Esta é uma tradução do documento: 3.4 Identity Management de @Kai Shin (respeitosamente com informações adicionais minhas).

 

Este Artigo é dividido em:

PART I: ISE - Identity Management 

PART II: ISE - Active Directory Identity Source

PART III: ISE - Outros Identity Sources

 

• O que é um Identity Store ?
• Visão Geral de um Identity Source
• Internal Identity Source
• Configurando Password Policy
• Configurando User & Endpoint Identity Groups
• Configurando Users
• Configurando Endpoints

 

Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

 

O que é um Identity Store ?

Um Identity Store é um Database que abriga Credentials de Users ou Endpoints.

Um Identity Store pode ser um Database: Internal ou External.

Um Identity Store pode também ser chamado de Identity Source.

 

Visão Geral de um Identity Source

O Cisco ISE usa uma variedade de Identity Sources para validar Credentials, verificar Group Information e outros User / Endpoint Attributes. O Cisco ISE oferece suporte a Internal / External Identity Sources.

 

 

Características de um Internal Identity Source:

• User: User Identity Information podem incluir Username, Password, Email Address, Account Description, Associated Administrative Goups, User Groups ou Roles.
• Endpoint: Endpoint Identity Information são armazenadas para Devices conectados na Wired, Wireless ou VPN. O Endpoint Identity Store normalmente identifica os Endpoints por seus MAC Addr. As Endpoint Properties armazenadas também podem incluir outras Properties, como Platform e OS Version.

O Cisco ISE oferece suporte às seguintes External Identity Sources:

• Active Directory (Multi-AD): o Cisco ISE usa o Active Directory para acessar informações sobre Users, Systems, Groups e Attributes. O Cisco ISE oferece suporte ao Multi-AD, que permite Multiple Joins em Active Directory Domains sem exigir Trusts específicas entre Domains.
• LDAP: LDAP é um Networking Protocol baseado em padrões usado para consultar e modificar Directory Service. O LDAP pode ser usado para recuperar User identities de Active Directory Servers, bem como de Servers mais antigos, como o Sun Directory Server e o NetIQ eDirectory (Novell eDirectory).
• RADIUS: uma RADIUS Identity Source é uma coleção externa de Subjects e suas Credentials que usa o RADIUS Protocol para comunicação. O Cisco ISE oferece suporte a qualquer Server compatível com RADIUS RFC 2865.
• RSA: RSA SecurID é um Two-Factor Authentication - External Authentication Server que fornece um Dynamic Authentication Code exclusivo para User Authentication.
• SAML: SAMLv2 (Security Assertion Markup Language Versão 2.0) permite a troca de Security Authentication Information entre um IdP (Identity Provider) e um Service Provider (Cisco ISE).
• Certificate: alguns Authentication Methods usam Certificates além ou em vez de Password ou One-Time Password (OTP) -based Authentication. Por exemplo, para usar o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Certificate-based Authentication Method, você deve criar um Certificate Profile.
• Social Login: o Social Login permite que Guest Users façam login na sua rede usando suas Social Media Credentials.
• ODBC: você pode usar um Database compatível com ODBC (Open Database Connectivity) como uma External Identity Source para Authenticate Users & Endpoints. As ODBC Identity Sources podem ser usadas para Identity Store Sequence, Guest & Sponsor Authentication e BYOD Flows. Os Database Engines suportados são MySQL, Oracle, PostgreSQL, Microsoft SQL Server e Sybase.

 

Internal Identity Source

Fornece uma maneira simples de provisionar Users e Endpoints localmente no Cisco ISE por meio de um Internal User Database (chamado de Internal User ou Network Access Users).

Essa abordagem é aplicável a Bancos de Teste, Instalações Temporárias e Implantações em escala muito pequena porque não requer um External Server.

 

 

Um Local Database de User & Device Endpoints é mantido no Primary PAN (Policy Administration Node). O Primary PAN sincroniza o Database com o Secondary PAN e todos os PSNs (Policy Service Nodes).

Para facilitar o gerenciamento de User Accounts, atribua Users a User Groups. Uma User Account contém um conjunto de Properties.

O Password é um parâmetro obrigatório para Internal Cisco ISE Users. Alguns Protocols, como o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou o PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security), não usam Password-based Authentication. Portanto, o Internal Database não funciona com esses Protocols.

O Internal Database pode conter Device Endpoints. Esta configuração é usada para MAB. Para habilitar o MAB com um Internal Cisco ISE Database, você deve definir Endpoints e identificá-los pelos Device MAC Addresses.

 

Configurando Password Policy

Para definir o parâmetro de Password, acesse Administration > Identity Management > Settings > User Authentication Settings > Password Policy.

 

 

A Password Policy para gerenciar o Network Access por User Account é a seguinte:

• Minimum Length: esta opção define o Minimum Length (em Characters) do Password, de 4 a 127 Characters.
• Restrictions: você pode restringir Passwords de conter os seguintes parâmetros: 
  1. Se o Username ou seus Characters estiverem listados em ordem inversa
  2. Se a palavra "cisco" ou suas letras estiverem listadas em ordem inversa
  3. Se as palavras ou Characters definidos pelo Administrator forem listados em ordem inversa
  4. Um Character que é repetido quatro ou mais vezes seguidas
  5. O Default Cisco Definition Dictionary ou um Custom Dictionary de palavras ou Characters listados em ordem inversa.
• Requirements: como parte da sua Password Policy, você pode exigir o seguinte: 
  1. Small Letter
  2. Capital Letter
  3. Number
  4. Non-Numeric Characters
• Password History: esta opção pode ser aplicada ao Password History: 
  1. O Password deve ser diferente da anterior. Este valor pode estar entre 3 e 10.
  2. Delta de alteração de Password (3-10 Characters). Define quantos Characters devem ser diferentes ao alterar uma Password.
  3. Define por quanto tempo após o uso de um Password ele pode ser usado. Esse valor pode estar entre 15 e 365 dias.
• Password Lifetime: selecionar esta opção define as seguintes opções para forçar os Users a alterar suas Passwords após um período de tempo especificado. 
  • O tempo antes que uma User Account seja desabilitada se o Password não for alterado. Este valor pode estar entre 1 e 3650 dias.
  • Notificação antes que o User Account seja desabilitada. Este valor está entre 1 e 3650 dias.
  • Bloqueia ou Suspende Accounts que tiveram tentativas de login incorretas. Este valor pode estar entre 3 e 20 tentativas.

 

Configurando User & Endpoint Identity Groups

Você pode configurar Users & Identity Groups em Work Center > Network Access > ID Groups > Endpoint Identity Groups > Add.

 

 

O Cisco ISE é pré-configurado com Endpoint & User Identity Sets. Há listas separadas para Enpoints e Users. Você pode editar os Default Groups ou definir Custom Groups. A única configuração necessária para um Group é o Name.

 

Configurando Users

Depois que o User Group for definido, você poderá configurar uma User Account. As configurações da User Account podem ser feitas em Work Centers > Network Access > Identities > Network Access Users > Add.

 

 

As User Properties necessárias são Name, Status e Password. A Password é validada em todos os Authentication Methods suportados pelo Internal Database. As Properties opcionais incluem Email Address, User Information, Account Options, Account Deactivation Policy e os Groups aos quais o User pertence. Nas Account Options, você pode definir uma descrição e exigir que o User altere sua Password no próximo Login.

 

Configurando Endpoints

Para configurar Endpoints, vá para Work Centers > Network Access > Identities > Endpoints > Add.

Para implantar o MAB usando um Internal Cisco ISE Database, você deve identificar o Endpoint MAC Address. Se o Endpoint's MAC Address não estiver no Database, a MAB Authentication falhará. Você pode criar o Endpoint manualmente ou importando-o para o Internal Cisco ISE Database.

 

 

Ao configurar um Endpoint, você pode selecionar uma Endpoint Profiling Policy e Identity Group. A atribuição pode ser Static ou Dynamic por meio do Profiler Service. Esse recurso é habilitado por Default com uma Advantage ou Premier License e requer um Application Restart para habilitá-lo ou desabilitá-lo. A Profiler Policy e Identity Group para um Endpoint atribuído estaticamente não são reatribuídos no Cisco ISE Profiler Service.

Você pode importar Endpoints de um arquivo CSV (Comma-Separated Values). Este arquivo lista cada Endpoint MAC Address e sua Profiling Policy correspondente, separados por uma vírgula. O arquivo CSV tem uma Linha de Cabeçalho com Duas Colunas. O Endpoint MAC Address está em uma coluna, e o Endpoint Profiling Policy atribuída a esse Endpoint está na próxima coluna.

Se o arquivo CSV contiver um Endpoint com um MAC Address e a Endpoint Profiling Policy atribuída a esse Endpoint for um Unknown Profile, esse Endpoint será imediatamente Re-Profiled no Cisco ISE com a Endpoint Profiling Policy correspondente. No entanto, o Endpoint não será atribuído estaticamente ao Unknown Profile. Se um Endpoint não tiver um perfil atribuído no arquivo CSV, ele será atribuído ao Unknown Profile. Em seguida, ele será Re-Profiled com a Endpoint Profiling Policy correspondente.