在ISE 3.2中配置被动ID会话的授权流程

简介

本文档介绍如何为被动ID事件配置授权规则以将SGT分配到会话。

背景信息

被动身份服务（被动ID）不会直接验证用户，但会从外部身份验证服务器(例如Active Directory (AD)，即所谓的提供商)收集用户身份和IP地址，然后与用户共享该信息。

ISE 3.2引入了一项新功能，允许您配置授权策略，以根据Active Directory组成员身份将安全组标记(SGT)分配给用户。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科ISE 3.X
• 与任何提供商的被动ID集成
• Active Directory (AD)管理
• 分段(Trustsec)
• PxGrid（平台交换网格）

使用的组件

• 身份服务引擎(ISE)软件版本3.2
• Microsoft Active Directory
• 系统日志

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

步骤1:启用ISE服务。

1. 在ISE上，导航到管理 >部署，选择ISE节点并点击编辑，启用策略服务，然后选择启用被动身份服务。可选，如果需要通过每个会话发布被动ID会话，可以启用SXP和PxGrid。Click Save.

警告：由API提供程序进行身份验证的PassiveID登录用户的SGT详细信息无法发布到SXP。但是，可以通过pxGrid和pxGrid云发布这些用户的SGT详细信息。

已启用服务

第二步：配置Active Directory。

1. 导航到Administration > Identity Management > External Identity Sources，选择Active directory，然后单击Add按钮。
2. 输入加入点名称和Active Directory域。单击“Submit”。

添加Active Directory

3. 系统将显示一个弹出窗口，用于将ISE加入AD。单击 Yes。输入用户名和口令。Click OK.

继续加入ISE加入Active Directory

4. 检索AD组导航到组，点击添加，然后点击检索组，选择所有感兴趣的组，然后点击确定。

检索AD组

检索的组

5. 启用授权流程。导航到高级设置，在被动ID设置部分中选中授权流程复选框。Click Save.

启用授权流程

第三步：配置系统日志提供程序。

1. 导航到工作中心(Work Centers) > PassiveID > Providers，选择Syslog提供程序，点击添加并填写信息。点击保存

注意：在这种情况下，ISE会从ASA中成功的VPN连接收到系统日志消息，但本文档不介绍该配置。

配置系统日志提供程序

 

2. 单击Custom Header。粘贴示例系统日志并使用分隔符或选项卡查找设备主机名。如果正确，系统将显示主机名。点击保存

配置自定义信头

 

第四步：配置授权规则

1. 导航到策略 > 策略集。 在本例中，它使用默认策略。单击Default策略。在授权策略中，添加新规则。在PassiveID策略中，ISE包含所有提供程序。您可以将此组与PassiveID组组合。选择Permit Accessas Profile，然后在Security Groups中选择所需的SGT。

配置授权规则

 

验证

ISE收到系统日志后，您可以检查RADIUS实时日志查看授权流程。导航到操作 > Radius > 实时日志。

在日志中，您可以看到授权事件。此标签包含与其关联的用户名、授权策略和安全组标记。

Radius实时日志

要检查更多详细信息，请点击详细信息报告。您可以在此处看到评估策略以分配SGT的仅授权流程。

Radius实时日志报告

故障排除

在本例中，它使用两个流：passiveID会话和授权流。要启用调试，请导航到操作 > 故障排除 > 调试向导 > 调试日志配置，然后选择ISE节点。

对于PassiveID，请启用以下组件到DEBUG级别：

• PassiveID

要基于被动ID提供程序检查日志，并检查要检查此方案的文件，您需要查看其他提供程序的file passiveid-syslog.log：

• passiveid-agent.log
• passiveid-api.log
• passiveid-endpoint.log
• passiveid-span.log
• passiveid-wmilog

对于授权流，请启用以下组件到DEBUG级别：

• 策略引擎
• prrt-JNI

示例：

启用调试