主持人 > 博客 > 管理 > 思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分

欢迎阅读思科 ISE 系列的第二篇文章。 在第一个 文章  重点介绍了网络访问控制(NAC)解决方案与标准 AAA 的优势和差异、Cisco ISE 的独特性、产品的架构和安装过程。

在本文中,我们将深入探讨创建帐户、添加 LDAP 服务器、与 Microsoft Active Directory 集成,以及使用 PassiveID 的细微差别。 在阅读之前,我强烈建议您阅读 第一部分.

1.一些术语

用户身份 - 用户帐户,其中包含有关用户的信息并生成其访问网络的凭据。 用户身份中通常指定以下参数:用户名、电子邮件地址、密码、帐户描述、用户组和角色。

用户组 - 用户组是具有一组通用权限的个人用户的集合,这些权限允许他们访问一组特定的思科 ISE 服务和功能。

用户身份组 - 已具有某些信息和角色的预定义用户组。 默认情况下存在以下用户身份组,您可以向其中添加用户和用户组:Employee(员工)、SponsorAllAccount、SponsorGroupAccounts、SponsorOwnAccounts(用于管理访客门户的赞助商帐户)、Guest(访客)、ActivatedGuest(激活的访客)。

用户角色- 用户角色是一组权限,用于确定用户可以执行哪些任务以及可以访问哪些服务。 通常,一个用户角色与一组用户相关联。

此外,每个用户和用户组都有附加属性,允许您选择并更具体地定义该用户(用户组)。 更多信息请参见 指导.

2.创建本地用户

1) 思科 ISE 能够创建本地用户并在访问策略中使用它们,甚至赋予产品管理角色。 选择 管理→身份管理→身份→用户→添加。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 1 将本地用户添加到思科 ISE

2) 在出现的窗口中,创建本地用户,设置密码和其他易于理解的参数。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 2. 在思科 ISE 中创建本地用户

3)也可以导入用户。 在同一选项卡中 管理→身份管理→身份→用户 选择一个选项 进口 并与用户一起上传 csv 或 txt 文件。 要获取模板,请选择 生成模板,那么它应该以合适的形式填充有关用户的信息。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 3 将用户导入思科 ISE

3.添加LDAP服务器

让我提醒您,LDAP 是一种流行的应用程序级协议,允许您接收信息、执行身份验证、在 LDAP 服务器目录中搜索帐户,在端口 389 或 636 (SS) 上工作。 LDAP 服务器的著名示例包括 Active Directory、Sun Directory、Novell eDirectory 和 OpenLDAP。 LDAP 目录中的每个条目均由 DN(专有名称)定义,并提出检索帐户、用户组和属性的任务以形成访问策略。

在思科 ISE 中,可以配置对许多 LDAP 服务器的访问,从而实现冗余。 如果主(primary)LDAP 服务器不可用,那么 ISE 将尝试访问辅助(secondary),依此类推。 此外,如果有 2 个 PAN,则可以将一个 LDAP 优先用于主 PAN,将另一个 LDAP 优先用于辅助 PAN。

使用 LDAP 服务器时,ISE 支持 2 种类型的查找(lookup):用户查找和 MAC 地址查找。 用户查找允许您在 LDAP 数据库中搜索用户并无需身份验证即可获取以下信息:用户及其属性、用户组。 MAC 地址查找还允许您在 LDAP 目录中按 MAC 地址搜索而无需身份验证,并获取有关设备、按 MAC 地址的一组设备以及其他特定属性的信息。

作为集成示例,我们将 Active Directory 添加到思科 ISE 作为 LDAP 服务器。

1)转到选项卡 管理 → 身份管理 → 外部身份源 → LDAP → 添加。 

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 4. 添加 LDAP 服务器

2) 面板内 其他咨询 指定 LDAP 服务器名称和方案(在我们的示例中为 Active Directory)。 

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 5. 添加具有 Active Directory 架构的 LDAP 服务器

3)接下来进入 连系 : 选项卡并选择 主机名/IP地址 服务器 AD、端口(389 - LDAP、636 - SSL LDAP)、域管理员凭据(管理员 DN - 完整 DN),其他参数可以保留为默认值。

注意:使用管理域详细信息以避免潜在问题。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 6 输入 LDAP 服务器数据

4) 在选项卡中 目录组织 您应该通过 DN 指定从中提取用户和用户组的目录区域。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 7. 确定用户组可以从中提取内容的目录

5) 转到窗口 组 → 添加 → 从目录中选择组 从 LDAP 服务器选择拉取组。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 8. 从 LDAP 服务器添加组

6) 在出现的窗口中,单击 检索组。 如果各组已拉起,则初步步骤已成功完成。 否则,请尝试其他管理员并通过 LDAP 协议检查 ISE 与 LDAP 服务器的可用性。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 9. 拉取的用户组列表

7) 在选项卡中 Attributes 您可以选择指定应从 LDAP 服务器中提取哪些属性,并在窗口中 高级设置 启用选项 启用密码更改,如果密码已过期或被重置,这将强制用户更改密码。 无论哪种情况,请单击 提交 接着说。

8) LDAP服务器出现在相应的选项卡中,可以用于将来形成访问策略。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 10. 添加的 LDAP 服务器列表

4. 与活动目录集成

1) 通过将 Microsoft Active Directory 服务器添加为 LDAP 服务器,我们获得了用户、用户组,但没有日志。 接下来,我建议建立与思科 ISE 的全面 AD 集成。 转到选项卡 管理→身份管理→外部身份源→Active Directory→添加。 

注: 为了与 AD 成功集成,ISE 必须位于域中,并且与 DNS、NTP 和 AD 服务器完全连接,否则将不会有任何结果。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 11. 添加 Active Directory 服务器

2) 在出现的窗口中,输入域管理员详细信息并选中复选框 存储凭证。 此外,如果 ISE 位于特定 OU 中,您可以指定 OU(组织单位)。 接下来,您必须选择要连接到域的思科 ISE 节点。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 12. 输入凭据

3) 添加域控制器之前,请确保选项卡中的 PSN 管理→系统→部署 选项已启用 被动身份服务. 被动ID - 允许您将用户转换为 IP 的选项,反之亦然。 PassiveID 通过 WMI、特殊 AD 代理或交换机上的 SPAN 端口从 AD 获取信息(不是最佳选择)。

注: 要检查被动 ID 的状态,请在 ISE 控制台中键入 显示应用程序状态 ise | 包括被动ID。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 13. 启用 PassiveID 选项

4)转到选项卡 管理 → 身份管理 → 外部身份源 → Active Directory → PassiveID 并选择选项 添加 DC。 接下来,通过复选框选择必要的域控制器,然后单击 确定。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 14. 添加域控制器

5) 选择添加的DC并点击按钮 编辑。 指定 FQDN 您的 DC、域登录名和密码以及链接选项 WMI的 или 经纪人。 选择 WMI 并单击 确定。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 15 输入域控制器详细信息

6) 如果 WMI 不是与 Active Directory 通信的首选方式,则可以使用 ISE 代理。 代理方法是您可以在将发出登录事件的服务器上安装特殊代理。 有 2 个安装选项:自动和手动。 在同一选项卡中自动安装代理 被动ID 选择 添加代理 → 部署新代理 (DC 必须能够访问互联网)。 然后填写必填字段(代理名称、服务器 FQDN、域管理员登录名/密码)并单击 确定。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 16. ISE 代理的自动安装

7) 要手动安装 Cisco ISE 代理,请选择该项 注册现有代理。 顺便说一句,您可以在选项卡中下载代理 工作中心 → PassiveID → 提供商 → 代理 → 下载代理。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 17. 下载 ISE 代理

重要事项: PassiveID 不读取事件 注销! 负责超时的参数称为 用户会话老化时间 默认情况下等于 24 小时。 因此,您应该在工作日结束时自行注销,或者编写某种脚本来自动注销所有登录的用户。 

供参考 注销 使用“端点探针”——终端探针。 思科 ISE 中有多种端点探测:RADIUS、SNMP 陷阱、SNMP 查询、DHCP、DNS、HTTP、Netflow、NMAP 扫描。 半径 探针使用 辅酶A (授权更改)包提供有关更改用户权限的信息(这需要嵌入 802.1X),并在接入交换机上配置 SNMP,将提供有关已连接和断开连接的设备的信息。

以下示例与不带 802.1X 和 RADIUS 的 Cisco ISE + AD 配置相关:用户登录 Windows 计算机,无需注销,通过 WiFi 从另一台 PC 登录。 在这种情况下,第一台 PC 上的会话将仍然处于活动状态,直到发生超时或强制注销。 然后,如果设备具有不同的权限,则最后登录的设备将应用其权限。

8) 选项卡中可选 管理 → 身份管理 → 外部身份源 → Active Directory → 组 → 添加 → 从目录中选择组 您可以从 AD 中选择要在 ISE 上提取的组(在我们的示例中,这是在步骤 3“添加 LDAP 服务器”中完成的)。 选择一个选项 检索组 → 确定

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 18a). 从 Active Directory 中提取用户组

9) 在选项卡中 工作中心 → PassiveID → 概述 → 仪表板 您可以观察活动会话的数量、数据源、代理的数量等。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 19. 监控域用户的活动

10) 在选项卡中 现场会议 显示当前会话。 已配置与 AD 的集成。

思科 ISE:创建用户、添加 LDAP 服务器、与 AD 集成。 第2部分图 20. 域用户的活动会话

5。 结论

本文介绍了在思科 ISE 中创建本地用户、添加 LDAP 服务器以及与 Microsoft Active Directory 集成的主题。 下一篇文章将以冗余指南的形式重点介绍访客访问。

如果您对此主题有疑问或需要帮助测试产品,请联系 链接.

请继续关注我们频道的更新(Telegram, Facebook, VK, TS 解决方案博客, Yandeks.Dzen).

来源: habr.com

添加评论