Vereinfachte Zugriffsrichtlinie mit ODBC & ISE DB (benutzerdefiniertes Attribut) für groß angelegtes Campus-Netzwerk
Inhalt
Einführung
In diesem Dokument wird die Bereitstellung großer Campus-Umgebungen ohne Kompromisse bei den Funktionen und der Durchsetzung von Sicherheitsrichtlinien beschrieben. Die Cisco Identity Services Engine (ISE) erfüllt diese Anforderung durch die Integration in eine externe Identitätsquelle.
Bei großen Netzwerken mit mehr als 50 Geo-Standorten, über 4.000 unterschiedlichen Benutzerprofilen und über 600.000 Endpunkten oder mehr müssen herkömmliche IBN-Lösungen aus einer anderen Perspektive betrachtet werden - mehr als nur Funktionen, unabhängig davon, ob sie mit allen Funktionen skaliert werden können. Die Intent-Based Network (IBN)-Lösung in herkömmlichen großen Netzwerken von heute erfordert einen zusätzlichen Fokus auf Skalierbarkeit und einfache Verwaltung und nicht nur auf die Funktionen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Dot1x/MAB-Authentifizierung
- Cisco Identity Service Engine (Cisco ISE)
- Cisco TrustSec (CTS)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Identity Services Engine (ISE) Version 2.6 Patch 2 und Version 3.0
- Windows Active Directory (AD) Server 2008, Version 2
- Microsoft SQL Server 2012
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn das Netzwerk in Betrieb ist, sollten Sie die potenziellen Auswirkungen einer Konfiguration verstehen.
Hintergrundinformationen
In einer Identity Based Network (IBN)-Lösung sind die grundlegenden Elemente Supplicant, Authenticator und Authentication (AAA) Server. Der Supplicant ist ein Agent auf dem Endgerät, der die Anmeldeinformationen bei Aufforderung für den Netzwerkzugriff bereitstellt. Authenticator oder NAS (Network Access Server) ist der Access-Layer, der Netzwerk-Switches und WLCs umfasst, die die Anmeldeinformationen für den AAA-Server übertragen. Der Authentifizierungsserver validiert die Benutzerauthentifizierungsanfrage für einen ID-Speicher und autorisiert entweder mit access-accept oder access-Ablehnen. Der ID-Speicher kann sich im AAA-Server oder auf einem externen dedizierten Server befinden.
Dieses Bild zeigt die grundlegenden IBN-Elemente.
RADIUS ist ein User Datagram Protocol (UDP)-basiertes Protokoll mit kombinierter Authentifizierung und Autorisierung. In der Cisco IBN-Lösung für Campus-Enterprise-Umgebungen fungiert das Personal der ISE Policy Service Node (PSN) als AAA-Server, der die Endpunkte anhand des Enterprise ID Store authentifiziert und die Berechtigung in Abhängigkeit von der Bedingung erteilt.
In der Cisco ISE werden Authentifizierungs- und Autorisierungsrichtlinien konfiguriert, um diese Anforderungen zu erfüllen. Authentifizierungsrichtlinien bestehen aus dem Medientyp (kabelgebunden oder drahtlos) und den EAP-Protokollen für die Benutzervalidierung. Autorisierungsrichtlinien bestehen aus Bedingungen, die die Kriterien definieren, nach denen die verschiedenen Endpunkte übereinstimmen, und aus denen der Netzwerkzugriff erfolgt. Dabei kann es sich um ein VLAN, eine herunterladbare ACL oder ein Secure Group Tag (SGT) handeln. Dies sind die maximalen Skalierungszahlen für Richtlinien, mit denen die ISE konfiguriert werden kann.
Diese Tabelle zeigt die Skalierung der Cisco ISE-Richtlinien.
| Attribut |
Skalierungsnummer |
| Maximale Anzahl der Authentifizierungsregeln |
1000 (Policy Set Mode) |
| Maximale Anzahl der Autorisierungsregeln |
3.000 (Policy Set Mode) mit 3200 Autz-Profilen |
Technologietrends
Die Segmentierung ist zu einem der zentralen Sicherheitselemente für moderne Unternehmensnetzwerke geworden, ohne dass ein Edge-Netzwerk erforderlich ist. Die Endpunkte können zwischen internen und externen Netzwerken wechseln. Durch Segmentierung können Sicherheitsangriffe auf ein bestimmtes Segment im Netzwerk eingedämmt werden. Die heutige SDA-Lösung (Software-Defined Access) bietet mithilfe von Cisco ISE TrustSec eine Möglichkeit, die Segmentierung auf Grundlage des Geschäftsmodells des Kunden vorzunehmen, um Abhängigkeiten von Netzwerkelementen wie VLANs oder IP-Subnetzen zu vermeiden.
Problem
Die ISE-Richtlinienkonfiguration für große Unternehmensnetzwerke mit mehr als 500 unterschiedlichen Endgeräteprofilen kann die Anzahl der Autorisierungsrichtlinien auf einen nicht zu verwaltenden Punkt erhöhen. Auch wenn die Cisco ISE dedizierte Autorisierungsbedingungen unterstützt, um einer solchen Anzahl von Benutzerprofilen gerecht zu werden, besteht die Herausforderung darin, diese zahlreichen Richtlinien durch Administratoren zu verwalten.
Darüber hinaus können Kunden anstelle dedizierter Richtlinien gemeinsame Autorisierungsrichtlinien benötigen, um Verwaltungsaufwand zu vermeiden, und sie verfügen je nach ihren Kriterien über einen differenzierten Netzwerkzugriff für Endpunkte.
Betrachten Sie beispielsweise ein Unternehmensnetzwerk mit Active Directory (AD) als Quelle der Wahrheit und das einzigartige Differenzierungsmerkmal des Endgeräts ist eines der Attribute in AD. In einem solchen Fall verfügt die traditionelle Methode der Richtlinienkonfiguration über mehr Autorisierungsrichtlinien für jedes eindeutige Endpunktprofil.
Bei dieser Methode wird jedes Endpunktprofil mit einem AD-Attribut unter domain.com unterschieden. Daher muss eine dedizierte Autorisierungsrichtlinie konfiguriert werden.
Diese Tabelle zeigt die traditionellen AuthZ-Richtlinien.
| ABC-Richtlinie |
Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH UND Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/ABC DANN SGT:C2S-ABC UND VLAN:1021 |
| DEF-Richtlinie |
Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH UND Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/DEF DANN SGT:C2S-DEF UND VLAN:1022 |
| GHI-Richtlinie |
Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH UND Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/GHI DANN SGT:C2S-GHI UND VLAN:1023 |
| XYZ-Richtlinie |
Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH UND Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/XYZ DANN SGT:C2S-XYZ UND VLAN:1024 |
Vorgeschlagene Lösung
Um die Verletzung der maximal skalierbaren Anzahl unterstützter Autorisierungsrichtlinien auf der Cisco ISE zu umgehen, wird eine externe DB vorgeschlagen, die jedem Endpunkt die Autorisierungsergebnisse zulässt, die aus seinen Attributen stammen. Wenn AD beispielsweise als externe DB für die Autorisierung verwendet wird, können alle nicht verwendeten Benutzerattribute (z. B. Abteilungscode oder Pin-Code) darauf verwiesen werden, autorisierte Ergebnisse zu liefern, die dem SGT oder VLAN zugeordnet sind.
Dies wird durch die Integration der Cisco ISE mit einer externen DB oder in die interne DB der ISE erreicht, die mit benutzerdefinierten Attributen konfiguriert ist. In diesem Abschnitt wird die Bereitstellung dieser beiden Szenarien erläutert:
Konfiguration mit externer DB
Die Cisco ISE ist in eine externe DB integriert, um die Endgeräteanmeldevalidierung zu ermöglichen:
Diese Tabelle zeigt die validierten externen Identitätsquellen.
| Externe Identitätsquelle |
Betriebssystem/Version |
| Active Directory |
|
| Microsoft Windows Active Directory 2003 |
— |
| Microsoft Windows Active Directory 2003 R2 |
— |
| Microsoft Windows Active Directory 2008 |
— |
| Microsoft Windows Active Directory 2008 R2 |
— |
| Microsoft Windows Active Directory 2012 |
— |
| Microsoft Windows Active Directory 2012 R2 |
— |
| Microsoft Windows Active Directory 2016 |
— |
| LDAP-Server |
|
| SunONE LDAP-Verzeichnisserver |
Version 5.2 |
| OpenLDAP-Verzeichnisserver |
Version 2.4.23 |
| Jeder LDAP v3-kompatible Server |
— |
| Token-Server |
|
| RSA-ACE/Server |
Serie 6.x |
| RSA-Authentifizierungs-Manager |
Serie 7.x und 8.x |
| Jeder RADIUS RFC 2865-konforme Tokenserver |
— |
| SAML (Security Assertion Markup Language) Single Sign-On (SSO) |
|
| Microsoft Azure |
— |
| Oracle Access Manager (OAM) |
Version 11.1.2.2.0 |
| Oracle Identity Federation (OIF) |
Version 11.1.1.2.0 |
| PingFederate-Server |
Version 6.10.0.4 |
| PingOne Cloud |
— |
| Sichere Auth |
8.1.1 |
| Jeder SAMLv2-kompatible Identitätsanbieter |
— |
| Open Database Connectivity (ODBC) Identity Source |
|
| Microsoft SQL Server (MS SQL) |
Microsoft SQL Server 2012 |
| Oracle |
Enterprise Edition 12.1.0.2.0 |
| PostgreSQL |
9 |
| Sybase |
16 |
| MySQL |
6.3 |
| Social Login (für Gastbenutzerkonten) |
|
| |
— |
ODBC-Beispielkonfigurationen
Diese Konfiguration wird unter Microsoft SQL ausgeführt, um die Projektmappe zu erstellen:
Schritt 1: Öffnen Sie SQL Server Management Studio (Startmenü > Microsoft SQL Server), um eine Datenbank zu erstellen:
Schritt 2: Geben Sie einen Namen ein, und erstellen Sie die Datenbank.
Schritt 3: Erstellen Sie eine neue Tabelle mit den erforderlichen Spalten als Parameter, damit Endpunkte autorisiert werden können.
Schritt 4: Erstellen Sie eine Prozedur, um zu überprüfen, ob der Benutzername vorhanden ist.
Schritt 5: Erstellen Sie eine Prozedur zum Abrufen von Attributen (SGT) aus der Tabelle.
In diesem Dokument wird die Cisco ISE in die Microsoft SQL-Lösung integriert, um die Anforderungen an die Autorisierungsgröße in großen Unternehmensnetzwerken zu erfüllen.
Solution Workflow (ISE 2.7 und frühere Version)
Bei dieser Lösung ist die Cisco ISE in ein Active Directory (AD) und Microsoft SQL integriert. AD wird als Authentifizierungs-ID-Speicher und MS SQL zur Autorisierung verwendet. Während des Authentifizierungsprozesses leitet das Network Access Device (NAD) die Benutzeranmeldeinformationen an das PSN weiter - den AAA-Server in der IBN-Lösung. PSN validiert die Endpunktanmeldeinformationen mit dem Active Directory-ID-Speicher und authentifiziert den Benutzer. Die Autorisierungsrichtlinie bezieht sich auf die MS SQL DB, um autorisierte Ergebnisse wie SGT/VLAN abzurufen, für die Benutzer-ID als Referenz verwendet wird.
Vorteile
Diese Lösung bietet die folgenden Vorteile, die sie flexibel macht:
- Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.
- Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.
Nachteile
Diese Lösung hat folgende Nachteile:
- Erfordert zusätzliche Programmierung, um die externe DB mit Endpunktanmeldeinformationen zu füllen.
- Wenn die externe DB wie PSNs nicht lokal vorhanden ist, hängt diese Lösung vom WAN ab, was sie zum 3. Fehlerpunkt im Endpunkt-AAA-Datenfluss macht.
- Erfordert zusätzliches Wissen, um externe DB-Prozesse und -Verfahren aufrechtzuerhalten.
- Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden, müssen berücksichtigt werden.
Externe DB - Beispielkonfigurationen
In diesem Dokument wird Microsoft SQL als externe DB angezeigt, die als Autorisierungspunkt verwendet wird.
Schritt 1: Erstellen Sie ODBC Identity Store in Cisco ISE über das Menü Administration > External Identity Source > ODBC, und testen Sie die Verbindungen.
Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um die erstellten Prozeduren in der Cisco ISE zu konfigurieren.
Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.
Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der Cisco ISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, und wählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte <Name der ODBC-Datenbank>:sgt aus, und speichern Sie sie.
Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in der Cisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie die Bedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvor erstelltes Autorisierungsprofil aus.
Schritt 6: Sobald der Benutzer authentifiziert und autorisiert ist, müssen die Protokolle den dem Benutzer zugewiesenen Platz zur Überprüfung enthalten.
Solution-Workflow (nach ISE 2.7)
Nach ISE 2.7 können Autorisierungsattribute von ODBC wie VLAN, SGT, ACL abgerufen werden. Diese Attribute können in Richtlinien verwendet werden.
In dieser Lösung ist die Cisco ISE in Microsoft SQL integriert. MS SQL wird als ID-Speicher für die Authentifizierung und Autorisierung verwendet. Wenn die Anmeldeinformationen von Endpunkten an PSN übermittelt werden, werden die Anmeldeinformationen für die MS SQL DB validiert. Die Autorisierungsrichtlinie bezieht sich auf die MS SQL DB, um die autorisierten Ergebnisse abzurufen, z. B. SGT/VLAN, für die die Benutzer-ID als Referenz verwendet wird.
Externe DB - Beispielkonfigurationen
Befolgen Sie die Schritte in diesem Dokument, um MS SQL DB zusammen mit Benutzername, Kennwort, VLAN-ID und SGT zu erstellen.
Schritt 1: Erstellen Sie über das Menü Administration > External Identity Source > ODBC einen ODBC Identity Store in der Cisco ISE, und testen Sie die Verbindungen.
Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um die erstellten Prozeduren in der Cisco ISE zu konfigurieren.
Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.
Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der Cisco ISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, und wählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte als <Name der ODBC-Datenbank>:sgt. Wählen Sie unter Allgemeine Aufgaben VLAN mit ID/Name als <Name der ODBC-Datenbank>:vlan aus, und speichern Sie es.
Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in der Cisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie die Bedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvor erstelltes Autorisierungsprofil aus.
Interne DB verwenden
Die Cisco ISE selbst verfügt über eine integrierte DB, mit der Benutzer-IDs für die Autorisierung verwendet werden können.
Lösungs-Workflow
Bei dieser Lösung wird die interne DB der Cisco ISE als Autorisierungspunkt verwendet, während Active Directory (AD) weiterhin die Authentifizierungsquelle ist. Die Benutzer-ID der Endgeräte ist in der Cisco ISE DB enthalten, zusammen mit benutzerdefinierten Attributen, die autorisierte Ergebnisse wie SGT oder VLAN zurückgeben. Wenn die Anmeldeinformationen von Endpunkten an PSN übermittelt werden, prüft es die Gültigkeit der Anmeldeinformationen der Endpunkte mit dem Active Directory-ID-Speicher und authentifiziert den Endpunkt. Die Autorisierungsrichtlinie verweist auf die ISE DB, um die autorisierten Ergebnisse abzurufen, z. B. SGT/VLAN, für die die Benutzer-ID als Referenz verwendet wird.
Vorteile
Diese Lösung bietet die folgenden Vorteile, die sie zu einer flexiblen Lösung machen:
- Die Cisco ISE DB ist eine integrierte Lösung und verfügt daher im Gegensatz zur externen DB-Lösung über keinen Fehlerpunkt 3.
- Da der Cisco ISE-Cluster die Echtzeit-Synchronisierung aller Personen sicherstellt, besteht keine WAN-Abhängigkeit, da das PSN über alle Benutzer-IDs und benutzerdefinierten Attribute verfügt, die vom PAN in Echtzeit übertragen werden.
- Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.
- Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.
Nachteile
Diese Lösung hat folgende Nachteile:
- Die maximale Anzahl der Benutzer-IDs, die von der Cisco ISE DB zurückgehalten werden können, beträgt 300.000.
- Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden, müssen berücksichtigt werden.
Interne DB-Beispielkonfigurationen
VLAN und SGT können für jeden Benutzer im internen ID-Speicher mit einem benutzerdefinierten Benutzerattribut konfiguriert werden.
Schritt 1: Erstellen Sie benutzerdefinierte Attribute für neue Benutzer, um den VLAN- und SGT-Wert der jeweiligen Benutzer darzustellen. Navigieren Sie zu Administration > Identity Management > Settings > User Custom Attributes. Erstellen Sie benutzerdefinierte neue Benutzerattribute, wie in dieser Tabelle gezeigt.
Hier wird die ISE DB-Tabelle mit benutzerdefinierten Attributen angezeigt.
| Attributname |
Datentyp |
Parameter(Länge) |
Standardwert |
| VLAN |
String |
100 |
C2S (Standard-VLAN-Name) |
| SGT |
String |
100 |
cts:security-group-tag=0003-0 (Standard-SGT-Wert) |
- In diesem Szenario stellt der VLAN-Wert den VLAN-Namen und den sgt-Wert das cisco-av-pair-Attribut des SGT in Hex dar.
Schritt 2: Erstellen Sie ein Autorisierungsprofil mit benutzerdefinierten Attributen, um die VLAN- und SGT-Werte der jeweiligen Benutzer implizieren zu können. Navigieren Sie zu Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > Hinzufügen. Fügen Sie die unten genannten Attribute unter Erweiterte Attributeinstellungen hinzu.
Diese Tabelle zeigt das AuthZ-Profil für internen Benutzer.
| Attribut |
Wert |
| Cisco:cisco-av-pair |
Interner Benutzer:sgt |
| Radius:Tunnel-Private-Group-ID |
Interner Benutzer:VLAN |
| Radius:Tunnel-Medium-Type |
802 |
| Radius:Tunnel-Typ |
VLAN |
Wie im Bild gezeigt, wird für die internen Benutzer das Profil Internal_user mit dem SGT und dem VLAN konfiguriert, die als InternalUser:sgt und InternalUser:vlan konfiguriert sind.
Schritt 3: Autorisierungsrichtlinie erstellen, wählen Sie Richtlinien > Richtliniensätze > Richtlinie-1 > Autorisierung aus. Erstellen Sie Autorisierungsrichtlinien mit den unten genannten Bedingungen, und ordnen Sie sie den jeweiligen Autorisierungsprofilen zu.
Diese Tabelle zeigt die AuthZ-Richtlinie für interne Benutzer.
| Regelname |
Bedingung |
Autorisierungsprofil für Ergebnisse |
| Internal_User_Authoriz |
If Network Access.EapChainingResults ÄQUALIFIZIERT Benutzer und Computer beide erfolgreich |
Interner Benutzer |
| Machine_Only_Author |
Wenn MyAD.ExternalGroups gdc.security.com/Users/Domain Computer entspricht |
Zugriff zulassen |
Schritt 4: Erstellen Sie Bulk-Benutzeridentitäten mit benutzerdefinierten Attributen mit Benutzerdetails und den entsprechenden benutzerdefinierten Attributen in der CSV-Vorlage. Importieren Sie den CSV, indem Sie zu Administration > Identity Management > Identities > Users > Import > Choose the file > Import navigieren.
Dieses Bild zeigt einen Beispielbenutzer mit benutzerdefinierten Attributdetails. Wählen Sie den Benutzer aus, und klicken Sie auf Bearbeiten, um die benutzerdefinierten Attributdetails anzuzeigen, die dem jeweiligen Benutzer zugeordnet sind.
Schritt 5: Überprüfen Sie die Live-Protokolle:
Überprüfen Sie im Abschnitt Ergebnis, ob das VLAN- und SGT-Attribut als Teil von Access-Accept gesendet wird.
Fazit
Diese Lösung ermöglicht es einigen Großkunden, ihre Anforderungen zu erfüllen. Beim Hinzufügen/Löschen von User-IDs ist Vorsicht geboten. Wenn Fehler ausgelöst werden, kann dies zu nicht autorisiertem Zugriff für echte Benutzer oder umgekehrt führen.
Zugehörige Informationen
Konfigurieren Sie die Cisco ISE mit MS SQL über ODBC:
Glossar
| AAA |
Authentifizierung, Autorisierung und Abrechnung |
| AD |
Active Directory |
| AuthC |
Authentifizierung |
| AuthZ |
Autorisierung |
| DB |
Datenbasis |
| DOT1X |
802.1x |
| IBN |
Identitätsbasiertes Netzwerk |
| ID |
Identitätsdatenbank |
| ISE |
Identity Services Engine |
| MnT |
Überwachung und Fehlerbehebung |
| MSSQL |
Microsoft SQL |
| ODBC |
Offene DataBase-Konnektivität |
| PAN |
Policy-Administrationsknoten |
| PSN |
Knoten "Policy Services" |
| SGT |
Sicherer Gruppen-Tag |
| SQL |
Strukturierte Abfragesprache |
| VLAN |
Virtuelles LAN |
| WAN |
Wide Area Network |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)