , , ).
Kaynak: habr.com