Вітаю у другій публікації циклу статей, присвяченому Cisco ISE. У першій були висвітлені переваги та відмінності Network Access Control (NAC) рішень від стандартних ААА, унікальність Cisco ISE, архітектура та процес встановлення продукту.
У цій статті ми заглибимося у створення облікових записів, додавання LDAP серверів та інтеграцію з Microsoft Active Directory, а також у нюанси під час роботи з PassiveID. Перед прочитанням настійно рекомендую ознайомитись з .
1. Трохи термінології
Ідентифікація користувача — обліковий запис користувача, який містить інформацію про користувача та формує його облікові дані для доступу до мережі. Наступні параметри зазвичай вказуються в User Identity: ім'я користувача, адресу електронної пошти, пароль, опис облікового запису, групу користувачів та роль.
Групи користувачів — групи користувачів — це сукупність окремих користувачів, які мають загальний набір привілеїв, які дозволяють їм отримувати доступ до певного набору послуг та функцій Cisco ISE.
User Identity Groups встановлені групи користувачів, які вже мають певну інформацію та ролі. Наступні User Identity Groups існують за замовчуванням, в них можна додавати користувачів та групи користувачів: Employee (співробітник), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (спонсорські обліки для керування гостьовим порталом), Guest (гість), ActivatedGu
User Role - роль користувача — це набір дозволів, визначальних, які завдання може виконувати користувач і яких сервісів може отримати доступ. Найчастіше роль користувача пов'язані з групою користувачів.
Більш того, у кожного користувача та групи користувачів є додаткові атрибути, які дозволяють виділити та конкретніше визначити даного користувача (групу користувачів). Більше інформації у .
2. Створення локальних користувачів
1) У Cisco ISE є можливість створити локальних користувачів та використовувати їх у політиці доступу або навіть дати роль адміністрування продуктом. Виберіть Administration → Identity Management → Identities → Users → Add.
Рисунок 1. Додавання локального користувача до Cisco ISE
2) У вікні створіть локального користувача, задайте йому пароль та інші зрозумілі параметри.
Рисунок 2. Створення локального користувача Cisco ISE
3) Користувачів також можна імпортувати. У цій же вкладці Administration → Identity Management → Identities → Users виберіть опцію Імпортувати та завантажте csv або txt файлик з користувачами. Щоб отримати шаблон, виберіть Generate a Template, Далі слід його заповнити інформацією про користувачів у відповідному вигляді.
Рисунок 3. Імпорт користувачів до Cisco ISE
3. Додавання LDAP серверів
Нагадаю, що LDAP - популярний протокол прикладного рівня, що дозволяє отримувати інформацію, здійснювати аутентифікацію, шукати облікові записи в каталогах LDAP серверів, працює портом 389 або 636 (SS). Яскравими прикладами LDAP серверів є Active Directory, Sun Directory, Novell eDirectory та OpenLDAP. Кожен запис у каталозі LDAP визначається DN (Distinguished Name) і для формування політики доступу постає завдання підтягування (retrieval) облікових записів, груп користувача та атрибутів.
У Cisco ISE можна налаштувати доступ до багатьох LDAP серверів, тим самим реалізуючи надмірність. Якщо первинний (primary) LDAP сервер недоступний, то ISE спробує звернутися до вторинного (secondary) і так далі. Додатково, якщо є 2 PAN, то первинної PAN можна зробити пріоритетним один LDAP, а вторинної PAN — інший LDAP.
ISE підтримує 2 типи лукапу (lookup) під час роботи з LDAP серверами: User Lookup і MAC Address Lookup. User Lookup дозволяє шукати користувача в базі даних LDAP і отримувати наступну інформацію без аутентифікації: користувачі та їх атрибути, групи користувачів. MAC Address Lookup дозволяє без аутентифікації здійснювати пошук за MAC адресою в каталогах LDAP і отримувати інформацію про пристрій, групу пристроїв за MAC адресами та інші специфічні атрибути.
Як приклад інтеграції додамо Active Directory в Cisco ISE як LDAP сервер.
1) Зайдіть у вкладку Administration → Identity Management → External Identity Sources → LDAP → Add.
Рисунок 4. Додавання сервера LDAP
2) У панелі Загальне вкажіть ім'я LDAP сервера та схему (у нашому випадку Active Directory).
Рисунок 5. Додавання LDAP сервера зі схемою Active Directory
3) Далі перейдіть до Connection вкладку та вкажіть Hostname/IP address AD сервера, порт (389 - LDAP, 636 - SSL LDAP), облікові дані доменного адміністратора (Admin DN - повний DN), інші параметри можна залишити за замовчуванням.
Примітка: використовуйте дані домен адміну, щоб уникнути потенційних проблем.
Рисунок 6. Введення даних LDAP сервера
4) У вкладці Directory Organization слід вказати область каталогів через DN, звідки витягувати користувачів та групи користувачів.
Рисунок 7. Визначення каталогів, звідки підтягнутися групи користувачів
5) Перейдіть у вікно Groups → Add → Select Groups From Directory для вибору підтягування груп із сервера LDAP.
Рисунок 8. Додавання груп з сервера LDAP
6) У вікні, натисніть Retrieve Groups. Якщо групи підтягнулися, то попередні кроки виконані успішно. В іншому випадку, спробуйте іншого адміністратора і перевірте доступність ISE з LDAP сервером за протоколом LDAP.
Рисунок 9. Перелік підтягнутих груп користувачів
7) У вкладці Attributes можна опціонально вказати, які атрибути з сервера LDAP слід підтягнути, а у вікні Advanced Settings увімкнути опцію Enable Password Change, яка змусить користувачів змінити пароль, якщо він минув або був скинутий. У будь-якому випадку натисніть Надіслати для продовження.
8) LDAP сервер з'явився у відповідній вкладці і надалі може використовуватися для формування політик доступу.
Малюнок 10. Перелік доданих серверів LDAP
4. Інтеграція з Active Directory
1) Додавши Microsoft Active Directory сервер як LDAP сервер, ми отримали користувачі, групи користувачів, але не логи. Далі пропоную налаштувати повноцінну інтеграцію AD із Cisco ISE. Перейдіть у вкладку Administration → Identity Management → External Identity Sources → Active Directory → Add.
Примітка: для успішної інтеграції з AD ISE повинен перебувати в домені і мати повну зв'язність з DNS, NTP та AD серверами, інакше нічого не вийде.
Рисунок 11. Додавання сервера Active Directory
2) У вікні, введіть дані адміністратора домену і поставте галочку Store Credentials. Додатково можна вказати OU (Organizational Unit), якщо ISE знаходиться в якомусь конкретному OU. Далі доведеться вибрати ноди Cisco ISE, які потрібно з'єднати з доменом.
Рисунок 12. Введення облікових даних
3) Перед додаванням контролерів домену переконайтеся, що на PSN у вкладці Administration → System → Deployment включена опція Passive Identity Service. PassiveID - Опція, яка дозволяє транслювати User в IP та навпаки. PassiveID отримує інформацію з AD через WMI, спеціальних AD агентів або SPAN порт на комутаторі (не найкращий варіант).
Примітка: Щоб перевірити статус Passive ID, введіть у консолі ISE show application status ise | включає PassiveID.
Рисунок 13. Увімкнення опції PassiveID
4) Перейдіть у вкладку Administration → Identity Management → External Identity Sources → Active Directory → PassiveID та виберіть опцію Add DCs. Далі виберіть галочками необхідні контролери домену та натисніть ОК.
Малюнок 14. Додавання контролерів домену
5) Виберіть додані DC та натисніть кнопку Змінити. вкажіть ІМЯ вашого DC, доменні логін та пароль, а також опцію зв'язку WMI або Агент. Виберіть WMI та натисніть ОК.
Малюнок 15. Введення даних контролера домену
6) Якщо WMI не є кращим способом зв'язку з Active Directory, можна використовувати ISE агентів. Агентський спосіб полягає в тому, що ви можете встановити на сервері спеціальні агенти, які будуть віддавати login події. Існує 2 варіанти установки: автоматичний та ручний. Для автоматичного встановлення агента в тій же вкладці PassiveID виберіть пункт Add Agent → Deploy New Agent (DC повинен мати доступ до Інтернету). Потім заповніть обов'язкові поля (ім'я агента, FQDN сервера, логін/пароль доменного адміністратора) та натисніть ОК.
Малюнок 16. Автоматичне встановлення ISE агента
7) Для ручної установки Cisco ISE агента потрібно вибрати пункт Register Existing Agent. До речі, завантажити агента можна у вкладці Work Centers → PassiveID → Providers → Agents → Download Agent.
Малюнок 17. Завантаження ISE агента
Важливо: PassiveID не читає події вихід із системи! Параметр, що відповідає за тайм-аут називається user session aging time і дорівнює 24 годин за умовчанням. Тому слід або робити logoff самому після закінчення робочого дня, або ж писати якийсь скрипт, який робитиме автоматичний logoff всім залогіненим користувачам.
Для отримання інформації вихід із системи використовуються "Endpoint probes" - кінцеві зонди. Endpoint probes у Cisco ISE існує кілька: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS probe за допомогою CoA (Change of Authorization) пакетів віддає інформацію про зміну прав користувача (для цього потрібно впровадити 802.1X), а налаштований на комутаторах доступу SNMP, дасть інформацію про підключені та відключені пристрої.
Нижче наведено приклад, актуальний для конфігурації Cisco ISE+AD без 802.1X та RADIUS: користувач залогінений на Windows машині, не роблячи logoff, логінуватися з іншого ПК по WiFi. У цьому випадку сесія на першому ПК, як і раніше, буде активною, поки не станеться тайм-аут або не відбудеться примусовий logoff. Тоді якщо у пристроїв різні права, то останній залагоджений пристрій буде застосовувати свої права.
8) Додатково у вкладці Administration → Identity Management → External Identity Sources → Active Directory → Groups → Add → Select Groups From Directory Ви можете вибрати групи з AD, які хочете підтягнути на ISE (у нашому випадку це було зроблено в пункті 3 "Додавання LDAP сервера"). Виберіть опцію Retrieve Groups → OK.
Малюнок 18 а). Підтягування груп користувачів із Active Directory
9) У вкладці Work Centers → PassiveID → Overview → Dashboard ви можете спостерігати кількість активних сесій, кількість джерел даних, агентів та інше.
Малюнок 19. Моніторинг активності доменних користувачів
10) У вкладці Живі сесії відображаються поточні сесії. Інтеграція з AD налаштована.
Рисунок 20. Активні сесії доменних користувачів
5. висновок
У цій статті були розглянуті теми створення локальних користувачів Cisco ISE, додавання LDAP серверів та інтеграція з Microsoft Active Directory. У наступній статті буде висвітлено гостьовий доступ у вигляді надлишкового гайду.
Якщо у вас виникли питання з цієї тематики або ж потрібна допомога в тестуванні продукту, звертайтесь за .
Слідкуйте за оновленнями наших каналів (, , , , ).
Джерело: habr.com