기본적으로 Cisco ISE는 내부 관리자 인증을 제공합니다. 외부 인증을 설정하려면 외부 ID 저장소에 정의하는 외부 관리자 계정에 대한 비밀번호 정책을 생성해야 합니다. 그런 다음 이 정책을 외부 관리자 그룹에 적용할 수 있습니다. 그 결과 해당 정책은 외부 관리자 RBAC 정책에 포함됩니다.

외부 인증을 구성하려면 다음을 수행해야 합니다.

• 외부 ID 저장소를 사용하여 비밀번호 기반 인증을 구성합니다.

• 외부 관리자 그룹을 생성합니다.

• 메뉴 액세스 및 외부 관리자 그룹에 대한 데이터 액세스 권한을 구성합니다.

• 외부 관리자 인증을 위한 RBAC 정책을 생성합니다.

외부 ID 저장소를 통해 인증을 제공하는 것 외에 네트워크에서 CAC(Common Access Card) 인증 디바이스를 사용해야 할 수도 있습니다.

사용자 ID는 사용자에 대한 정보를 보유하는 컨테이너와 유사하며 네트워크 액세스 자격 증명을 형성합니다. 각 사용자의 ID는 데이터로 정의되며 사용자 이름, 이메일 주소, 비밀번호, 계정 설명, 연결된 관리 그룹, 사용자 그룹 및 역할을 포함합니다.

사용자 그룹은 특정 Cisco ISE 서비스 및 기능 집합에 액세스할 수 있게 해주는 공통 권한 집합을 공유하는 개인 사용자 컬렉션입니다.

사용자의 그룹 ID는 동일 그룹에 속하는 특정 사용자 그룹을 식별하고 설명하는 요소로 이루어집니다. 그룹 이름은 이 그룹의 멤버가 지닌 기능적 역할에 대한 설명입니다. 그룹은 이 그룹에 속하는 사용자 목록입니다.

사용자 역할은 사용자가 수행할 수 있는 작업 및 Cisco ISE 네트워크에서 액세스할 수 있는 서비스를 결정하는 권한 집합입니다. 사용자 역할은 사용자 그룹과 연결됩니다(예: 네트워크 액세스 사용자).

Cisco ISE를 통해 네트워크 액세스 사용자와 관리자 모두의 사용자 속성에 따라 네트워크 액세스를 제한할 수 있습니다. Cisco ISE에서는 미리 정의된 사용자 속성 집합이 제공되며 이를 통해 사용자 맞춤화 속성을 생성할 수도 있습니다. 두 속성 유형을 모두 인증 정책을 정의하는 조건에 사용할 수 있습니다. 또한 비밀번호가 지정된 기준을 충족하도록 사용자 계정에 대한 비밀번호 정책을 정의할 수 있습니다.

일부 외부 ID 저장소에서는 네트워크 액세스 사용자가 비밀번호를 변경할 수 없습니다. 자세한 내용은 각 ID 소스에 대한 섹션을 참조하십시오.

네트워크 사용 비밀번호 규칙은 Administration(관리) > Identity Management(ID 관리) > Settings(설정) > User Authentication Settings(사용자 인증 설정)에 구성됩니다.

다음 섹션에는 Password Policy(비밀번호 정책) 탭의 일부 필드에 대한 추가 정보가 있습니다.

• Required characters(필수 문자): 대문자나 소문자가 필요한 사용자 비밀번호 정책을 구성했는데 사용자의 언어가 이러한 문자를 지원하지 않는 경우 사용자는 비밀번호를 설정할 수 없습니다. UTF-8 문자를 지원하려면 다음 확인란의 선택을 취소하십시오.

  • 소문자 알파벳 문자

  • 대문자 알파벳 문자

• Password Change Delta(비밀번호 변경 델타): 현재 비밀번호를 새 비밀번호로 변경할 때 수정해야 하는 최소 문자 수를 지정합니다. Cisco ISE에서는 문자 위치 변경을 수정으로 간주하지 않습니다.

  예를 들어 비밀번호 델타가 3이고 현재 비밀번호가 "?Aa1234?"인 경우 "?Aa1567?" (3개의 새 문자는 "5","6" 및 "7")이 유효한 새 비밀번호입니다. "?Aa1562?"는 현재 비밀번호에 사용된 "?","2" 및 "?"가 있으므로 설정할 수 없습니다. "Aa1234??" 역시 사용할 수 없는데, 문자 위치가 변경되었더라도 동일한 문자가 현재 비밀번호에 있기 때문입니다.

  비밀번호 변경 델타도 이전 X 비밀번호를 고려합니다. 여기서 X는 비밀번호는 이전 버전과 달라야 함의 값입니다. 비밀번호 델타가 3이고 비밀번호 기록이 2라면 과거 2개의 비밀번호에 포함되지 않은 문자 4개를 변경해야 합니다.

• Dictionary words(사전 단어): 사전 단어의 사용, 역순으로 된 문자 또는 다른 문자로 대체되는 문자를 제한하려면 이 확인란을 선택합니다.

  "s"를 "$", "a"를 "@", "o"를 "0", "l"을 "1", "i"를 "!", "e"를 "3"으로 대체할 수 없습니다. 예를 들면 "Pa$$w0rd"입니다.

  • Default Dictionary(기본 사전): Cisco ISE에서 기본 Linux 사전을 사용하려면 이 옵션을 선택합니다. 기본 사전에는 약 480,000개의 영어 단어가 포함되어 있습니다.

  • Custom Dictionary(맞춤형 사전): 맞춤 설정한 사전을 사용하려면 이 옵션을 선택합니다. Choose File(파일 선택)을 클릭하여 맞춤형 사전 파일을 선택합니다. 텍스트 파일은 새 줄 구분된 단어, .dic 확장자여야 하며 크기가 20MB 미만이어야 합니다.

• Password Lifetime(비밀번호 수명) 섹션을 사용하여 비밀번호 재설정 간격 및 알림을 업데이트할 수 있습니다. 비밀번호 수명을 설정하려면 Disable user account after __ days if password was not changed(비밀번호를 변경하지 않으면 __일 후 사용자 계정 비활성화) 확인란을 선택하고 입력 필드에 일 수를 입력합니다. 비밀번호 재설정을 위해 미리 알림 이메일을 전송하려면 Display Reminder __ Days Before Password Expiration(비밀번호 만료 전 __ 일 이전 비밀번호 표시) 확인란을 선택하고 네트워크 액세스 사용자에 대해 구성된 이메일 주소로 미리 알림 이메일을 전송해야 하는 기간(일)을 입력합니다. 네트워크 액세스 사용자를 생성하는 동안 Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) > Add Network Access User(네트워크 액세스 사용자 추가) 창에서 이메일 주소를 추가하여 비밀번호 재설정을 위한 이메일 알림을 보낼 수 있습니다.

  참고	다음 이메일 주소에서 미리 알림 이메일이 전송됩니다. iseadminportal@<ISE-Primary-FQDN>. 이 발신자에 대한 액세스를 명시적으로 허용해야 합니다. 이메일 내용은 사용자 지정할 수 없습니다. 알림 이메일의 내용은 다음과 같습니다. 네트워크 액세스 비밀번호는 <비밀번호 만료 날짜 및 시간>에 만료됩니다. 도움이 필요한 경우 시스템 관리자에게 문의하십시오.

• Lock/Suspend Account with Incorrect Login Attempts(잘못된 로그인 시도 시 계정 잠금/일시 중지): 로그인 시도가 지정된 횟수만큼 실패한 경우 이 옵션을 사용하여 계정을 일시 중지하거나 잠글 수 있습니다. 유효 범위는 3~20입니다.

• Account Disable Policy(계정 비활성화 정책) 탭에서는 기존 사용자 계정을 비활성화할 시기에 대한 규칙을 구성합니다. 자세한 내용은 전역적으로 사용자 계정 비활성화를 참조하십시오.

Cisco ISE는 사용자 또는 관리자를 인증하거나 쿼리하는 동안 Administration(관리) > Identity Management(ID 관리) > Settings(설정) > User Authentication Settings(사용자 인증 설정) 창에서 전역 계정 비활성화 정책 설정을 확인한 다음 컨피그레이션에 따라 결과를 인증하거나 반환합니다.

Cisco ISE는 다음의 3가지 정책을 확인합니다.

• 지정된 날짜(yyyy-mm-dd)를 초과하는 사용자 계정 비활성화: 지정된 날짜에 사용자 계정을 비활성화합니다. 그러나 Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) > Account Disable Policy(계정 비활성화 정책)에 구성되어 있는 개별 네트워크 액세스 사용자에 대한 계정 비활성화 정책 설정이 전역 설정보다 우선적으로 적용됩니다.

• Disable user account after n days of account created or last enable(계정 생성 후 또는 마지막 활성화 후 n일 시점에 사용자 비활성화): 계정 생성 이후 또는 계정이 활성 상태였던 마지막 날짜 이후 특정 기간(일)이 지나면 사용자 계정을 비활성화합니다. Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) > Status(상태)에서 사용자 상태를 확인할 수 있습니다.

• Disable accounts after n days of inactivity(n일 동안 비활성 상태 후 계정 비활성화): 구성된 연속 기간(일) 동안 인증되지 않은 관리자 및 사용자 계정을 비활성화합니다.

Cisco Secure ACS에서 Cisco ISE로 마이그레이션할 때, Cisco Secure ACS에서 네트워크 액세스 사용자에 대해 지정된 계정 비활성화 정책 설정은 Cisco ISE로 마이그레이션됩니다.

Cisco ISE에서는 외부 ID 저장소 비밀번호에 대해 내부 사용자를 인증할 수 있습니다. Cisco ISE는 Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) 창에서 내부 사용자에 대해 비밀번호 ID 저장소를 선택하는 옵션을 제공합니다. 관리자는 Users(사용자) 창에서 사용자를 추가하거나 편집하는 동안 Cisco ISE 외부 ID 소스 목록에서 ID 저장소를 선택할 수 있습니다. 내부 사용자의 기본 비밀번호 ID 저장소는 내부 ID 저장소입니다. Cisco Secure ACS 사용자의 경우 Cisco Secure ACS에서 Cisco ISE로 마이그레이션하는 중과 마이그레이션한 후에 비밀번호 ID 저장소가 동일하게 유지됩니다.

Cisco ISE는 비밀번호 유형에 대해 다음과 같은 외부 ID 저장소를 지원합니다.

• Active Directory

• LDAP

• ODBC

• RADIUS 토큰 서버

• RSA SecurID 서버

참고	현재 설계에 따라 외부 ID 저장소에 대해 인증이 수행되면 권한 부여 정책에서 내부 사용자 ID 그룹 이름을 구성할 수 없습니다. 권한 부여에 내부 사용자 ID 그룹을 사용하려면 내부 사용자 ID 저장소에 대해 인증하도록 인증 정책을 구성해야 하며 사용자 컨피그레이션에서 내부 또는 외부의 비밀번호 유형을 선택해야 합니다.

Active Directory에서는 일부 프로토콜과 함께 Active Directory 사용자 비밀번호를 변경하여 사용자 및 머신 인증과 같은 기능을 지원합니다. 다음 표에는 Active Directory에서 지원되는 인증 프로토콜과 각 기능이 나와 있습니다.

Cisco ISE는 Active Directory에서 권한 부여 정책 규칙에 사용할 사용자 또는 머신 속성 및 그룹을 검색합니다. 이러한 속성은 Cisco ISE 정책에 사용될 수 있으며 사용자 또는 머신의 권한 부여 수준을 결정합니다. 성공적인 인증이 이루어지고 나면 Cisco ISE는 사용자 및 머신 Active Directory 속성을 검색하고 인증과 관계없는 권한 부여를 위한 속성도 검색할 수 있습니다.

Cisco ISE는 외부 ID 저장소의 그룹을 사용하여 사용자 또는 컴퓨터에 권한을 할당(예: 사용자를 스폰서 그룹에 매핑하기 위해)할 수 있습니다. Active Directory에서 그룹 멤버십에 대한 다음 제한 사항에 유의해야 합니다.

• 정책 규칙 조건은 사용자 또는 컴퓨터의 기본 그룹, 사용자 또는 컴퓨터가 직접 멤버인 그룹 또는 간접(중첩된) 그룹 중 하나를 참조할 수 있습니다.

• 사용자 또는 컴퓨터의 계정 도메인 외부에 있는 도메인 로컬 그룹은 지원되지 않습니다.

참고	Active Directory 속성, msRadiusFramedIPAddress의 값을 IP 주소로 사용할 수 있습니다. 인증 프로파일에 이 IP 주소를 포함하여 NAS(Network Access Server)로 전송할 수 있습니다. msRADIUSFramedIPAddress 속성은 IPv4 주소만 지원합니다. 사용자 인증 시 사용자에 대해 가져오는 msRadiusFramedIPAddress 속성 값은 IP 주소 형식으로 변환됩니다.

속성 및 그룹은 가입 지점별로 검색되고 관리됩니다. 이는 권한 부여 정책에 사용(먼저 가입 지점을 선택한 다음 속성 선택)됩니다. 권한 부여의 경우 범위에 따라 속성 또는 그룹을 정의할 수 없지만 인증 정책에 범위를 사용할 수는 있습니다. 인증 정책에 범위를 사용하는 경우 사용자는 한 가입 지점을 통해 인증되지만 속성 및/또는 그룹은 사용자의 계정 도메인에 대한 신뢰 경로를 가진 다른 가입 지점을 통해 인증될 수 있습니다. 인증 도메인을 사용하여 인증 도메인에서 범위가 하나인 두 가입 지점이 겹치는 문제가 발생하지 않도록 할 수 있습니다.

참고	다중 가입 포인트 컨피그레이션의 권한 부여 프로세스 중에 Cisco ISE는 특정 사용자가 발견될 때까지만 권한 부여 정책에 나열된 순서대로 가입 포인트를 검색합니다. 사용자가 발견되면 가입 포인트에서 사용자에게 할당된 속성 및 그룹을 사용해 권한 부여 정책을 평가합니다.

참고	사용 가능한 Active Directory 그룹의 최대 수에 대한 Microsoft의 제한을 참고해 주십시오. http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx

규칙에 특수 문자(예: /, !, @, \, #, $, %, ^, &, *, (, ), _, + 또는 ~)를 가진 Active Directory 그룹 이름이 포함되면 권한 부여 정책이 실패하게 됩니다.

관리자 사용자 이름에 $ 문자가 포함되어 있으면 Active Directory를 통한 관리자 로그인이 실패할 수 있습니다.

Cisco ISE는 EAP-TLS 프로토콜을 사용하는 사용자 및 머신 인증을 위해 인증서 검색을 지원합니다. Active Directory의 사용자 또는 머신 기록는 이진 데이터 유형의 인증서 속성을 포함합니다. 이 인증서 속성에는 하나 이상의 인증서가 포함될 수 있습니다. Cisco ISE는 이 속성을 userCertificate로 식별하며 이 속성에 대해 다른 이름을 구성하는 것을 허용하지 않습니다. Cisco ISE는 이 인증서를 검색하여 이진 비교를 수행하는 데 사용합니다.

인증서 인증 프로파일에 따라 Active Directory에서 인증서를 검색하는 데 사용할 사용자를 조회하기 위해 사용자 이름(예: SAN(Subject Alternative Name) 또는 일반 이름)을 가져오는 필드가 결정됩니다. Cisco ISE가 인증서를 검색한 후에는 이 인증서와 클라이언트 인증서의 이진 비교를 수행합니다. 여러 인증서가 검색되면 Cisco ISE는 인증서를 비교하여 일치하는 항목을 확인합니다. 일치하는 인증서가 발견되면 사용자 또는 머신 인증이 통과됩니다.

사용자를 인증하거나 쿼리하는 경우 Cisco ISE는 다음을 확인합니다.

• MS-CHAP 및 PAP 인증에서는 사용자가 비활성화, 잠금 또는 만료되었거나 로그온 시간을 벗어났는지 확인하고 이러한 조건 중 어느 것이든 충족하는 경우 인증이 실패합니다.

• EAP-TLS 인증에서는 사용자가 비활성화 또는 잠금되었는지 확인하고 조건 중 어느 것이든 충족하는 경우 인증이 실패합니다.

경고	Cisco ISE의 ROPC(Resource Owner Password Credentials) 플로우는 제어되는 도입 기능입니다. 이 기능은 프로덕션 환경에서 사용하기 전에 테스트 환경에서 철저하게 테스트하는 것이 좋습니다.

ROPC(Resource Owner Password Credentials)는 클라우드 기반 ID 제공자가 있는 네트워크에서 Cisco ISE가 권한 부여 및 인증을 수행할 수 있도록 하는 OAuth 2.0 권한 부여 유형입니다.

Cisco ISE는 ROPC 플로우를 사용하여 클라우드 기반 ID 소스로 사용자의 자격 증명을 검증합니다. ROPC 플로우는 일반 텍스트 인증 프로토콜을 지원합니다.

Cisco ISE는 현재 ROPC 플로우를 통해 Azure Active Directory를 지원합니다.

Cisco ISE는 다중 도메인 포리스트를 사용하는 Active Directory를 지원합니다. 각 포리스트 내의 Cisco ISE는 단일 도메인에 연결되지만 Cisco ISE가 연결된 도메인과 다른 도메인 간에 신뢰 관계가 설정된 경우에는 Active Directory 포리스트의 다른 도메인에 있는 리소스에 액세스할 수 있습니다.

Active Directory 디렉토리 서비스를 지원하는 Windows Server 운영체제 목록은 Cisco Identity Services Engine 릴리스 정보를 참고해 주십시오.

참고	Cisco ISE는 네트워크 주소 변환기 뒤에 배치되고 NAT(Network Address Translation) 주소를 사용하는 Microsoft Active Directory 서버를 지원하지 않습니다.

Cisco ISE는 여러 Active Directory 도메인에 대한 다중 가입을 지원합니다. Cisco ISE는 최대 50개의 Active Directory 가입을 지원합니다. Cisco ISE는 양방향 신뢰를 가지지 않거나 서로 간에 신뢰가 없는 여러 Active Directory 도메인에 연결될 수 있습니다. Active Directory 다중 도메인 가입은 각 가입마다 일련의 개별 Active Directory 도메인과 함께 고유한 그룹, 속성 및 권한 부여 정책으로 구성됩니다.

동일한 포리스트에 여러 번 가입할 수 있습니다. 즉, 필요한 경우 동일 포리스트의 여러 도메인에 가입할 수 있습니다.

Cisco ISE는 이제 단방향 신뢰를 통한 도메인 가입을 지원합니다. 이 옵션을 사용하면 단방향 신뢰로 인해 발생하는 권한 문제를 피할 수 있습니다. 신뢰할 수 있는 도메인에 가입하여 양쪽 도메인을 모두 볼 수 있습니다.

• 가입 포인트: Cisco ISE에서 Active Directory 도메인에 대한 각각의 개별적 가입을 가입 포인트라고 합니다. Active Directory 가입 포인트는 Cisco ISE ID 저장소이며 인증 정책에 사용될 수 있습니다. 속성 및 그룹에 대한 사전이 연결되어 있으며, 이는 권한 부여 조건에 사용될 수 있습니다.

• 범위: 함께 그룹화된 Active Directory 가입 포인트의 하위 집합을 범위라고 합니다. 인증 정책에서 인증 결과로 단일 가입 포인트 대신 범위를 사용할 수 있습니다. 범위는 여러 가입 포인트에 대해 사용자를 인증하는 데 사용됩니다. 가입 포인트마다 여러 규칙을 사용하는 대신, 범위를 사용하면 단일 규칙으로 동일한 정책을 생성할 수 있으므로 요청을 처리하는 시간을 절약하고 성능을 높일 수 있습니다. 가입 포인트는 여러 범위로 존재할 수 있습니다. 범위는 ID 소스 시퀀스에 포함될 수 있습니다. 범위에는 사전이 연결되어 있지 않으므로 권한 부여 정책 조건에서 범위를 사용할 수 없습니다.

  Cisco ISE를 새로 설치하는 경우 기본적으로 범위가 존재하지 않습니다. 이를 범위 없음 모드라고 합니다. 범위를 추가하면 Cisco ISE가 다중 범위 모드로 진입합니다. 필요한 경우 범위 없음 모드로 복귀할 수 있습니다. 모든 가입 포인트는 Active Directory 폴더로 이동합니다.

  • Initial_Scope는 범위 없음 모드에서 추가된 Active Directory 가입 포인트를 저장하는 데 사용되는 암시적 범위입니다. 다중 범위 모드가 활성화되면 모든 Active Directory 가입 포인트가 자동으로 생성된 Initial_Scope로 이동합니다. Initial_Scope의 이름을 변경할 수 있습니다.

  • All_AD_Instances는 Active Directory 컨피그레이션에 표시되지 않는 내장형 의사 범위입니다. 이는 정책 및 ID 시퀀스에서 인증 결과로 표시되는 유일한 항목입니다. Cisco ISE에 구성된 모든 Active Directory 가입 포인트를 선택하려는 경우 이 범위를 선택할 수 있습니다.

ID 다시 쓰기는 ID가 외부 Active Directory 시스템으로 전달되기 전에 해당 ID를 조작하도록 Cisco ISE에 지시하는 고급 기능입니다. ID를 원하는 형식으로 변경하는 규칙을 생성하여 도메인 접두사 및/또는 접미사 또는 선택한 다른 추가 마크업을 포함하거나 제외시킬 수 있습니다.

ID 다시 쓰기 규칙은 클라이언트로부터 받은 사용자 이름 또는 호스트 이름에 적용됩니다. 그런 다음 그러한 이름은 주체 검색, 인증 및 권한 부여 쿼리와 같은 작업에 사용되도록 Active Directory로 전달됩니다. Cisco ISE는 조건 토큰과 일치시키고 첫 번째 일치 항목이 발견되면 Cisco ISE는 정책 처리를 중단하고 결과에 따라 ID 문자열을 다시 씁니다.

다시 쓰는 동안 대괄호 [ ]로 묶인 모든 항목(예: [IDENTITY])은 평가 측에서 평가되지 않지만 그 대신 문자열의 해당 위치와 일치하는 문자열이 추가되는 변수입니다. 대괄호가 없는 항목은 평가 측과 규칙을 다시 쓰기 측 모두에서 고정 문자열로 평가됩니다.

다음은 몇 가지 ID 다시 쓰기 사례로, 사용자가 ACME\jdoe를 ID로 입력한다고 가정합니다.

• ID가 ACME\[IDENTITY]와 일치하는 경우 [IDENTITY]로 다시 씁니다.

  결과는 jdoe가 됩니다. 이 규칙은 모든 사용자 이름에서 ACME 접두사를 제거하도록 Cisco ISE에 지시합니다.

• ID가 ACME\[IDENTITY]와 일치하는 경우 [IDENTITY]@ACME.com으로 다시 씁니다.

  결과는 jdoe@ACME.com이 됩니다. 이 규칙은 접미사 표기법의 접두사 형식 또는 NetBIOS 형식을 UPN 형식으로 변경하도록 Cisco ISE에 지시합니다.

• ID가 ACME\[IDENTITY]와 일치하는 경우 ACME2\[IDENTITY]로 다시 씁니다.

  결과는 ACME2\jdoe가 됩니다. 이 규칙은 특정 접두사를 가진 모든 사용자 이름을 대체 접두사로 변경하도록 Cisco ISE에 지시합니다.

• ID가 [ACME]\jdoe.USA와 일치하는 경우 [IDENTITY]@[ACME].com으로 다시 씁니다.

  결과는 jdoe\ACME.com이 됩니다. 이 규칙은 점 뒤의 영역(이 경우, 국가)을 제거하고 올바른 도메인으로 대체하도록 ISE에 지시합니다.

• ID가 E=[IDENTITY]와 일치하는 경우 [IDENTITY]로 다시 씁니다.

  결과는 jdoe가 됩니다. 이 예제 규칙은 ID를 인증서에서 가져오고, 필드가 이메일 주소이며, 주체별로 검색하도록 Active Directory가 구성된 경우에 생성될 수 있습니다. 이 규칙은 Cisco ISE에 ‘E=’를 제거하도록 지시합니다.

• ID가 E=[EMAIL],[DN]과 일치하는 경우 [DN]으로 다시 씁니다.

  이 규칙은 인증서 주체를 E=jdoe@acme.com, CN=jdoe, DC=acme, DC=com에서 pure DN, CN=jdoe, DC=acme, DC=com으로 변환합니다. 이 예제 규칙은 ID를 인증서 주체에서 가져오고 DN을 기준으로 사용자를 검색하도록 Active Directory가 구성된 경우에 생성될 수 있습니다. 이 규칙은 이메일 접두사를 제거하고 DN을 생성하도록 Cisco ISE에 지시합니다.

다음은 ID 다시 쓰기 규칙을 작성하는 동안 흔히 하는 몇 가지 실수입니다.

• ID가 [DOMAIN]\[IDENTITY]와 일치하는 경우 [IDENTITY]@DOMAIN.com으로 다시 씁니다.

  결과는 jdoe@DOMAIN.com이 됩니다. 이 규칙은 규칙 다시 쓰기 측에서 [DOMAIN]이 대괄호 [ ]로 묶이지 않았습니다.

• ID가 DOMAIN\[IDENTITY]와 일치하는 경우 [IDENTITY]@[DOMAIN].com으로 다시 씁니다.

  여기서는 결과가 다시 jdoe@DOMAIN.com이 됩니다. 이 규칙은 규칙 평가 측 [DOMAIN]이 대괄호 [ ]로 묶이지 않았습니다.

ID 다시 쓰기 규칙은 Active Directory 가입 지점 관점에서 항상 적용됩니다. 인증 정책의 결과로 특정 범위를 선택한 경우에도 각 Active Directory 가입 지점에 다시 쓰기 규칙이 적용됩니다. EAP-TLS가 사용 중인 경우 인증서에서 가져온 ID에도 이러한 다시 쓰기 규칙이 적용됩니다.

일부 ID 유형에는 접두사 또는 접미사와 같은 도메인 마크업이 포함되어 있습니다. 예를 들어 NetBIOS ID(예: ACME\jdoe) "ACME"는 UPN ID(예: jdoe@acme.com)에서와 마찬가지로 도메인 마크업 접두사이며, "acme.com"은 도메인 마크업 접미사입니다. 도메인 접두사는 조직 내 Active Directory 도메인의 NetBIOS(NTLM) 이름과 일치해야 하고 도메인 접미사는 Active Directory 도메인의 DNS 이름 또는 조직 내 대체 UPN 접미사와 일치해야 합니다. 예를 들어 gmail.com은 Active Directory 도메인의 DNS 이름이 아니므로 jdoe@gmail.com은 도메인 마크업 없이 처리됩니다.

ID 확인 설정을 사용하면 Active Directory 구축에 맞게 보안과 성능 사이에서 균형을 유지하도록 중요한 설정을 구성할 수 있습니다. 이러한 설정을 사용하여 도메인 마크업 없이 사용자 이름 및 호스트 이름에 대한 인증을 조정할 수 있습니다. Cisco ISE가 사용자 도메인을 인식하지 못하는 경우 모든 인증 도메인에서 사용자를 검색하도록 구성할 수 있습니다. 사용자가 한 도메인에서 발견되는 경우에도 Cisco ISE는 ID 모호성이 발생하지 않도록 모든 응답을 기다립니다. 이 프로세스는 도메인 수, 네트워크 레이턴시, 로드 등에 따라 오랜 시간이 소요될 수 있습니다.

Cisco ISE는 SAM, CN 또는 두 속성 모두를 사용하여 사용자를 식별합니다. Cisco ISE, 릴리스 2.2 패치 5 이상 및 2.3 패치 2 이상에서는 sAMAccountName 속성을 기본 속성으로 사용합니다. 이전 릴리스에서는 기본적으로 SAM 및 CN 속성이 모두 검색되었습니다. 이 동작은 CSCvf21978 버그 수정의 일부로 릴리스 2.2 패치 5 이상 및 2.3 패치 2 이상에서 변경되었습니다. 이 릴리스에서는 sAMAccountName 속성만 기본 속성으로 사용됩니다.

사용자 환경에서 필요한 경우 SAM, CN 또는 둘 다를 사용하도록 Cisco ISE를 구성할 수 있습니다. SAM 및 CN이 사용되고 SAMAccountName 속성의 값이 고유하지 않은 경우 Cisco ISE는 CN 속성 값도 비교합니다.

참고	ID 검색 동작은 Cisco ISE 2.4에서 기본적으로 SAM 계정 이름만 검색하도록 변경되었습니다. 이 기본 동작을 수정하려면 "Active Directory ID 검색 속성 구성" 섹션에 설명된 대로 "IdentityLookupField" 플래그의 값을 변경합니다.

Windows 2012 R2의 경우 Microsoft AD 사용자에게 다음 레지스트리 키에 대한 모든 제어 권한을 부여합니다.

• HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

• HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

Windows PowerShell에서 다음 명령을 사용하여 레지스트리 키에 대한 전체 권한이 부여되었는지 확인합니다.

• get-acl -path "Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

• get-acl -path "hklm:\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

Microsoft AD 사용자가 도메인 관리자 그룹에는 없지만 도메인 사용자 그룹에는 있으면 다음 권한이 필요합니다.

• Cisco ISE가 도메인 컨트롤러에 연결할 수 있도록 레지스트리 키 추가

• 도메인 컨트롤러에서 DCOM을 사용하기 위한 권한

• WMI 루트/CIMv2 이름 공간에 대한 액세스 권한 설정

이러한 권한은 다음 Microsoft AD 버전에만 필요합니다.

• Windows 2003

• Windows 2003R2

• Windows 2008

• Windows 2008 R2

• Windows 2012

• Windows 2012 R2

• Windows 2016

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"AppID"="{76A64158-CB41-11D1-8B02-00600806D9B6}"

[HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

[HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

Cisco PassiveID 작업 센터를 빠르게 사용하려면 다음 흐름을 따르십시오.

1. DNS 서버를 올바르게 구성했는지 확인합니다(Cisco ISE에서의 클라이언트 머신에 대한 역방향 조회 구성 포함). 자세한 내용은 DNS 서버를 참고하십시오.

2. 패시브 ID 서비스에 사용할 전용 정책 서버(PSN)에서 패시브 ID 및 pxGrid 서비스를 활성화합니다. Administration(관리) > System(시스템) > Deployment(구축)를 선택한 후 노드를 열고 General Settings(일반 설정) 아래에서 Enable Passive Identity Service(패시브 ID 서비스 활성화) 및 pxGrid를 활성화합니다.

3. NTP 서버의 시계 설정을 동기화합니다.

4. ISE Passive Identity(ISE 패시브 ID) 설정을 사용하여 초기 서비스 제공자를 구성합니다. 자세한 내용은 다음을 참조하십시오. PassiveID(패시브 ID) 설정 시작하기

5. 단일 또는 다중 가입자를 구성합니다. 자세한 내용은 다음을 참조하십시오. 가입자

최초 서비스 제공자와 가입자를 설정하면 추가 서비스 제공자를 쉽게 생성하고(추가 패시브 ID 서비스 제공자 참조) PassiveID 작업 센터:에서 다른 서비스 제공자의 패시브 ID를 관리할 수 있습니다(PassiveID Work Center(패시브 ID 작업 센터)에서의 모니터링 및 문제 해결 PassiveID 작업 센터 참조).

• RADIUS 라이브 세션

• Cisco ISE 경보

• Cisco ISE 보고서

• 들어오는 트래픽을 검증하는 TCP 덤프 유틸리티

Cisco PassiveID 작업 센터 대시보드에는 상관관계가 분석되고 통합된 요약 및 통계 데이터가 표시되는데, 이는 효과적인 모니터링 및 문제 해결을 위해서는 필수적이며 실시간으로 업데이트됩니니다. dashlet에서는 별도의 설명이 없는 한 지난 24시간 동안의 활동을 표시합니다. 대시보드에 액세스하려면 Work Centers(작업 센터) > PassiveID(패시브 ID)를 선택한 다음 왼쪽 패널에서 Dashboard(대시보드)를 선택합니다. PAN(Primary Administration Node)에서만 Cisco PassiveID 작업 센터 대시보드를 볼 수 있습니다.

• Main(기본) 보기에는 선형 메트릭 대시보드, 차트 dashlet 및 목록 dashlet이 있습니다. PassiveID 작업 센터에서는 dashlet을 구성할 수 없습니다. 제공되는 dashlet은 다음과 같습니다.

  • Passive Identity Metrics(패시브 ID 메트릭): 현재 추적 중인 총 고유 라이브 세션 수, 시스템에 구성된 총 ID 제공자 수, ID 데이터를 능동적으로 전달하는 총 에이전트 수, 현재 구성된 총 가입자 수를 표시합니다.

  • Provider(제공자): 제공자는 사용자 ID 정보를 PassiveID 작업 센터에 제공합니다. 제공자 소스에서 정보를 수신하는 데 사용할 ISE 프로브(지정된 소스에서 데이터를 수집하는 메커니즘)를 구성합니다. 예를 들어 AD(Active Directory) 프로브와 에이전트 프로브는 각기 다른 기술을 사용하여 ISE-PIC가 AD에서 데이터를 수집하는 데 도움을 주는 한편, 시스템 로그 프로브는 시스템 로그 메시지를 읽는 구문 분석기에서 데이터를 수집합니다.

  • Subscribers(가입자): 가입자는 사용자 ID 정보를 검색하기 위해 ISE에 연결합니다.

  • OS Types(OS 유형): 표시할 수 있는 OS 유형은 Windows뿐입니다. Windows 유형은 Windows 버전별로 표시됩니다. 제공자는 OS 유형을 보고하지 않지만 ISE는 Active Directory를 쿼리하여 해당 정보를 가져올 수 있습니다. dashlet에는 최대 1,000개의 항목이 표시됩니다.

  • Alarms(경보): 사용자 ID 관련 경보입니다.

Active Directory(AD)는 사용자 이름, IP 주소 및 도메인 이름 같은 사용자 ID 정보를 수신할 수 있는 대단히 안전하고 정확한 소스입니다.

AD 프로브인 패시브 ID 서비스는 WMI 기술을 이용해 AD에서 사용자 ID 정보를 수신하지만, 다른 프로브는 다른 기술 과 방법을 이용해 AD를 사용자 ID 제공자로 사용합니다. ISE에서 제공하는 다른 프로브 및 제공자 유형에 관한 자세한 내용은 추가 패시브 ID 서비스 제공자 항목을 참조하십시오.

Active Directory 프로브를 구성하면 (마찬가지로 Active Directory를 소스로 사용하는) 이러한 다른 프로브를 빠르게 구성하고 활성화할 수 있습니다.

• Active Directory 에이전트

  참고	Active Directory 에이전트는 Windows Server 2008 이상에서만 지원됩니다.

• SPAN

• 엔드포인트 프로브

또한 사용자 정보를 수집할 때 AD 사용자 그룹을 사용할 수 있도록 Active Directory 프로브를 구성합니다. AD 사용자 그룹을 AD, 에이전트, SPAN 및 시스템 로그 프로브에 사용할 수 있습니다. AD 그룹에 관한 자세한 내용은 Active Directory 사용자 그룹 구성 항목을 참조하십시오.

패시브 ID 서비스 작업 센터는 네이티브 32비트 애플리케이션인 Domain Controller(DC) 에이전트를 Active Directory(AD) 도메인 컨트롤러(DC) 또는 (컨피그레이션에 따라) 멤버 서버에 설치하여 AD에서 사용자 ID 정보를 검색한 다음, 이러한 ID를 사용자가 구성한 가입자에게 전송합니다. 에이전트 프로브는 Active Directory를 사용하여 사용자 ID 정보를 확인하는 신속하고 효율적인 솔루션입니다. 에이전트는 별도의 도메인 또는 AD 도메인에 설치할 수 있으며, 설치한 후에는 1분마다 한 번씩 ISE에 상태 업데이트를 제공합니다.

에이전트는 ISE가 자동으로 설치 및 구성하며, 사용자가 수동으로 설치할 수도 있습니다. 설치하면 다음과 같은 일이 발생합니다.

• 에이전트와 관련 파일이 Program Files/Cisco/Cisco ISE PassiveID Agent 경로에 설치됩니다.

• 에이전트의 로깅 수준을 보여주는 PICAgent.exe.config라는 구성 파일이 설치됩니다. 구성 파일에서 로깅 레벨을 수동으로 변경할 수 있습니다.

• CiscoISEPICAgent.log 파일은 모든 로깅 메시지와 함께 저장됩니다.

• nodes.txt 파일에는 에이전트가 통실할 수 있는 구축 내 모든 노드 목록이 있습니다. 에이전트가 목록의 첫 번째 노드에 접촉합니다. 노드에 접촉할 수 없는 경우 에이전트는 목록의 노드 순서에 따라 계속 통신을 시도합니다. 수동 설치의 경우에는 파일을 열고 노드 IP 주소를 입력해야 합니다. (수동 또는 자동으로) 설치가 끝난 후에는 파일을 변경하려면 수동으로 업데이트해야 합니다. 필요하다면 파일을 열고 노드 IP 주소를 추가, 변경 또는 삭제합니다.

• Cisco ISE PassiveID 에이전트 서비스는 Windows Services 대화 상자에서 관리할 수 있는 머신에서 실행됩니다.

• ISE는 도메인 컨트롤러를 100개까지 지원하며, 각 에이전트는 도메인 컨트롤러를 10개까지 모니터링할 수 있습니다.

  참고	도메인 컨트롤러 100개를 모니터링하려면 에이전트 10개를 구성해야 합니다.

참고	Active Directory 에이전트는 Windows Server 2008 이상에서만 지원됩니다. 에이전트를 설치할 수 없는 경우에는 패시브 ID 서비스에 Active Directory 프로브를 사용합니다. 자세한 내용은 프로브 및 제공자로서의 Active Directory를 참고하십시오.

Cisco ISE에서 API Providers(API 제공자) 기능을 이용하면 맞춤형 프로그램이나 터미널 서버(TS)-Agent에서 얻은 사용자 ID 정보를 내장된 ISE passive identity services(ISE 패시브 ID 서비스) REST API 서비스로 푸시할 수 있습니다. 이렇게 하면 네트워크에서 프로그램 가능 클라이언트를 맞춤화하여 아무 NAC(Network Access Control) 시스템에서 수집한 사용자 ID를 서비스로 전송할 수 있습니다. 또한 Cisco ISE API 제공자를 이용하면 모든 사용자가 IP 주소는 같지만 고유한 포트에 할당되는 Citrix 서버에서 TS-Agent 같은 네트워크 애플리케이션에 접속할 수 있습니다.

예를 들어 Active Directory(AD) 서버를 대상으로 인증된 사용자의 ID 매핑을 제공하는 Citrix 서버에서 실행하는 에이전트는 REST 요청을 ISE에 전송하여, 새 사용자가 로그인 또는 로그오프할 때마다 사용자 세션을 추가 또는 삭제할 수 있습니다. 그러면 ISE는 클라이언트에서 전달한, IP 주소와 할당된 포트를 포함한 사용자 ID 정보를 얻은 다음 Cisco FMC(Firepower Management Center) 같은 사전 구성한 가입자에 전송합니다.

ISE REST API 프레임워크는 HTTPS 프로토콜로 REST 서비스를 구현하며(클라이언트 인증서 검증 필요 없음), 사용자 ID 정보는 JSON(JavaScript Object Notation) 형식으로 제공됩니다. JSON에 관한 자세한 내용은 http://www.json.org/ 항목을 참조하십시오.

ISE REST API 서비스는 사용자 ID를 구문 분석하고, 이 정보를 포트 범위에 매핑하여 같은 시스템에 동시에 로그인한 사용자를 구분합니다. 포트가 사용자에게 할당될 때마다 API는 ISE에 메시지를 보냅니다.