Поиск...

вторник, 31 октября 2017 г.

Cisco Identity Services Engine (ISE) (Часть №2)

Доброго времени суток!!!

Напомню, в прошлом посте мы развернули *.ova – файл Cisco ISE в среде виртуализации, сделали первоначальные настройки через CLI, затем создали группу для сетевых устройств, посмотрели, как их добавлять. Затем создали локальную группу для сетевых администраторов (для управления сетевыми устройствами) и, собственно, добавили одного из них.
В конце поста я пообещал пробежаться по вопросам настройки самого Cisco ISE (его глобальные настройки, настройки лицензирования, обновления, добавления администраторов и их ролей и т.д.), показать где это делается и затем продолжить внедрять Cisco ISE в нашу сетевую инфраструктуру.
Так что, кто заинтересован в продолжении или, кто только что подключился и проявляет интерес, добро пожаловать под кат…

Хочу сразу отметить, что погружаться в значения всех пунктов, галочек, подразделов и расписывать что за что отвечает я не буду, так как по умолчанию, для нормального функционирования Cisco ISE в сетевой инфраструктуре вполне достаточно предустановленных настроек. Всё остальное – это уже тюнинг под конкретные задачи. Но если всё-таки понадобится что-то включить, то конечно это я опишу более подробно.
Итак, непосредственные настройки Cisco ISE находятся в разделе «Administration» -- «System»:


Первый подраздел, куда вы попадете, будет «Deployment»:


Здесь в списке виден сервер (его имя), сервисы («Persona»), которые он выполняет, роль (у нас он «Standalone») и его статус. Нажмем на выпадающее меню слева и выберем наш сервер (или отметим в списке и нажмем «Edit»). Откроется окно:


В подпункте общих настроек («General Settings») этого подраздела можно менять роль сервера (1). Это необходимо тогда, когда вы хотите сделать отказоустойчивую схему, про которую я писал в первой части. Процедура такова: переводите существующий Cisco ISE в режим «Primary», выбираете сервисы, которые будут «Primary», а какие «Secondary» на нем, затем цепляете второй Cisco ISE (на предыдущем рисунке над списком серверов есть кнопка «Register») и отмечаете сервисы там (в противовес первому серверу).
    Здесь же включаются некоторые дополнительные функции:
  • - поддержка протокола SXP (SGT Exchange Protocol) (2). Он нам понадобится при настройке технологии «TrustSec»;
  • - возможность контроля и аудита конфигураций сетевых устройств (3).
Нажимаем «Save» и переходим к подпункту «Profiling Configuration»:


Здесь включаются функции Cisco ISE для которых он будет выступать в качестве «слушателя», т.е. будет принимать, обрабатывать и черпать информацию пакетов, относящихся к той либо иной технологии. Думаю, названия пунктов говорят сами за себя.
Идем дальше и переходим к подразделу «Licensing»:


Название этого подраздела говорит само за себя. Здесь производятся все манипуляции c лицензиями, а также можно посмотреть какие уже есть и сколько дней осталось до их завершения. Внизу выделен серийный номер, именно его необходимо будет указывать при обращении в техподдержку.
Далее переходим к подразделу «Certificates»:


Как следует из названия он посвящен работе с сертификатами. При установке Cisco ISE он создает самоподписанные сертификаты для работы, но если необходимо настроить работу с реальными сертификатами и если в сети есть удостоверяющий центр сертификации, то знайте, все что касается этого дела необходимо производить именно в этом подразделе. Я этого делать не буду, так как для демонстрации работы Cisco ISE достаточно и сгенерированных им сертификатов при установке.
Переходим к подразделу «Logging»:


Здесь настраиваются параметры логирования всевозможных сообщений по работе Cisco ISE. В пункте «Local Logging Settings» можно настроить количество дней, в течении которых будут храниться сообщения (1). В пункте «Remote Logging Targets» настраиваются сторонние Syslog-серверы, если таковые имеются. При установке создаются несколько «Remote Logging Targets», но если обратить внимание на их IP-адреса, то станет понятно, что это сам Cisco ISE.
    Для добавления нового Syslog-сервера необходимо нажать «Add» и в открывшемся окне указать следующие необходимые параметры:
  • - имя (2);
  • - IP-адрес/DNS-имя Syslog-сервера (3);
  • - порт назначения (4);
  • - уровень Syslog-сообщений, которые будут отправляться (5);
  • - максимальная длина сообщений (6).
Другие пункты меню этого подраздела относятся к «тюнингу». В них можно настроить категории сообщений, уровень логирования, содержимое сообщений и различные фильтры.
Не будем на этом останавливаться и переходим к подразделу «Maintenance»:


    В данном подразделе выполняются действия (в соответствующих пунктах):
  • - по установке различных патчей для Cisco ISE («Patch Management»). Для этого нажимаем «Install», выбираем имеющийся патч и, собственно, устанавливаем;
  • - по настройке источников, откуда будет обновляться Cisco ISE («Repository»). Конечно, обновление будет идти при наличии соответствующих сервисных контрактов на это дело;
  • - по отчистке базы данных, где хранится вся информация, необходимая для Cisco ISE («Operational Data Purging»). Здесь задается время хранения информации, состояние наполненности базы данных, параметры экспорта данных в другие места, так же можно руками отчистить ненужную информацию («Purge data Now»).
Идем дальше и переходим в подраздел «Upgrade»:


Соответственно, тут будут отражаться доступные обновления и версия Cisco ISE, которая используется на данный момент. Источники обновлений («Repositories») не настроены и доступных обновлений нет.
Переходим к подразделу «Backup&Restore»:


Здесь настраиваются параметры выполнения работ по резервному копированию и восстановлению. Причем резервное копирование и восстановление настраивается отдельно для данных о конфигурации самого Cisco ISE (1) и для данных, относящихся ко всему остальному (устройства, пароли, учетные записи и так далее), с чем работает Cisco ISE (2).
В пункте «Policy Export» (3) настраиваются параметры резервного копирования различных созданных и настроенных политик.
Здесь немного остановимся и я вам опишу ситуацию, с которой я столкнулся. Вполне возможно такая же может приключиться и с вами. Дело в том, что я, по некоторым причинам, откладывал на время написание поста. На это время я выключал виртуальную машину cisco ISE. И вот, по возвращении, я успешно ее включил, открыл браузер, ввел адрес сервера и… Ничего :). Web-интерфейс не открылся.
    Начался процесс debugging:
  • - сетевая доступность (ping) есть;
  • - разрешение имени сервера (DNS) есть;
  • - доступ по ssh есть.
Раз есть доступ по ssh, то я решил посетить консоль Cisco ISE. И вот когда я подключился и ввел учетные данные администратора, то мне было предложено сменить пароль, так как старый устарел, что я и сделал. Причем получилось не с первого раза, так как требования к паролю у Cisco ISE весьма высокие. После смены пароля потребуется перезагрузка Cisco ISE (команда «reload») с обязательным сохранением конфигурации.
После обновления пароля и попадания в CLI я открыл браузер и ввел адрес сервера и, о чудо, появилось окно авторизации. Из этого я предполагаю, что пока вы не смените пароль администратора CLI, доступ к Web-интерфейсу запускаться не будет, хоть сам сервер и будет живой.
Но обрадовался я рано :). Я ввел пароль администратора уже для доступа к Web-интерфейсу и… Меня не пустило:


Видимо, истек срок действия еще и пароля для администратора доступа на Web-интерфейс. Стоит отметить, что доступ для него может заблокироваться не только по истечении срока действия пароля, но и от количества неудачных попыток входа.
А дело всё в том, (не помню, говорил ли я об этом ранее), что при инсталляции и первоначальной настройке Cisco ISE (часть №1) через консоль мы создавали администратора и его же использовали при первом входе по Web-интерфейсу, но после этого создается два независимых администратора!!! Один – для доступа к CLI, второй – для доступа по Web. И для них предъявляются разные политики (по сложности пароля, по времени устаревания и т.д.), несмотря даже на то, что они могут иметь одинаковое имя и пароль.
Следовательно, необходимо сбросить пароль и для администратора Web-интерфейса, а сделать это можно только через CLI, благо доступ туда у нас уже есть.
Возвращаемся в CLI и вводим следующую команду:


    где:
  • 1 - название сервиса, для пользователя которого будет сбрасываться пароль (в нашем случае «ise»);
  • 2 - собственно «username», которому будем сбрасывать пароль (в моем случае «iseadmin»).
После этого, доступ на Web-интерфейс должен быть. Блокировка и последующая разблокировка пользователя не проходит незаметно, т.е. все действия записываются в раздел «ALARMS», где затем всё можно посмотреть.
Итак, небольшое отступление закончено, доступ восстановлен. Возвращаемся к повествованию и переходим к подразделу «Admin Access», на котором остановимся немного дольше (тем более столкнувшись со случаем, описанным выше):


Начнем с пункта «Authentication» и подпункта «Authentication Method». Здесь определяются параметры каким образом аутентифицировать администраторов. Можно это делать как по паролю «Password Based», так и по сертификатам «Client Certificate Based». Сертификаты трогать не будем, а будем использовать парольный способ, который на данный момент доступен только с использованием локальной базы («Internal»), так как Cisco ISE пока еще не подключен к AD. Но это мы исправим в ближайшее время.
Пока переходим к подпункту «Password Policy»:


    здесь задаются такие параметры как:
  • 1. минимальная длина пароля;
  • 2. то, что пароль НЕ должен в себе содержать (имя администратора, слово «cisco» и т.д., даже есть возможность загрузить целый словарь);
  • 3. то, что пароль ДОЛЖЕН включать в себя как минимум в одном экземпляре (одна прописная буква, одна заглавная, одна цифра и т.д.);
  • 4. число запрещенных к использованию предыдущих паролей и количество дней, после которого можно будет использовать прошлый пароль;
  • 5. время «жизни» пароля и количество дней, после которого начнет отправляться письмо, информирующее о завершении срока;
  • 6. разрешение на отображение важной информации о сетевых устройствах (различные pre-shared key и др. «секретная» информация).
После всех манипуляций не забываем нажать на «Save» и переходим к следующему подпункту «Account Disable Policy»:


Здесь выставляется количество дней неактивности учетной записи администратора, после которого она выключается. Нажимаем «Save» и переходим к подпункту «Lock/Suspend Settings»:


Здесь задаются параметры блокировки учетных записей администраторов. По умолчанию, при трех неудачных попытках ввода пароля, учетная запись блокируется на 15 минут, но можно выбрать вариант и полной блокировки («Lock account»). Для последующей разблокировки потребуется уже помощь другого администратора, обладающего соответствующими правами. Если что-то изменили, не забывайте нажимать «Save».
С этим пунктом подраздела закончили и переходим к следующему пункту «Authorization» -- «Permission» -- «Menu Access»:


В этом пункте настраивается вид меню, которое будет отображаться администратору, входящему в ту или иную группу и успешно прошедшему аутентификацию. По умолчанию, создается 10 видов меню. Можно создать свой вид, нажав на «Add» (1). Я создавать не буду, а выберу одно из существующих и опишу то, что необходимо будет сделать. Откроется дополнительное окно где задаем имя (2), если необходимо, делаем примечание (3), а затем выбираем поочередно закладки и отмечаем показывать их («Show») или скрывать («Hide»). По окончании создания, нажимаем «Save».
Переходим к пункту «Data Access»:


Здесь в соответствующих списках задаются права на доступ к тому либо иному содержимому пунктов меню. По умолчанию таких списков 9, но можно создать свой. Принцип создания аналогичен описанному выше. Так что останавливаться не будем и переходим к пункту «Policy»:


Здесь настраивается так называемый «Role Based Access Control (RBAC)», т.е. настраивается связь между группой администраторов и разрешениями, которые данной группе назначены.
    Состоит политика из правил, каждое из которых состоит из трех элементов:
  • 1. Название правила;
  • 2. Группа администраторов;
  • 3. Разрешение.
Есть список политик, созданных по умолчанию. Их ни удалить, ни править нельзя. Но есть возможность создать свою политику. Для этого нажимаем «Actions» -- «Insert new policy» (или можете сделать копию существующего правила и изменить его):


    далее:
  • 1. придумываем имя правилу;
  • 2. задаем группу администраторов;
  • 3. из выпадающего списка выбираем соответствующую группу (пока здесь только встроенные, так как мы еще не добавляли своих);
  • 4. указываем необходимые разрешения для выбранной ранее группы;
  • 5. в данном случае – какое будет отображаться меню;
  • 6. если еще необходимо указать, что им позволено делать, то нажимаем «+» и так же выбираем набор разрешений.
Следует отметить, что для определения разрешенных действий той либо иной группе администраторов Cisco ISE будет просматривать ВСЕ политики и суммировать разрешения из каждого правила, где встречается данная группа. Причем условие «Permit» (разрешить) превалируют над условием «Deny» (запретить). Так что будьте аккуратны и, делая ограничения для кого то, просматривайте все правила.
После настройки нажимаем «Save» и переходим к пункту «Administrators» -- «Admin Users»:


Здесь осуществляется управление учетными записями администраторов, как локальных, так и сторонних. На данный момент существует только один администратор «iseadmin», который является дефолтным (он создался при первом входе на Web-интерфейс, не путайте с CLI-администратором) и состоит в группе «Super Admin».
Добавлять локальных администраторов легкая задачка (нажимаем «Add», выбираем «Create an Admin User» и заполняем стандартную форму), я же предлагаю на этом этапе подключить Cisco ISE к Active Directory (AD) и использовать для доступа к Web-интерфейсу администраторов уже оттуда, тем более это подключение понадобится нам в дальнейшем. Для этого переходим в раздел «Administration» -- «Identity Management» и его подраздел «External Identity Sources», где выбираем пункт «Active Directory»:


Нажимаем «Add» и указываем имя сервера контроллера домена (1), название домена (2). Нажимаем «Submit». Появится окно с вопросом желаем ли мы подключить все ноды Cisco ISE к домену. Соглашаемся и в следующем окне указываем учетные данные пользователя (имя (3) и пароль (4)), с помощью которого будет осуществляться подключение. Я заранее создал как пользователя для подключения, так и группу будущих администраторов на контроллере домена. Нажимаем «OK» и, если все в порядке, подключение благополучно осуществится, и новая запись появится в списке:


Теперь необходимо выбрать группы из AD, которые мы будем использовать. Для этого, на этой странице, переходим в подпункт «Groups», нажимаем «Add» и «Select Groups From Directory»:


Для того, чтобы группы отобразились нажимаем «Retrieve Groups…». Затем отмечаем необходимые нам группы и нажимаем «OK». После их появления в списке, нажимаем «Save». Всё, Cisco ISE подключен к AD.
Для того, чтобы появилась возможность входа на Web-интерфейс Cisco ISE с использованием учетных записей из AD, необходимо это включить. Для этого переходим в раздел «Administration» -- «System», подраздел «Admin Access» и пункт «Authentication»:


Здесь, в подпункте «Authentication method» из выпадающего меню выбираем наш контроллер домена (до подключения к AD был только пункт «Internal»), затем нажимаем «Save».
Теперь необходимо создать группу администраторов в Cisco ISE, к которой, в свою очередь, будут привязаны группы из AD. Для этого переходим к пункту «Admin Groups»:


    Нажимаем «Add» и в открывшемся окне вводим:
  • 1. название группы;
  • 2. при необходимости пишем примечание;
  • 3. указываем, что данная группа будет внешней («External»);
  • 4. из выпадающего списка выбираем группы, которые мы выбрали ранее из AD. Чтобы добавить несколько групп AD нажимаем на «+».
Нажимаем «Submit». Созданная группа должна появиться в списке всех групп.
Теперь, для использования учетных записей из AD для доступа к Web-интерфейсу, рекомендуют создать отдельную политику. Как это делать, я вкратце рассказывал выше. Только в поле «Admin Groups» необходимо будет выбрать ранее созданную группу и указать права, какие вы хотите им дать (я дал полный доступ ко всему):


После создания политики протестируем сделанное. Выходим из Web-интерфейса и пробуем снова зайти:


Как могло показаться, выбирая способ аутентификации с помощью Active Directory, мы не сможем использовать локальную базу Cisco ISE, но это не так. Теперь, по умолчанию, всегда будет указываться использование AD, но если нажать на выпадающий список, то будет доступна и локальная («Internal») база.
Введя учетные данные как администратора из AD, так и локального администратора Web-интерфейса Cisco ISE мы получим один и тот же полный доступ.
Идем далее. В данном подразделе («Admin Access») еще осталось несколько пунктов. Переходим к пункту «Settings» -- «Access»:


Здесь, в подпункте «Session» настраиваются параметры сессий администраторов как для подключений по Web-интерфейсу («GUI Sessions»), так и для подключений через консоль («CLI Sessions»), а именно максимальное количество одновременных сессий, баннер перед входом и после входа. В подпункте «IP Access» можно настроить ограничение по IP-адресам, с которых будет разрешен доступ к Cisco ISE.
Переходим к пункту «Settings» -- «Session»:


Здесь, в подпункте «Session Timeout» задается время жизни в минутах, а в подпункте «Session Info» можно посмотреть на «Real-time» сессии и, если требуется, разорвать их.
Переходим к пункту «Settings» -- «Portal Customization»:


Здесь компания Cisco предоставила возможность вам самим поменять вид портала под стиль компании (если это конечно необходимо). Поменять можно вид портала для входа удаленных пользователей, пользователей портала BYOD и так далее. Делается это все в другом месте (возможно я покажу это в будущих постах), но включается эта возможность именно здесь.
Что же… В начале поста я думал быстренько пробежаться по настройкам самого Cisco ISE, да как то растянулось это аж на полноценный пост :). Но думаю, что это только на пользу.
У нас остался еще один подраздел - «Administration» -- «System» -- «Setting», но отдыхать тоже надо, так что о нем расскажу уже в следующем посте. А на сегодня, хочу поблагодарить вас за внимание. Надеюсь, моё повествование было полезно для вас.
Жду вас в следующих постах.

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.

Если есть желание отблагодарить, то киньте немного WebMoney (Яндекс.Деньги, PayPal) или дайте ссылку на мой блог, если будете еще на каких-нибудь форумах или сайтах :).
Жду вас в следующей части!!!

С уважением, Ant0ni0n

2 комментария:

  1. Анонимный15 мая 2018 г., 9:52

    Спасибо! Очень доступно!
    Ждем TrustSec и dot1x

    ОтветитьУдалить