Cisco ISEga bag'ishlangan maqolalar turkumining ikkinchi nashriga xush kelibsiz. Birinchisida Tarmoqqa kirishni boshqarish (NAC) yechimlarining standart AAA’dan afzalliklari va farqlari, Cisco ISE’ning o‘ziga xosligi, mahsulot arxitekturasi va o‘rnatish jarayoni ta’kidlandi.
Ushbu maqolada biz hisob qaydnomalarini yaratish, LDAP serverlarini qo'shish va Microsoft Active Directory bilan integratsiyani, shuningdek PassiveID bilan ishlashda nuanslarni ko'rib chiqamiz. O'qishdan oldin, men sizga o'qishni tavsiya qilaman .
1. Ayrim terminologiya
Foydalanuvchi identifikatori — foydalanuvchi haqidagi maʼlumotlarni oʻz ichiga olgan va tarmoqqa kirish uchun uning hisob maʼlumotlarini shakllantiradigan foydalanuvchi hisobi. Quyidagi parametrlar odatda Foydalanuvchi identifikatorida ko'rsatiladi: foydalanuvchi nomi, elektron pochta manzili, parol, hisob tavsifi, foydalanuvchi guruhi va roli.
foydalanuvchi Guruhlar - Foydalanuvchi guruhlari - bu Cisco ISE xizmatlari va funksiyalarining ma'lum bir to'plamidan foydalanish imkonini beruvchi umumiy imtiyozlar to'plamiga ega bo'lgan individual foydalanuvchilar to'plami.
Foydalanuvchi identifikatorlari guruhlari - ma'lum ma'lumotlar va rollarga ega bo'lgan oldindan belgilangan foydalanuvchi guruhlari. Quyidagi foydalanuvchi identifikatorlari guruhlari sukut boʻyicha mavjud boʻlib, ularga foydalanuvchilar va foydalanuvchilar guruhlarini qoʻshishingiz mumkin: Xodim, SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (mehmon portalini boshqarish uchun homiy hisoblari), Mehmon, ActivatedGuest.
Foydalanuvchi roli - Foydalanuvchi roli - bu foydalanuvchi qanday vazifalarni bajarishi va foydalanuvchi qanday xizmatlarga kirishi mumkinligini aniqlaydigan ruxsatlar to'plami. Ko'pincha foydalanuvchi roli foydalanuvchilar guruhi bilan bog'lanadi.
Bundan tashqari, har bir foydalanuvchi va foydalanuvchilar guruhida ma'lum bir foydalanuvchini (foydalanuvchilar guruhini) ajratib ko'rsatish va aniqroq aniqlash imkonini beruvchi qo'shimcha atributlar mavjud. Batafsil ma'lumot .
2. Mahalliy foydalanuvchilarni yaratish
1) Cisco ISE-da mahalliy foydalanuvchilarni yaratish va ulardan kirish siyosatida foydalanish yoki hatto ularga mahsulot boshqaruvi rolini berish mumkin. Tanlang Ma’muriyat → Identifikatsiyani boshqarish → Identifikatsiyalar → Foydalanuvchilar → Qo‘shish.
1-rasm: Cisco ISE-ga mahalliy foydalanuvchi qo'shish
2) Ko'rsatilgan oynada mahalliy foydalanuvchi yarating, unga parol va boshqa aniq parametrlarni bering.
2-rasm: Cisco ISE da mahalliy foydalanuvchi yaratish
3) Foydalanuvchilar ham import qilinishi mumkin. Xuddi shu yorliqda Ma'muriyat → Identifikatsiyani boshqarish → Identifikatsiyalar → Foydalanuvchilar variantni tanlang import va foydalanuvchilar bilan csv yoki txt faylini yuklang. Shablonni olish uchun ni tanlang Shablon yaratish, keyin uni mos shaklda foydalanuvchilar haqidagi ma'lumotlar bilan to'ldirishingiz kerak.
3-rasm: Foydalanuvchilarni Cisco ISE ga import qilish
3. LDAP serverlarini qo'shish
Sizga eslatib o'tamanki, LDAP - bu ma'lumot olish, autentifikatsiyani amalga oshirish, LDAP server kataloglarida hisoblarni qidirish va 389 yoki 636 (SS) portlarida ishlash imkonini beruvchi mashhur dastur darajasidagi protokol. LDAP serverlarining yorqin namunalari Active Directory, Sun Directory, Novell eDirectory va OpenLDAP hisoblanadi. LDAP katalogidagi har bir yozuv DN (taniqlangan nom) bilan belgilanadi va kirish siyosatini shakllantirish uchun hisoblar, foydalanuvchilar guruhlari va atributlarini olish vazifasi paydo bo'ladi.
Cisco ISE-da ko'plab LDAP serverlariga kirishni sozlash mumkin, bu esa ortiqchalikni amalga oshiradi. Agar asosiy LDAP serveri mavjud bo'lmasa, ISE ikkinchi darajali bilan bog'lanishga harakat qiladi va hokazo. Bunga qo'shimcha ravishda, agar 2 ta PAN mavjud bo'lsa, birlamchi PAN uchun bitta LDAP, ikkinchi darajali PAN uchun boshqa LDAP ustuvor bo'lishi mumkin.
ISE LDAP serverlari bilan ishlashda 2 turdagi qidirishni qo'llab-quvvatlaydi: Foydalanuvchilarni qidirish va MAC manzillarini qidirish. Foydalanuvchilarni qidirish LDAP ma'lumotlar bazasida foydalanuvchini qidirish va autentifikatsiyasiz quyidagi ma'lumotlarni olish imkonini beradi: foydalanuvchilar va ularning atributlari, foydalanuvchilar guruhlari. MAC manzilini qidirish shuningdek, LDAP kataloglarida autentifikatsiyasiz MAC manzili bo'yicha qidirish va qurilma, MAC manzillari bo'yicha qurilmalar guruhi va boshqa o'ziga xos atributlar haqida ma'lumot olish imkonini beradi.
Integratsiyaga misol sifatida, Active Directory-ni Cisco ISE-ga LDAP serveri sifatida qo'shamiz.
1) Yorliqlarga o'ting Ma’muriyat → Identifikatsiyani boshqarish → Tashqi identifikatsiya manbalari → LDAP → Qo‘shish.
Shakl 4. LDAP serverini qo'shish
2) Panelda umumiy LDAP server nomi va sxemasini belgilang (bizning holimizda Active Directory).
Shakl 5. Active Directory sxemasi bilan LDAP serverini qo'shish
3) Keyingiga o'ting Ulanish yorlig'ini bosing va belgilang Xost nomi/IP manzili Server AD, port (389 - LDAP, 636 - SSL LDAP), domen administratori hisob ma'lumotlari (Admin DN - to'liq DN), boshqa parametrlar sukut bo'yicha qoldirilishi mumkin.
nota: Mumkin bo'lgan muammolarni oldini olish uchun administrator domen ma'lumotlaridan foydalaning.
Shakl 6. LDAP server ma'lumotlarini kiritish
4) Yorliqda Katalog tashkiloti foydalanuvchilar va foydalanuvchilar guruhlarini tortib olish uchun DN orqali katalog maydonini belgilashingiz kerak.
Shakl 7. Foydalanuvchilar guruhlari olinadigan kataloglarni aniqlash
5) Oynaga o'ting Guruhlar → Qo‘shish → Katalogdan Guruhlarni tanlang LDAP serveridan tortib olish guruhlarini tanlash uchun.
Shakl 8. LDAP serveridan guruhlar qo'shish
6) Ko'rsatilgan oynada bosing Guruhlarni olish. Agar guruhlar qo'shilgan bo'lsa, unda dastlabki bosqichlar muvaffaqiyatli yakunlandi. Aks holda, boshqa administratorni sinab ko'ring va LDAP protokoli yordamida LDAP serveri bilan ISE mavjudligini tekshiring.
Shakl 9. Yoqilgan foydalanuvchilar guruhlari ro'yxati
7) Yorliqda sifatlari ixtiyoriy ravishda LDAP serveridan qaysi atributlarni tortib olish kerakligini va oynada belgilashingiz mumkin Murakkab sozlamalar yoqish opsiyasi Parolni o'zgartirishni yoqish, agar parol muddati tugagan yoki qayta tiklangan bo'lsa, foydalanuvchilarni parolini o'zgartirishga majbur qiladi. Qanday bo'lmasin, bosing Submit davom ettirish.
8) LDAP serveri tegishli yorliqda paydo bo'ladi va undan keyin kirish siyosatini yaratish uchun foydalanish mumkin.
10-rasm. Qo'shilgan LDAP serverlari ro'yxati
4. Active Directory bilan integratsiya
1) Microsoft Active Directory serverini LDAP serveri sifatida qo'shish orqali biz foydalanuvchilar, foydalanuvchilar guruhlarini oldik, lekin jurnallar emas. Keyinchalik, men Cisco ISE bilan to'liq AD integratsiyasini o'rnatishni taklif qilaman. Yorliqga o'ting Ma'muriyat → Identifikatsiyani boshqarish → Tashqi identifikatsiya manbalari → Active Directory → Qo'shish.
Eslatma: AD bilan muvaffaqiyatli integratsiya qilish uchun ISE domenda bo'lishi va DNS, NTP va AD serverlari bilan to'liq ulanishga ega bo'lishi kerak, aks holda hech narsa ishlamaydi.
11-rasm. Active Directory serverini qo'shish
2) Ko'rsatilgan oynada domen ma'muri ma'lumotlarini kiriting va katakchani belgilang Hisob ma'lumotlarini saqlash. Bundan tashqari, agar ISE ma'lum bir OUda joylashgan bo'lsa, OU (tashkiliy birlik) ni belgilashingiz mumkin. Keyinchalik, siz domenga ulanmoqchi bo'lgan Cisco ISE tugunlarini tanlashingiz kerak bo'ladi.
Shakl 12. Hisob ma'lumotlarini kiritish
3) Domen kontrollerlarini qo'shishdan oldin, yorliqda PSN-da ekanligiga ishonch hosil qiling Ma'muriyat → Tizim → Joylashtirish parametr yoqilgan Passiv identifikatsiya xizmati. Passiv ID — foydalanuvchini IP ga va aksincha tarjima qilish imkonini beruvchi variant. PassiveID ADdan ma'lumotni WMI, maxsus AD agentlari yoki kalitdagi SPAN porti orqali oladi (eng yaxshi variant emas).
Eslatma: Passiv ID holatini tekshirish uchun ISE konsoliga kiring ilova holatini ko'rsatish | PassiveIDni o'z ichiga oladi.
Shakl 13. PassiveID opsiyasini yoqish
4) Yorliqlarga o'ting Ma'muriyat → Identifikatsiyani boshqarish → Tashqi identifikatsiya manbalari → Active Directory → PassiveID va variantni tanlang DC qo'shing. Keyin, katakchalar orqali kerakli domen kontrollerlarini tanlang va ustiga bosing OK.
14-rasm. Domen kontrollerlarini qo'shish
5) Qo'shilgan shaharlarni tanlang va tugmani bosing Tahrirlash. Iltimos, ko'rsating FQDN sizning DC, domen login va parolingiz, shuningdek, aloqa opsiyasi WMI yoki Agent. WMI-ni tanlang va bosing OK.
Shakl 15. Domen tekshiruvi ma'lumotlarini kiritish
6) Agar WMI Active Directory bilan bog'lanishning afzal usuli bo'lmasa, u holda ISE agentlaridan foydalanish mumkin. Agent usuli shundan iboratki, siz serverga kirish hodisalarini chiqaradigan maxsus agentlarni o'rnatishingiz mumkin. O'rnatishning ikkita varianti mavjud: avtomatik va qo'lda. Xuddi shu yorliqda agentni avtomatik ravishda o'rnatish uchun Passiv ID elementni tanlang Agent qo'shish → Yangi agentni joylashtirish (DCda Internetga kirish imkoniyati bo'lishi kerak). Keyin kerakli maydonlarni to'ldiring (agent nomi, server FQDN, domen administratori login/parol) va bosing. OK.
Shakl 16. ISE agentining avtomatik o'rnatilishi
7) Cisco ISE agentini qo'lda o'rnatish uchun siz tanlashingiz kerak Mavjud agentni ro'yxatdan o'tkazish. Aytgancha, siz agentni yorliqda yuklab olishingiz mumkin Ish markazlari → PassiveID → Provayderlar → Agentlar → Yuklab olish agenti.
17-rasm. ISE agentini yuklab olish
Bu uchun muhim ahamiyatga ega: PassiveID voqealarni o'qimaydi tizimdan chiqish! Vaqt tugashi uchun mas'ul bo'lgan parametr chaqiriladi foydalanuvchi seansining qarish vaqti va sukut bo'yicha 24 soatga teng. Shuning uchun, siz ish kunining oxirida tizimdan chiqishingiz yoki tizimga kirgan barcha foydalanuvchilarni avtomatik ravishda o'chirib qo'yadigan qandaydir skript yozishingiz kerak.
Ma'lumot uchun tizimdan chiqish "So'nggi nuqta problari" ishlatiladi. Cisco ISE-da bir nechta so'nggi nuqta problari mavjud: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. RADIUS prob yordamida CoA (Avtorizatsiyani o'zgartirish) paketlari foydalanuvchi huquqlarini o'zgartirish haqida ma'lumot beradi (buning uchun o'rnatilgan 802.1X) va kirish kalitlarida sozlangan SNMP ulangan va uzilgan qurilmalar haqida ma'lumot beradi.
Quyida 802.1X va RADIUSsiz Cisco ISE + AD konfiguratsiyasiga tegishli misol keltirilgan: foydalanuvchi Windows mashinasida tizimga kirgan, tizimdan chiqmasdan, boshqa kompyuterdan WiFi orqali tizimga kirgan. Bunday holda, birinchi shaxsiy kompyuterdagi sessiya vaqt tugashi yoki majburiy tizimdan chiqish sodir bo'lguncha faol bo'ladi. Keyin, agar qurilmalar turli huquqlarga ega bo'lsa, oxirgi tizimga kirgan qurilma o'z huquqlarini qo'llaydi.
8) Yorliqdagi qo'shimchalar Ma’muriyat → Identifikatsiyani boshqarish → Tashqi identifikatsiya manbalari → Active Directory → Guruhlar → Qo‘shish → Katalogdan guruhlarni tanlang siz ADdan ISEga qo'shmoqchi bo'lgan guruhlarni tanlashingiz mumkin (bizning holatlarimizda bu "LDAP serverini qo'shish" 3-bosqichida amalga oshirilgan). Variantni tanlang Guruhlarni olish → OK.
18-rasm a). Foydalanuvchi guruhlarini Active Directory'dan tortib olish
9) Yorliqda Ish markazlari → PassiveID → Umumiy ko‘rinish → Boshqaruv paneli faol seanslar sonini, ma'lumotlar manbalari sonini, agentlarni va boshqalarni kuzatishingiz mumkin.
19-rasm. Domen foydalanuvchilari faoliyatini monitoring qilish
10) Yorliqda Jonli seanslar joriy seanslar ko'rsatiladi. AD bilan integratsiya sozlangan.
20-rasm. Domen foydalanuvchilarining faol seanslari
5. Xulosa
Ushbu maqola Cisco ISE-da mahalliy foydalanuvchilarni yaratish, LDAP serverlarini qo'shish va Microsoft Active Directory bilan integratsiya qilish mavzularini qamrab oldi. Keyingi maqola ortiqcha qo'llanma shaklida mehmonlarga kirishni ko'rib chiqadi.
Agar sizda ushbu mavzu bo'yicha savollaringiz bo'lsa yoki mahsulotni sinab ko'rishda yordamga muhtoj bo'lsangiz, iltimos, murojaat qiling .
Kanallarimizdagi yangiliklarni kuzatib boring (, , , , ).
Manba: www.habr.com