Identity Services Engine (ISE) en actieve
adrescommunicatie (AD); Protocols, filters en Flow.
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten AD-protocollen
Kerberos-protocol MS-RPC-protocol
ISE-integratie met actieve map (AD) Doe mee met ISE naar AD
Voer een AD-domein in AD-domein verlaten DC-failover
ISE-AD-communicatie via LDAP
Verificatie door gebruiker tegen AD-stroom:
ISE-zoekfilters
Inleiding
In dit document wordt beschreven hoe Identity Services Engineer(ISE) en Active Directory(AD) communiceren en welke protocollen gebruikt worden. Het bestrijkt tevens AD-filters en -stromen.
Voorwaarden
Vereisten
Cisco beveelt aan dat u basiskennis hebt van:
ISE 2.x en Active Directory-integratie .
●
Externe identiteitscontrole op ISE.
●
Gebruikte componenten
ISE 2.x.
●
Windows Server (actieve map).
●
AD-protocollen
Kerberos-protocol
De naam van het protocol van Kerberos is gebaseerd op de driehoeksfiguur uit de Griekse mythologie die bekend staat als Kerberos. De drie koppen van Kerberos omvatten het Key Distribution Center (KDC), de clientgebruiker en de server met de gewenste service voor toegang.
De KDC is geïnstalleerd als deel van de Domain Controller (DC) en voert twee servicetaken uit:
De verificatieservice (AS) en de Ticket-Granting Service (TGS). Zoals in afbeelding 1 wordt geïllustreerd, zijn er drie beurzen betrokken wanneer de klant aanvankelijk toegang heeft tot een serverbron:
AS Exchange.
1.
TGS Exchange.
2.
Client/Server (CS) exchange.
3.
Domain Controller = KDC (AS + TGS).
●
Verifieer het AS (het SSO-portal) met uw wachtwoord.
●
Neem een Ticket Granting Ticket (TGT), een sessie koekje.
●
Meld u aan bij een service (SRV01).
●
SRV01 "omwijst" u naar KDC.
●
TGT aan KDC tonen - Ik ben al echt bevonden.
●
KDC geeft u TGS voor SRV01.
●
"Omleiden" naar SRV01.
●
Servicetoets naar SRV01 tonen.
●
SRV01 verifieert/vertrouwt het servicetarief.
●
Ik heb al mijn informatie.
●
SRV01 logt me in.
●
Wanneer gebruikers eerst op een netwerk inloggen, moeten gebruikers eerst onderhandelen over toegang door een inlognaam en een wachtwoord in te voeren om door het AS-gedeelte van een KDC binnen hun domein te kunnen worden geverifieerd. De KDC heeft toegang tot informatie over de gebruikersaccount van de actieve map. Zodra voor echt verklaard is, krijgt de gebruiker een Sticket om Tickets (TGT) te krijgen die voor het lokale domein geldig is. De TGT heeft een standaardlevensduur van 10 uur en kan tijdens de loginsessie van de gebruiker worden verlengd zonder dat de gebruiker het wachtwoord opnieuw hoeft in te voeren. De TGT wordt op de lokale machine in een vluchtige geheugenruimte gecached en gebruikt om sessies met services door het netwerk te vragen. Het volgende is een discussie over het TGT-herstelproces.
De gebruiker presenteert de TGT aan het TGS gedeelte van de KDC wanneer hij toegang tot een serverdienst wenst. De TGS op de KDC authenticeert de TGT van de gebruiker en creëert een kaartje en sessie sleutel voor zowel de client als de afstandsserver. Deze informatie, die bekend staat als het serviceticket, wordt dan lokaal opgeslagen op de clientmachine.
De TGS ontvangt de TGT van de cliënt en leest deze met behulp van zijn eigen sleutel. Als de TGS het verzoek van de cliënt goedkeurt, wordt een dienstticket gegenereerd voor zowel de cliënt als de doelserver. De client leest zijn deel met behulp van de TGS-sessiesleutel die eerder uit het AS-antwoord is opgehaald. De client presenteert het servergedeelte van het TGS antwoord naar de doelserver in de client/server exchange die hierna komt.
Hieronder staat een voorbeeld bij het toepassen van testgebruiker op ISE waarbij Kerberos wordt gebruikt:
Packet Captures van ISE voor een gebruiker die met succes echt verklaard is:
AS-REQ bevat de gebruikersnaam, als het wachtwoord juist is de AS-service ons een TGT- versleuteld met een gebruikerswachtwoord geeft en daarna de TGT-service aan de TGT-service wordt verstrekt om een sessieticket te bemachtigen, zodra u een sessie hebt, wordt de verificatie succesvol uitgevoerd.
Hieronder staan opnamen voor het scenario waarin het wachtwoord dat door de klant is gegeven, onjuist is:
Zoals u hebt gezien als het wachtwoord fout is, wordt het AS-verzoek mislukt, dus krijgt u geen TGT:
logt in op het bestand ad_agent.log wanneer het wachtwoord verkeerd is:
2020-01-14 13:36:05,442 DEBUG, 140574072981248,krb5: Verzendverzoek (276 bytes) naar RALMAAIT.COM voor user1@RALMAAIT.COM,
LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUG, 140574072981248,krb5: Ontvangen fout van KDC: -
1765328360/Verificatie vooraf mislukt, LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325 2020-01-14 13:36:05,444 DEBUG, 140574072981248,krb5: Preauth probeert invoertypen: 16, 14, 19, 2,LWrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 WAARSCHUWING,140574072981248,[LwKrb5GetTgtImpl
../../lwadvapi/threaded/krbtgt.c:329] KRB5 foutencode: -1765328360 (Bericht: Verificatie vooraf mislukt), LwTranslateKrb5Error(),lwadvapi/threaded/lwkrb5.c:892
2020-01-14 13:36:05,444 DEBUG,
140574072981248,[LwKrb5InitializationUserLoginCredentials()] foutencode: 40022 (symbool:
LW_FOUT_PASSWORD_MISMATCH), LWKrb5InitializedUserLoginCredentials(), lwadvapi/threaded/lwkrb5.c:1453
MS-RPC-protocol
ISE gebruikt MSRPC over het midden van het MKB, biedt de authenticatie en vereist geen afzonderlijke sessie om te vinden waar een bepaalde RPC-service is gelokaliseerd, het gebruikt een mechanisme dat "genoemde pijp" wordt genoemd om tussen de client en server te communiceren.
de stroom is als volgt :
Maak een sessieverbinding van MKB.
●
RPC-berichten verzenden via SMB/CIFS.TCP poort 445 als transport
●
De zitting van Cisco vereist om uit te vinden op welke haven de dienst RPC draait en ook gebruikersauthenticatie behandelt.
●
Connect met verborgen delen IPC$ voor communicatie tussen processen.
●
Open een geschikte buis voor de gewenste RPC bron/functie.
●
Transformeer de RPC-uitwisseling via het MKB.
Het onderhandelen protocol verzoek/antwoord onderhandelt over het dialect van het MKB, het verzoek/de reactie van de sessieopstelling voert de authenticatie uit. Tree Connect Application en Response verbinden met de gevraagde resource. U sluit aan op een speciale aandeel IPC$, dit interprocescommunicatie-aandeel voorziet in het communicatiemiddel tussen hosts en ook als transport voor MSRPC-functies.
Dan bent u op het pakje #77 waar het Aanvraagbestand maken is en de bestandsnaam de naam is van de service waar u verbinding mee maakt, in dit geval is het de netwerkverbinding service.
Nu bent u op pakketten 83 en 86, is het verzoek om Netto-aanmeldingSamLogonEX waar u de gebruikersnaam voor de client die op ISE voor de authenticatie aan de AD op het veld Network_INFO, het antwoordpakketantwoord op NetLogSamLogonEX met het resultaat stuurt, een paar vlaggenwaarden voor de projector
NetLogSamLogonEX respons betekent:
0xc00006a is STATUS_WRONG_WASSWORD 0x00000000 is STATUS_SUCCESS
0x00000103 is STATUS_PENDING
ISE-integratie met actieve map (AD)
ISE zal gebruik maken van LDAP, KRB en MSRBC om met AD te communiceren tijdens het proces van lidmaatschap/vertrek en authenticatie. In de volgende secties vindt u de protocollen, het doorzoeken van formaat en het mechanisme dat wordt gebruikt om verbinding te maken met een specifieke DC op AD en het authentiseren van de gebruikers tegen die DC. Indien de DC om welke reden dan ook offline wordt, zal ISE uitvallen op de volgende beschikbare DC en zal het authenticatieproces niet worden beïnvloed.
Doe mee met ISE naar AD
Voorwaarden voor het integreren van actieve map en ISE
Zorg ervoor dat u de rechten hebt van een Super Admin of de Systeembeheerder in ISE.
1.
Gebruik de instellingen van de NTP-server (Network Time Protocol) om de tijd tussen de Cisco-server en de actieve map te synchroniseren. Het maximaal toegestane tijdsverschil tussen ISE en AD is 5 minuten
2.
De geconfigureerde DNS op ISE moet in staat zijn om SRV-vragen voor DC’s, GC’s en KDC’s te beantwoorden met of zonder aanvullende Site-informatie.
3.
Opmerking: Een Global Catalog Server (GC) is een domeincontroller die kopieën van alle Active Directory-objecten in het bos opslaat. Het slaat een volledig exemplaar van alle objecten in de folder van uw domein op en een gedeeltelijk exemplaar van alle objecten van alle andere bosgebieden. Dus staat de Global Catalog gebruikers en toepassingen toe om objecten in elk domein van het huidige bos te vinden door te zoeken naar eigenschappen die bij GC inbegrepen zijn. De Global Catalog bevat een basisreeks (maar onvolledige) eigenschappen voor elk bosobject in elk domein (reeks Partial Attribution, PAT). De GC ontvangt gegevens van alle delen van de domeinfolder in het bos, worden gekopieerd met behulp van de standaard AD replicatieservice. voor meer informatie kunt u https://theitbros.com/global-catalog-active-directory/ raadplegen .
Zorg ervoor dat alle DNS-servers vooruit kunnen antwoorden en DNS-vragen kunnen terugdraaien voor elk mogelijk DNS-domein dat u wilt gebruiken.
4.
AD moet minimaal één wereldwijde catalogusserver gebruiksklaar en toegankelijk hebben van Cisco, in het domein waar u zich bij Cisco aansluit.
5.
Voer een AD-domein in
Eerst zal ISE Domain Discovery toepassen om informatie over het aansluiten van een domein in drie fasen te verkrijgen:
Querijen gingen gepaard met domeinen—ontdekt domeinen van zijn bos en domeinen extern betrouwbaar aan het aangesloten domein.
1.
Queries van wortelgebieden in zijn bos—gevestigde bedrijven vertrouwen met het bos.
2.
Bedoelt worteldomeinen in vertrouwde bossen—ontdekt domeinen van de vertrouwde bossen.
3.
Daarnaast detecteert Cisco ISE DNS-domeinnamen (UPN-suffixen), alternatieve UPN- achtervoegingen en NTLM-domeinnamen.
4.
Vervolgens zal ISE een DC-ontdekking toepassen om alle informatie over de beschikbare DC’s en GC’s te verkrijgen, en gaat zij als volgt te werk:
Het begin van het aansluiten zal worden begonnen door de geloofsbrieven van super admin op AD in te voeren die in het domein zelf bestaan. Als deze optie in een ander domein of subdomein bestaat, moet de gebruikersnaam in een UPN-notatie (username@domain) genoteerd worden.
1.
ISE zal een DNS-query sturen waarin wordt gevraagd naar alle DC’s, GC’s en KDC’s records als het DNS-antwoord er geen van had in zijn antwoord, dan zal de integratie mislukt zijn met een DNS-gerelateerde fout.
2.
ISE zal de CLDAP-ping gebruiken om alle DC's en GC's te ontdekken door een CLDAP- aanvraag naar de DC's te sturen overeenkomstig hun prioriteiten in de SRV-record; de eerste DC-respons zal worden gebruikt en ISE zal met die DC worden verbonden. Eén van de factoren die gebruikt werden om de DC-prioriteit te berekenen, is de tijd die de DC neemt om te reageren op CLDAP-pings; een snellere reactie krijgt een hogere prioriteit .
3.
Opmerking: CLDAP is het mechanisme dat ISE gebruikt om connectiviteit met de DC's op te zetten en te onderhouden. Het meet de responstijd tot het eerste DC-antwoord. Het mislukt als je geen antwoord van DC ziet. Waarschuwen als de responstijd groter is dan 2,5 seconden. CLDAP ping all DC's in site (Als er geen site is, dan alle DC's in domein). De CLDAP-respons bevat DC-site en -clientlocatie (bijvoorbeeld de locatie waaraan de ISE- machine is toegewezen).
Vervolgens krijgt ISE TGT met de aanmeldingsgegevens van 'meedoen'.
4.
Generate ISE machine account name met MSRPC. (SAM en SPN) 5.
Zoeken op AD door SPN als ISE-computeraccount al bestaat (bijvoorbeeld vooraf gemaakt), als ISE-machine nog niet bestaat, maakt ISE een nieuwe account (in de volgende sectie vindt u een korte beschrijving van SPN en SAM).
6.
Open Machine-account, stel ISE-wachtwoord voor computeraccount in en controleer of de ISE-computeraccount toegankelijk is.
7.
Eigenschappen van ISE-computeraccount (bijvoorbeeld: SPN, dnsHostname, enz.).
8.
Ontvang TGT met ISE machine geloofsbrieven met KRB5 en ontdek alle vertrouwde domeinen.
9.
Wanneer de verbinding is voltooid, werkt ISE-knooppunt zijn AD-groepen en corresponderende SIDS bij en wordt automatisch het SID-upproces gestart. U moet ervoor zorgen dat dit proces aan de AD-zijde kan worden voltooid.
10.
AD-domein verlaten
Wanneer ISE de onderstaande AD verlaat, moet u rekening houden met:
U moet een volledige AD-beheerder gebruiken om de verloopprocessen uit te voeren, dit zorgt ervoor dat de ISE-machineaccount uit de Active Directory-database wordt verwijderd.
1.
Als de AD zonder aanmeldingsgegevens is verlopen, wordt de ISE-account niet uit het AD verwijderd en moet u de account handmatig verwijderen.
2.
Wanneer u de ISE-configuratie terugstelt uit de CLI of de configuratie na een back-up of upgrade herstelt, wordt een functie voor het verlaten uitgevoerd, waarbij het ISE-knooppunt wordt losgekoppeld van het Active Directory-domein, als er al een verbinding is gemaakt met het ISE-knooppunt. De ISE-notenaccount is echter niet verwijderd uit het domein van de actieve map. u raadt aan om een functie voor het verlaten van het Admin-portaal uit te voeren met de actieve directory-referenties, omdat de Notenaccount ook uit het domein van de Actieve Map wordt verwijderd. Dit wordt ook aanbevolen wanneer u de ISE hostname wijzigt.
3.
DC-failover
Wanneer de DC die op ISE is aangesloten offline of onbereikbaar wordt om welke reden dan ook, zal DC-failover automatisch op ISE worden geactiveerd. DC-failover kan worden geactiveerd door de volgende voorwaarden:
De AD-connector detecteert momenteel geselecteerde DC die niet beschikbaar is tijdens een poging om communicatie van CLDAP, LDAP, RPC of Kerberos te realiseren. In dergelijke gevallen start de AD-connector DC-selectie en valt deze niet over op de nieuw geselecteerde DC.
1.
DC is ingeschakeld en reageert op CLDAP-ping, maar AD-connector kan er om de een of andere reden niet mee communiceren (bijv. RPC-poort is geblokkeerd, DC is in 'kapotte replicatie'-toestand, DC is niet correct buitengesloten, etc.). In dergelijke gevallen initieert de AD-connector DC-selectie met een zwarte lijst ("bad" DC wordt in de zwarte lijst geplaatst) en probeert deze te communiceren met de geselecteerde DC. Noch de DC die is geselecteerd met de zwarte lijst, noch de zwarte lijst is gecached.
2.
AD-connector moet failover binnen redelijke tijd voltooien (of falen als dit niet mogelijk is). Om deze reden probeert de AD-connector het beperkte aantal DC’s tijdens een failover ("probeert" het aantal DC’s uit DC-selectie en probeert ermee te communiceren). ISE zal AD Domain Controllers scannen als er een niet-herstelbare netwerk- of serverfout is zodat ISE geen slechte DC gebruikt, waardoor de aankooptijd en hoofdpijn worden beperkt. Houd in gedachten dat DC niet aan de zwarte lijst zal worden toegevoegd indien deze niet reageert op CLDAP-pings, maar ISE zal alleen de prioriteit van de DC verlagen die niet reageert.
ISE-AD-communicatie via LDAP
ISE zoekt naar machine of gebruiker in AD met behulp van een van de onderstaande zoekformaten. Als de zoekmachine naar deze machine is gegaan, voegt ISE aan het einde van de machinenaam "$" toe. Hieronder staat een lijst met identiteitstypen die worden gebruikt om een gebruiker in AD te identificeren:
SAM-naam: Gebruikersnaam of machinenaam zonder domeinmarkering, dit is de gebruikerslognaam in AD.
●
Voorbeeld: sajeda of sajeda$
GN: is de naam van het gebruikersdisplay op het tabblad Besturing, dit mag niet hetzelfde zijn als de modus SAM.
●
Voorbeeld: Sajeda Ahmed.
Gebruikersnaam (UPN): is een combinatie van de SAM-naam en de domeinnaam (SAM_NAME@domian).
●
Voorbeeld: sajeda@cisco.com of sajeda$@cisco.com
Alternatief UPN: is een extra en/of alternatief UPN-suffixen dat in het AD anders dan de domeinnaam zijn ingesteld. Deze configuratie wordt mondiaal toegevoegd in de AD (niet ingesteld per gebruiker) en is niet nodig om een echte domeinnaamsuffix te zijn. Elke AD kan UPN suffix (@alt1.com,@alt2.com,..., etc) hebben vermenigvuldigd.
●
Voorbeeld: main UPN (sajeda@ciso.com), alternatief UPN: sajeda@aaa.com, sajeda@ise.com Vooraf ingestelde Netoverheid naam: is de domeinnaam\gebruikersnaam van de machinenaam.
●
Voorbeeld: CISCO\sajeda of CISCO\machine$
Host/prefix met onbevoegde machine: dit zal worden gebruikt voor machineverantwoording wanneer alleen de machinenaam wordt gebruikt, maar alleen de host/machine naam.
●
Voorbeeld: host/machine
Host/prefix met volledig gekwalificeerde machine: dit zal worden gebruikt voor machineverantwoording wanneer de machine FQDN wordt gebruikt, gewoonlijk in het geval van certificatie, zal het host/FQDN van de machine zijn
●
Voorbeeld: host/machine.cisco.com
SPN-naam: De naam waarmee een cliënt een uniek geval van een dienst identificeert, bijvoorbeeld HTTP, LDAP, SSH, etc. die alleen voor machine wordt gebruikt.
●
Verificatie door gebruiker tegen AD-stroom:
Oplossen van identiteit en type identiteit bepalen - SAM, UPN, SPN enzovoort. Als ISE de identiteit alleen als gebruikersnaam ontvangt, zoekt zij naar een bijbehorende SAM-account in de AD. Als ISE de identiteit als username@domain ontvangt, zoekt zij naar een gekoppeld UPN of een overeenkomende e-mail in de AD. In beide scenario's gebruikt ISE extra filter voor machine (computer) of gebruikersnaam (persoon)
1.
Zoeken op domein of bos (afhankelijk van het type identiteit) 2.
Bewaar informatie over alle matchingsrekeningen (JP, DN, UPN, domein enz.) 3.
Als er geen overeenkomende account wordt gevonden, wordt automatisch antwoord gegeven op de vraag of de gebruiker niet bekend is.
4.
MS-RPC (of Kerberos)-verificatie uitvoeren voor elke corresponderende account 5.
Als slechts één account overeenkomt met een inkomend identiteit en wachtwoord, dan heeft verificatie succes
6.
Als meerdere rekeningen overeenkomen met een inkomende identiteit, zal ISE het wachtwoord gebruiken om de dubbelzinnigheid op te lossen, zodat de account met een overeenkomend wachtwoord voor authentiek wordt verklaard en de andere rekeningen de onjuiste wachtwoordteller met 1 verhogen.
7.
Als geen account overeenkomt met een inkomend identiteit en wachtwoord, antwoordt AD met het verkeerde wachtwoord.
8.
ISE Filters zoeken
Filters zullen worden gebruikt om een entiteit te identificeren die met AD wil communiceren, ISE zal altijd naar die entiteit zoeken in de gebruikers- en machinegroepen,
enkele voorbeelden van zoekfilters:
SAM-zoekopdracht: Als ISE een identiteit als gebruikersnaam slechts zonder enige domeinmarkering ontvangt, zal ISE deze gebruikersnaam als een SAM behandelen en in AD zoeken voor alle gebruikers of machines die die identiteit als SAM-naam hebben. Als de SAM-naam niet uniek is, gebruikt ISE het wachtwoord om onderscheid te maken tussen gebruikers en ISE is ingesteld om een wachtwoordloos protocol als EAP-TLS te gebruiken.
Er zijn geen andere criteria om de juiste gebruiker te vinden, dus ISE faalt de authenticatie met een "dubbele identiteit"-fout. Als echter het gebruikerscertificaat in de actieve map staat, gebruikt Cisco ISE binaire vergelijking om de identiteit op te lossen.
1.
U kunt zoeken in UPN of MAIL: Als ISE een identiteit als username@domain ontvangt, zoekt ISE de wereldwijde catalogi van elk bos op zoek naar een overeenkomst met die UPN- identiteit of e-mail-identiteit "identiteit=matching UPN of e-mail". Als er een unieke partij is, gaat Cisco ISE met de AAA-stroom verder. Als er meerdere aansluit punten met het zelfde UPN en een wachtwoord of het zelfde UPN en Mail zijn, ontbreekt Cisco ISE de authenticatie met een "dubbele Identiteit" fout.
2.
Zoeken op Netoverheid: Als ISE een identiteit ontvangt met een voorvoegsel van het Netopgemerkt domein (ex:CISCO\sajedah), zoekt ISE in het bos naar het NetReset-domein, zodra dit is gevonden, op zoek naar de bijgeleverde SAM-naam (zoals in ons voorbeeld).
3.
Op machine gebaseerde zoekopdracht: Als ISE een machineverantwoording ontvangt, met een identiteit die een host/prefix heeft, zoekt ISE het bos naar een bijpassend eigenschap ServicePrincipalName. Als een volledig gekwalificeerd domeinachtervoegsel in de identiteit werd gespecificeerd, bijvoorbeeld host/machine.domain.com, zoekt Cisco ISE het bos waar dat domein bestaat. Als de identiteit in de vorm van host/machine is, zoekt Cisco ISE alle bossen naar de hoofdnaam van de service. Als er meer dan één match is, faalt Cisco ISE de verificatie met een fout van "dubbele identiteit".
4.
Opmerking: Dezelfde filters worden gezien in ISE ad-agent.log bestanden
Opmerking: ISE 2.2-pleister 4 en eerdere en 2.3-pleister 1 en eerder identificeerden gebruikers met behulp van de eigenschappen SAM, CN of beide. Cisco ISE, release 2.2 Patch 5 en hoger, en 2.3 Patch 2 en hoger, gebruik alleen de eigenschap AMAcountName als de standaardeigenschap.
