主持人 > 博客 > 管理 > 思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分

歡迎閱讀思科 ISE 系列的第二篇文章。 在第一個 文章  重點介紹了網絡訪問控制(NAC)解決方案與標準 AAA 的優勢和差異、Cisco ISE 的獨特性、產品的架構和安裝過程。

在本文中,我們將深入探討創建帳戶、添加 LDAP 服務器、與 Microsoft Active Directory 集成,以及使用 PassiveID 的細微差別。 在閱讀之前,我強烈建議您閱讀 第一部分.

1.一些術語

用戶身份 - 包含用戶信息並生成其訪問網絡的憑據的用戶帳戶。 用戶身份中通常指定以下參數:用戶名、電子郵件地址、密碼、帳戶描述、用戶組和角色。

用戶組 - 用戶組是具有一組通用權限的個人用戶的集合,這些權限允許他們訪問一組特定的思科 ISE 服務和功能。

用戶身份組 - 已具有某些信息和角色的預定義用戶組。 默認情況下存在以下用戶身份組,您可以向其中添加用戶和用戶組:Employee(員工)、SponsorAllAccount、SponsorGroupAccounts、SponsorOwnAccounts(用於管理訪客門戶的讚助商帳戶)、Guest(訪客)、ActivatedGuest(激活的訪客)。

用戶角色- 用戶角色是一組權限,用於確定用戶可以執行哪些任務以及可以訪問哪些服務。 通常,一個用戶角色與一組用戶相關聯。

此外,每個用戶和用戶組都有附加屬性,允許您選擇並更具體地定義該用戶(用戶組)。 更多信息請參見 指導.

2.創建本地用戶

1) 思科 ISE 能夠創建本地用戶並在訪問策略中使用它們,甚至賦予產品管理角色。 選擇 管理→身份管理→身份→用戶→添加。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 1 將本地用戶添加到思科 ISE

2) 在出現的窗口中,創建本地用戶,設置密碼和其他易於理解的參數。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 2. 在思科 ISE 中創建本地用戶

3)也可以導入用戶。 在同一選項卡中 管理→身份管理→身份→用戶 選擇一個選項 進口 並與用戶一起上傳 csv 或 txt 文件。 要獲取模板,請選擇 生成模板,那麼它應該以合適的形式填充有關用戶的信息。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 3 將用戶導入思科 ISE

3.添加LDAP服務器

讓我提醒您,LDAP 是一種流行的應用程序級協議,允許您接收信息、執行身份驗證、在 LDAP 服務器目錄中搜索帳戶,在端口 389 或 636 (SS) 上工作。 LDAP 服務器的著名示例包括 Active Directory、Sun Directory、Novell eDirectory 和 OpenLDAP。 LDAP 目錄中的每個條目均由 DN(專有名稱)定義,並提出檢索帳戶、用戶組和屬性的任務以形成訪問策略。

在思科 ISE 中,可以配置對許多 LDAP 服務器的訪問,從而實現冗餘。 如果主(primary)LDAP 服務器不可用,那麼 ISE 將嘗試訪問輔助(secondary),依此類推。 此外,如果有 2 個 PAN,則可以將一個 LDAP 優先用於主 PAN,將另一個 LDAP 優先用於輔助 PAN。

使用 LDAP 服務器時,ISE 支持 2 種類型的查找(lookup):用戶查找和 MAC 地址查找。 用戶查找允許您在 LDAP 數據庫中搜索用戶並無需身份驗證即可獲取以下信息:用戶及其屬性、用戶組。 MAC 地址查找還允許您在 LDAP 目錄中按 MAC 地址搜索而無需身份驗證,並獲取有關設備、按 MAC 地址的一組設備以及其他特定屬性的信息。

作為集成示例,我們將 Active Directory 添加到思科 ISE 作為 LDAP 服務器。

1)轉到選項卡 管理 → 身份管理 → 外部身份源 → LDAP → 添加。 

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 4. 添加 LDAP 服務器

2) 面板內 指定 LDAP 服務器名稱和方案(在我們的示例中為 Active Directory)。 

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 5. 添加具有 Active Directory 架構的 LDAP 服務器

3)接下來進入 連線設定 選項卡並選擇 主機名/IP地址 服務器 AD、端口(389 - LDAP、636 - SSL LDAP)、域管理員憑據(管理員 DN - 完整 DN),其他參數可以保留為默認值。

注意:使用管理域詳細信息以避免潛在問題。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 6 輸入 LDAP 服務器數據

4) 在選項卡中 目錄組織 您應該通過 DN 指定從中提取用戶和用戶組的目錄區域。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 7. 確定用戶組可以從中提取內容的目錄

5) 轉到窗口 組 → 添加 → 從目錄中選擇組 從 LDAP 服務器選擇拉取組。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 8. 從 LDAP 服務器添加組

6) 在出現的窗口中,單擊 檢索組。 如果各組已拉起,則初步步驟已成功完成。 否則,請嘗試其他管理員並通過 LDAP 協議檢查 ISE 與 LDAP 服務器的可用性。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 9. 拉取的用戶組列表

7) 在選項卡中 Attributes 您可以選擇指定應從 LDAP 服務器中提取哪些屬性,並在窗口中 高級設置 啟用選項 啟用密碼更改,如果密碼已過期或被重置,這將強制用戶更改密碼。 無論如何點擊 送出 接著說。

8) LDAP服務器出現在相應的選項卡中,可以用於將來形成訪問策略。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 10. 添加的 LDAP 服務器列表

4. 與活動目錄集成

1) 通過將 Microsoft Active Directory 服務器添加為 LDAP 服務器,我們獲得了用戶、用戶組,但沒有日誌。 接下來,我建議建立與思科 ISE 的全面 AD 集成。 轉到選項卡 管理→身份管理→外部身份源→Active Directory→添加。 

注: 為了與 AD 成功集成,ISE 必須位於域中,並且與 DNS、NTP 和 AD 服務器完全連接,否則將不會有任何結果。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 11. 添加 Active Directory 服務器

2) 在出現的窗口中,輸入域管理員詳細信息並選中復選框 存儲憑證。 此外,如果 ISE 位於特定 OU 中,您可以指定 OU(組織單位)。 接下來,您必須選擇要連接到域的思科 ISE 節點。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 12. 輸入憑據

3) 添加域控制器之前,請確保選項卡中的 PSN 管理→系統→部署 選項已啟用 被動身份服務. 被動ID - 允許您將用戶轉換為 IP 的選項,反之亦然。 PassiveID 通過 WMI、特殊 AD 代理或交換機上的 SPAN 端口從 AD 獲取信息(不是最佳選擇)。

注: 要檢查被動 ID 的狀態,請在 ISE 控制台中鍵入 顯示應用程序狀態 ise | 包括被動ID。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 13. 啟用 PassiveID 選項

4) 轉到選項卡 管理 → 身份管理 → 外部身份源 → Active Directory → PassiveID 並選擇選項 添加 DC。 接下來,通過複選框選擇必要的域控制器,然後單擊 確定。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 14. 添加域控制器

5) 選擇添加的DC並點擊按鈕 編輯。 指定 全稱 您的 DC、域登錄名和密碼以及鏈接選項 WMI 經紀人。 選擇 WMI 並單擊 確定。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 15 輸入域控制器詳細信息

6) 如果 WMI 不是與 Active Directory 通信的首選方式,則可以使用 ISE 代理。 代理方法是您可以在將發出登錄事件的服務器上安裝特殊代理。 有 2 個安裝選項:自動和手動。 在同一選項卡中自動安裝代理 被動ID 選擇物品 添加代理 → 部署新代理 (DC 必須能夠訪問互聯網)。 然後填寫必填字段(代理名稱、服務器 FQDN、域管理員登錄名/密碼)並單擊 確定。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 16. ISE 代理的自動安裝

7) 要手動安裝 Cisco ISE 代理,請選擇該項 註冊現有代理。 順便說一句,您可以在選項卡中下載代理 工作中心 → PassiveID → 提供商 → 代理 → 下載代理。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 17. 下載 ISE 代理

重要事項: PassiveID 不讀取事件 註銷! 負責超時的參數稱為 用戶會話老化時間 默認情況下等於 24 小時。 因此,您應該在工作日結束時自行註銷,或者編寫某種腳本來自動註銷所有登錄的用戶。 

供參考 註銷 使用“端點探針”——終端探針。 思科 ISE 中有多種端點探測:RADIUS、SNMP 陷阱、SNMP 查詢、DHCP、DNS、HTTP、Netflow、NMAP 掃描。 半徑 探針使用 輔酶A (授權更改)包提供有關更改用戶權限的信息(這需要嵌入 802.1X),並在接入交換機上配置 SNMP,將提供有關已連接和斷開連接的設備的信息。

以下示例與不帶 802.1X 和 RADIUS 的 Cisco ISE + AD 配置相關:用戶登錄 Windows 計算機,無需註銷,通過 WiFi 從另一台 PC 登錄。 在這種情況下,第一台 PC 上的會話將仍然處於活動狀態,直到發生超時或強制註銷。 然後,如果設備具有不同的權限,則最後登錄的設備將應用其權限。

8) 選項卡中可選 管理 → 身份管理 → 外部身份源 → Active Directory → 組 → 添加 → 從目錄中選擇組 您可以從 AD 中選擇要在 ISE 上提取的組(在我們的示例中,這是在步驟 3“添加 LDAP 服務器”中完成的)。 選擇一個選項 檢索組 → 確定

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 18a). 從 Active Directory 中提取用戶組

9) 在選項卡中 工作中心 → PassiveID → 概述 → 儀表板 您可以觀察活動會話的數量、數據源、代理的數量等。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 19. 監控域用戶的活動

10) 在選項卡中 現場會議 顯示當前會話。 已配置與 AD 的集成。

思科 ISE:創建用戶、添加 LDAP 服務器、與 AD 集成。 第2部分圖 20. 域用戶的活動會話

5.Заключение

本文介紹了在思科 ISE 中創建本地用戶、添加 LDAP 服務器以及與 Microsoft Active Directory 集成的主題。 下一篇文章將以冗餘指南的形式重點介紹訪客訪問。

如果您對此主題有疑問或需要幫助測試產品,請聯繫 鏈接.

請繼續關注我們頻道的更新(Telegram, Facebook, VK, TS 解決方案博客, Yandex Zen).

來源: www.habr.com

添加評論