Вы здесь

Cisco Secure Access Solutions 10 Authentication Policies

Как мы уже обсуждали, Authentication - это процесс проверки удостоверения личности.

Когда водителя на дороге останавливает полицейский, он проверяет водительские права: проверяет фотографию, печать, срок действия, на компьютере "пробивает" по базе.
После того как все проверки (идентификации) прошли успешно, можно считать что аутентификация прошла успешно.

И есть большое отличие между Authentication и Authorization.
Приведём еще пример: предположим мы пришли в банк с паспортом и банковской книжкой.
Офисный работник проверяет паспорт и удостоверяется что он ваш, т.е. вы успешно проходите аутентификацию. Но это вовсе не означает что после сверки паспорта вам выдадут какую-то сумму денег. Для этого сотрудник банка должен выполнить следующий шаг: проверить ваш счет или банковскую книжку, т.е. выполнить Authorization.

Authentication Policy

Цель Authentication Policy, как следует из названия - произвести Authentication request. В случае успеха отдать на обработку в Authorization policies. В случае неуспеха ответить отказом.

  1. Проверить и принять только разрешённые протоколы аутентификации. Существуют различные authentication protocols со своими плюсами и минусами. Поэтому выбор конкретного протокола зависит от конкретной ситуации.
  2. Выбрать для проверки нужный identity store. (например локальное хранилище или AD)
  3. Произвести Validate Identity (проверка username и password, проверка сертификатов и т.д.)
  4. Отдать на обработку в в Authorization policies

Понятие Authentication Policy

Authentication Policy расположены здесь:
Policy > Authentication

ISE как и ACS 5.x основаны на политиках. Это подобно access-lists, политики - это список правил, которые обрабатываются в порядке нумерации или с начала до конца.
Политикам характерно правило "first-match", т.е. если условия какого-либо правила удовлетворяют запросу, то это правило активируется, а ниже стоящие правила уже не проверяются.

По умолчанию тут уже создано пара политик.
cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_26_ciscomaster.ru.jpg

Здесь MAB (MAC Authentication Bypass) - используется для разрешения доступа "тупых" устройств, не умеющих применять Dot1.x.

Смысл этих правил в том, что они по атрибутам RADIUS распознают характер запроса.
В случае если это Wired_MAB или Wireless_MAB, для них необходимо просмотреть Identity Store Internal Endpoints.
В случае если это Wired_802.1X или Wireless_802.1X, для них просматривается All_User_ID_Stores.

Пример создания authentication policy Wireless SSID

Данная политика позволит нам определённый SSID аутентифицировать определёнными протоколами:

  • Правило применять только для SSID "ONE"
  • Разрешать только EAP-FAST authentications
  • Использовать EAP chaining
  • Аутентифицировать в AD

cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_27_ciscomaster.ru.jpg

Создаём новую Allowed Protocols:
cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_28_ciscomaster.ru.jpg

cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_29_ciscomaster.ru.jpg
cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_30_ciscomaster.ru.jpg
cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_31_ciscomaster.ru.jpg

В итоге у нас получится правило.
cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_32_ciscomaster.ru.jpg

cisco_secure_access_solutions_09_ustanovka_cisco_identity_services_engine_ise_34_ciscomaster.ru.jpg

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image