Vereinfachte Zugriffsrichtlinie mit ODBC & ISEDB (benutzerdefiniertes Attribut) für großangelegtes Campus-Netzwerk Inhalt

EinführungVoraussetzungenAnforderungenVerwendete KomponentenHintergrundinformationenTechnologietrendsProblem Vorgeschlagene LösungKonfiguration mit externer DBODBC-BeispielkonfigurationenSolution Workflow (ISE 2.7 und frühere Version)VorteileNachteileExterne DB - BeispielkonfigurationenSolution-Workflow (nach ISE 2.7)Externe DB - BeispielkonfigurationenInterne DB verwendenLösungs-WorkflowVorteileNachteileInterne DB-BeispielkonfigurationenFazitZugehörige InformationenGlossar

Einführung

In diesem Dokument wird die Bereitstellung großer Campus-Umgebungen ohne Kompromisse beiden Funktionen und der Durchsetzung von Sicherheitsrichtlinien beschrieben. Die Cisco IdentityServices Engine (ISE) erfüllt diese Anforderung durch die Integration in eine externeIdentitätsquelle.

Bei großen Netzwerken mit mehr als 50 Geo-Standorten, über 4.000 unterschiedlichenBenutzerprofilen und über 600.000 Endpunkten oder mehr müssen herkömmliche IBN-Lösungenaus einer anderen Perspektive betrachtet werden - mehr als nur Funktionen, unabhängig davon,ob sie mit allen Funktionen skaliert werden können. Die Intent-Based Network (IBN)-Lösung inherkömmlichen großen Netzwerken von heute erfordert einen zusätzlichen Fokus aufSkalierbarkeit und einfache Verwaltung und nicht nur auf die Funktionen.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

Dot1x/MAB-Authentifizierung●

Cisco Identity Service Engine (Cisco ISE)●

Cisco TrustSec (CTS)●

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Cisco Identity Services Engine (ISE) Version 2.6 Patch 2 und Version 3.0●

Windows Active Directory (AD) Server 2008, Version 2●

Microsoft SQL Server 2012●

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichtetenTestumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einergelöschten (Nichterfüllungs) Konfiguration. Wenn das Netzwerk in Betrieb ist, sollten Sie diepotenziellen Auswirkungen einer Konfiguration verstehen.

Hintergrundinformationen

In einer Identity Based Network (IBN)-Lösung sind die grundlegenden Elemente Supplicant,Authenticator und Authentication (AAA) Server. Der Supplicant ist ein Agent auf dem Endgerät,der die Anmeldeinformationen bei Aufforderung für den Netzwerkzugriff bereitstellt. Authenticatoroder NAS (Network Access Server) ist der Access-Layer, der Netzwerk-Switches und WLCsumfasst, die die Anmeldeinformationen für den AAA-Server übertragen. DerAuthentifizierungsserver validiert die Benutzerauthentifizierungsanfrage für einen ID-Speicher undautorisiert entweder mit access-accept oder access-Ablehnen. Der ID-Speicher kann sich im AAA-Server oder auf einem externen dedizierten Server befinden.

Dieses Bild zeigt die grundlegenden IBN-Elemente.

RADIUS ist ein User Datagram Protocol (UDP)-basiertes Protokoll mit kombinierterAuthentifizierung und Autorisierung. In der Cisco IBN-Lösung für Campus-Enterprise-

Umgebungen fungiert das Personal der ISE Policy Service Node (PSN) als AAA-Server, der dieEndpunkte anhand des Enterprise ID Store authentifiziert und die Berechtigung in Abhängigkeitvon der Bedingung erteilt.

In der Cisco ISE werden Authentifizierungs- und Autorisierungsrichtlinien konfiguriert, um dieseAnforderungen zu erfüllen. Authentifizierungsrichtlinien bestehen aus dem Medientyp(kabelgebunden oder drahtlos) und den EAP-Protokollen für die Benutzervalidierung.Autorisierungsrichtlinien bestehen aus Bedingungen, die die Kriterien definieren, nach denen dieverschiedenen Endpunkte übereinstimmen, und aus denen der Netzwerkzugriff erfolgt. Dabeikann es sich um ein VLAN, eine herunterladbare ACL oder ein Secure Group Tag (SGT) handeln. Dies sind die maximalen Skalierungszahlen für Richtlinien, mit denen die ISE konfiguriert werdenkann.

Diese Tabelle zeigt die Skalierung der Cisco ISE-Richtlinien.

Attribut SkalierungsnummerMaximale Anzahl derAuthentifizierungsregeln 1000 (Policy Set Mode)

Maximale Anzahl derAutorisierungsregeln

3.000 (Policy Set Mode)mit 3200 Autz-Profilen

Technologietrends

Die Segmentierung ist zu einem der zentralen Sicherheitselemente für moderneUnternehmensnetzwerke geworden, ohne dass ein Edge-Netzwerk erforderlich ist. Die Endpunktekönnen zwischen internen und externen Netzwerken wechseln. Durch Segmentierung könnenSicherheitsangriffe auf ein bestimmtes Segment im Netzwerk eingedämmt werden. Die heutigeSDA-Lösung (Software-Defined Access) bietet mithilfe von Cisco ISE TrustSec eine Möglichkeit,die Segmentierung auf Grundlage des Geschäftsmodells des Kunden vorzunehmen, umAbhängigkeiten von Netzwerkelementen wie VLANs oder IP-Subnetzen zu vermeiden.

Problem 

Die ISE-Richtlinienkonfiguration für große Unternehmensnetzwerke mit mehr als 500unterschiedlichen Endgeräteprofilen kann die Anzahl der Autorisierungsrichtlinien auf einen nichtzu verwaltenden Punkt erhöhen. Auch wenn die Cisco ISE dedizierte Autorisierungsbedingungenunterstützt, um einer solchen Anzahl von Benutzerprofilen gerecht zu werden, besteht dieHerausforderung darin, diese zahlreichen Richtlinien durch Administratoren zu verwalten.

Darüber hinaus können Kunden anstelle dedizierter Richtlinien gemeinsameAutorisierungsrichtlinien benötigen, um Verwaltungsaufwand zu vermeiden, und sie verfügen jenach ihren Kriterien über einen differenzierten Netzwerkzugriff für Endpunkte.

Betrachten Sie beispielsweise ein Unternehmensnetzwerk mit Active Directory (AD) als Quelle derWahrheit und das einzigartige Differenzierungsmerkmal des Endgeräts ist eines der Attribute inAD. In einem solchen Fall verfügt die traditionelle Methode der Richtlinienkonfiguration über mehrAutorisierungsrichtlinien für jedes eindeutige Endpunktprofil.

Bei dieser Methode wird jedes Endpunktprofil mit einem AD-Attribut unter domain.comunterschieden. Daher muss eine dedizierte Autorisierungsrichtlinie konfiguriert werden.

Diese Tabelle zeigt die traditionellen AuthZ-Richtlinien.

ABC-Richtlinie

Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICHUNDFalls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/ABCDANNSGT:C2S-ABC UND VLAN:1021

DEF-Richtlinie

Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICHUNDFalls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/DEFDANNSGT:C2S-DEF UND VLAN:1022

GHI-Richtlinie

Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICHUNDFalls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/GHIDANNSGT:C2S-GHI UND VLAN:1023

XYZ-Richtlinie

Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICHUNDFalls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/XYZDANNSGT:C2S-XYZ UND VLAN:1024

Vorgeschlagene Lösung

Um die Verletzung der maximal skalierbaren Anzahl unterstützter Autorisierungsrichtlinien auf derCisco ISE zu umgehen, wird eine externe DB vorgeschlagen, die jedem Endpunkt dieAutorisierungsergebnisse zulässt, die aus seinen Attributen stammen. Wenn AD beispielsweiseals externe DB für die Autorisierung verwendet wird, können alle nicht verwendetenBenutzerattribute (z. B. Abteilungscode oder Pin-Code) darauf verwiesen werden, autorisierteErgebnisse zu liefern, die dem SGT oder VLAN zugeordnet sind.

Dies wird durch die Integration der Cisco ISE mit einer externen DB oder in die interne DB der ISEerreicht, die mit benutzerdefinierten Attributen konfiguriert ist. In diesem Abschnitt wird dieBereitstellung dieser beiden Szenarien erläutert:

Hinweis: In beiden Optionen enthält die DB die Benutzer-ID, jedoch nicht das Kennwort derDOT1X-Endpunkte. Die DB wird nur als Autorisierungspunkt verwendet. DieAuthentifizierung kann weiterhin der ID-Speicher des Kunden sein, der sich in den meistenFällen auf dem Active Directory (AD)-Server befindet.

Konfiguration mit externer DB

Die Cisco ISE ist in eine externe DB integriert, um die Endgeräteanmeldevalidierung zuermöglichen:

Diese Tabelle zeigt die validierten externen Identitätsquellen.

Externe Identitätsquelle Betriebssystem/VersionActive DirectoryMicrosoft Windows Active Directory 2003 —

Microsoft Windows Active Directory 2003 R2 —Microsoft Windows Active Directory 2008 —Microsoft Windows Active Directory 2008 R2 —Microsoft Windows Active Directory 2012 —Microsoft Windows Active Directory 2012 R2 —Microsoft Windows Active Directory 2016 —LDAP-ServerSunONE LDAP-Verzeichnisserver Version 5.2OpenLDAP-Verzeichnisserver Version 2.4.23Jeder LDAP v3-kompatible Server —Token-ServerRSA-ACE/Server Serie 6.xRSA-Authentifizierungs-Manager Serie 7.x und 8.xJeder RADIUS RFC 2865-konformeTokenserver —

SAML (Security Assertion Markup Language) Single Sign-On (SSO)Microsoft Azure —Oracle Access Manager (OAM) Version 11.1.2.2.0Oracle Identity Federation (OIF) Version 11.1.1.2.0PingFederate-Server Version 6.10.0.4PingOne Cloud —Sichere Auth 8.1.1Jeder SAMLv2-kompatible Identitätsanbieter —Open Database Connectivity (ODBC) Identity SourceMicrosoft SQL Server (MS SQL) Microsoft SQL Server 2012Oracle Enterprise Edition 12.1.0.2.0PostgreSQL 9Sybase 16MySQL 6.3Social Login (für Gastbenutzerkonten)Facebook —

ODBC-Beispielkonfigurationen

Diese Konfiguration wird unter Microsoft SQL ausgeführt, um die Projektmappe zu erstellen:

Schritt 1: Öffnen Sie SQL Server Management Studio (Startmenü > Microsoft SQL Server), umeine Datenbank zu erstellen:

Schritt 2: Geben Sie einen Namen ein, und erstellen Sie die Datenbank.

Schritt 3: Erstellen Sie eine neue Tabelle mit den erforderlichen Spalten als Parameter, damitEndpunkte autorisiert werden können.

Schritt 4: Erstellen Sie eine Prozedur, um zu überprüfen, ob der Benutzername vorhanden ist.

Schritt 5: Erstellen Sie eine Prozedur zum Abrufen von Attributen (SGT) aus der Tabelle.

In diesem Dokument wird die Cisco ISE in die Microsoft SQL-Lösung integriert, um dieAnforderungen an die Autorisierungsgröße in großen Unternehmensnetzwerken zu erfüllen.

Solution Workflow (ISE 2.7 und frühere Version)

Bei dieser Lösung ist die Cisco ISE in ein Active Directory (AD) und Microsoft SQL integriert. ADwird als Authentifizierungs-ID-Speicher und MS SQL zur Autorisierung verwendet. Während desAuthentifizierungsprozesses leitet das Network Access Device (NAD) dieBenutzeranmeldeinformationen an das PSN weiter - den AAA-Server in der IBN-Lösung. PSNvalidiert die Endpunktanmeldeinformationen mit dem Active Directory-ID-Speicher undauthentifiziert den Benutzer. Die Autorisierungsrichtlinie bezieht sich auf die MS SQL DB, umautorisierte Ergebnisse wie SGT/VLAN abzurufen, für die Benutzer-ID als Referenz verwendetwird.

Vorteile

Diese Lösung bietet die folgenden Vorteile, die sie flexibel macht:

Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.●

Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.●

Nachteile

Diese Lösung hat folgende Nachteile:

Erfordert zusätzliche Programmierung, um die externe DB mit Endpunktanmeldeinformationenzu füllen.

●

Wenn die externe DB wie PSNs nicht lokal vorhanden ist, hängt diese Lösung vom WAN ab,was sie zum 3. Fehlerpunkt im Endpunkt-AAA-Datenfluss macht.

●

Erfordert zusätzliches Wissen, um externe DB-Prozesse und -Verfahren aufrechtzuerhalten.●

Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden,müssen berücksichtigt werden.

●

Externe DB - Beispielkonfigurationen

In diesem Dokument wird Microsoft SQL als externe DB angezeigt, die als Autorisierungspunktverwendet wird.

Schritt 1: Erstellen Sie ODBC Identity Store in Cisco ISE über das Menü Administration > ExternalIdentity Source > ODBC, und testen Sie die Verbindungen.

Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um dieerstellten Prozeduren in der Cisco ISE zu konfigurieren.

Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.

Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der CiscoISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, undwählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte <Name der ODBC-Datenbank>:sgt aus, und speichern Sie sie.

Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in derCisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie die

Bedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvorerstelltes Autorisierungsprofil aus.

Schritt 6: Sobald der Benutzer authentifiziert und autorisiert ist, müssen die Protokolle den demBenutzer zugewiesenen Platz zur Überprüfung enthalten.

Solution-Workflow (nach ISE 2.7)

Nach ISE 2.7 können Autorisierungsattribute von ODBC wie VLAN, SGT, ACL abgerufen werden.Diese Attribute können in Richtlinien verwendet werden.

In dieser Lösung ist die Cisco ISE in Microsoft SQL integriert. MS SQL wird als ID-Speicher für dieAuthentifizierung und Autorisierung verwendet. Wenn die Anmeldeinformationen von Endpunktenan PSN übermittelt werden, werden die Anmeldeinformationen für die MS SQL DB validiert. DieAutorisierungsrichtlinie bezieht sich auf die MS SQL DB, um die autorisierten Ergebnisseabzurufen, z. B. SGT/VLAN, für die die Benutzer-ID als Referenz verwendet wird.

Externe DB - Beispielkonfigurationen

Befolgen Sie die Schritte in diesem Dokument, um MS SQL DB zusammen mit Benutzername,Kennwort, VLAN-ID und SGT zu erstellen.

Schritt 1: Erstellen Sie über das Menü Administration > External Identity Source > ODBC einenODBC Identity Store in der Cisco ISE, und testen Sie die Verbindungen.

Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um dieerstellten Prozeduren in der Cisco ISE zu konfigurieren.

Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.

Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der CiscoISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, undwählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte als <Name der ODBC-Datenbank>:sgt. Wählen Sie unter Allgemeine Aufgaben VLAN mit ID/Name als <Name derODBC-Datenbank>:vlan aus, und speichern Sie es.

Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in derCisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie dieBedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvorerstelltes Autorisierungsprofil aus.

Interne DB verwenden

Die Cisco ISE selbst verfügt über eine integrierte DB, mit der Benutzer-IDs für die Autorisierungverwendet werden können.

Lösungs-Workflow

Bei dieser Lösung wird die interne DB der Cisco ISE als Autorisierungspunkt verwendet, währendActive Directory (AD) weiterhin die Authentifizierungsquelle ist. Die Benutzer-ID der Endgeräte istin der Cisco ISE DB enthalten, zusammen mit benutzerdefinierten Attributen, die autorisierteErgebnisse wie SGT oder VLAN zurückgeben. Wenn die Anmeldeinformationen von Endpunktenan PSN übermittelt werden, prüft es die Gültigkeit der Anmeldeinformationen der Endpunkte mitdem Active Directory-ID-Speicher und authentifiziert den Endpunkt. Die Autorisierungsrichtlinieverweist auf die ISE DB, um die autorisierten Ergebnisse abzurufen, z. B. SGT/VLAN, für die dieBenutzer-ID als Referenz verwendet wird.

Vorteile

Diese Lösung bietet die folgenden Vorteile, die sie zu einer flexiblen Lösung machen:

Die Cisco ISE DB ist eine integrierte Lösung und verfügt daher im Gegensatz zur externenDB-Lösung über keinen Fehlerpunkt 3.

●

Da der Cisco ISE-Cluster die Echtzeit-Synchronisierung aller Personen sicherstellt, bestehtkeine WAN-Abhängigkeit, da das PSN über alle Benutzer-IDs und benutzerdefiniertenAttribute verfügt, die vom PAN in Echtzeit übertragen werden.

●

Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.●

Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.●

Nachteile

Diese Lösung hat folgende Nachteile:

Die maximale Anzahl der Benutzer-IDs, die von der Cisco ISE DB zurückgehalten werdenkönnen, beträgt 300.000.

●

Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden,müssen berücksichtigt werden.

●

Interne DB-Beispielkonfigurationen

VLAN und SGT können für jeden Benutzer im internen ID-Speicher mit einem benutzerdefiniertenBenutzerattribut konfiguriert werden.

Schritt 1: Erstellen Sie benutzerdefinierte Attribute für neue Benutzer, um den VLAN- und SGT-Wert der jeweiligen Benutzer darzustellen. Navigieren Sie zu Administration > IdentityManagement > Settings > User Custom Attributes. Erstellen Sie benutzerdefinierte neueBenutzerattribute, wie in dieser Tabelle gezeigt.

Hier wird die ISE DB-Tabelle mit benutzerdefinierten Attributen angezeigt.

Attributname Datentyp Parameter(Länge) Standardwert

VLAN String 100 C2S (Standard-VLAN-Name)

SGT String 100

cts:security-group-tag=0003-0(Standard-SGT-Wert)

In diesem Szenario stellt der VLAN-Wert den VLAN-Namen und den sgt-Wert das cisco-av-pair-Attribut des SGT in Hex dar.

●

Schritt 2: Erstellen Sie ein Autorisierungsprofil mit benutzerdefinierten Attributen, um die VLAN-und SGT-Werte der jeweiligen Benutzer implizieren zu können. Navigieren Sie zu Richtlinien >Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > Hinzufügen. Fügen Siedie unten genannten Attribute unter Erweiterte Attributeinstellungen hinzu.

Diese Tabelle zeigt das AuthZ-Profil für internen Benutzer.

Attribut WertCisco:cisco-av-pair Interner Benutzer:sgtRadius:Tunnel-Private-Group-ID Interner Benutzer:VLANRadius:Tunnel-Medium-Type 802Radius:Tunnel-Typ VLAN

Wie im Bild gezeigt, wird für die internen Benutzer das Profil Internal_user mit dem SGT und demVLAN konfiguriert, die als InternalUser:sgt und InternalUser:vlan konfiguriert sind.

Schritt 3: Autorisierungsrichtlinie erstellen, wählen Sie Richtlinien > Richtliniensätze > Richtlinie-1> Autorisierung aus. Erstellen Sie Autorisierungsrichtlinien mit den unten genannten Bedingungen,und ordnen Sie sie den jeweiligen Autorisierungsprofilen zu.

Diese Tabelle zeigt die AuthZ-Richtlinie für interne Benutzer.

Regelname Bedingung Autorisierungsprofilfür Ergebnisse

Internal_User_Authoriz

If Network Access.EapChainingResultsÄQUALIFIZIERT Benutzer und Computerbeide erfolgreich

Interner Benutzer

Machine_Only_AuthorWenn MyAD.ExternalGroupsgdc.security.com/Users/DomainComputer entspricht

Zugriff zulassen

Schritt 4: Erstellen Sie Bulk-Benutzeridentitäten mit benutzerdefinierten Attributen mitBenutzerdetails und den entsprechenden benutzerdefinierten Attributen in der CSV-Vorlage. Importieren Sie den CSV, indem Sie zu Administration > Identity Management >Identities > Users > Import > Choose the file > Import navigieren.

Dieses Bild zeigt einen Beispielbenutzer mit benutzerdefinierten Attributdetails. Wählen Sie denBenutzer aus, und klicken Sie auf Bearbeiten, um die benutzerdefinierten Attributdetailsanzuzeigen, die dem jeweiligen Benutzer zugeordnet sind.

Schritt 5: Überprüfen Sie die Live-Protokolle:

Überprüfen Sie im Abschnitt Ergebnis, ob das VLAN- und SGT-Attribut als Teil von Access-Acceptgesendet wird.

Fazit

Diese Lösung ermöglicht es einigen Großkunden, ihre Anforderungen zu erfüllen. BeimHinzufügen/Löschen von User-IDs ist Vorsicht geboten. Wenn Fehler ausgelöst werden, kann dieszu nicht autorisiertem Zugriff für echte Benutzer oder umgekehrt führen.

Zugehörige Informationen

Konfigurieren Sie die Cisco ISE mit MS SQL über ODBC:

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200544-Configure-ISE-2-1-with-MS-SQL-using-ODBC.html

GlossarAAA Authentifizierung, Autorisierung und AbrechnungAD Active DirectoryAuthC AuthentifizierungAuthZ AutorisierungDB DatenbasisDOT1X 802.1xIBN Identitätsbasiertes NetzwerkID IdentitätsdatenbankISE Identity Services EngineMnT Überwachung und FehlerbehebungMSSQL Microsoft SQL

ODBC Offene DataBase-KonnektivitätPAN Policy-AdministrationsknotenPSN Knoten "Policy Services"SGT Sicherer Gruppen-TagSQL Strukturierte AbfragespracheVLAN Virtuelles LANWAN Wide Area Network