服务器 2012 组态 - pxGrid Identity Mapping/PassiveID Settings

配置ISE pxGrid 身份映射(ISE 2.0命名)/ PassiveID(ISE 2.1命名)时 与Active Directory集成后,需要设置某些审核设置和权限,以允许ISE读取安全审核日志。如果您曾经配置过Cisco Context Directory Agent,那么您将受到过去的冲击。这是因为设置和权限完全相同。在谈论ISE传递PassiveID所需的权限时,Cisco 伊势 配置指南甚至引用CDA文档。这种情况的用例是,如果您使用的是EasyConnect,这是ISE检测Active Directory成功身份验证并基于此授予访问权限的一种方式。虽然这对于较小的环境可能是理想的主要策略,但我认为,对于某些较大的环境,它也可能是很好的默认策略,而不是默认规则“拒绝全部”(取决于安全策略的严格性)。


如果您想查看CDA记录的全部要求,请随时在这里浏览:
http://www.cisco.com/c/en/us/td/docs/security/ibf/cda_10/Install_Config_guide/cda10/cda_install.html

 

我将按照要求进行操作,以便在ISE服务器和Active Directory之间设置PassiveID:

  1. 如果您有防火墙或软件防火墙,请确保您的AD和ISE服务器之间具有网络连接,并且上述配置指南中引用的端口已打开
  2. 如果像我在实验室中一样使用Server 2008而不是Server 2012,请确保已安装CDA文档中引用的补丁程序。
  3. 确保正确配置了GPO的审核政策-我将在此博客文章中进行介绍,因此请继续阅读:) 
  4. 确保用于建立ISE服务器和AD控制器之间连接的用户具有足够的权限。域管理员和非域管理员有不同的要求,您将必须进行一些更改以确保两者都能正常工作。使用Domain Admin帐户显然很容易,因为常规的Domain User帐户需要进行大量更改,但是在某些对RBAC要求非常严格的环境中,可能有必要将其职责分开并具有用于PassiveID集成的服务帐户。 我将使用我的管理员帐户进行实验,但我将讨论域管理员和非域管理员的要求:
     
    1. 对于Domain Admins的成员,您将需要拥有以下注册表项的所有权,并为您的域管理员帐户提供对以下项的完全控制权:

      HKEY_CLASSES_ROOT \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}

      HKLM \软件\类\ Wow6432Node \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}

      域管理员帐户非常容易。 
       
    2. 对于非Domain Admins组成员,您需要执行以下操作: 
      1. 让域管理员为用户帐户提供以下注册表项的“完全控制权限”:

        HKEY_CLASSES_ROOT \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}

        HKLM \软件\类\ Wow6432Node \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}
         
      2. 用户必须具有在域控制器上使用DCOM的权限。
        1. 管理员可以运行 dcomcnfg CLI中的工具。
        2. 扩展组件服务
        3. 展开计算机,然后单击我的电脑
        4. 从菜单栏中选择“操作”,单击“属性”,然后单击“ COM安全性”
        5. 确保用户帐户具有“允许访问和启动”权限。用户帐户应添加到所有四个选项(“访问权限”和“启动和激活权限”的“编辑限制”和“编辑默认值”)
        6. 允许所有本地和远程访问都具有访问权限以及启动和激活权限
      3. 用户帐户需要具有WMI Root \ CIMv2命名空间的权限。 
        1. 开始 >Run 和类型 wmimgmt.msc
        2. 右键单击WMC控件,然后单击 物产
        3. 在“安全性”选项卡下,展开“根”,然后选择“ CIMV2”
        4. 点击安全
        5. 添加用户帐户并授予所需的权限,以允许执行方法,启用帐户和远程启用
      4. 访问读取AD域控制器的安全事件日志的权限-可以通过将用户添加到 事件日志阅读器 在公元组。 
      5. 对于要使用的常规域用户,需要手动添加某些注册表项以在CDA和域控制器之间建立有效的连接,以检索用户的登录身份验证事件。您可以将以下内容复制到文本文件中,以.reg扩展名重命名并双击以进行注册表更改:

        Windows注册表编辑器版本5.00

         

        [HKEY_CLASSES_ROOT \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}]

        “ AppID” =“ {76A64158-CB41-11D1-8B02-00600806D9B6}”

         

        [HKEY_CLASSES_ROOT \ AppID \ {76A64158-CB41-11D1-8B02-00600806D9B6}]

        “ DllSurrogate” =“”

        [HKEY_CLASSES_ROOT \ Wow6432Node \ AppID \ {76A64158-CB41-11D1-8B02-00600806D9B6}]
        “ DllSurrogate” =“”

        密钥的所有者必须是用户帐户。另外,请确保在键“ DllSurrogate”的值中包含两个空格。将空行保留在上面脚本的末尾
    3. 可以使用NTLMv1或NTLMv2对PassiveID使用的Active Directory用户进行身份验证。您可以对此进行验证,也可以在GPO中手动进行设置。

如果此时您的GPO仍处于打开状态,我们将继续进行以下更改,以确保审核策略正确记录了我们需要进行PassiveID身份映射的所有内容。在GPO上更改以下设置:

电脑配置>Windows Settings>Security Settings> 当地政策>Audit Policies>审核帐户登录事件:检查定义和成功
电脑配置>Windows Settings>Security Settings> 当地政策>Audit Policies>审核登录事件:检查定义和成功
电脑配置>Windows Settings>Security Settings>高级审核政策Configuration>Audit Policies>Account Logon>审核Kerberos身份验证服务:检查定义和成功
电脑配置>Windows Settings>Security Settings>高级审核政策 Configuration>Audit Policies>Account Logon>审核Kerberos服务票证操作:检查定义和成功
电脑配置>Windows Settings>Security Settings>Local Policies>Security Options>网络安全:LAN Manager身份验证级别:仅定义和发送NTLM响应


进行这些更改后,关闭域策略。在“组策略管理”窗口上,右键单击刚创建的策略,然后选择 强制执行

在服务器上打开命令行,然后发出 gpupdate / force 命令

 

转到开始菜单,然后键入 注册表编辑  打开注册表。在这里,您可以拥有以下密钥的所有权,并为您的管理员帐户提供对它们的完全控制权:

HKEY_CLASSES_ROOT \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}

HKLM \软件\类\ Wow6432Node \ CLSID \ {76A64158-CB41-11D1-8B02-00600806D9B6}

 

需要注意的一件事:您应该在用户将用来登录的每台Active Directory服务器上拥有这些密钥的所有权。

这是您在ISE上设置Domain Admin帐户之前要做的所有事情,以后的文章中将介绍该配置。