服务器 2012配置 - PxGrid身份映射/ passiveID设置

配置ISE PxGrid身份映射(ISE 2.0命名)/ passiveID(ISE 2.1命名) 与Active Directory集成,需要设置某些审核设置和权限,以便允许由ISE读取安全审核日志。如果您有曾经配置了Cisco上下文目录代理,则您即将从过去接收爆炸。这是因为设置和权限完全相同。 Cisco ISE配置指南甚至在谈论ISE为PassiveID沟通所需的权限时引用CDA文档。用于此的用例是您使用EasyConnect,这是ISE的方法,用于检测Active Directory成功的身份认证和授予访问权限。虽然这可能是较小环境的主要策略,但我认为它也可以作为一些较大的环境的默认策略,而不是根据安全策略的严格性而不是默认的“拒绝所有”规则。


如果您想审核清理CDA记录要求,请随时浏览在此处:
http://www.cisco.com/c/en/us/td/docs/security/ibf/cda_10/Install_Config_guide/cda10/cda_install.html

 

我会经历要求,以便在ISE服务器和Active Directory之间设置PirsiveID:

  1. 确保您在AD和ISE服务器之间具有网络连接,如果在路上有防火墙或软件防火墙,则打开上面的配置指南中引用的端口
  2. 如果您使用的是Server 2008而不是像我的实验室中的Server 2012,请确保安装了CDA文档中引用的修补程序
  3. 确保正确配置GPO的审计策略 - 我将通过这个博客文章,所以继续阅读:) 
  4. 确保您使用的用户在ISE服务器和AD控制器之间建立连接具有足够的权限。域管理员和非域管理员有不同的要求,您必须进行一些更改以确保这两项工作。由于常规域用户最精准双色球预测专家需要大量更改,但在具有非常紧张的RBAC要求的某些环境中,它显然更容易使用域管理员最精准双色球预测专家,可能有必要保留职责并为PassiveID集成提供服务最精准双色球预测专家。 。 我将使用我的实验室的管理员最精准双色球预测专家,但我将覆盖域管理员和非域管理员的要求:
     
    1. 对于Domain Admins的成员,您需要为以下注册表项所有权所有权,并为您的域名管理最精准双色球预测专家完全控制以下键:

      hky_classes_root \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}

      hklm \ software \ classes \ wow6432node \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}

      域管理员最精准双色球预测专家非常容易。 
       
    2. 对于域管理员组的非成员,您需要执行以下操作: 
      1. 具有域管理员提供以下注册表项的用户最精准双色球预测专家完全控制权限:

        hky_classes_root \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}

        hklm \ software \ classes \ wow6432node \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}
         
      2. 用户必须有权在域控制器上使用DCOM。
        1. 管理员可以运行 dcomnfg. 来自CLI的工具。
        2. 展开组件服务
        3. 展开计算机并单击我的电脑
        4. 从菜单栏中选择“操作”,单击“属性”,然后单击COM安全性
        5. 确保用户最精准双色球预测专家允许访问和启动权限。应将用户最精准双色球预测专家添加到所有四个选项(编辑限制和编辑默认值,以获取访问权限和启动和激活权限)
        6. 允许所有本地和远程访问访问权限和启动和启动权限
      3. 用户最精准双色球预测专家需要对WMI根\ CIMv2名称空间具有权限。 
        1. 开始 >Run 和类型 wmimgmt.msc.
        2. 右键单击WMC控件并单击 特性
        3. 在“安全”选项卡下,展开“root”并选择CIMv2
        4. 单击安全性
        5. 添加用户最精准双色球预测专家并提供允许执行方法的所需权限,使能最精准双色球预测专家和远程启用
      4. 访问读取AD域控制器的安全事件日志 - 这可以通过将用户添加到 事件日志读者 小组在广告中。 
      5. 对于要使用的常规域用户,需要手动添加某些注册表项,以在CDA和域控制器之间建立有效连接,以检索用户登录身份验证事件。您可以将以下内容复制到文本文件中,使用.reg扩展名重命名并双击它以使注册表更改:

        Windows注册表编辑器版本5.00

         

        [hky_classes_root \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}]

        “appid”=“{76a64158-cb41-11d1-8b02-00600806d9b6}”

         

        [HKEY_CLASSES_ROOT \ APPID \ {76A64158-CB41-11D1-8B02-00600806D9B6}]

        “dllsurrogate”=“”

        [HKEY_CLASSES_ROOT \ WOOT6432NODE \ APPID \ {76A64158-CB41-11D1-8B02-00600806D9B6}]]
        “dllsurrogate”=“”

        密钥的所有者必须是用户最精准双色球预测专家。此外,请确保在“dllsurrogate”的值中包含两个空格。在上面的脚本末尾保持空线
    3. PassiveID使用的Active Directory用户可以使用NTLMV1或NTLMV2进行身份验证。您可以在GPO中验证此功能或手动设置它。

如果您在这一点上仍然有您的GPO,我们将继续进行以下更改,以确保审计策略正确记录我们希望的所有内容映射。更改GPO上的以下设置:

计算机配置>Windows Settings>Security Settings> Local Policies>Audit Policies>审计最精准双色球预测专家登录事件:检查定义和成功
计算机配置>Windows Settings>Security Settings> Local Policies>Audit Policies>审核登录事件:检查定义和成功
计算机配置>Windows Settings>Security Settings>高级审计政策Configuration>Audit Policies>Account Logon>审核Kerberos身份验证服务:检查定义和成功
计算机配置>Windows Settings>Security Settings>高级审计政策 Configuration>Audit Policies>Account Logon>审计Kerberos服务票务操作:检查定义和成功
计算机配置>Windows Settings>Security Settings>Local Policies>Security Options>网络安全:LAN管理器身份验证级别:仅限和发送NTLM响应


在进行这些更改后,关闭域策略。在“组策略管理”窗口中,右键单击刚刚创建并选择的策略 强迫

打开服务器上的命令行并发出 gpupdate / force. 命令

 

转到“开始”菜单和“类型” regedit.  打开注册表。在那里,您可以拥有以下键并为管理员最精准双色球预测专家提供完全控制它们:

hky_classes_root \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}

hklm \ software \ classes \ wow6432node \ clsid \ {76a64158-cb41-11d1-8b02-00600806d9b6}

 

有一点要注意:您应该在用户登录的每个Active Directory服务器上获取这些键的所有权。

这就是在将其设置为ove的ISE之前,您必须为域管理员最精准双色球预测专家做到这一切,该配置将在稍后的帖子中介绍该配置。