在ISE 3.2中配置被動ID會話的授權流
簡介
本文檔介紹如何配置被動ID事件的授權規則以將SGT分配給會話。
背景資訊
被動身分辨識服務(被動身分辨識)不會直接驗證使用者,但會從外部驗證伺服器(例如Active Directory (AD),稱為提供者)收集使用者身分和IP位址,然後與訂閱者共用該資訊。
ISE 3.2引入了一項新功能,允許您配置授權策略,以根據Active Directory組成員身份為使用者分配安全組標籤(SGT)。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco ISE 3.X
- 與任何提供商的被動ID整合
- Active Directory (AD)管理
- 分段(Trustsec)
- PxGrid (Platform Exchange Grid)
採用元件
- 身分辨識服務引擎(ISE)軟體版本3.2
- Microsoft Active directory
- 系統日誌
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
組態
步驟 1.啟用ISE服務。
- 在ISE上,導航到Administration > Deployment,選擇ISE節點並按一下Edit,啟用Policy Service,然後選擇Enable Passive Identity Service。可選,如果需要透過每個會話發佈被動ID會話,則可以啟用SXP和PxGrid。按一下Save。
服務已啟用
步驟 2.配置Active Directory。
- 導航到Administration > Identity Management > External Identity Sources,然後選擇Active directory,然後按一下Add按鈕。
- 輸入加入點名稱和Active Directory域。按一下Submit。
新增Active Directory
3. 彈出窗口會將ISE加入AD。按一下Yes。輸入Username和Password。按一下「OK」(確定)。
繼續加入ISE
加入Active Directory
4. 檢索AD組。導航到組,點選增加,然後點選檢索組,選擇所有感興趣的組,然後點選確定。
檢索AD組
擷取的群組
5. 啟用授權流程。導航到高級設定,在PassiveID設定部分選中Authorization Flow覈取方塊。按一下Save。
啟用授權流程
步驟 3.配置Syslog提供程式。
- 導航到工作中心> PassiveID > Providers,選擇Syslog Providers,按一下Add並完成資訊。點選儲存
配置Syslog提供程式
- 按一下Custom Header。貼上示例系統日誌並使用分隔符或頁籤查詢裝置主機名。如果正確,將顯示主機名。點選儲存
設定自訂標頭
步驟 4.設定授權規則
- 導航到策略 > 策略集。 在本例中,它使用預設策略。按一下Default策略。在Authorization Policy中,增加新規則。在PassiveID策略中,ISE擁有所有提供程式。您可以將此組與PassiveID組組合。選擇Permit Access作為Profile,並在Security Groups中選擇所需的SGT。
設定授權規則
驗證
一旦ISE收到系統日誌,您可以檢查Radius即時日誌檢視授權流。導航到操作 > Radius > 即時日誌。
在日誌中,您可以看到Authorization事件。此標籤包含與其關聯的使用者名稱、授權策略和安全組標籤。
Radius即時日誌
要檢查更多詳細資訊,請點選詳細資訊報告。您可以在這裡看到評估策略以分配SGT的僅授權流程。
Radius即時日誌報告
疑難排解
在本例中,它使用兩個流:passiveID會話和授權流。要啟用調試,請導航到操作 > 故障排除 > 調試嚮導 > 調試日誌配置,然後選擇ISE節點。
對於PassiveID,請啟用DEBUG級別的以下元件:
- 被動ID
要基於被動ID提供方檢查日誌以及要檢查此情況的檔案,您需要檢視其他提供方的檔案passiveid-syslog.log:
- passiveid-agent.log
- passiveid-api.log
- passiveid-endpoint.log
- passiveid-span.log
- passiveid-wmilog
對於授權流,請啟用DEBUG級別的以下元件:
- 策略引擎
- prrt-JNI
範例:
已啟用調試
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
17-Feb-2023 |
初始版本 |
意見