المقدمة
يصف هذا المستند ميزات ISE لإدارة الوصول الإداري على Identity Services Engine (ISE).
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
- محرك خدمات كشف الهوية (ISE)
- خدمة Active Directory
- البروتوكول الخفيف للوصول للدليل (LDAP)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Identity Services Engine 3.0
- نظام التشغيل Windows Server 2016
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
إعدادات المصادقة
يحتاج مستخدمو Admin إلى مصادقة أنفسهم للوصول إلى أي معلومات حول ISE. يمكن التحقق من هوية مستخدمي المسؤول باستخدام مخزن الهوية الداخلي ISE أو مخزن الهوية الخارجي. يمكن التحقق من الأصالة إما بواسطة كلمة مرور أو شهادة. لتكوين هذه الإعدادات، انتقل إلى الإدارة > النظام> Admin Access > Authentication. حدد نوع المصادقة المطلوب ضمن علامة التبويب أسلوب المصادقة.
ملاحظة: يتم تمكين المصادقة المستندة إلى كلمة المرور بشكل افتراضي. إذا تم تغيير هذا إلى مصادقة مستندة إلى شهادة العميل، فسيؤدي ذلك إلى إعادة تشغيل خادم التطبيق على كافة عقد النشر.
لا يسمح Identity Services Engine بتكوين سياسة كلمة المرور لواجهة سطر الأوامر (CLI) من CLI (واجهة سطر الأوامر). يمكن تكوين سياسة كلمة المرور لكل من واجهة المستخدم الرسومية (GUI) و CLI عبر واجهة المستخدم الرسومية (ISE) فقط. لتكوين هذا، انتقل إلى Administration (الإدارة) > System (الوصول إلى المسؤول) > Authentication (المصادقة) وانتقل إلى علامة التبويب Password Policy (سياسة كلمة المرور).
يحتوي ISE على توفير لتعطيل مستخدم مسؤول غير نشط. لتكوين هذا، انتقل إلى Administration > System > Admin Access > Authentication وتصفح إلى علامة التبويب Account Disable Policy.
كما يوفر ISE التسهيلات اللازمة لتأمين حساب مستخدم مسؤول أو إيقافه مؤقتا استنادا إلى عدد محاولات تسجيل الدخول الفاشلة. لتكوين هذا، انتقل إلى الإدارة > النظام > الوصول إلى المسؤول > المصادقة وانتقل إلى علامة التبويب إعدادات القفل/الإيقاف المؤقت.
لإدارة الوصول الإداري، هناك حاجة للمجموعات الإدارية والمستخدمين ومختلف السياسات/القواعد للتحكم في امتيازاتهم وإدارتها.
تكوين مجموعات الإدارة
انتقل إلى Administration (الإدارة) > System (النظام) > Admin Access (الوصول إلى المسؤول) > Administrators (المسؤولون) > Admin Groups (مجموعات المسؤولين) لتكوين مجموعات المسؤولين. هناك مجموعات قليلة مدمجة بشكل افتراضي ولا يمكن حذفها.
بمجرد إنشاء مجموعة، حدد المجموعة وانقر فوق تحرير لإضافة مستخدمين إداريين إلى تلك المجموعة. هناك توفير لتعيين مجموعات الهوية الخارجية إلى مجموعات المسؤولين على ISE بحيث يحصل مستخدم مسؤول خارجي على الأذونات المطلوبة. لتكوين هذا، حدد النوع كنوع خارجي أثناء إضافة المستخدم.
تكوين مستخدمي المسؤول
لتكوين مستخدمي الإدارة، انتقل إلى الإدارة > النظام > الوصول إلى المسؤول > Administrators > Admin Users.
انقر فوق إضافة (Add). هناك خياران للاختيار من بينهما. الأول هو إضافة مستخدم جديد تماما. والآخر هو جعل مستخدم الوصول إلى الشبكة (أي مستخدم تم تكوينه كمستخدم داخلي للوصول إلى الشبكة/الأجهزة) كمسؤول ISE.
بعد تحديد خيار، يجب توفير التفاصيل المطلوبة وتحديد مجموعة المستخدمين استنادا إلى أي الأذونات والامتيازات يتم منحها للمستخدم.
تكوين الأذونات
هناك نوعان من الأذونات التي يمكن تكوينها لمجموعة مستخدمين:
- الوصول إلى القائمة
- الوصول إلى البيانات
يتحكم الوصول إلى القائمة في إمكانية رؤية التنقل على ISE. هناك خياران لكل تبويب، إظهار أو إخفاء، يمكن تكوينه. يمكن تكوين قاعدة الوصول إلى القائمة لإظهار علامات التبويب المحددة أو إخفائها.
يتحكم Data Access في إمكانية قراءة/الوصول/تعديل بيانات الهوية على ISE. يمكن تكوين إذن الوصول فقط لمجموعات المسؤولين ومجموعات هوية المستخدم ومجموعات هوية نقطة النهاية ومجموعات أجهزة الشبكة. هناك ثلاثة خيارات لهذه الكيانات على ISE يمكن تكوينها. فهي إمكانية وصول كاملة وإمكانية وصول للقراءة فقط ولا يمكن الوصول إليها. يمكن تكوين قاعدة الوصول إلى البيانات لاختيار أحد هذه الخيارات الثلاثة لكل علامة تبويب في ISE.
يجب إنشاء نهج الوصول إلى القائمة والوصول إلى البيانات قبل تطبيقها على أي مجموعة مسؤول. هناك بعض السياسات التي تكون مضمنة بشكل افتراضي ولكن يمكن دائما تخصيصها أو يمكن إنشاء سياسة جديدة.
لتكوين سياسة الوصول إلى القائمة، انتقل إلى الإدارة > النظام > وصول المسؤول > التخويل > أذون > وصول القائمة.
انقر فوق إضافة (Add). يمكن تكوين كل خيار من خيارات التنقل في ISE ليتم عرضه/إخفاؤه في نهج.
لتكوين سياسة الوصول إلى البيانات، انتقل إلى الإدارة > النظام > الوصول إلى المسؤول > التخويل > أذون > الوصول إلى البيانات.
انقر فوق إضافة لإنشاء نهج جديد وتكوين الأذونات للوصول إلى هوية المسؤول/المستخدم/هوية نقطة النهاية/مجموعات الشبكة.
تكوين سياسات RBAC
يمثل RBAC التحكم في الوصول المستند إلى الأدوار. يمكن تكوين الدور (مجموعة الإدارة) الذي ينتمي إليه المستخدم لاستخدام نهج القائمة والوصول إلى البيانات المطلوبة. يمكن أن تكون هناك سياسات RBAC متعددة تم تكوينها لدور واحد أو أدوار متعددة يمكن تكوينها في نهج واحد للوصول إلى القائمة و/أو البيانات. يتم تقييم جميع هذه السياسات القابلة للتطبيق عندما يحاول مستخدم مسؤول تنفيذ إجراء. والقرار النهائي هو مجموع جميع السياسات المنطبقة على ذلك الدور. إذا كانت هناك قواعد متناقضة تسمح و تنفي في نفس الوقت فإن قاعدة التصريح تلغي قاعدة الرفض. لتكوين هذه السياسات، انتقل إلى الإدارة > النظام > الوصول إلى المسؤول > التفويض > نهج RBAC.
انقر فوق إجراءات لمضاعفة/إدراج/حذف نهج.
ملاحظة: لا يمكن تحديث السياسات التي أنشأها النظام والسياسات الافتراضية، ولا يمكن حذف السياسات الافتراضية.
ملاحظة: لا يمكن تكوين أذونات متعددة للوصول إلى القائمة/البيانات في قاعدة واحدة.
تكوين إعدادات الوصول للمسؤول
بالإضافة إلى سياسات RBAC، هناك بعض الإعدادات التي يمكن تكوينها والتي تكون مشتركة لجميع مستخدمي المسؤول.
in order to شكلت الرقم من أقصى جلسة يسمح، pre-login، و post-login راية ل GUI و CLI، انتقل إلى إدارة>نظام>Admin منفذ>إعدادات>منفذ. قم بتكوين هذه ضمن علامة التبويب جلسة العمل.
لتكوين قائمة عناوين IP التي يمكن الوصول من خلالها إلى واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI)، انتقل إلى الإدارة > النظام > الوصول إلى الإدارة > إعدادات > الوصول والتنقل إلى علامة التبويب IP Access.
لتكوين قائمة من العقد التي يمكن للمسؤولين الوصول إلى قسم MnT منها في Cisco ISE، انتقل إلى الإدارة > النظام > الوصول إلى المسؤول > الإعدادات > الوصول والتنقل إلى علامة التبويب وصول MnT.
للسماح للعقد أو الكيانات إما داخل النشر أو خارج النشر بإرسال syslog إلى MnT، انقر فوق السماح لأي عنوان IP بالاتصال بزر راديو MNT. للسماح فقط للعقد أو الكيانات الموجودة ضمن النشر بإرسال syslog إلى MnT، انقر فوق السماح فقط للعقد الموجودة في النشر بالاتصال بزر راديو MNT.
ملاحظة: بالنسبة لتصحيح ISE 2.6 والإصدارات الأحدث، يتم تشغيل إستخدام "خدمة مراسلة ISE" لتوصيل Syslogs ل UDP إلى MnT بشكل افتراضي، مما لا يسمح بدمج syslog القادمة من أي كيانات أخرى خارج النشر.
in order to شكلت تعطيل قيمة واجب إلى عدم نشاط من جلسة، انتقل إلى إدارة>نظام>مدير منفذ>عملية إعداد>جلسة. قم بتعيين هذه القيمة ضمن علامة التبويب مهلة جلسة العمل.
لعرض/إبطال الجلسات النشطة الحالية، انتقل إلى إدارة > وصول المسؤول > إعدادات > جلسة العمل وانقر فوق علامة التبويب معلومات جلسة العمل.
تكوين الوصول إلى مدخل المسؤول باستخدام بيانات اعتماد AD
انضمام ISE إلى AD
من أجل ضم ISE إلى مجال خارجي، انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory. أدخل اسم نقطة الربط الجديدة ومجال Active Directory. أدخل بيانات اعتماد حساب AD الذي يمكنه إضافة كائنات الكمبيوتر وإجراء تغييرات عليها، ثم انقر فوق موافق.
تحديد مجموعات الدليل
انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory. انقر على اسم نقطة الربط المطلوبة وانتقل إلى علامة التبويب مجموعات. انقر فوق إضافة > تحديد مجموعات من الدليل > إسترداد مجموعات. قم باستيراد مجموعة AD واحدة على الأقل ينتمي إليها المسؤول، ثم انقر فوق موافق، ثم انقر فوق حفظ.
تمكين الوصول الإداري ل AD
لتمكين مصادقة ISE المستندة إلى كلمة المرور باستخدام AD، انتقل إلى Administration> System > Admin Access > Authentication. في علامة تبويب أسلوب المصادقة، حدد الخيار المستند إلى كلمة المرور. حدد AD من القائمة المنسدلة مصدر الهوية وانقر فوق حفظ.
تكوين مجموعة مسؤول ISE لتعيين مجموعة AD
وهذا يسمح للتخويل بتحديد أذونات التحكم بالوصول (RBAC) المستندة إلى الدور للمسؤول استنادا إلى عضوية المجموعة في AD. لتحديد مجموعة مسؤول Cisco ISE وتعيين ذلك إلى مجموعة AD، انتقل إلى إدارة > نظام > وصول المسؤول > مسؤولون > مجموعات الإدارة. انقر فوق إضافة وأدخل اسما لمجموعة "الإدارة الجديدة". في حقل النوع، حدد خانة الاختيار خارجي. من القائمة المنسدلة مجموعات خارجية، حدد مجموعة AD التي سيتم تعيين مجموعة المسؤولين هذه لها (كما هو محدد في قسم تحديد مجموعات الدليل أعلاه). إرسال التغييرات.
تعيين أذونات RBAC لمجموعة الإدارة
لتعيين أذونات RBAC إلى مجموعة الإدارة التي تم إنشاؤها في القسم السابق، انتقل إلى إدارة > نظام > وصول المسؤول > تفويض > نهج RBAC. من القائمة المنسدلة إجراءات الموجودة على اليمين، حدد إدراج نهج جديد. قم بإنشاء قاعدة جديدة، وقم بتخطيطها باستخدام "مجموعة الإدارة" المعرفة في القسم أعلاه، وقم بتعيينها بأذونات الوصول إلى القائمة والبيانات المطلوبة، ثم انقر فوق حفظ.
الوصول إلى ISE باستخدام بيانات اعتماد AD والتحقق من الصحة
تسجيل الخروج من واجهة المستخدم الرسومية (GUI) الإدارية. حدد اسم نقطة الربط من القائمة المنسدلة مصدر الهوية. أدخل اسم المستخدم وكلمة المرور من قاعدة بيانات AD، وسجل الدخول.
لتأكيد أن التكوين يعمل بشكل صحيح، تحقق من اسم المستخدم الذي تمت مصادقته من رمز الإعدادات الموجود على الركن العلوي الأيمن من واجهة المستخدم الرسومية (ISE). انتقل إلى معلومات الخادم وتحقق من اسم المستخدم.
تكوين الوصول إلى مدخل المسؤول باستخدام LDAP
انضمام ISE إلى LDAP
انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory > LDAP. تحت علامة التبويب عام، قم بإدخال اسم ل LDAP واختر المخطط ك Active Directory.
بعد ذلك، لتشكيل نوع الاتصال، انتقل إلى علامة التبويب توصيل. هنا، ثبتت ال hostname/IP من ال LDAP نادل أساسي مع الميناء 389(LDAP)/636 (LDAP-Secure). أدخل مسار الاسم المميز للمسؤول (DN) باستخدام كلمة مرور Admin الخاصة بخادم LDAP.
بعد ذلك، انتقل إلى علامة التبويب مؤسسة الدليل وانقر فوق سياقات التسمية لاختيار مجموعة المؤسسات الصحيحة للمستخدم استنادا إلى التسلسل الهيكلي للمستخدمين المخزنة في خادم LDAP.
انقر فوق إختبار الربط بالخادم ضمن علامة التبويب الاتصال لاختبار إمكانية الوصول الخاصة بخادم LDAP من ISE.
انتقل الآن إلى علامة التبويب مجموعات وانقر فوق إضافة > تحديد مجموعات من الدليل > إسترداد مجموعات. قم باستيراد مجموعة واحدة على الأقل ينتمي إليها المسؤول، ثم انقر فوق موافق، ثم انقر فوق حفظ.
تمكين الوصول الإداري لمستخدمي LDAP
لتمكين مصادقة ISE المستندة إلى كلمة المرور باستخدام LDAP، انتقل إلى Administration> System > Admin Access > Authentication. في علامة تبويب أسلوب المصادقة، حدد الخيار المستند إلى كلمة المرور. حدد LDAP من القائمة المنسدلة مصدر الهوية وانقر على حفظ.
تعيين مجموعة مسؤول ISE إلى مجموعة LDAP
وهذا يسمح للمستخدم الذي تم تكوينه بالوصول إلى المسؤول بناء على تفويض نهج RBAC، والذي يستند بدوره إلى عضوية مجموعة LDAP للمستخدم. لتحديد مجموعة مسؤول Cisco ISE وتخطيطها إلى مجموعة LDAP، انتقل إلى إدارة > نظام > وصول المسؤول > مسؤولون > مجموعات الإدارة. انقر فوق إضافة وأدخل اسما لمجموعة "الإدارة الجديدة". في حقل النوع، حدد خانة الاختيار خارجي. من القائمة المنسدلة مجموعات خارجية، حدد مجموعة LDAP التي سيتم تعيين مجموعة المسؤولين هذه لها (كما تم إستردادها وتعريفها مسبقا). إرسال التغييرات.
تعيين أذونات RBAC لمجموعة الإدارة
لتعيين أذونات RBAC إلى مجموعة الإدارة التي تم إنشاؤها في القسم السابق، انتقل إلى إدارة > نظام > وصول المسؤول > تفويض > نهج RBAC. من القائمة المنسدلة إجراءات الموجودة على اليمين، حدد إدراج نهج جديد. قم بإنشاء قاعدة جديدة، وقم بتخطيطها باستخدام "مجموعة الإدارة" المعرفة في القسم أعلاه، وقم بتعيينها بأذونات الوصول إلى القائمة والبيانات المطلوبة، ثم انقر فوق حفظ.
الوصول إلى ISE باستخدام بيانات اعتماد LDAP والتحقق من الصحة
تسجيل الخروج من واجهة المستخدم الرسومية (GUI) الإدارية. حدد اسم LDAP من القائمة المنسدلة مصدر الهوية. أدخل اسم المستخدم وكلمة المرور من قاعدة بيانات LDAP، وسجل الدخول.
للتأكد من أن التكوين يعمل بشكل صحيح، تحقق من اسم المستخدم الذي تمت مصادقته من رمز الإعدادات الموجود على الركن العلوي الأيسر من واجهة المستخدم الرسومية (ISE). انتقل إلى معلومات الخادم وتحقق من اسم المستخدم.