Kaabo si awọn keji post ni Sisiko ISE jara. Ni akọkọ awọn anfani ati awọn iyatọ ti Iṣakoso Wiwọle Nẹtiwọọki (NAC) awọn ipinnu lati AAA boṣewa, iyasọtọ ti Sisiko ISE, faaji ati ilana fifi sori ẹrọ ti ọja naa ni afihan.
Ninu àpilẹkọ yii, a yoo ṣawari sinu ṣiṣẹda awọn akọọlẹ, fifi awọn olupin LDAP kun, ati iṣọpọ pẹlu Microsoft Active Directory, bakanna bi awọn nuances ti ṣiṣẹ pẹlu PassiveID. Ṣaaju kika, Mo ṣeduro ni iyanju pe ki o ka .
1. Diẹ ninu awọn ọrọ-ọrọ
User Identity - akọọlẹ olumulo kan ti o ni alaye ninu olumulo ati ṣe ipilẹṣẹ awọn iwe-ẹri rẹ fun iraye si nẹtiwọọki naa. Awọn paramita atẹle wọnyi jẹ pato pato ni idanimọ olumulo: orukọ olumulo, adirẹsi imeeli, ọrọ igbaniwọle, apejuwe akọọlẹ, ẹgbẹ olumulo, ati ipa.
Awọn ẹgbẹ Olumulo - awọn ẹgbẹ olumulo jẹ akojọpọ awọn olumulo kọọkan ti o ni eto awọn anfani ti o wọpọ ti o gba wọn laaye lati wọle si eto kan pato ti awọn iṣẹ ati awọn iṣẹ Sisiko ISE.
Awọn ẹgbẹ Idanimọ olumulo - awọn ẹgbẹ olumulo ti a ti sọ tẹlẹ ti o ti ni alaye kan ati awọn ipa tẹlẹ. Awọn ẹgbẹ Idanimọ Olumulo wọnyi wa nipasẹ aiyipada, o le ṣafikun awọn olumulo ati awọn ẹgbẹ olumulo si wọn: Oṣiṣẹ (oṣiṣẹ), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (awọn akọọlẹ onigbowo fun ṣiṣakoso ọna abawọle alejo), Alejo (alejo), Alejo ti mu ṣiṣẹ (alejo ti a mu ṣiṣẹ).
ipa olumulo- Ipa olumulo jẹ ṣeto awọn igbanilaaye ti o pinnu iru awọn iṣẹ-ṣiṣe ti olumulo le ṣe ati kini awọn iṣẹ le wọle si. Nigbagbogbo ipa olumulo kan ni nkan ṣe pẹlu ẹgbẹ awọn olumulo.
Pẹlupẹlu, olumulo kọọkan ati ẹgbẹ olumulo ni awọn abuda afikun ti o gba ọ laaye lati yan ati ni pato diẹ sii pataki olumulo yii (ẹgbẹ olumulo). Alaye diẹ sii ni .
2. Ṣẹda agbegbe awọn olumulo
1) Cisco ISE ni agbara lati ṣẹda awọn olumulo agbegbe ati lo wọn ni eto imulo wiwọle tabi paapaa fun ipa iṣakoso ọja kan. Yan Isakoso → Isakoso idanimọ → Awọn idanimọ → Awọn olumulo → Fikun-un.
olusin 1 Fifi Olumulo Agbegbe si Sisiko ISE
2) Ni window ti o han, ṣẹda olumulo agbegbe, ṣeto ọrọ igbaniwọle kan ati awọn aye oye miiran.
olusin 2. Ṣiṣẹda Olumulo Agbegbe ni Sisiko ISE
3) Awọn olumulo le tun ti wa ni wole. Ninu taabu kanna Isakoso → Isakoso idanimọ → Awọn idanimọ → Awọn olumulo yan aṣayan gbe wọle ati gbejade csv tabi faili txt pẹlu awọn olumulo. Lati gba awoṣe kan yan Ṣẹda Awoṣe kan, lẹhinna o yẹ ki o kun fun alaye nipa awọn olumulo ni fọọmu ti o dara.
olusin 3 Gbigbe awọn olumulo sinu Cisco ISE
3. Fifi LDAP apèsè
Jẹ ki n leti pe LDAP jẹ ilana-ipele ohun elo olokiki ti o fun ọ laaye lati gba alaye, ṣe ijẹrisi, wa awọn akọọlẹ ninu awọn ilana ti awọn olupin LDAP, ṣiṣẹ lori ibudo 389 tabi 636 (SS). Awọn apẹẹrẹ pataki ti awọn olupin LDAP jẹ Active Directory, Sun Directory, Novell eDirectory, ati OpenLDAP. Akọsilẹ kọọkan ninu itọsọna LDAP jẹ asọye nipasẹ DN (Orukọ Iyatọ) ati iṣẹ-ṣiṣe ti gbigba awọn akọọlẹ pada, awọn ẹgbẹ olumulo ati awọn abuda ti gbe dide lati ṣe agbekalẹ eto imulo wiwọle.
Ni Sisiko ISE, o ṣee ṣe lati tunto iraye si ọpọlọpọ awọn olupin LDAP, nitorinaa imuse apọju. Ti olupin LDAP akọkọ (akọkọ) ko si, lẹhinna ISE yoo gbiyanju lati wọle si ile-ẹkọ giga (keji) ati bẹbẹ lọ. Ni afikun, ti awọn PAN 2 ba wa, lẹhinna LDAP kan le jẹ pataki fun PAN akọkọ ati LDAP miiran fun PAN Atẹle.
ISE ṣe atilẹyin awọn iru wiwa 2 (ṣawari) nigbati o n ṣiṣẹ pẹlu awọn olupin LDAP: Ṣiṣawari olumulo ati Wiwa Adirẹsi MAC. Ṣiṣawari olumulo gba ọ laaye lati wa olumulo kan ninu aaye data LDAP ati gba alaye atẹle laisi ijẹrisi: awọn olumulo ati awọn abuda wọn, awọn ẹgbẹ olumulo. Wiwa Adirẹsi MAC tun gba ọ laaye lati wa nipasẹ adiresi MAC ni awọn ilana LDAP laisi ijẹrisi ati gba alaye nipa ẹrọ naa, ẹgbẹ kan ti awọn ẹrọ nipasẹ awọn adirẹsi MAC, ati awọn abuda pato miiran.
Gẹgẹbi apẹẹrẹ isọpọ, jẹ ki a ṣafikun Active Directory si Sisiko ISE gẹgẹbi olupin LDAP.
1) Lọ si taabu Isakoso → Isakoso idanimọ → Awọn orisun idanimọ ita → LDAP → Fikun-un.
olusin 4. Fifi ohun LDAP server
2) Ninu nronu Gbogbogbo pato orukọ olupin LDAP ati ero (ninu ọran wa, Active Directory).
Ṣe nọmba 5. Ṣafikun olupin LDAP kan pẹlu eto Itọsọna Active
3) Nigbamii lọ si asopọ taabu ko si yan Orukọ ogun/adirẹsi IP Server AD, ibudo (389 - LDAP, 636 - SSL LDAP), awọn iwe eri alabojuto agbegbe (Abojuto DN - DN ni kikun), awọn paramita miiran le fi silẹ bi aiyipada.
Daakọ: lo awọn alaye ašẹ abojuto lati yago fun awọn iṣoro ti o pọju.
olusin 6 Titẹ awọn LDAP Server Data
4) Ninu taabu Directory Organization o yẹ ki o pato agbegbe liana nipasẹ DN lati ibiti o ti le fa awọn olumulo ati awọn ẹgbẹ olumulo.
Ṣe nọmba 7. Ipinnu awọn ilana lati ibi ti awọn ẹgbẹ olumulo le fa soke
5) Lọ si window Awọn ẹgbẹ → Fikun-un → Yan Awọn ẹgbẹ Lati Itọsọna lati yan awọn ẹgbẹ fa lati olupin LDAP.
olusin 8. Fifi awọn ẹgbẹ lati olupin LDAP
6) Ninu ferese ti o han, tẹ Gba Awọn ẹgbẹ pada. Ti awọn ẹgbẹ ba ti fa soke, lẹhinna awọn igbesẹ alakoko ti pari ni aṣeyọri. Bibẹẹkọ, gbiyanju alakoso miiran ki o ṣayẹwo wiwa ti ISE pẹlu olupin LDAP nipasẹ ilana LDAP.
olusin 9. Akojọ ti fa olumulo awọn ẹgbẹ
7) Ninu taabu eroja o le ni yiyan pato iru awọn abuda lati olupin LDAP yẹ ki o fa soke, ati ni window Eto ti ni ilọsiwaju mu aṣayan ṣiṣẹ Mu iyipada ọrọ igbaniwọle ṣiṣẹ, eyi ti yoo fi ipa mu awọn olumulo lati yi ọrọ igbaniwọle wọn pada ti o ba ti pari tabi ti tunto. Lonakona tẹ Fi lati tesiwaju.
8) Olupin LDAP han ni taabu ti o baamu ati pe o le ṣee lo lati ṣe agbekalẹ awọn eto imulo wiwọle ni ọjọ iwaju.
olusin 10. Akojọ ti fi kun LDAP apèsè
4. Integration pẹlu Active Directory
1) Nipa fifi Microsoft Active Directory olupin kun bi olupin LDAP, a ni awọn olumulo, awọn ẹgbẹ olumulo, ṣugbọn ko si awọn akọọlẹ. Nigbamii ti, Mo daba lati ṣeto iṣọkan AD ni kikun pẹlu Sisiko ISE. Lọ si taabu Isakoso → Isakoso idanimọ → Awọn orisun idanimọ ita → Itọsọna Nṣiṣẹ → Fikun-un.
akiyesi: fun iṣọpọ aṣeyọri pẹlu AD, ISE gbọdọ wa ni agbegbe kan ati ni kikun Asopọmọra pẹlu awọn olupin DNS, NTP ati AD, bibẹẹkọ ko si nkan ti yoo wa ninu rẹ.
olusin 11. Fifi ohun Iroyin Directory server
2) Ninu ferese ti o han, tẹ awọn alaye alakoso agbegbe ati ṣayẹwo apoti naa Itaja ẹrí. Ni afikun, o le pato OU kan (Ẹka Ẹgbẹ) ti ISE ba wa ni OU kan pato. Nigbamii, iwọ yoo ni lati yan awọn apa Sisiko ISE ti o fẹ sopọ si agbegbe naa.
olusin 12. Titẹ awọn iwe eri
3) Ṣaaju ki o to ṣafikun awọn oludari agbegbe, rii daju pe lori PSN ninu taabu Isakoso → Eto → imuṣiṣẹ aṣayan ṣiṣẹ Palolo Identity Service. ID palolo - aṣayan ti o fun ọ laaye lati tumọ olumulo si IP ati ni idakeji. PassiveID gba alaye lati AD nipasẹ WMI, awọn aṣoju AD pataki tabi ibudo SPAN lori iyipada (kii ṣe aṣayan ti o dara julọ).
akiyesi: lati ṣayẹwo ipo ID palolo, tẹ sinu console ISE show elo ipo ise | pẹlu PassiveID.
Ṣe nọmba 13. Ṣiṣe aṣayan PassiveID
4) Lọ si taabu Isakoso → Isakoso Idanimọ → Awọn orisun Idanimọ Ita → Itọsọna Nṣiṣẹ → PassiveID ki o si yan aṣayan Fi DCs kun. Nigbamii, yan awọn oludari agbegbe pataki pẹlu awọn apoti apoti ki o tẹ O dara.
olusin 14. Fifi-ašẹ olutona
5) Yan awọn DCs ti a ṣafikun ki o tẹ bọtini naa Ṣatunkọ. Jọwọ tọkasi FQDN DC rẹ, iwọle agbegbe ati ọrọ igbaniwọle, ati aṣayan ọna asopọ kan WMI tabi Agent. Yan WMI ki o tẹ O dara.
Ṣe nọmba 15 Titẹ sii awọn alaye oludari agbegbe
6) Ti WMI ko ba jẹ ọna ti o fẹ lati ṣe ibaraẹnisọrọ pẹlu Active Directory, lẹhinna awọn aṣoju ISE le ṣee lo. Ọna aṣoju ni pe o le fi awọn aṣoju pataki sori awọn olupin ti yoo gbejade awọn iṣẹlẹ wiwọle. Awọn aṣayan fifi sori ẹrọ 2 wa: adaṣe ati afọwọṣe. Lati fi oluranlowo sori ẹrọ laifọwọyi ni taabu kanna ID palolo yan ohun kan Ṣafikun Aṣoju → Ranṣẹ Aṣoju Tuntun (DC gbọdọ ni wiwọle Ayelujara). Lẹhinna fọwọsi awọn aaye ti a beere (orukọ aṣoju, FQDN olupin, iwọle / ọrọ igbaniwọle alakoso agbegbe) ki o tẹ O dara.
Ṣe nọmba 16. Fifi sori ẹrọ laifọwọyi ti oluranlowo ISE
7) Lati fi ọwọ sori ẹrọ aṣoju Sisiko ISE, yan ohun naa Forukọsilẹ Aṣoju ti o wa tẹlẹ. Nipa ọna, o le ṣe igbasilẹ aṣoju ni taabu Awọn ile-iṣẹ Iṣẹ → PassiveID → Awọn olupese → Awọn aṣoju → Aṣoju igbasilẹ.
olusin 17. Gbigba oluranlowo ISE
Pataki: PassiveID ko ka awọn iṣẹlẹ jade! Awọn paramita lodidi fun awọn akoko akoko ni a npe ni olumulo igba ti ogbo akoko ati ki o dọgba 24 wakati nipa aiyipada. Nitorinaa, o yẹ ki o forukọsilẹ funrararẹ ni ipari ọjọ iṣẹ, tabi kọ iru iwe afọwọkọ kan ti yoo fi ami si gbogbo awọn olumulo ti o wọle laifọwọyi.
Fun alaye jade "Awọn iwadii ipari" ni a lo - awọn iwadii ebute. Ọpọlọpọ awọn iwadii ipari ipari ni o wa ni Sisiko ISE: RADIUS, Trap SNMP, Ibeere SNMP, DHCP, DNS, HTTP, Netflow, Scan NMAP. rediosi wadi lilo CoA (Iyipada ti aṣẹ) awọn idii n fun alaye nipa iyipada awọn ẹtọ olumulo (eyi nilo ifibọ 802.1X), ati tunto lori wiwọle yipada SNMP, yoo fun alaye nipa awọn ẹrọ ti a ti sopọ ati ti ge-asopo.
Apẹẹrẹ atẹle jẹ pataki fun iṣeto Sisiko ISE + AD laisi 802.1X ati RADIUS: olumulo kan ti wọle lori ẹrọ Windows kan, laisi ṣiṣe logoff, wọle lati PC miiran nipasẹ WiFi. Ni ọran yii, igba lori PC akọkọ yoo tun ṣiṣẹ titi di igba ti akoko ba waye tabi ami ifipabanilopo yoo waye. Lẹhinna ti awọn ẹrọ ba ni awọn ẹtọ oriṣiriṣi, lẹhinna ẹrọ ti o wọle kẹhin yoo lo awọn ẹtọ rẹ.
8) Iyan ninu taabu Isakoso → Isakoso idanimọ → Awọn orisun idanimọ ita → Itọsọna Nṣiṣẹ → Awọn ẹgbẹ → Fikun-un → Yan Awọn ẹgbẹ Lati Itọsọna o le yan awọn ẹgbẹ lati AD ti o fẹ lati fa soke lori ISE (ninu ọran wa, eyi ni a ṣe ni igbesẹ 3 "Ṣafikun olupin LDAP"). Yan aṣayan kan Mu awọn ẹgbẹ pada → O DARA.
olusin 18 a). Nfa awọn ẹgbẹ olumulo lati Active Directory
9) Ninu taabu Awọn ile-iṣẹ Iṣẹ → PassiveID → Akopọ → Dasibodu o le ṣe akiyesi nọmba awọn akoko ti nṣiṣe lọwọ, nọmba awọn orisun data, awọn aṣoju, ati diẹ sii.
Ṣe nọmba 19. Mimojuto iṣẹ ṣiṣe ti awọn olumulo agbegbe
10) Ninu taabu Akoko Igba awọn akoko lọwọlọwọ han. Iṣepọ pẹlu AD ti tunto.
Ṣe nọmba 20. Awọn akoko ti nṣiṣe lọwọ ti awọn olumulo agbegbe
5. Ipari
Nkan yii bo awọn akọle ti ṣiṣẹda awọn olumulo agbegbe ni Sisiko ISE, fifi awọn olupin LDAP kun, ati iṣọpọ pẹlu Microsoft Active Directory. Nkan ti o tẹle yoo ṣe afihan iraye si alejo ni irisi itọsọna laiṣe.
Ti o ba ni awọn ibeere nipa koko yii tabi nilo iranlọwọ ṣe idanwo ọja naa, jọwọ kan si .
Duro si aifwy fun awọn imudojuiwọn ninu awọn ikanni wa (, , , , ).
orisun: www.habr.com