伊势 2.3-被动ID&EasyConnect增强功能

在本文中,我将回顾ISE 2.2和2.3中新增的ISE 被动ID功能。在这篇特别的文章中,我将通过ISE 2.3进行所有操作,但请记住,您也可以从ISE 2.2进行所有操作。在ISE 2.0中,添加了一个名为EasyConnect的功能,该功能利用了Active Directory域控制器中的WMI日志来检查登录事件。基于这些登录事件,ISE将决定授予访问权限。这使ISE可以授予超出典型802.1x和性能分析方法的网络访问权限。此功能运行良好,但需要大量后端工作来准备Active Directory以共享WMI日志,如果您阅读了我之前的文章, 这里,您将明白我的意思。ISE的创建者决定修改此过程,并在ISE 2.2及更高版本中创建一种更好的方法来实现此目的。 

通过修改后的PassiveID,ISE寻求解决两个问题: 

1)确保EasyConnect现在更易于设置 

2)具有ISE作为其他Cisco和pxGrid合作伙伴的上下文目录代理的功能

对于#2,我将对此进行扩展:过去,ISE必须查看身份验证才能通过pxGrid与第三方系统共享用户和上下文信息。这意味着您必须在各处部署ISE,才能在ISE,其他Cisco Security工具以及 伊势生态系统合作伙伴。这有点问题:如果客户正在部署ISE或未将其部署到任何地方,则pxGrid确实无法完全了解谁在网络上与其他工具共享。通过添加其他方式向ISE添加身份信息,可以解决此问题,并允许ISE与pxGrid共享用户名到IP的映射。 

通过PassiveID工作中心设置PassiveID。我要浏览几个标签:

  • 总览 -在这里,您可以获取有关如何设置PassiveID,查看仪表板和实时会话的步骤列表。
  • 提供者 -在此处设置身份信息的“提供者”。这可以通过Active Directory WMI,运行在域控制器上的代理,API提供程序,寻找Kerberos登录名的SPAN端口以及syslog提供程序来完成。
  • 订户 -这些是pxGrid“订户”,他们将从PassiveID接收身份信息。如果您正在“证书”选项卡下将自签名证书用于ISE,也可以从内置的pxGrid证书模板中生成自签名证书。
  • 证明书 -如果您使用的是CA签名的证书,并且需要导入它或为ISE节点颁发CSR,则此选项卡很有用。这与菜单相同 行政>System>Certificates
  • 故障排除 -在此屏幕上,您可以执行TCP转储以解决PassiveID问题,并从提供商处获取数据包
  • 报告书 -在这里您可以根据与PassiveID相关的事件生成和安排报告

 

 

既然我已经奠定了每个菜单的基础,那么我将回到“提供者”选项卡以说明如何配置一些不同的选项。在此选项卡上,您可以看到各种提供程序类型。让我们逐步了解每个配置:

活动目录 - 这是为了加入域并在域控制器上轻松配置WMI。如果您尚未加入域,请单击 按钮将ISE加入域:

点击后 ,则需要输入连接点名称和域名。然后,它将提示您询问是否要加入域。您将需要管理员凭据或可以将计算机加入域的帐户的凭据。 

将ISE加入域后,您将需要导航到 被动ID 标签在Active Directory域下。

在这里,您将指出要用于PassiveID的域控制器。您可以添加新的,也可以使用刚加入的现有的。选中当前存在的域控制器旁边的框,然后单击 编辑

在弹出窗口中,您需要确保配置了域管理员帐户的用户名和密码,然后选择 WMI 从下拉菜单中。您要做的下一件事是出色的,因为它花费了很多手动工作,是单击 配置 就在WMI旁边。这将导致ISE到达您选择的域控制器,并进行必要的更改以查看WMI日志。这极大地简化了以前非常繁琐的任务。

配置完后,您可以单击它旁边的按钮以测试它是否有效。您应该会看到一个弹出窗口,说它可以正常工作。 

 

现在让我们说您不想使用WMI,而是想使用代理?没关系。关闭弹出窗口,然后单击 添加代理 按钮。 

一个新的弹出框将带有将代理部署到域控制器的选项。您需要提供域控制器的FQDN和管理员凭据。完成后,您将点击 部署 按钮,ISE会静默将其安装在域控制器上,以在后台作为服务运行。 

部署服务后,在同一窗口中再次编辑域控制器:

在弹出窗口中,选择 代理商 在协议下,然后选择您先前部署的代理的名称。然后点击 救。

无论您决定使用WMI还是代理,与手动更改注册表并在域控制器上进行大量后端工作相比,部署都非常简单。更不用说所涉及的人为错误的风险。如果您到目前为止已按照我的指示进行操作,请导航至 工作中心>PassiveID>Overview>Live Sessions 而且您应该看到身份验证来自端点,而不仅仅是通过802.1x向网络进行身份验证。

注意:为了使用EasyConnect,您需要使用WMI或代理部署PassiveID提供程序。所有其他形式的PassiveID仅用于通过pxGrid在各种其他系统之间共享上下文信息。

代理商- 这只是另一个选项卡,您可以在其中部署代理,也可以下载它以稍后手动注册。这也可以从Active Directory屏幕上完成。由于我们在上述两种方式中都进行了配置,因此我不会再重复说明。

API提供者 -这样一来,便可以从可能在环境中某个地方运行的另一应用程序收集用户身份信息,并通过REST API与ISE共享信息。用户信息应通过JSON发送,并包括以下信息:

  • 用户名
  • IP地址
  • 端口范围

要配置它,您将配置应用程序的IP或FQDN以及REST API的用户名和密码。 

 

跨度 - 必须在您指定的ISE上的特定NIC端口上启用此功能,并且它将在交换机中查找Kerberos消息。使这种可伸缩性最好的方法可能是过滤将跨ISE接口的数据包类型。 伊势需要看到的重要内容是:

  • 用户名
  • IP地址

Syslog提供程序- 这是一个有趣的过程,因为只要syslog消息发送以下详细信息,您几乎可以配置为syslog Provideras的内容就没有限制:

  • 用户名
  • IP地址
  • MAC地址

值得庆幸的是,ISE的创建者通过从熟悉的系统中添加通用syslog格式的模板,使使用通用syslog提供程序变得容易:

但是,如果对您不起作用,则可以单击 并为您使用的任何系统添加自己的syslog模板。 

 

现在我们已经遍历了大多数提供程序,您可以更好地了解如何将信息发送到ISE以进行身份​​映射。我从ISE配置指南中拍摄了以下图片,以对其进行更好地说明:

 

现在我们已经完成了PassiveID的配置,让我们进入与之相关的下一个主题...

易通

对于希望在授予访问权限之前对使用进行身份验证但又不想使用802.1x的企业,EasyConnect是一个选项。这是ISE工具栏中的另一个选项或工具。这种方法有优点和缺点:

优点:

  • 没有请求方配置才能使其正常运行
  • 无需PKI
  • 用户向ISE认证后完成CoA
  • 您可以将其配置为所需的802.1x备用。绝对不是万能的方法

缺点:

  • 登录后访问受到严格限制,或者至少默认的ACL比您可能习惯的要宽松一些
  • 目前仅支持Windows端点
  • 没有看到来自Microsoft 服务器的“注销”事件。 伊势知道会话已通过端点从网络断开连接(RADIUS会话结束)或另一个用户向端点发起新登录而结束

 

同样,没有硬性规定可以只运行PassiveID或802.1x。如果要部署ISE并具有混合环境,则可以将PassiveID用作后备方法。

现在,我们将配置基本的EasyConnect。在部署中,我已经配置了在AD控制器上运行的AD服务,如下所示:

出于此配置的目的,我将保留交换机和基本ISE配置。与以前的帖子相比,没有任何变化。我将仅介绍EasyConnect的策略设置。

首先,我要导航到 政策>Policy Sets 并在ISE 2.3中创建新的策略集,方法是点击 按钮:

对于此政策集的顶级条件,我将选择 设备:设备类型等于开关 并使用 默认网络访问。请点击  然后进入新创建的策略集。

 

对于身份验证策略,我们将选择Wired_MAB作为条件, 内部端点 (基本上是MAB看到的任何内容)作为端点组。切记:我们不是通过网络进行身份验证-我们正在等待通过Active Directory查看身份验证事件。 

 

根据授权政策,我将创建一个条件 被动ID_Groups EQUALS AD1:securitydemo.net/Users/Domain Users 查找作为PassiveID一部分的Domain Users组中任何人的身份验证。

接下来,单击结果配置文件旁边的+按钮,以动态创建新的授权配置文件。

在授权配置文件上,将其命名为任意名称,然后选中旁边的框 被动身份追踪 指示将与PassiveID一起使用。然后选择所需的常规任务。

 

在该授权规则下,创建一个条件为 有线_MAB 并授予其足够的访问权限以登录AD。在这种情况下,我刚刚创建了一个授权配置文件,以允许足够的访问权限登录到AD,然后再次选中该授权配置文件中的“被动身份跟踪”框。最后,这是我的授权规则:

保存策略集后,您应该能够测试登录尝试,并首先查看已配置的端点并获得AD访问权限,然后在成功登录后移至用户访问权限。这是我成功显示登录成功的另一个部署的屏幕截图。