Tweet
Cửa hàng nhận dạng khác
Active Directory không phải là nguồn nhận dạng duy nhất. Hồ sơ xác thực chứng chỉ (CAP) là một nguồn nhận dạng rất phổ biến khác; tuy nhiên, chúng hoạt động rất khác so với các nguồn nhận dạng khác. Chứng chỉ rất giống với tài liệu, như giấy phép lái xe hoặc hộ chiếu, với các trường có văn bản trong đó. CAP được sử dụng để ánh xạ các trường văn bản đó từ chứng chỉ sang các thuộc tính được sử dụng để xác thực, chẳng hạn như tên người dùng hoặc tên máy tính. Hình 2-28 cho thấy một ví dụ CAP và các phần của CAP được mô tả sau hình.
Thành phần chính của CAP là tùy chọn Sử dụng Nhận dạng Từ. Cài đặt mặc định là tận dụng phần tên chung của chủ đề chứng chỉ. Bất cứ văn bản nào tuân theo CN = chỉ định trong chủ đề sẽ được sử dụng làm danh tính cho ủy quyền. Nhấp vào mũi tên thả xuống sẽ hiển thị các tùy chọn trường chứng chỉ khác. Tùy chọn nút radio khác, Bất kỳ Chủ đề hoặc Thuộc tính Tên thay thế nào trong Chứng chỉ (chỉ dành cho Active Directory), cho phép ISE kiểm tra tất cả các trường trong chứng chỉ và so sánh chúng với các thuộc tính của đối tượng người dùng và máy tính trong Active Directory, để xác định chính xác danh tính.
Tại sao điều đó là cần thiết? Vâng, không phải tất cả các chứng chỉ được tạo ra bằng nhau. Có nghĩa là, quản trị viên của cơ quan cấp chứng chỉ AD có thể đã không tạo mẫu chứng chỉ trong một trang viên có lợi cho nhu cầu của giải pháp truy cập mạng. Được rồi, hãy để trung thực. Hầu hết thời gian quản trị viên AD không thực sự có một sự hiểu biết đầy đủ về những gì họ đang làm với cơ quan cấp chứng chỉ và nhóm bảo mật bị mắc kẹt trong việc xử lý kết quả.
Một lĩnh vực quan trọng khác của CAP là Cửa hàng Nhận dạng. Không có cửa hàng nhận dạng nào được chọn theo mặc định, vì không cần thiết cho chức năng CAP hoạt động. Tuy nhiên, rất hay, có một người dùng tốt và có thêm bảo mật. Ban đầu, cửa hàng nhận dạng được sử dụng đơn giản để thực hiện so sánh nhị phân chứng chỉ công khai từ thiết bị thay thế với bản sao được lưu trữ trong cửa hàng nhận dạng, để đảm bảo chúng giống hệt nhau. Chức năng này vẫn khả dụng bằng cách chọn tùy chọn Luôn thực hiện so sánh nhị phân. Trong các phiên bản sau, việc tra cứu vào thư mục chỉ được sử dụng để giải quyết sự mơ hồ danh tính (tùy chọn ở giữa), trong đó đề cập đến các thuộc tính so sánh ISE trong chứng chỉ với các thuộc tính trong AD để xác định danh tính cụ thể khi có nhiều danh tính tương tự tồn tại các miền trong một rừng AD duy nhất chứa tất cả người dùng tên Joe.
Các cửa hàng nhận dạng cho CAP không bị giới hạn ở AD (ví dụ: cửa hàng LDAP cũng có thể được sử dụng), nhưng hầu hết các triển khai không đi qua so sánh nhị phân của chứng chỉ và thay vào đó chỉ tin tưởng chứng chỉ dựa trên người ký chứng chỉ.
Trình tự nguồn nhận dạng
Trình tự nguồn nhận dạng là tuyệt vời và giúp giữ cho các chính sách của ISE linh hoạt hơn và dễ dàng hơn để làm việc với. ISS sẽ kiểm tra một loạt các nguồn nhận dạng từ trên xuống dưới (như được định cấu hình), cho phép một quy tắc xác thực duy nhất để kiểm tra một số nguồn nhận dạng, thay vì chỉ một.
Có một số ISS được cấu hình sẵn khi bạn cài đặt ISE và được sử dụng trong các chính sách theo mặc định để đảm bảo triển khai dễ dàng. Bạn xem các ISS hiện có và định cấu hình các ISS mới trong GUI ISE trong Trung tâm công việc> Truy cập mạng> Danh tính> Chuỗi nguồn nhận dạng. Hình 2-29 cho thấy các ISS hiện có và bạn có thể tạo thêm khi cần.
Kiểm tra các ISS được cấu hình sẵn có tên All_User_ID_Stores bằng cách nhấp vào tên của nó, như trong Hình 2-30.
Lưu ý trong Hình 2-30 rằng một CAP được chọn, để xử lý bất kỳ xác thực dựa trên chứng chỉ nào. Bên dưới đó là Danh sách tìm kiếm xác thực, nơi bạn có thể thấy danh tính sẽ được kiểm tra trong cửa hàng Người dùng nội bộ, theo sau là phạm vi All_AD_Join_Points và cuối cùng là Người dùng khách.
Không cần thiết phải thêm AD-SECDEMO vào ISS vì All_AD_Join_Points sẽ kiểm tra điểm chung của tên miền đó. Nếu bạn tham gia ISE sang một tên miền khác, tên miền đó cũng sẽ được tự động tìm kiếm như một phần của ISS này mà không cần quản trị viên phải thay đổi bất kỳ chính sách nào trong ISE.
Cài đặt danh sách tìm kiếm nâng cao xác định cách xử lý lỗi với một trong các nguồn trong ISS. Vì vậy, nếu cửa hàng nhận dạng đó hết thời gian hoặc xảy ra lỗi quy trình, ISS có thể tiếp tục xử lý các cửa hàng khác trong danh sách (hành vi mặc định) hoặc toàn bộ ISS có thể hoạt động như thể có lỗi và ngừng xử lý yêu cầu xác thực.
Tài nguyên mạng
Theo sau trung tâm công việc Network Access từ trái sang phải, phần tiếp theo là Tài nguyên mạng. Phần này chứa các thiết bị mạng và các nhóm của chúng, cũng như các máy chủ RADIUS và MDM bên ngoài để tích hợp.
Giống như tài khoản người dùng và nhóm người dùng, ISE có khái niệm về một thiết bị mạng và các nhóm thiết bị mạng. Các thiết bị mạng là trình xác thực của các máy chủ tham gia mạng; họ làm việc ở giữa điểm cuối và PSN, thực hiện xác thực và thực thi. Vì vậy, chúng thường được gọi là thiết bị truy cập mạng (NAD).
NAD, và cụ thể hơn là các khả năng của nó, là một phần rất quan trọng trong bất kỳ chiến lược truy cập mạng an toàn nào. Càng nhiều khả năng của NAD (bộ chuyển mạch, bộ điều khiển không dây, điểm truy cập không dây, tường lửa hoặc bộ tập trung VPN), quản trị viên ISE sẽ càng linh hoạt và mạnh mẽ hơn để hoàn thành các mục tiêu kinh doanh.
Active Directory không phải là nguồn nhận dạng duy nhất. Hồ sơ xác thực chứng chỉ (CAP) là một nguồn nhận dạng rất phổ biến khác; tuy nhiên, chúng hoạt động rất khác so với các nguồn nhận dạng khác. Chứng chỉ rất giống với tài liệu, như giấy phép lái xe hoặc hộ chiếu, với các trường có văn bản trong đó. CAP được sử dụng để ánh xạ các trường văn bản đó từ chứng chỉ sang các thuộc tính được sử dụng để xác thực, chẳng hạn như tên người dùng hoặc tên máy tính. Hình 2-28 cho thấy một ví dụ CAP và các phần của CAP được mô tả sau hình.
Hình 2-28 Hồ sơ xác thực chứng chỉ mẫu
Thành phần chính của CAP là tùy chọn Sử dụng Nhận dạng Từ. Cài đặt mặc định là tận dụng phần tên chung của chủ đề chứng chỉ. Bất cứ văn bản nào tuân theo CN = chỉ định trong chủ đề sẽ được sử dụng làm danh tính cho ủy quyền. Nhấp vào mũi tên thả xuống sẽ hiển thị các tùy chọn trường chứng chỉ khác. Tùy chọn nút radio khác, Bất kỳ Chủ đề hoặc Thuộc tính Tên thay thế nào trong Chứng chỉ (chỉ dành cho Active Directory), cho phép ISE kiểm tra tất cả các trường trong chứng chỉ và so sánh chúng với các thuộc tính của đối tượng người dùng và máy tính trong Active Directory, để xác định chính xác danh tính.
Tại sao điều đó là cần thiết? Vâng, không phải tất cả các chứng chỉ được tạo ra bằng nhau. Có nghĩa là, quản trị viên của cơ quan cấp chứng chỉ AD có thể đã không tạo mẫu chứng chỉ trong một trang viên có lợi cho nhu cầu của giải pháp truy cập mạng. Được rồi, hãy để trung thực. Hầu hết thời gian quản trị viên AD không thực sự có một sự hiểu biết đầy đủ về những gì họ đang làm với cơ quan cấp chứng chỉ và nhóm bảo mật bị mắc kẹt trong việc xử lý kết quả.
Một lĩnh vực quan trọng khác của CAP là Cửa hàng Nhận dạng. Không có cửa hàng nhận dạng nào được chọn theo mặc định, vì không cần thiết cho chức năng CAP hoạt động. Tuy nhiên, rất hay, có một người dùng tốt và có thêm bảo mật. Ban đầu, cửa hàng nhận dạng được sử dụng đơn giản để thực hiện so sánh nhị phân chứng chỉ công khai từ thiết bị thay thế với bản sao được lưu trữ trong cửa hàng nhận dạng, để đảm bảo chúng giống hệt nhau. Chức năng này vẫn khả dụng bằng cách chọn tùy chọn Luôn thực hiện so sánh nhị phân. Trong các phiên bản sau, việc tra cứu vào thư mục chỉ được sử dụng để giải quyết sự mơ hồ danh tính (tùy chọn ở giữa), trong đó đề cập đến các thuộc tính so sánh ISE trong chứng chỉ với các thuộc tính trong AD để xác định danh tính cụ thể khi có nhiều danh tính tương tự tồn tại các miền trong một rừng AD duy nhất chứa tất cả người dùng tên Joe.
Các cửa hàng nhận dạng cho CAP không bị giới hạn ở AD (ví dụ: cửa hàng LDAP cũng có thể được sử dụng), nhưng hầu hết các triển khai không đi qua so sánh nhị phân của chứng chỉ và thay vào đó chỉ tin tưởng chứng chỉ dựa trên người ký chứng chỉ.
Trình tự nguồn nhận dạng
Trình tự nguồn nhận dạng là tuyệt vời và giúp giữ cho các chính sách của ISE linh hoạt hơn và dễ dàng hơn để làm việc với. ISS sẽ kiểm tra một loạt các nguồn nhận dạng từ trên xuống dưới (như được định cấu hình), cho phép một quy tắc xác thực duy nhất để kiểm tra một số nguồn nhận dạng, thay vì chỉ một.
Có một số ISS được cấu hình sẵn khi bạn cài đặt ISE và được sử dụng trong các chính sách theo mặc định để đảm bảo triển khai dễ dàng. Bạn xem các ISS hiện có và định cấu hình các ISS mới trong GUI ISE trong Trung tâm công việc> Truy cập mạng> Danh tính> Chuỗi nguồn nhận dạng. Hình 2-29 cho thấy các ISS hiện có và bạn có thể tạo thêm khi cần.
Hình 2-29 Chuỗi nguồn nhận dạng được cấu hình sẵn
Kiểm tra các ISS được cấu hình sẵn có tên All_User_ID_Stores bằng cách nhấp vào tên của nó, như trong Hình 2-30.
Hình 2-30 All_User_ID_Stores IS
Lưu ý trong Hình 2-30 rằng một CAP được chọn, để xử lý bất kỳ xác thực dựa trên chứng chỉ nào. Bên dưới đó là Danh sách tìm kiếm xác thực, nơi bạn có thể thấy danh tính sẽ được kiểm tra trong cửa hàng Người dùng nội bộ, theo sau là phạm vi All_AD_Join_Points và cuối cùng là Người dùng khách.
Không cần thiết phải thêm AD-SECDEMO vào ISS vì All_AD_Join_Points sẽ kiểm tra điểm chung của tên miền đó. Nếu bạn tham gia ISE sang một tên miền khác, tên miền đó cũng sẽ được tự động tìm kiếm như một phần của ISS này mà không cần quản trị viên phải thay đổi bất kỳ chính sách nào trong ISE.
Cài đặt danh sách tìm kiếm nâng cao xác định cách xử lý lỗi với một trong các nguồn trong ISS. Vì vậy, nếu cửa hàng nhận dạng đó hết thời gian hoặc xảy ra lỗi quy trình, ISS có thể tiếp tục xử lý các cửa hàng khác trong danh sách (hành vi mặc định) hoặc toàn bộ ISS có thể hoạt động như thể có lỗi và ngừng xử lý yêu cầu xác thực.
Tài nguyên mạng
Theo sau trung tâm công việc Network Access từ trái sang phải, phần tiếp theo là Tài nguyên mạng. Phần này chứa các thiết bị mạng và các nhóm của chúng, cũng như các máy chủ RADIUS và MDM bên ngoài để tích hợp.
Giống như tài khoản người dùng và nhóm người dùng, ISE có khái niệm về một thiết bị mạng và các nhóm thiết bị mạng. Các thiết bị mạng là trình xác thực của các máy chủ tham gia mạng; họ làm việc ở giữa điểm cuối và PSN, thực hiện xác thực và thực thi. Vì vậy, chúng thường được gọi là thiết bị truy cập mạng (NAD).
NAD, và cụ thể hơn là các khả năng của nó, là một phần rất quan trọng trong bất kỳ chiến lược truy cập mạng an toàn nào. Càng nhiều khả năng của NAD (bộ chuyển mạch, bộ điều khiển không dây, điểm truy cập không dây, tường lửa hoặc bộ tập trung VPN), quản trị viên ISE sẽ càng linh hoạt và mạnh mẽ hơn để hoàn thành các mục tiêu kinh doanh.