Cisco ISE کے لیے وقف مضامین کی ایک سیریز کی دوسری اشاعت میں خوش آمدید۔ سب سے پہلے معیاری AAA سے نیٹ ورک ایکسیس کنٹرول (NAC) سلوشنز کے فوائد اور اختلافات، سسکو ISE کی انفرادیت، فن تعمیر اور پروڈکٹ کی تنصیب کے عمل کو اجاگر کیا گیا۔
اس آرٹیکل میں، ہم اکاؤنٹس بنانے، LDAP سرورز کو شامل کرنے اور مائیکروسافٹ ایکٹو ڈائریکٹری کے ساتھ انضمام کے ساتھ ساتھ PassiveID کے ساتھ کام کرتے وقت باریکیوں پر غور کریں گے۔ پڑھنے سے پہلے، میں سختی سے مشورہ دیتا ہوں کہ آپ پڑھیں .
1. کچھ اصطلاحات
صارف کی شناخت - صارف کا اکاؤنٹ، جو صارف کے بارے میں معلومات رکھتا ہے اور نیٹ ورک تک رسائی کے لیے اس کی اسناد تیار کرتا ہے۔ مندرجہ ذیل پیرامیٹرز عام طور پر صارف کی شناخت میں بیان کیے جاتے ہیں: صارف کا نام، ای میل پتہ، پاس ورڈ، اکاؤنٹ کی تفصیل، صارف گروپ، اور کردار۔
صارف گروپ - صارف گروپ انفرادی صارفین کا مجموعہ ہیں جن کے پاس مراعات کا ایک مشترکہ مجموعہ ہے جو انہیں Cisco ISE خدمات اور افعال کے مخصوص سیٹ تک رسائی کی اجازت دیتا ہے۔
صارف شناختی گروپس - پہلے سے طے شدہ صارف گروپ جن کے پاس پہلے سے ہی کچھ معلومات اور کردار موجود ہیں۔ درج ذیل صارف شناختی گروپس بطور ڈیفالٹ موجود ہیں اور آپ ان میں صارفین اور صارف گروپس کو شامل کر سکتے ہیں: ملازم، اسپانسر آل اکاؤنٹ، اسپانسر گروپ اکاؤنٹس، اسپانسر اوون اکاؤنٹس (گیسٹ پورٹل کے انتظام کے لیے اسپانسر اکاؤنٹس)، مہمان، ایکٹیویٹڈ گیسٹ۔
صارف کا کردار - صارف کا کردار اجازتوں کا ایک مجموعہ ہے جو اس بات کا تعین کرتا ہے کہ صارف کون سے کام انجام دے سکتا ہے اور کن خدمات تک رسائی حاصل کر سکتا ہے۔ اکثر صارف کا کردار صارفین کے گروپ سے وابستہ ہوتا ہے۔
مزید یہ کہ، ہر صارف اور صارف گروپ میں اضافی اوصاف ہوتے ہیں جو آپ کو مخصوص صارف (صارف گروپ) کو نمایاں کرنے اور اس کی مزید وضاحت کرنے کی اجازت دیتے ہیں۔ مزید معلومات میں .
2. مقامی صارفین بنائیں
1) Cisco ISE میں یہ ممکن ہے کہ مقامی صارفین بنائیں اور انہیں رسائی کی پالیسیوں میں استعمال کریں یا انہیں پروڈکٹ ایڈمنسٹریشن کا کردار بھی دیں۔ منتخب کریں۔ ایڈمنسٹریشن → شناختی انتظام → شناخت → صارفین → شامل کریں۔
شکل 1: سسکو ISE میں ایک مقامی صارف کو شامل کرنا
2) ظاہر ہونے والی ونڈو میں، ایک مقامی صارف بنائیں، پاس ورڈ اور دیگر قابل فہم پیرامیٹرز سیٹ کریں۔
تصویر 2. سسکو ISE میں مقامی صارف بنانا
3) صارفین کو بھی درآمد کیا جاسکتا ہے۔ اسی ٹیب میں انتظامیہ → شناختی انتظام → شناخت → صارفین ایک اختیار منتخب کریں درآمد کریں اور صارفین کے ساتھ csv یا txt فائل اپ لوڈ کریں۔ ٹیمپلیٹ حاصل کرنے کے لیے منتخب کریں۔ ایک ٹیمپلیٹ بنائیں، پھر آپ کو اسے ایک مناسب فارم میں صارفین کے بارے میں معلومات کے ساتھ پُر کرنا چاہئے۔
تصویر 3. سسکو ISE میں صارفین کو درآمد کرنا
3. LDAP سرورز کو شامل کرنا
میں آپ کو یاد دلاتا ہوں کہ LDAP ایک مقبول ایپلیکیشن لیول پروٹوکول ہے جو آپ کو معلومات حاصل کرنے، تصدیق کرنے، LDAP سرور ڈائریکٹریز میں اکاؤنٹس تلاش کرنے، اور پورٹ 389 یا 636 (SS) پر کام کرنے کی اجازت دیتا ہے۔ LDAP سرورز کی نمایاں مثالیں ایکٹو ڈائریکٹری، سن ڈائرکٹری، نویل ای ڈائرکٹری اور اوپن ایل ڈی اے پی ہیں۔ LDAP ڈائریکٹری میں ہر اندراج کی تعریف DN (ممتاز نام) سے ہوتی ہے اور رسائی کی پالیسی بنانے کے لیے، اکاؤنٹس، صارف گروپس اور صفات کو بازیافت کرنے کا کام پیدا ہوتا ہے۔
سسکو ISE میں بہت سے LDAP سرورز تک رسائی کو ترتیب دینا ممکن ہے، اس طرح فالتو پن کا احساس ہوتا ہے۔ اگر بنیادی LDAP سرور دستیاب نہیں ہے تو، ISE ثانوی سرور سے رابطہ کرنے کی کوشش کرے گا، وغیرہ۔ مزید برآں، اگر 2 PAN ہیں، تو ایک LDAP کو بنیادی PAN کے لیے ترجیح دی جا سکتی ہے، اور دوسرے LDAP کو ثانوی PAN کے لیے ترجیح دی جا سکتی ہے۔
LDAP سرورز کے ساتھ کام کرتے وقت ISE 2 قسم کی تلاش کو سپورٹ کرتا ہے: صارف کی تلاش اور MAC ایڈریس کی تلاش۔ یوزر لوک اپ آپ کو LDAP ڈیٹا بیس میں صارف کو تلاش کرنے اور بغیر تصدیق کے درج ذیل معلومات حاصل کرنے کی اجازت دیتا ہے: صارفین اور ان کی خصوصیات، صارف گروپس۔ MAC ایڈریس لوک اپ آپ کو بغیر تصدیق کے LDAP ڈائریکٹریز میں MAC ایڈریس کے ذریعے تلاش کرنے اور ڈیوائس کے بارے میں معلومات حاصل کرنے کی اجازت دیتا ہے، MAC ایڈریسز کے ذریعے آلات کے ایک گروپ اور دیگر مخصوص صفات۔
انضمام کی مثال کے طور پر، آئیے ایکٹیو ڈائرکٹری کو سسکو ISE میں بطور LDAP سرور شامل کریں۔
1) ٹیب پر جائیں۔ ایڈمنسٹریشن → شناخت کا انتظام → بیرونی شناختی ذرائع → LDAP → شامل کریں۔
شکل 4. ایک LDAP سرور شامل کرنا
2) پینل میں جنرل LDAP سرور کا نام اور اسکیم کی وضاحت کریں (ہمارے معاملے میں، ایکٹو ڈائریکٹری)۔
شکل 5. ایک LDAP سرور کو ایکٹو ڈائریکٹری اسکیما کے ساتھ شامل کرنا
3) اگلا پر جائیں۔ کنکشن ٹیب اور وضاحت کریں۔ میزبان نام/آئی پی ایڈریس سرور AD، پورٹ (389 - LDAP، 636 - SSL LDAP)، ڈومین ایڈمنسٹریٹر کی اسناد (ایڈمن DN - مکمل DN)، دیگر پیرامیٹرز کو بطور ڈیفالٹ چھوڑا جا سکتا ہے۔
نوٹ: ممکنہ مسائل سے بچنے کے لیے ایڈمن ڈومین کی تفصیلات استعمال کریں۔
شکل 6. LDAP سرور ڈیٹا داخل کرنا
4) ٹیب میں ڈائریکٹری آرگنائزیشن آپ کو DN کے ذریعے ڈائرکٹری کے علاقے کی وضاحت کرنی چاہئے جہاں سے صارفین اور صارف گروپوں کو کھینچنا ہے۔
شکل 7۔ ڈائریکٹریز کا تعین جہاں سے صارف گروپس کو کھینچ سکتے ہیں۔
5) کھڑکی پر جائیں۔ گروپس → شامل کریں → ڈائرکٹری سے گروپ منتخب کریں۔ LDAP سرور سے کھینچنے والے گروپس کو منتخب کرنے کے لیے۔
شکل 8۔ LDAP سرور سے گروپس کو شامل کرنا
6) ظاہر ہونے والی ونڈو میں، کلک کریں۔ گروپس کو بازیافت کریں۔ اگر گروپوں نے آگے بڑھایا ہے، تو ابتدائی مراحل کامیابی سے مکمل ہو چکے ہیں۔ دوسری صورت میں، دوسرے منتظم کو آزمائیں اور LDAP پروٹوکول کے ذریعے LDAP سرور کے ساتھ ISE کی دستیابی کو چیک کریں۔
شکل 9. فعال صارف گروپوں کی فہرست
7) ٹیب میں خصوصیات آپ اختیاری طور پر یہ بتا سکتے ہیں کہ LDAP سرور سے کن صفات کو کھینچنا چاہیے، اور ونڈو میں اعلی درجے کی ترتیبات آپشن کو فعال کریں۔ پاس ورڈ کی تبدیلی کو فعال کریں۔، جو صارفین کو اپنا پاس ورڈ تبدیل کرنے پر مجبور کرے گا اگر اس کی میعاد ختم ہو گئی ہے یا اسے دوبارہ ترتیب دیا گیا ہے۔ بہرحال کلک کریں۔ جمع کرائیں جاری رکھنے کے لئے.
8) LDAP سرور متعلقہ ٹیب میں ظاہر ہوا اور مستقبل میں رسائی کی پالیسیاں بنانے کے لیے استعمال کیا جا سکتا ہے۔
شکل 10۔ شامل کردہ LDAP سرورز کی فہرست
4. ایکٹو ڈائریکٹری کے ساتھ انضمام
1) مائیکروسافٹ ایکٹو ڈائریکٹری سرور کو LDAP سرور کے طور پر شامل کرنے سے، ہمیں صارفین، صارف گروپس، لیکن کوئی لاگز نہیں ملے۔ اگلا، میں Cisco ISE کے ساتھ مکمل AD انٹیگریشن قائم کرنے کی تجویز کرتا ہوں۔ ٹیب پر جائیں۔ ایڈمنسٹریشن → شناخت کا انتظام → بیرونی شناختی ذرائع → ایکٹو ڈائریکٹری → شامل کریں۔
نوٹ: AD کے ساتھ کامیاب انضمام کے لیے، ISE کا ایک ڈومین میں ہونا اور DNS، NTP اور AD سرورز کے ساتھ مکمل رابطہ ہونا چاہیے، ورنہ کچھ بھی کام نہیں کرے گا۔
شکل 11۔ ایکٹو ڈائرکٹری سرور شامل کرنا
2) ظاہر ہونے والی ونڈو میں، ڈومین ایڈمنسٹریٹر کی معلومات درج کریں اور باکس کو نشان زد کریں۔ سٹور اسناد. مزید برآں، اگر ISE کسی مخصوص OU میں واقع ہے تو آپ OU (تنظیمی یونٹ) کی وضاحت کر سکتے ہیں۔ اگلا، آپ کو سسکو ISE نوڈس کو منتخب کرنا پڑے گا جنہیں آپ ڈومین سے منسلک کرنا چاہتے ہیں۔
تصویر 12۔ اسناد داخل کرنا
3) ڈومین کنٹرولرز کو شامل کرنے سے پہلے، یقینی بنائیں کہ ٹیب میں PSN پر ہے۔ ایڈمنسٹریشن → سسٹم → تعیناتی۔ آپشن فعال غیر فعال شناختی سروس. غیر فعال ID - ایک آپشن جو آپ کو یوزر کو آئی پی میں اور اس کے برعکس ترجمہ کرنے کی اجازت دیتا ہے۔ PassiveID AD سے WMI، خصوصی AD ایجنٹس، یا سوئچ پر موجود SPAN پورٹ کے ذریعے معلومات حاصل کرتا ہے (بہترین آپشن نہیں)۔
نوٹ: غیر فعال ID کی حیثیت کو چیک کرنے کے لیے، ISE کنسول میں ٹائپ کریں۔ دکھائیں درخواست کی حیثیت ہے | PassiveID شامل کریں۔
شکل 13۔ PassiveID آپشن کو فعال کرنا
4) ٹیب پر جائیں۔ ایڈمنسٹریشن → شناختی انتظام → بیرونی شناختی ذرائع → ایکٹو ڈائریکٹری → PassiveID اور آپشن کو منتخب کریں۔ ڈی سیز شامل کریں۔. اگلا، چیک باکس کے ذریعہ مطلوبہ ڈومین کنٹرولرز کو منتخب کریں اور کلک کریں۔ ٹھیک ہے.
شکل 14. ڈومین کنٹرولرز کو شامل کرنا
5) شامل کردہ ڈی سی کو منتخب کریں اور بٹن پر کلک کریں۔ ترمیم. برائے مہربانی نشاندہی کیجئے ایف کیو ڈی این آپ کا DC، ڈومین لاگ ان اور پاس ورڈ، اور ایک لنک آپشن WMI یا ایجنٹ. WMI کو منتخب کریں اور کلک کریں۔ ٹھیک ہے.
شکل 15. ڈومین کنٹرولر کی معلومات درج کرنا
6) اگر WMI ایکٹو ڈائریکٹری کے ساتھ بات چیت کرنے کا ترجیحی طریقہ نہیں ہے، تو پھر ISE ایجنٹوں کو استعمال کیا جا سکتا ہے۔ ایجنٹ کا طریقہ یہ ہے کہ آپ سرورز پر خصوصی ایجنٹس انسٹال کر سکتے ہیں جو لاگ ان ایونٹس کو خارج کریں گے۔ تنصیب کے 2 اختیارات ہیں: خودکار اور دستی۔ ایجنٹ کو خود بخود اسی ٹیب میں انسٹال کرنے کے لیے غیر فعال ID منتخب ایجنٹ شامل کریں → نیا ایجنٹ تعینات کریں۔ (ڈی سی کو انٹرنیٹ تک رسائی حاصل ہونی چاہیے)۔ پھر مطلوبہ فیلڈز بھریں (ایجنٹ کا نام، سرور FQDN، ڈومین ایڈمنسٹریٹر لاگ ان/پاس ورڈ) اور کلک کریں۔ ٹھیک ہے.
شکل 16. ISE ایجنٹ کی خودکار تنصیب
7) سسکو ISE ایجنٹ کو دستی طور پر انسٹال کرنے کے لیے، آپ کو منتخب کرنے کی ضرورت ہے۔ موجودہ ایجنٹ کو رجسٹر کریں۔. ویسے، آپ ایجنٹ کو ٹیب میں ڈاؤن لوڈ کر سکتے ہیں۔ کام کے مراکز → PassiveID → فراہم کنندگان → ایجنٹس → ایجنٹ ڈاؤن لوڈ کریں۔
تصویر 17. ISE ایجنٹ کو ڈاؤن لوڈ کرنا
اہم: PassiveID واقعات کو نہیں پڑھتا ہے۔ لاگ آف کریں! ٹائم آؤٹ کے لیے ذمہ دار پیرامیٹر کہا جاتا ہے۔ صارف کے سیشن کی عمر بڑھنے کا وقت اور پہلے سے طے شدہ طور پر 24 گھنٹے کے برابر ہے۔ اس لیے، آپ کو یا تو کام کے دن کے اختتام پر خود کو لاگ آف کرنا چاہیے، یا کوئی ایسا اسکرپٹ لکھنا چاہیے جو تمام لاگ ان صارفین کو خود بخود لاگ آف کر دے گا۔
معلومات کے لیے لاگ آف کریں "اینڈ پوائنٹ پروبس" استعمال کیے جاتے ہیں۔ سسکو ISE میں کئی اینڈ پوائنٹ پروبس ہیں: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP اسکین۔ رداس کا استعمال کرتے ہوئے تحقیقات CoA (اختیار کی تبدیلی) پیکیجز صارف کے حقوق کو تبدیل کرنے کے بارے میں معلومات فراہم کرتے ہیں (اس کے لیے ایمبیڈڈ کی ضرورت ہوتی ہے۔ 802.1X)، اور رسائی سوئچز پر کنفیگر کردہ SNMP منسلک اور منقطع آلات کے بارے میں معلومات فراہم کرے گا۔
درج ذیل مثال 802.1X اور RADIUS کے بغیر Cisco ISE + AD کنفیگریشن کے لیے موزوں ہے: ایک صارف ونڈوز مشین پر لاگ ان ہوتا ہے، لاگ آف کیے بغیر، WiFi کے ذریعے دوسرے PC سے لاگ ان ہوتا ہے۔ اس صورت میں، پہلے پی سی پر سیشن اس وقت تک فعال رہے گا جب تک کہ ٹائم آؤٹ یا جبری لاگ آف نہ ہو جائے۔ پھر اگر ڈیوائسز کے مختلف حقوق ہیں، تو آخری لاگ ان ڈیوائس اس کے حقوق کا اطلاق کرے گی۔
8) ٹیب میں اضافی چیزیں ایڈمنسٹریشن → شناخت کا انتظام → بیرونی شناختی ذرائع → ایکٹو ڈائرکٹری → گروپس → شامل کریں → ڈائرکٹری سے گروپ منتخب کریں آپ AD سے وہ گروپ منتخب کر سکتے ہیں جنہیں آپ ISE پر کھینچنا چاہتے ہیں (ہمارے معاملے میں، یہ مرحلہ 3 "ایل ڈی اے پی سرور شامل کرنا" میں کیا گیا تھا)۔ ایک آپشن منتخب کریں۔ گروپس بازیافت کریں → ٹھیک ہے۔.
تصویر 18 الف)۔ ایکٹو ڈائرکٹری سے صارف گروپوں کو کھینچنا
9) ٹیب میں کام کے مراکز → PassiveID → جائزہ → ڈیش بورڈ آپ فعال سیشنز کی تعداد، ڈیٹا کے ذرائع کی تعداد، ایجنٹس اور مزید کی نگرانی کر سکتے ہیں۔
تصویر 19. ڈومین صارف کی سرگرمیوں کی نگرانی
10) ٹیب میں براہ راست سیشن موجودہ سیشن دکھائے جاتے ہیں۔ AD کے ساتھ انضمام کو ترتیب دیا گیا ہے۔
تصویر 20. ڈومین صارفین کے فعال سیشن
5. نتیجہ
اس مضمون میں Cisco ISE میں مقامی صارفین بنانے، LDAP سرورز کو شامل کرنے اور Microsoft Active Directory کے ساتھ انضمام کے موضوعات کا احاطہ کیا گیا ہے۔ اگلا مضمون ایک بے کار گائیڈ کی شکل میں مہمانوں تک رسائی کا احاطہ کرے گا۔
اگر آپ کے پاس اس موضوع کے بارے میں سوالات ہیں یا مصنوعات کی جانچ میں مدد کی ضرورت ہے، تو براہ کرم رابطہ کریں۔ .
اپ ڈیٹس کے لیے ہمارے چینلز کو فالو کریں (, , , , ).
ماخذ: www.habr.com