ISE. 2.3 - 被动ID&EasyConnect增强功能

在这篇文章中,我将查看ISE的ISE的PassiveID功能,这是ISE 2.2和2.3的新功能。在这个特定的帖子中,我会从ISE 2.3做到这一切,但请记住,您也可以从ISE 2.2中完成所有这些。在ISE 2.0中,有一个已添加的功能,称为easychonnect,它利用来自Active Directory域控制器的WMI日志来检查登录事件。根据这些登录事件,ISE将决定授予访问权限。这允许ISE授予超出典型802.1x和分析方法的网络访问。这效果良好,但需要大量的后端工作来准备Active Directory来共享WMI日志,如果您读过我的早期帖子 这里,您将看到我的意思是ISE的创建者决定改变此过程并在ISE 2.2及更高版本中创造更好的方法。 

通过改造的PassiveID,ISE寻求解决两个问题: 

1)确保EasyConnect现在更容易设置 

2)具有ISE功能作为其他思科和PxGrid合作伙伴的上下文目录代理

对于#2,我将扩展:在过去,ISE必须看到认证,以通过PxGrid与第三方系统共享用户和上下文信息。这意味着您必须拥有ISE到处都可以在ISE,其他思科安全工具以及其他思科安全工具中进行完整的身份映射。 ISE.生态系统伙伴。这是一个问题:如果客户推出ISE或者它没有任何地方部署,则PxGrid真的没有得到一个完整的图片,谁在网络上与其他工具共享。通过添加其他方法来向ISE添加标识信息,这解决了问题,允许ISE与PxGrid共享用户名到IP映射。 

passiveid通过passiveid工作中心设置。我想走一些标签:

  • 概述 - 这是您可以在其中获取如何设置PassiveID的步骤列表,查看仪表板以及Live Sessions
  • 提供者 - 这是您设置身份信息的“提供商”的位置。这可以通过Active Directory WMI完成,该代理在域控制器上运行,API提供商,寻找Kerberos Logins的Span Port,以及Syslog提供者
  • 订阅者 - 这些是PxGrid“订阅者”,其将接收来自PassiveID的身份信息。如果您在“证书”选项卡下,您还可以从内置PXGRID证书模板中从内置PXGRID证书模板生成自签名证书
  • 证书 - 如果您使用的是使用CA签名证书,此选项卡很有用,并且您需要导入它或为ISE节点发出CSR。这是相同的菜单 行政>System>Certificates
  • 排除故障 - 这是一个屏幕,您可以执行TCP转储来解决PassiveID问题,并且您可以从提供者获取数据包
  • 举报 - 这是您可以在基于与PassiveID相关的事件生成和计划报告的地方

 

 

现在我已经奠定了每个菜单的基础,我将返回提供者标签来解释如何配置一些不同的选项。在此选项卡上,您可以看到各种提供程序类型。让我们走过每个的配置:

活动目录 - 这是为了加入域并在域控制器上配置WMI,轻松。如果您还没有加入域名,请单击 添加 将ISE加入域名:

点击后 添加,您需要输入加入点名称和域名。然后它将提示您询问您是否想加入域名。您需要可以将计算机加入到域的帐户的管理员凭据或凭据。 

ISE.连接到域后,您将想要导航到 passiveid. 选项卡在Active Directory域下。

在此处,您将指示您想要用于PassiveID的域控制器。您可以添加新的或使用您刚刚加入的现有一个。选中当前在那里的域控制器旁边的框,然后单击 编辑

在弹出窗口上,您希望确保配置域管理员帐户的用户名和密码并选择 WMI. 从下拉下拉。你会做的下一件事很棒,因为它需要很多手工工作是点击 配置 在WMI旁边。这将导致ISE与您选择的域控制器带电,并使所需的更改进行查看WMI日志。这极大地简化了一种曾经是令人难以置信的乏味的任务。

配置后,您可以单击它旁边的按钮以测试它是否有效。你应该得到一个弹出窗口说它的工作原理。 

 

现在让我们说你不想使用WMI并宁愿使用代理人?没关系。关闭弹出窗口,然后单击 添加代理 按钮。 

一个新的弹出框将亮起将代理部署到域控制器的选项。您需要提供域控制器和管理员凭据的FQDN。这样做后,你会点击 部署 按钮和ISE将在域控制器上静默安装它以在后台运行作为服务。 

部署服务后,再次在同一窗口中编辑域控制器:

从弹出窗口中,选择 代理人 在协议下,选择您以前部署的代理的名称。然后点击 保存。

与您决定使用WMI或代理程序是否使用WMI或代理商进行了非常简单,与必须在手动更改注册表中并在域控制器上执行一吨后端工作。更不用说涉及人为错误的风险。如果您遵循了我的指示,请达到这一点,导航到 工作中心>PassiveID>Overview>Live Sessions 并且您应该看到从端点进入的身份验证,该端点不仅通过802.1x验证到网络。

注意:为了使用EasyConnect,您需要使用WMI或代理部署PassiveID提供程序。所有其他形式的PassiveID用于仅用于使用PxGrid的各种系统之间的上下文信息共享。

代理人 -  这只是另一个标签,您可以在其中部署代理,或者您可以将其下载以便稍后将其注册。这也可以从Active Directory屏幕完成。由于我们在上面两种方式配置了它,因此我不会再返回同样的事情。

API提供商 - 这是可以从一个可能在环境中的某处运行的应用程序和通过itee共享信息的应用程序来收集用户身份信息。应通过JSON发送用户信息,并包括以下信息:

  • 用户名
  • IP地址
  • 港口范围
  • 领域

要配置它,您将配置应用程序的IP或FQDN以及REST API的用户名和密码。 

 

跨度 - 这必须在您指定的ISE上的特定NIC端口上启用,并且它将正在寻找来自交换机的Kerberos消息。可能是使这种可扩展的最佳方法是过滤什么类型的数据包将为ISE的界面进行跨越。 ISE需要看到的重要事项是:

  • 用户名
  • IP地址
  • 领域

Syslog提供商 -  这是一个有趣的,因为只要Syslog消息正在发送以下详细信息,您可以将作为Syslog Providers配置的几乎没有限制:

  • 用户名
  • IP地址
  • MAC地址
  • 领域

值得庆幸的是,ISE的创建者通过添加来自污染系统的常见Syslog格式的模板来轻松使用常见的Syslog提供商:

但在不适合您的情况下,您可以单击 新的 并为您使用的任何系统添加自己的syslog模板。 

 

现在我们已经经历了大多数提供商,您可以了解一点如何向ISE发送信息以进行身份​​映射。我从ISE配置指南中拍摄了下面的图片来说明它更好:

 

现在我们已经经历了PixiveID的配置,让我们走到我们下一个主题中的一个主题......

EasyConnect.

EasyConnect.是想要在授予访问之前进行身份验证的企业的选项,但不希望使用802.1x。它是ISE工具包中的另一种选择或工具。这种方法有优缺点:

优点:

  • 没有请求的配置,使其工作
  • 没有必要的pki
  • 在用户验证到ISE之后完成COA
  • 您可以将其配置为您想要的802.1x。这绝对不是全无的方法

缺点:

  • 访问权限受到登录后的限制,或者至少默认ACL比您可能感到舒适的更自由
  • 目前只支持Windows端点
  • 没有从Microsoft Server看到“Logoff”事件。 ISE知道会话已经通过从网络断开连接(RADIUS会话结束)或其他用户将新登录到端点的端点结束

 

同样,没有艰难而快速的规则,你只能运行passiveid或802.1x。如果您正在部署ISE并具有混合环境,则可以让PassiveID成为您的回归方法。

现在我们将配置基本easychonnect。在我的部署中,我已经在我的广告控制器上配置了广告服务,您可以在此处查看:

出于此配置的目的,我将备用交换机和基本ISE配置。关于此帖子的没有任何改变。我只是走过easyConnect的政策设置。

首先,我将导航到 政策>Policy Sets 并在ISE 2.3中创建一个新的策略集 按钮:

对于我的顶级条件,为此政策设置,我会选择 设备:设备类型等于开关 只是使用 默认网络访问。点击 保存 然后进入新创建的策略集。

 

对于身份验证策略,我们将选择Wired_Mab作为条件和 内部端点 (基本上由MAB看到的任何东西)作为终点组。请记住:我们无法通过网络进行身份验证 - 我们正在等待通过Active Directory查看身份验证事件。 

 

在授权政策下,我将创建一个条件 passiveid_groups等于AD1:SecurityDemo.net/users/domain用户 为域用户组的任何人寻找身份验证作为PassiveID的一部分。

接下来,单击“结果配置文件”旁边的+按钮以打开“创建新的授权配置文件”。

在授权配置文件中,将其命名为您想要的任何内容,然后选中旁边的框 被动身份跟踪 表示这将与PassiveID一起使用。然后选择您想要的任何共同任务。

 

在该授权规则下,使用条件创建规则 Wired_mab. 并授予足以访问登录广告。在这种情况下,我刚刚创建了一个授权配置文件,以允许足够的访问来登录广告并再次检查框中的授权配置文件中的被动身份跟踪。最后,这就是我的授权看起来的样子:

保存策略集后,您应该能够测试登录尝试并首先查看端点分布并获取AD访问,然后在成功登录后移动到用户访问。这是我显示成功登录的另一部署的屏幕截图。