External Authentication

대부분의 기업은 사용자 계정과 속성을 저장하는 외부 저장소가 있는 확장 가능한 authentication framework를 배포합니다. 이 프로세스를 통해 여러 시스템이 중앙 집중식 단일 데이터베이스에 액세스하여 원하는 정보를 요청할 수 있습니다. 외부 identity source는 고가용성 authentication 솔루션을 제공하기 위해 이중화 방식으로 구성됩니다.

외부 identity source를 사용하도록 Cisco ISE를 구성할 때 다음 항목을 고려해야 합니다.

• Cisco ISE는 단일 authentication source 또는 sequencial authentication source에 대해 클라이언트를 authentication 할 수 있습니다.
• 지원되는 외부 authentication source에는 AD(Active Directory), LDAP(Lightweight Directory Access Protocol), RADIUS, Secure RSA 서버 및 SAML identity 공급자가 포함됩니다. 인증서 서비스 및 소셜 미디어 자격 증명을 통해 사용자를 검증할 수도 있습니다.
• MySQL, Oracle, Microsoft SQL 서버등과 같은 ODBC(Open Database Connectivity) 호환 데이터베이스 서비스를 사용할 수도 있습니다. ODBC 호환 데이터베이스를 외부 identity source로 사용하는 방법에 대한 자세한 내용은 Cisco ISE Administrator Guide Release 2.2 이상의 "Manage Users and External Identity Sources" 장에서 확인할 수 있습니다.
• Cisco ISE에서는 "IP" 속성 형태의 수동으로 추가하고 사용자를 인증할 때 IPv4 또는 IPv6 주소로 Active Directory 및 LDAP 서버를 구성할 수 있습니다.
• Cisco ISE는 network address translator 뒤에 있고 NAT 주소가 있는 서버는 지원하지 않습니다. 필요한 개방형 포트를 포함하여 Microsoft Active Directory를 Cisco ISE와 통합하기 위한 사전 요구 사항에 대한 자세한 내용은 최신 Cisco ISE Administrator Guide를 참조하세요.
  
  Active Directory Overview

Active Directory는 네트워크 사용자 및 디바이스 정보를 위한 저장소입니다. 계층적 형식, 사용자 또는 장치의 논리적 그룹을 포함하고 관리자가 사용자, 네트워크 장치 및 개체 그룹에 권한을 할당할 수 있는 널리 배포된 디렉토리 구조입니다.

Cisco ISE를 Active Directory와 통합할 때 Active Directory에는 정확한 시간이 필요하다는 점에 유의하십시오. Cisco ISE와 domain 컨트롤러의 시간은 서로 5분 이내여야 합니다. Cisco ISE의 시간이 Active Directory 시간과 5분 이상 차이나면 ISE가 domain에서 제거되고 identity 확인이 실패할 수 있습니다. Active Directory에서 사용하는 것과 동일한 NTP(Network Time Protocol) source를 사용하는 것이 좋습니다.

Cisco ISE와 Active Directory 사이에 방화벽이 있는 경우, ISE와 Active Directory 간의 통신이 차단되지 않았는지 확인해야 합니다. 방화벽에서 Active Directory 통신과 관련된 모든 포트가 열려 있는지 확인하고 NAT(Network Address Translation)가 사용되지 않는지 확인합니다.

Identity 정보는 개체로 알려진 개별 entities로 Active Directory에 저장됩니다. 개체는 서버, 프린터, 클라이언트 PC 및 사용자 계정과 같은 네트워크 entities를 나타냅니다. 이 디렉토리 구조를 사용하면 유사한 권한, 기능 또는 위치를 공유하는 개체를 그룹화할 수 있습니다. 사용자 및 장치 권한은 구성된 회사 정책을 기반으로 합니다.

Active Directory는 DNS(Domain Name System)와 유사한 tree형 토폴로지 구조를 사용합니다. Active Directory에는 다음과 같은 계층이 포함되어 있습니다.

• Forest : Active Directory의 최상위 수준입니다. Forest에는 하나 이상의 tree가 포함되며, 동일한 forest 내의 모든 개체는 동일한 글로벌 카탈로그, 디렉토리 스키마, 논리 구조 및 디렉토리 구성을 공유합니다.
• Tree : Tree는 신뢰할 수 있는 관계를 공유하는 하나 이상의 domain의 모음입니다.
• Domain : Domain은 동일한 데이터베이스를 공유하는 개체의 그룹입니다. Domain에는 논리적으로 Organizational Unit로 그룹화된 다양한 개체가 포함될 수 있습니다.
• Organizational Unit : Organizational Unit는 domain 내의 개체를 논리적으로 그룹화한 것입니다. Organizational Unit는 네트워크 설계에 따라 구성됩니다. Organizational Unit는 동일한 회사 그룹의 사용자 모음, 동일한 클러스터의 서버, 같은 층의 프린터 또는 기타 회사에서 중요하게 여기는 모든 그룹이 될 수 있습니다.
• Object : Active Directory의 개체는 디렉토리 내에 통합된 모든 사용자, 클라이언트 PC, 네트워크 서버, 프린터 또는 기타 장치입니다.

Active Directory-Supported Authentication Methods

Active Directory는 네트워크 액세스를 인증하는데 사용되는 일반적인 방법을 제공합니다.

Active Directory를 외부 authentication source로 사용하는 경우 Cisco ISE는 다음 authentication 프로토콜을 지원합니다.

• PAP(Password Authentication Protocol)
• Microsoft Challenge Handshake Authentication Protocol versions 1 과 2 (MS-CHAPv1, MS-CHAPv2)
• Extensible Authentication Protocol variations (EAP-TLS, EAP-TTLS, LEAP, EAP-FAST, PEAP, and EAP-GTC)

Integrating Cisco ISE with Active Directory

Cisco ISE는 사용자, 머신, 그룹 및 속성과 같은 리소스에 액세스하기 위해 외부 identity source로서 Active Directory를 사용합니다. 사용자와 머신을 authentication하도록 Cisco ISE를 구성할 수 있습니다.

Multidomain Join Points in Active Directory

Cisco ISE는 domain 간에 트러스트 관계를 설정할 필요 없이 여러 Active Directory domain과의 통합을 지원합니다.

Cisco ISE가 독립적인 Active Directory 서버에 가입할 수 있게하는 기능을 join points 라고 합니다. 단방향 트러스트 관계를 구성하고 여러 자격 증명을 사용하여 이러한 join points을 설정할 수 있습니다.

Cisco ISE는 서버 간에 "양방향 트러스트"를 설정하지 않고도 최대 200대의 Active Directory 서버 구성을 지원합니다. 이 구성을 사용하면 Cisco ISE는 권한 문제를 우회하면서 각각 단방향 트러스트를 사용하여 여러 domain에 동시에 가입할 수 있습니다.

Multi Domain join 기능을 사용하면 별도의 Active Directory domain 집합을 가질 수 있습니다. 각 domain에는 각각의 개별 join을 위한 자체 그룹, 속성, 해당 authorization 정책 및 여러 condition이 있습니다.

Identity Rewrite

Identity Rewrite는 Cisco ISE가 들어오는 요청의 사용자 이름을 수정하여 필요한 형식으로 Active Directory로 보낼 수 있는 고급 기능입니다. 또한 인증서의 identity를 다시 작성하고 잘못 프로비저닝된 인증서가 있는 요청을 처리할 수도 있습니다. 수신 사용자 이름 또는 컴퓨터 이름에 대해 클라이언트로부터 또는 인증서 내부로부터의 수신 사용자 이름 또는 컴퓨터 이름에 대해 동일한 identity rewrite 규칙을 적용할 수 있습니다.

Identity rewrite 옵션은 모호성 문제를 해결할 수 있으며 domain 접두사 또는 원하는 기타 마크업을 포함하거나 제외할 수 있습니다. 예를 들어 domain1.local\msmith를 msmith@domain.local 로 다시 작성할 수 있습니다.

Identity rewrite 규칙이 적용되면 조정된 subject identity는 해당 세션에 대한 모든 상호 작용을 위해 Cisco ISE의 identity store component에서 Active Directory 커넥터로 전달됩니다. 이러한 상호 작용에는 subject 검색, authentication 및 authorization 쿼리가 포함됩니다. Cisco ISE는 condition 토큰을 일치시킵니다. 첫 번째 토큰이 일치하면 정책 처리가 종료되고 결과에 따라 identity문자열이 다시 작성됩니다.

Identity rewrite 규칙은 항상 Active Directory join points의 컨텍스트 내에서 적용됩니다. Authentication 정책의 결과로 범위가 선택된 경우에도 각 Active Directory join points에 대해 rewrite 규칙이 적용됩니다.

Active Directory Diagnostics

Cisco ISE 진단 도구는 문제 해결을 위한 단계별 가이드 역할을 합니다. 이 서비스는 Active Directory domain에 가입한 모든 Cisco ISE 노드에서 실행되며, 기능 또는 성능 문제를 일으킬 수 있는 문제를 감지하는 테스트를 실행할 수 있습니다.

Cisco ISE가 Active Directory에 가입하거나 authentication 할 수 없는데에는 여러 가지 이유가 있을 수 있습니다. 진단 도구는 Cisco ISE를 Active Directory에 연결하기 위한 전제 condition이 올바르게 구성되었는지 확인합니다. 또한 네트워킹, 방화벽 구성, 시간 동기화, 사용자 authentication 등의 문제도 감지합니다.

Cisco ISE 진단 도구에서 수행하는 테스트는 다음과 같습니다.

• Kerberos 는 Active Directory에 대한 SASL 연결 확인 : SASL(Simple Authentication and Security Layer) 메커니즘을 사용하여 Active Directory에 대한 보안 연결을 확인합니다.
• Kerberos 는 obtaining join point TFT 테스트 : Join points에서 TGT(Ticket Granting Tickets) 획득 프로세스를 테스트합니다.

Cisco ISE 진단 도구를 사용하여 문제를 해결하려면 ISE 관리 인터페이스에 액세스하여 다음 단계를 수행합니다.

1. Administration > Identity Management > External Identity Sources > Active Directory.
2. Advanced Tools 클릭Diagnostic Tool 선택
3. (Optional) Diagnosis 하려는Cisco ISE node 선택. 만약 Cisco ISE node를 선택하지 않으면, 모든 nodes 가 테스트됨
4. (Optional) 특정 Active Directory join point 선택. 만약 Active Directory join point를 선택하지 않으면, 모든 join points 가 테스트됨
5. Run All Tests 클릭
6. 모든 테스트가 완료되면,테스트 summary 링크를 클릭하여 Warning 혹은 Failed 상태의 테스트 정보를 확인할 수 있습니다.