在ISE 1.0中,思科引入了集成的Guest解决方案和下一代基于radius的策略服务器。当然,这个政策服务器改变了游戏规则。其他公司应对这种市场变化的模式,采取了一些非常战略性的举措,将自己的棋子置于类似的位置。
图1显示了ISE 1.2.x(及以下)赞助商组策略的示例。
亚伦·t·Woland
图1 - 1.0 - 1.2。x资助政策
虽然ISE 1.0过去和现在都是一个非常强大的策略服务器,但它也被认为过于复杂,在Guest生命周期管理方面不够灵活。在与ISE在客户访问管理领域的最接近的竞争对手进行比较时,情况尤其如此。
“所以,让这个人说:手套被抛出,但[思科]已经回答了,并随着活力的回答。“-杰拉德·兰博《心灵捕手
ISE 1.3引入了一个完全重写的Guest解决方案,极大地简化了部署,并允许高级定制。事情已经大大简化了,但不幸的是,与此同时一些电力也失去了。
这个博客将专注于一个丢失的一个特定的功能,并且在我的一位同事们的同事克雷格·百下,已经设计了一个辉煌的工作。
缺少的功能
ISE客户解决方案使用赞助商组来规定员工将拥有的权限。换句话说,赞助商组确定可以创建哪些类型的访客用户,如果允许赞助商从ISE 1.2.x从ISE 1.0允许创建随机/批量帐户等,则这些帐户可以处于活动状态。ISE管理员如果...然后......确定员工应映射到员工的策略类型,可以构建非常复杂的策略。要提供一些我的陈述清晰度,让我们把它放进一个...那个......然后...格式:
如果名为Manager的LDAP / AD属性是肯定的
然后将它们分配给ISE中的Manage_All_Accounts Sponsor组。
elsefif命名管理员的LDAP / AD属性是否
然后将它们分配给ISE中的Manage_Own_Accounts赞助组。
在ISE 1.3中,它被巨大简化,因为(虽然它是强大的),但是,管理员弄清楚也非常复杂。但是,在简化过程中,还删除了一些电源。
经过广泛的客户访谈和规划,设计决策通过映射到外部标识存储中的组来简化外部用户(即存在于Active Directory (AD)或LDAP中的用户帐户)的Sponsor Group成员资格。为了让我的声明更清晰,让我们将其放入IF…然后……格式:
如果赞助商是广告组的成员,名为“Sponsorall”
然后将它们分配给ISE中的Manage_All_Accounts Sponsor组。
elessif赞助商是广告集团名为“sponsorown”的成员
然后将它们分配给ISE中的Manage_Own_Accounts赞助组。
图2显示了ISE 1.3和1.4中的新简化的赞助商模型。
亚伦·t·Woland
图2 - 1.3 - 1.4赞助政策
因此,您可以看到在Active Directory中非常常见的外部身份的映射背后的逻辑,以及对员工创建Guest帐户的权限的本地赞助商组存在。对于90%至95%的环境,这种类型的映射是完美的。但是,还需要一些实例,其中需要查看属性的额外力量而不是组。
“简单是关键“-Ritchie Blackmore.
很快,如果简单起见是有史以来最伟大的音乐家之一,也许这使得Craig Hisps“网络访问的Ritchie Blackmore”:)。在我10年的与他合作中,他永远不会让我厌恶我能够提出的一些创意解决方法,而这篇博客可以详细说明其中一个明显简单的解决方法。
克雷格的辉煌但简单的工作
基本上,这个谜题的答案就是“对伊势撒谎”.配置一个指向LDAP服务器的新LDAP Identity Source,但将组字符串配置为您想要使用的LDAP属性,而不是实际的组。考虑一下,它将把属性视为组名,而将属性的值视为“成员”。
用上面的例子,它的意思是IF…然后……逻辑是这样的:
IF赞助商的团体中有一个成员名为“Yes”
然后将它们分配给ISE中的Manage_All_Accounts Sponsor组。
elestif赞助商的团队有一个名为“否”的成员
然后将它们分配给ISE中的Manage_Own_Accounts赞助组。
通过这种方式,ISE认为有命名为Yes和No的组,这将是ISE GUI中的选择。
让我们来配置这个
为了简单起见,我向LDAP服务器(Active Directory)中的现有属性添加了Yes或No值。我使用Job Title字段,它通过LDAP转换为“Title”属性。图3显示了我正在使用的图形化Job Title字段。
亚伦·t·Woland
图3 -作业标题属性
当然,大多数组织都会使用自定义属性,如“Manager”或“isManager”,或类似的东西。然而,为了使这个示例保持简单,我只是重用了现有的属性“title”。
现在,我们需要在ISE中创建一个新的LDAP身份商店,只需与赞助商门户登录一起使用。
导航:管理>身份管理>外部标识源> LDAP.点击添加.
提供一个名称,以帮助您稍后确定该名称仅用于赞助商门户登录。您将在图4中看到,我使用了“SecurityDemo_Sponsor”,其中_Sponsor后缀帮助我记录为什么存在这个Identity Store。
选择“基本架构”以开始(我使用Active Directory),如图4所示。然后修改组objectClass和组映射属性字段为您映射到的LDAP属性。选择主题对象包含对组的引用非常重要。这是一个选项,即将告诉LDAP连接器在主题(用户帐户)中查找该组的选项。
亚伦·t·Woland
图4 - LDAP常规选项卡
您必须使用正确的IP地址和LDAP绑定的凭据填写Connection选项卡。这在本场景中没有什么不同,所以我将跳过该选项卡。但是,在保存连接之前,需要使用目录组织选项卡。图5显示了示例Directory Organization选项卡。
亚伦·t·Woland
图5 - LDAP目录组织
接下来是Groups选项卡。通常,您可以在目录中搜索并添加组。这在这种情况下是行不通的。您必须手动输入值(Yes, No)。点击添加.
添加要映射到的属性(一次)添加每个值(一次)并单击行.在我们的示例中,标题的价值只能是肯定或否,其中yes意味着它们完全赞助,并不意味着它们会得到有限的赞助能力。图6显示了已添加“是”组的“y”组的组选项卡,并添加“否”组。
亚伦·t·Woland
图6 - LDAP组
LDAP部分已经完成。别忘了点击保存什么时候完成!现在您需要配置赞助商门户以使用新的LDAP连接。默认情况下,Sponsor Portal将使用名为“sponsor_portal_sequence”的标识源序列(ISS)。您需要确保在此序列中使用刚刚创建的新的LDAP身份源。
导航:管理>身份管理>身份源序列并点击sponsor_portal_sequence.编辑它。确保新_ponsor身份源位于列表中,并且原始LDAP连接不是。图7显示了ISS。
亚伦·t·Woland
图7 - 赞助商标识源序列
别忘了点击保存当你完成的时候!现在您需要将正确的赞助商分配给赞助商组。导航来宾访问>配置并选择左侧的赞助商组。
选择正在配置的Sponsor组,或创建一个新组。单击成员按钮。根据LDAP属性选择新的“组”。在这个例子中,我选择了SecurityDemo_LDAP:是的因为这是All_Accounts赞助组,我希望经理们成为这个赞助组的一部分。图8显示了添加到Sponsor group的“Yes”组。
亚伦·t·Woland
图8 - 赞助商组
别忘了点击保存当你完成的时候!对每个需要添加成员的Sponsor组重复此过程。
Th-Th-Th-That的所有人!- 猪猪