Cisco ISE(Identity Services Engine)는 여러 가지 다른 source를 사용하여 사용자 또는 디바이스 identities를 확인할 수 있습니다. ISE 내부 database와 Microsoft Active Directory가 기업에서 가장 많이 사용되는 identity source이지만, 다른 여러 source도 사용할 수 있습니다. 이러한 source는 identity가 확인되거나 확인되지 않을 때까지 사용할 수 있는 순서로 조합할 수도 있습니다.

이번장에서는 몇 가지 identity source와 Cisco ISE authentication rules 에서 사용할 수 있는 ISS(Identity source sequence)를 만드는 방법에 대해서 알아 보겠습니다.

Lightweight Directory Access Protocol

LDAP는 디렉토리 서비스를 쿼리하고 수정하는 데 사용되는 표준 기반 네트워킹 프로토콜입니다. 또한 X.500 기반 디렉토리 서버에 액세스하기 위한 lightweight 메커니즘이기도 합니다. Cisco ISE는 LDAP 프로토콜을 사용하여 external LDAP database와 연동 합니다.

LDAP는 기본적으로 일반 암호 인증만 지원하는데, 이는 대부분의 Active Directory 방법보다 보안성이 떨어집니다. 프로토콜 보안을 강화하려면 LDAP 통신을 보호하는 것이 좋습니다. LDAP 서버 연결은 일반적으로 두 가지 프로토콜(LDAP over TLS(STARTTLS) 와 LDAP over SSL(LDAPS))을 사용하여 보호할 수 있습니다

LDAP 디렉토리 서비스는 클라이언트-서버 모델을 기반으로 합니다. LDAP 세션을 시작하려면 클라이언트가 연결하여 서버에 작업 요청을 보내면 서버가 응답을 합니다. 하나 이상의 LDAP 서버에는 LDAP 디렉토리 트리 또는 LDAP 백엔드 database의 데이터가 포함되어 있습니다.

LDAP 디렉토리는 간단한 트리 계층 구조로 구성되어 있으며 여러 서버에 분산할 수 있습니다. 각 서버에는 전체 디렉터리의 복제된 버전이 있을 수 있으며, 이 버전은 주기적으로 동기화됩니다.

트리의 항목에는 attribute 집합이 포함됩니다. 각 attribute에는 이름(attribute type 또는 attribute description)과 하나 이상의 값이 있습니다. Attribute은 schema에 정의되어 있으며, 각 항목에는 DN(Distinguished Name)가 있는데, 이 DN은 RDN(Relative Distinguished Name)을 포함하며, 각 항목의 attribute로 구성되고 그 뒤에 상위 항목의 DN이 이어집니다. DN은 전체 파일 이름이고 RDN은 폴더의 상대 파일 이름이라고 생각할 수 있습니다.

Cisco ISE에는 사전 구성된 세 가지 LDAP schema가 있습니다.

: Active Directory, Sun Directory Server 및 NetIQ eDirectory(Novell eDirectory)

Active Directory and LDAP Comparison

Active Directory database에 Active Directory 또는 LDAP 서버로 액세스할 수 있습니다.

Active Directory 방법을 통해 Cisco ISE를 Active Directory에 연결할 때 도메인에 액세스할 수 있는 관리자 사용자 및 암호를 구성합니다. 이 방법은 광범위한 특성 범위, 우수한 성능, 트리 위/아래로 검색할 수 있는 기능 등 여러 가지 이점을 제공합니다.

LDAP 서버로 Active Directory에 연결할 때는 사용자 및 검색 기반을 구성합니다. 이 방법은 성능이 느리고 제공되는 속성이 적으며 트리 아래쪽 검색만 지원합니다.

Integrating Cisco ISE with LDAP

Cisco ISE에서 서로 다른 IP 주소 또는 포트 설정을 사용하여 둘 이상의 LDAP instance를 만들 수 있습니다. 따라서 Cisco ISE는 동일한 LDAP 서버에서 다른 LDAP 서버 또는 다른 database를 사용하여 인증할 수 있습니다. 각 primary 서버 IP 주소 및 포트 구성은 secondary 서버 IP 주소 및 포트 구성과 함께 LDAP instance를 구성합니다. 이 instance는 하나의 Cisco ISE LDAP identity source 정의에 해당합니다.

Cisco ISE는 각 LDAP instance가 고유한 LDAP database에 부합할 것을 요구하지 않습니다. 동일한 database에 액세스하도록 설정된 LDAP instance가 둘 이상 있을 수 있으며, 이는 LDAP database에 사용자 또는 그룹에 대한 하위 트리가 둘 이상 포함되어 있는 경우에 유용합니다. 각 LDAP instance는 사용자에 대해 하나의 하위 트리 디렉터리와 그룹에 대해 하나의 하위 트리 디렉터리만 지원합니다. 따라서 Cisco ISE에서 사용하려면 각 사용자 디렉터리 하위 트리 및 그룹 디렉터리 하위 트리 조합에 대해 별도의 LDAP instance를 구성해야 합니다.

Cisco ISE는 primary 및 secondary LDAP 서버 간의 failover를 지원합니다. Failover는 서버가 다운되었거나 Cisco ISE가 연결할 수 없는 등의 문제로 인해 Cisco ISE가 LDAP 서버에 연결할 수 없어 authentication 요청이 실패할 때 발생합니다. Failover 기능을 사용하려면 primary 및 secondary LDAP 서버를 정의하고 failover 설정을 설정해야 합니다.

Failover가 사용 중일 때 Cisco ISE가 첫 번째 서버에 연결할 수 없는 경우 항상 다른 서버에 연결을 시도합니다. 연결되는 첫 번째 서버가 항상 primary LDAP 서버가 아닐 수도 있습니다. 연결되는 첫 번째 LDAP 서버는 이전 LDAP authentication 시도 및 Failback Retry Delay 텍스트 상자에 입력한 값에 따라 달라집니다.

사용자를 인증하기 위해 Cisco ISE는 bind request를 LDAP 서버로 보냅니다. 바인딩 요청에는 사용자의 Distinguished Name과 암호가 일반 텍스트로 포함됩니다. Distinguished Name과 암호가 LDAP 디렉터리의 항목과 일치하면 사용자가 인증됩니다.

Cisco ISE는 사용자 조회 기능을 지원하므로 authentication 없이도 LDAP database에서 사용자를 검색하고 정보를 검색할 수 있습니다. 사용자 조회 프로세스에는 다음 작업이 포함됩니다.

• LDAP 서버에서 요청한 username과 일치하는 항목이 검색됩니다.
• 정책에서 사용하기 위해 사용자의 그룹 멤버십 정보가 검색됩니다.
• 정책과 authorization profile에 사용하도록 지정한 속성에 대한 값이 검색됩니다.

Cisco ISE는 MAC 주소 조회 기능도 지원합니다. 이 기능을 사용하면 LDAP database에서 MAC 주소를 검색하고 authentication 없이 정보를 검색할 수 있습니다. MAC 주소 조회 프로세스에는 다음 작업이 포함 됩니다. :

• LDAP 서버에서 디바이스의 MAC 주소와 일치하는 항목을 검색합니다.
• 정책에 사용하기 위해 디바이스의 그룹 정보가 검색됩니다.
• 정책에 사용하도록 지정한 속성에 대한 값이 검색됩니다.

또한 인증을 사용하거나 사용하지 않고 attribute value, 그룹 멤버십 및 certificate를 검색하도록 Cisco ISE를 구성할 수 있습니다.

RADIUS

RADIUS 서버는 RADIUS 프로토콜을 지원하며 사용자와 디바이스에 AAA(Authentication, Authorization 및 Accounting) 서비스를 제공합니다. RADIUS 서버는 subject 및 credential 컬렉션을 통해 external identity source 역할을 할 수 있습니다. RADIUS 프로토콜은 RADIUS 서버와 통신하는 데 사용됩니다.

Cisco ISE는 RSA SecurID 서버 및 SafeWord 서버를 포함하여 표준을 준수하는 모든 RADIUS 서버를 external identity source로 지원합니다. SafeWord 토큰 서버는 여러 사용자와 해당 credential을 일회용 암호로 포함할 수 있습니다. Cisco ISE는 RADIUS 프로토콜을 통해 이 identity store 를 쿼리할 수 있습니다.

이중화를 위해 RADIUS는 primary 서버와 secondary 서버로 구성됩니다. Primary 서버가 RADIUS 요청으로 인해 시간이 초과되면 Cisco ISE는 요청을 secondary 서버로 보냅니다.

RADIUS 서버는 RADIUS PAP를 사용하여 암호 기반 인증을 제공하거나 내부 EAP-GTC가 있는 PEAP 또는 내부 EAP-GTC가 있는 EAP-FAST를 사용하여 토큰 기반 인증을 제공할 수 있습니다. 지원되는 RADIUS 토큰 서버 구현의 예로는 RSA SecurID 및 SafeWord 서버가 있습니다.

RADIUS identity source는 authentication 세션에 모든 RADIUS 통신과 동일한 UDP 포트를 사용합니다. Cisco ISE가 RADIUS-enabled 서버에 RADIUS 메시지를 성공적으로 보내려면 RADIUS-enabled 서버와 Cisco ISE 사이의 게이트웨이 디바이스에서 동일한 UDP 포트를 통한 통신을 허용해야 합니다.

RADIUS Integration Procedure

Cisco ISE와 RADIUS server를 연동하려면, 아래 메뉴에서 진행할 수 있습니다.

Administration > Identity Management > External Identity Sources > RADIUS Token – Add in the Cisco ISE administrative interface.

이후, 아래 정보들을 입력하세요.

• Server name
• Server connection
  • Type of the token server
  • High-availability settings
  • Primary and secondary server parameters
• Authentication settings (optional)
• Authorization settings (optional)

SAMLv2

SAML(Security Assertion Markup Language)은 XML 기반의 개방형 표준 데이터 형식입니다. SAML을 사용하면 애플리케이션 중 하나에 로그인한 후 정의된 애플리케이션 집합에 원활하게 액세스할 수 있습니다.

SAML은 신뢰할 수 있는 비즈니스 파트너 간의 보안 관련 정보 교환을 설명합니다. 이를 통해 Identity provider(Azure Active Directory)와 Service Provider(Cisco ISE) 간에 보안 authentication 정보를 교환할 수 있습니다.

SAML은 SSO(Single Sign-On)을 용이하게 합니다. SSO를 사용하면 authentication 책임을 Cisco ISE에서 타사 시스템으로 이전할 수 있습니다. Cisco ISE는 네트워크 resource 및 다양한 ISE 포털에 대한 웹 기반 인증에 SSO를 사용할 수 있습니다.

무선 네트워크 액세스를 위해 Azure Active Directory 및 WebAuth(Web Authentication)를 사용하는 SSO 인증의 기본 단계는 다음과 같습니다.

1. 사용자는 SSID 에 연결
2. Cisco ISE는 인증을 위해 사용자를 ISE guest portal 로 보내는 URL redirection 을 진행
3. 사용자가 authentication 에 SSO를 사용하는 옵션을 선택하면 Cisco ISE는 사용자를 Microsoft 로그인 페이지로 보내는 redirection URL을 전송
4. Cisco ISE가 인증을 확인 후 WLC(Wireless Lan Controller)에 CoA(Change Of Authorization)를 전송하여 URL redirection 및 모든 액세스 제한을 제거
5. 네트워크 액세스

Identity provider는 사용자 credential을 저장 및 유효성을 검사하고 service provider가 정의한 resource에 대한 사용자 액세스 권한을 부여하는 SAML 응답을 생성합니다. Authentication 정보는 암호화로 보호되며 Cisco ISE와 identity provider는 certificate를 통해 인증됩니다. Azure Active Directory와 같은 일부 SSO identity provider는 2단계 인증을 적용하도록 허용합니다.

SAML SSO는 identity provider와 service provider 간의 프로비저닝 프로세스의 일부로 메타데이터와 certificate를 교환하여 CoT(Circle of Trust)를 설정합니다. Service provider는 identity provider의 사용자 정보를 신뢰하여 다양한 서비스 또는 애플리케이션에 대한 액세스를 제공합니다.

Cisco ISE 가 제공하는identity providers 리스트 :

• Oracle Access Manager (OAM)
• Oracle Identity Federation (OIF)
• SecureAuth
• PingIdentity
• PingFederate
• Azure Active Directory

SAML SSO 가 제공하는 portal 리스트 :

• Guest portal (sponsored and self-registered)
• Sponsor portal
• My Devices portal
• Certificate Provisioning portal
• Admin portal (Beginning with Cisco ISE version 3.1)

 Identity Source Sequence

Identity source sequence는 Cisco ISE가 서로 다른 database에서 사용자 credential을 찾는 순서를 정의합니다. 사용자 정보를 둘 이상의 database에 저장하는 경우 Cisco ISE가 이러한 database에서 사용자 정보를 확인할 순서를 정의할 수 있습니다. 일치하는 항목이 발견되면 Cisco ISE는 더 이상 search 하지 않습니다. credential을 평가하고 결과를 사용자에게 반환합니다. 이 정책은 "first match" 정책입니다.

그리고 특정 database에 액세스할 수 없는 상황에 대한 Cisco ISE 동작을 구성할 수 있습니다. 사용 가능한 두 가지 설정은 "continue to search other databases" 또는 "stop processing altogether"입니다.

예를 들어 세 개의 database로 구성된 identity source sequence가 있는 경우입니다.

• Active Directory
• LDAP
• Internal identity store

Active Directory database에서 사용자를 찾을 수 없으면 Cisco ISE는 두 번째 source인 LDAP 검색을 진행합니다. LDAP 서버가 다운되어 있고 "Proceed to the next store in the sequence" 옵션이 구성된 경우 Cisco ISE는 세 번째 identity source 옵션으로 돌아갑니다. 이 database에서 사용자를 찾을 수 있고 credential이 일치하므로 인증이 성공합니다.

Identity Source Sequence in Simple Authentication Flow

기본적으로 사용 중인 identity source에 액세스할 수 없으면 처리가 중지되고 Cisco ISE는 sequence의 다른 저장소에 액세스하지 않습니다. 이 동작으로 인해 authentication 상태가 "Process Error"로 설정됩니다. Rollover를 사용하려면 ISS를 구성할 때 고급 검색 목록 설정을 "Treat as if the user was not found and process to the next store in the sequence"로 설정해야 합니다.

앞의 diagram은 간단한 authentication 프로세스에서 identity source sequence를 사용하는 authentication 흐름을 보여줍니다. 이 흐름의 핵심은 특정 identity source에서 사용자를 찾을 수 없는 경우 sequence의 다음 source를 사용하여 인증을 시도한다는 것입니다.

Configuring Identity Source Sequences

Identity source sequences를 추가하려면 아래 메뉴 경로를 참고하세요.

Administration > Identity Management > Identity Source Sequences in the Cisco ISE administrative interface

위 그림은 내부 사용자 database를 보기 전에 Active Directory abc.public을 살펴보는 new ISS를 추가한 것을 보여줍니다. 사용 가능한 identity source가 왼쪽에 나열되어 있고 선택한 source가 오른쪽에 있습니다. 이 경우 내부 사용자 저장소는 Active Directory 저장소 다음에 확인됩니다.

하단의 고급 검색 목록 설정 섹션을 확인하세요. 이 두 가지 옵션은 database에 액세스할 수 없을 때의 동작을 정의합니다.

• Do Not Access Other Stores in the Sequence : 이 옵션은 기본 방법이며 Cisco ISE가 목록 처리를 중지합니다.
• Treat as if the User Was Not Found and Proceed to the Next Store in the Sequence : 이 방법을 사용하면 database에 연결할 수 없는 경우 다음 source로 failover할 수 있습니다.