Cisco ISE: קריייטינג ניצערס, אַדינג LDAP סערווערס, ינטאַגרייטינג מיט AD. טייל 2

ברוכים הבאים צו די רגע פּאָסטן אין די Cisco ISE סעריע. אין דער ערשטער אַרטיקל  די אַדוואַנטאַגעס און דיפעראַנסיז פון נעטוואָרק אַקסעס קאָנטראָל (NAC) סאַלושאַנז פון נאָרמאַל אַאַאַ, די אייגנארטיקייט פון Cisco ISE, די אַרקאַטעקטשער און די ינסטאַלירונג פּראָצעס פון די פּראָדוקט זענען כיילייטיד.

אין דעם אַרטיקל, מיר וועלן דעלוו אין קריייטינג אַקאַונץ, אַדינג LDAP סערווערס און ינטאַגרייטינג מיט Microsoft Active Directory, ווי געזונט ווי די נואַנסיז פון ארבעטן מיט PassiveID. איידער לייענען, איך שטארק רעקאָמענדירן אַז איר לייענען ערשטער טייל.

1. עטלעכע טערמינאָלאָגיע

באַניצער אידענטיטעט - אַ באַניצער חשבון וואָס כּולל אינפֿאָרמאַציע וועגן דעם באַניצער און דזשענערייץ זיין קראַדענטשאַלז פֿאַר אַקסעס די נעץ. די פאלגענדע פּאַראַמעטערס זענען טיפּיקלי ספּעסיפיעד אין באַניצער אידענטיטעט: נאמען, בליצפּאָסט אַדרעס, פּאַראָל, חשבון באַשרייַבונג, באַניצער גרופּע און ראָלע.

באַניצער גרופּעס - באַניצער גרופּעס זענען אַ זאַמלונג פון יחיד יוזערז וואָס האָבן אַ פּראָסט גאַנג פון פּריווילאַדזשאַז וואָס לאָזן זיי אַקסעס אַ ספּעציפיש גאַנג פון Cisco ISE באַדינונגס און פאַנגקשאַנז.

באַניצער אידענטיטעט גרופּעס - פּרעדעפינעד באַניצער גרופּעס וואָס האָבן שוין זיכער אינפֿאָרמאַציע און ראָלעס. די פאלגענדע באַניצער אידענטיטעט גרופּעס עקסיסטירן דורך פעליקייַט, איר קענען לייגן יוזערז און באַניצער גרופּעס צו זיי: עמפּלויעע (אָנגעשטעלטער), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (ספּאָנסאָר אַקאַונץ פֿאַר אָנפירונג די גאַסט טויער), גאַסט (גאַסט), ActivatedGuest (אַקטיווייטיד גאַסט).

באַניצער-ראָלע- א באַניצער ראָלע איז אַ סכום פון פּערמישאַנז וואָס באַשטימען וואָס טאַסקס אַ באַניצער קענען דורכפירן און וואָס סערוויסעס קענען אַקסעס. אָפט אַ באַניצער ראָלע איז פארבונדן מיט אַ גרופּע פון ​​ניצערס.

דערצו, יעדער באַניצער און באַניצער גרופּע האט נאָך אַטריביוץ וואָס לאָזן איר צו אויסקלייַבן און מער ספּאַסיפיקלי דעפינירן דעם באַניצער (באַניצער גרופּע). מער אינפֿאָרמאַציע אין פירן.

2. שאַפֿן היגע ניצערס

1) Cisco ISE האט די פיייקייט צו שאַפֿן היגע ניצערס און נוצן זיי אין אַ אַקסעס פּאָליטיק אָדער אפילו געבן אַ פּראָדוקט אַדמיניסטראַציע ראָלע. אויסקלייַבן אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → אידענטיטעט → יוזערז → לייג.

פיגורע 1 אַדינג אַ לאקאלע באַניצער צו Cisco ISE

2) אין די פֿענצטער וואָס איז ארויס, שאַפֿן אַ היגע באַניצער, שטעלן אַ פּאַראָל און אנדערע פאַרשטיייק פּאַראַמעטערס.

פיגורע 2. קריייטינג אַ לאקאלע באַניצער אין Cisco ISE

3) יוזערז קענען אויך זיין ימפּאָרטיד. אין דער זעלביקער קוויטל אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → אידענטיטעט → יוזערז אויסקלייַבן אַן אָפּציע אַרייַנפיר און ופּלאָאַד קסוו אָדער טקסט טעקע מיט יוזערז. צו באַקומען אַ מוסטער סעלעקטירן שאַפֿן אַ מוסטער, דעמאָלט עס זאָל זיין אָנגעפילט מיט אינפֿאָרמאַציע וועגן ניצערס אין אַ פּאַסיק פאָרעם.

פיגורע 3 ימפּאָרטינג יוזערז אין Cisco ISE

3. אַדינג לדאַפּ סערווערס

לאָזן מיר דערמאָנען איר אַז LDAP איז אַ פאָלקס פּראָטאָקאָל אויף אַפּלאַקיישאַן מדרגה וואָס אַלאַוז איר צו באַקומען אינפֿאָרמאַציע, דורכפירן אָטענטאַקיישאַן, זוכן פֿאַר אַקאַונץ אין די דירעקטעריז פון LDAP סערווערס, אַרבעט אויף פּאָרט 389 אָדער 636 (סס). באַוווסט ביישפילן פון LDAP סערווערס זענען אַקטיוו Directory, Sun Directory, Novell eDirectory און OpenLDAP. יעדער פּאָזיציע אין די LDAP וועגווייַזער איז דיפיינד דורך אַ DN (דיסטינגוישעד נאָמען) און די אַרבעט פון ריטריווינג אַקאַונץ, באַניצער גרופּעס און אַטריביוץ איז אויפגעשטאנען צו פאָרעם אַן אַקסעס פּאָליטיק.

אין Cisco ISE, עס איז מעגלעך צו קאַנפיגיער אַקסעס צו פילע LDAP סערווערס, און דערמיט ימפּלאַמענינג יבעריקייַט. אויב די ערשטיק (ערשטיק) LDAP סערווער איז נישט בנימצא, ISE וועט פּרובירן צו אַקסעס די צווייטיק (צווייטיק) און אַזוי אויף. אַדדיטיאָנאַללי, אויב עס זענען 2 PANs, איינער LDAP קענען זיין פּרייאָראַטייזד פֿאַר די ערשטיק PAN און אנדערן LDAP פֿאַר די צווייטיק PAN.

ISE שטיצט 2 טייפּס פון לוקאַפּ (לוקאַפּ) ווען ארבעטן מיט LDAP סערווערס: באַניצער לוקאַפּ און MAC אַדרעס לוקאַפּ. באַניצער לוקאַפּ אַלאַוז איר צו זוכן פֿאַר אַ באַניצער אין די LDAP דאַטאַבייס און באַקומען די פאלגענדע אינפֿאָרמאַציע אָן אָטענטאַקיישאַן: יוזערז און זייער אַטריביוץ, באַניצער גרופּעס. MAC אַדרעס לוקאַפּ אויך אַלאַוז איר צו זוכן דורך MAC אַדרעס אין LDAP דיירעקטעריז אָן אָטענטאַקיישאַן און באַקומען אינפֿאָרמאַציע וועגן די מיטל, אַ גרופּע פון ​​דעוויסעס דורך MAC אַדרעסעס און אנדערע ספּעציפיש אַטריביוץ.

ווי אַן ינאַגריישאַן ביישפּיל, לאָזן אונדז לייגן אַקטיווע Directory צו Cisco ISE ווי אַ LDAP סערווער.

1) גיין צו די קוויטל אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → פונדרויסנדיק אידענטיטעט קוואלן → לדאַפּ → לייג. 

פיגורע 4. אַדינג אַ לדאַפּ סערווער

2) אין טאַפליע אַלגעמיין ספּעציפיצירן די LDAP סערווער נאָמען און סכעמע (אין אונדזער פאַל, אַקטיוו Directory). 

פיגורע 5. אַדינג אַן לדאַפּ סערווער מיט אַן אַקטיווע Directory סטשעמאַ

3) ווייַטער גיין צו שייַכעס קוויטל און סעלעקטירן האָסטנאַמע / IP אַדרעס סערווירער אַד, פּאָרט (389 - לדאַפּ, 636 - ססל לדאַפּ), פעלד אַדמיניסטראַטאָר קראַדענטשאַלז (אַדמין דן - פול דן), אנדערע פּאַראַמעטערס קענען זיין לינקס ווי פעליקייַט.

טאָן: ניצן די אַדמין פעלד דעטאַילס צו ויסמיידן פּאָטענציעל פּראָבלעמס.

פיגורע 6 אַרייַן LDAP סערווירער דאַטאַ

4) אין קוויטל Directory ארגאניזאציע איר זאָל ספּעציפיצירן די וועגווייַזער געגנט דורך די DN פון ווו צו ציען ניצערס און באַניצער גרופּעס.

פיגורע 7. באַשטימונג פון דירעקטעריז פון ווו באַניצער גרופּעס קענען ציען זיך

5) גיין צו פֿענצטער גרופּעס → לייג → אויסקלייַבן גרופּעס פֿון Directory צו אויסקלייַבן ציען גרופּעס פון די LDAP סערווער.

פיגורע 8. אַדינג גרופּעס פון די לדאַפּ סערווער

6) אין די פֿענצטער וואָס איז געוויזן, גיט צוריקקריגן גרופּעס. אויב די גרופּעס האָבן פּולד אַרויף, די פּרילימאַנערי סטעפּס האָבן שוין געענדיקט הצלחה. אַנדערש, פּרובירן אן אנדער אַדמיניסטראַטאָר און קאָנטראָלירן די אַוויילאַבילאַטי פון די ISE מיט די LDAP סערווער דורך די LDAP פּראָטאָקאָל.

פיגורע 9. רשימה פון פּולד באַניצער גרופּעס

7) אין קוויטל אַטראַביוץ איר קענען אָפּטיאָנאַללי ספּעציפיצירן וואָס אַטריביוץ פון די LDAP סערווער זאָל זיין פּולד אַרויף און אין די פֿענצטער אַוואַנסירטע סעטטינגס געבן אָפּציע געבן פּאַראָל טוישן, וואָס וועט צווינגען ניצערס צו טוישן זייער פּאַראָל אויב עס איז אויסגעגאנגען אָדער באַשטעטיק. סייַ ווי סייַ גיט פאָרלייגן צו גיין ווייטער.

8) LDAP סערווער איז ארויס אין די קאָראַספּאַנדינג קוויטל און קענען זיין געוויינט צו פאָרעם אַקסעס פּאַלאַסיז אין דער צוקונפֿט.

פיגורע 10. רשימה פון צוגעלייגט לדאַפּ סערווערס

4. ינטעגראַטיאָן מיט אַקטיווע Directory

1) דורך אַדינג די Microsoft Active Directory סערווער ווי אַ LDAP סערווער, מיר האָבן ניצערס, באַניצער גרופּעס, אָבער קיין לאָגס. דערנאָך, איך פאָרשלאָגן צו שטעלן אַרויף פול-פלעדזשד אַד ינאַגריישאַן מיט Cisco ISE. גיין צו די קוויטל אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → פונדרויסנדיק אידענטיטעט קוואלן → אַקטיוו Directory → לייג. 

באַמערקונג: פֿאַר מצליח ינטאַגריישאַן מיט AD, ISE מוזן זיין אין אַ פעלד און האָבן פול קאַנעקטיוויטי מיט DNS, NTP און AD סערווערס, אַנדערש גאָרנישט וועט קומען פון עס.

פיגורע 11. אַדינג אַן אַקטיווע Directory סערווער

2) אין די פֿענצטער אַז אויס, אַרייַן די פעלד אַדמיניסטראַטאָר דעטאַילס און טשעק די קעסטל קראָם קראַדענטשאַלז. אין דערצו, איר קענען ספּעציפיצירן אַן אָו (אָרגאַנאַזיישאַנאַל יוניט) אויב די ISE איז ליגן אין אַ ספּעציפיש אָו. דערנאָך איר וועט האָבן צו אויסקלייַבן די Cisco ISE נאָודז וואָס איר ווילן צו פאַרבינדן צו די פעלד.

פיגורע 12. אַרייַן קראַדענטשאַלז

3) איידער אַדינג פעלד קאַנטראָולערז, מאַכן זיכער אַז אויף PSN אין די קוויטל אַדמיניסטראַציע → סיסטעם → דיפּלוימאַנט אָפּציע ענייבאַלד פּאַסיוו אידענטיטעט סערוויס. פּאַסיוו שייַן - אַן אָפּציע וואָס אַלאַוז איר צו איבערזעצן באַניצער צו IP און וויצע ווערסאַ. PassiveID באַקומען אינפֿאָרמאַציע פון ​​AD דורך WMI, ספּעציעל אַד אַגענץ אָדער SPAN פּאָרט אויף די באַשטימען (נישט דער בעסטער אָפּציע).

באַמערקונג: צו קאָנטראָלירן די סטאַטוס פון די פּאַסיוו שייַן, אַרייַן די ISE קאַנסאָול ווייַזן אַפּלאַקיישאַן סטאַטוס איז | אַרייַננעמען PassiveID.

פיגורע 13. ענייבאַלינג די פּאַסיוויד אָפּציע

4) גיין צו די קוויטל אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → פונדרויסנדיק אידענטיטעט קוואלן → אַקטיוו Directory → PassiveID און סעלעקטירן דעם אָפּציע לייג דקס. ווייַטער, אויסקלייַבן די נייטיק פעלד קאַנטראָולערז מיט טשעקקבאָקסעס און גיט גוט.

פיגורע 14. אַדינג פעלד קאַנטראָולערז

5) אויסקלייַבן די צוגעלייגט דקס און גיט די קנעפּל רעדאַגירן. אָנווייַזן פקדן דיין דק, פעלד לאָגין און פּאַראָל, און אַ לינק אָפּציע וומי אָדער אַגענט. אויסקלייַבן WMI און גיט גוט.

פיגורע 15 אַרייַן פעלד קאָנטראָללער דעטאַילס

6) אויב WMI איז נישט דער בילכער וועג צו יבערגעבן מיט Active Directory, איר קענען נוצן ISE אגענטן. דער אַגענט אופֿן איז אַז איר קענען ינסטאַלירן ספּעציעל אגענטן אויף די סערווערס וואָס וועט אַרויסלאָזן לאָגין געשעענישן. עס זענען 2 ייַנמאָנטירונג אָפּציעס: אָטאַמאַטיק און מאַנואַל. צו אויטאָמאַטיש ינסטאַלירן די אַגענט אין דער זעלביקער קוויטל פּאַסיוו שייַן אויסקלייַבן נומער לייג אַגענט → צעוויקלען ניו אַגענט (דק מוזן האָבן אינטערנעט אַקסעס). דערנאָך פּלאָמבירן די פארלאנגט פעלדער (אַגענט נאָמען, סערווער FQDN, פעלד אַדמיניסטראַטאָר לאָגין / פּאַראָל) און גיט גוט.

פיגורע 16. אָטאַמאַטיק ינסטאַלירונג פון די יסע אַגענט

7) צו מאַניואַלי ינסטאַלירן די Cisco ISE אַגענט, סעלעקטירן דעם נומער רעגיסטרירן עקסיסטינג אַגענט. דורך דעם וועג, איר קענען אראפקאפיע די אַגענט אין די קוויטל אַרבעט סענטערס → PassiveID → פּראַוויידערז → אַגענץ → אראפקאפיע אַגענט.

פיגורע 17. דאַונלאָודינג די יסע אַגענט

וויכטיק: PassiveID קען נישט לייענען געשעענישן גיי ארויס! דער פּאַראַמעטער פאַראַנטוואָרטלעך פֿאַר די טיימאַוט איז גערופן באַניצער סעסיע יידזשינג צייַט און יקוואַלז 24 שעה דורך פעליקייַט. דעריבער, איר זאָל אָדער לאָגד זיך אין די סוף פון די אַרבעט טאָג, אָדער שרייַבן אַ מין פון שריפט וואָס וועט אויטאָמאַטיש לאָגד אַלע לאָגד אין ניצערס. 

פֿאַר אינפֿאָרמאַציע גיי ארויס "ענדפּוינט פּראָבעס" זענען געניצט - וואָקזאַל פּראָבעס. עס זענען עטלעכע ענדפּוינט פּראָבעס אין Cisco ISE: RADIUS, SNMP Trap, SNMP Query, DHCP, DNS, HTTP, Netflow, NMAP Scan. ראַדיוס זאָנד ניצן קאָאַ (טוישן אַוטהאָריזאַטיאָן) פּאַקאַדזשאַז געבן אינפֿאָרמאַציע וועגן טשאַנגינג באַניצער רעכט (דאָס ריקווייערז אַן עמבעדיד קסנומקסקס), און קאַנפיגיערד אויף אַקסעס סוויטשיז SNMP, וועט געבן אינפֿאָרמאַציע וועגן קאָננעקטעד און דיסקאַנעקטיד דעוויסעס.

די פאלגענדע ביישפּיל איז באַטייַטיק פֿאַר אַ Cisco ISE + AD קאַנפיגיעריישאַן אָן 802.1X און RADIUS: אַ באַניצער איז לאָגד אין אויף אַ Windows מאַשין, אָן לאָגאָפף, קלאָץ אין פֿון אן אנדער פּיסי דורך WiFi. אין דעם פאַל, די סעסיע אויף דער ערשטער פּיסי וועט נאָך זיין אַקטיוו ביז אַ טיימאַוט אַקערז אָדער אַ געצווונגען לאָגאָפף אַקערז. אויב די דעוויסעס האָבן פאַרשידענע רעכט, די לעצטע לאָגד אין מיטל וועט צולייגן זיין רעכט.

8) אָפּטיאָנאַל אין די קוויטל אַדמיניסטראַציע → אידענטיטעט מאַנאַגעמענט → פונדרויסנדיק אידענטיטעט קוואלן → אַקטיוו Directory → גרופּעס → לייג → אויסקלייַבן גרופּעס פֿון Directory איר קענען אויסקלייַבן גרופּעס פון AD וואָס איר ווילן צו ציען אַרויף אויף ISE (אין אונדזער פאַל, דאָס איז געווען געטאן אין שריט 3 "אַדינג אַ LDAP סערווער"). קלייַבן אַן אָפּציע צוריקקריגן גרופּעס → גוט. 

פיגורע 18 א). פּולינג באַניצער גרופּעס פון אַקטיוו Directory

9) אין קוויטל אַרבעט סענטערס → PassiveID → איבערבליק → דאַשבאָרד איר קענען אָבסערווירן די נומער פון אַקטיוו סעשאַנז, די נומער פון דאַטן קוואלן, אגענטן און מער.

פיגורע 19. מאָניטאָרינג די טעטיקייט פון פעלד ניצערס

10) אין קוויטל לעבן סעסשאַנז קראַנט סעשאַנז זענען געוויזן. ינטעגראַטיאָן מיט אַד איז קאַנפיגיערד.

פיגורע 20. אַקטיוו סעשאַנז פון פעלד ניצערס

5. מסקנא

דער אַרטיקל קאַווערד די טעמעס פון קריייטינג היגע יוזערז אין Cisco ISE, אַדינג LDAP סערווערס און ינטאַגרייטינג מיט Microsoft Active Directory. דער ווייַטער אַרטיקל וועט הויכפּונקט גאַסט אַקסעס אין די פאָרעם פון אַ יבעריק פירער.

אויב איר האָט פֿראגן וועגן דעם טעמע אָדער איר דאַרפֿן הילף צו פּרובירן דעם פּראָדוקט, ביטע קאָנטאַקט רונג.

בלייבן טונד פֿאַר דערהייַנטיקונגען אין אונדזער טשאַנאַלז (טעלעגראַם, facebook, VK, TS לייזונג בלאָג, Yandex Zen).

מקור: www.habr.com