ISE의 관리자 액세스 및 RBAC 정책 이해

소개

이 문서에서는 ISE(Identity Services Engine)에 대한 관리 액세스를 관리하기 위한 ISE의 기능에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.

• ISE
• 액티브 디렉토리
• LDAP(Lightweight Directory Access Protocol)

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ISE 3.0
• Windows Server 2016

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

인증 설정

Admin 사용자는 ISE의 모든 정보에 액세스하려면 자신을 인증해야 합니다. 관리자 사용자의 ID는 ISE 내부 ID 저장소 또는 외부 ID 저장소를 사용하여 확인할 수 있습니다. 인증은 비밀번호 또는 인증서로 확인할 수 있습니다. 이러한 설정을 구성하려면 로Administration > System> Admin Access > Authentication이동합니다. 탭 아래에서 필요한 인증 유형을Authentication Method선택합니다.

참고: 비밀번호 기반 인증은 기본적으로 활성화되어 있습니다. 클라이언트 인증서 기반 인증으로 변경되면 모든 구축 노드에서 애플리케이션 서버가 재시작됩니다.

ISE는 CLI에서 CLI(Command Line Interface) 비밀번호 정책의 컨피그레이션을 허용하지 않습니다. GUI(Graphical User Interface) 및 CLI 모두에 대한 비밀번호 정책은 ISE GUI를 통해서만 구성할 수 있습니다. 구성하려면 탭으로Administration > System > Admin Access > Authentication이동하여Password Policy이동합니다.

ISE에는 비활성 관리자 사용자를 비활성화하는 프로비저닝이 있습니다. 이를 구성하려면 Administration(관리) > System(시스템) > Admin Access(관리자 액세스) > Authentication(인증)으로 이동하여 탭으로Account Disable Policy이동합니다.

ISE는 또한 실패한 로그인 시도 횟수를 기반으로 관리자 사용자 계정을 잠그거나 일시 중단할 수 있는 기능을 제공합니다. 이를 구성하려면 탭으로Administration > System > Admin Access > Authentication이동하여Lock/Suspend Settings이동합니다.

관리 액세스를 관리하기 위해 관리 그룹, 사용자 및 다양한 정책/규칙이 권한을 제어하고 관리해야 합니다.

관리자 그룹 구성

관리자 그룹을Administration > System > Admin Access > Administrators > Admin Groups구성하려면 로 이동합니다. 기본적으로 내장되어 있으며 삭제할 수 없는 몇 개의 그룹이 있습니다.

그룹이 생성되면 그룹을 선택하고 edit를 클릭하여 관리 사용자를 해당 그룹에 추가합니다. 외부 관리자 사용자가 필요한 권한을 받도록 외부 ID 그룹을 ISE의 관리자 그룹에 매핑하는 프로비전이 있습니다. 구성하려면 사용자를 추가하는 동안 유형External을 선택합니다.

관리자 사용자 구성

Admin Users(관리자 사용자)를 구성하려면 로Administration > System > Admin Access > Administrators > Admin Users이동합니다.

Add(추가)를 클릭합니다. 두 가지 옵션 중에서 선택할 수 있습니다. 하나는 새 사용자를 모두 추가하는 것입니다. 다른 하나는 네트워크 액세스 사용자(즉, 네트워크/디바이스에 액세스하기 위해 내부 사용자로 구성된 사용자)를 ISE 관리자로 만드는 것입니다.

옵션을 선택한 후에는 필수 세부 정보를 제공해야 하며 사용자에게 부여되는 권한 및 권한에 따라 사용자 그룹을 선택해야 합니다.

권한 구성

사용자 그룹에 대해 구성할 수 있는 두 가지 유형의 사용 권한이 있습니다.

1. 메뉴 액세스
2. 데이터 액세스

메뉴 액세스는 ISE에서 탐색 가시성을 제어합니다. 각 탭에는 Show(표시) 또는 Hide(숨기기)라는 두 가지 옵션이 있으며 이 옵션은 구성할 수 있습니다. 선택한 탭을 표시하거나 숨기도록 메뉴 액세스 규칙을 구성할 수 있습니다.

데이터 액세스는 ISE의 ID 데이터를 읽기/액세스/수정하는 기능을 제어합니다. 액세스 권한은 관리자 그룹, 사용자 ID 그룹, 엔드포인트 ID 그룹 및 네트워크 디바이스 그룹에 대해서만 구성할 수 있습니다. ISE에서 이러한 엔터티에 대해 구성할 수 있는 세 가지 옵션이 있습니다. 이러한 액세스 권한은 전체 액세스 권한이며 읽기 전용 액세스 권한이며 액세스 권한은 없습니다. ISE의 각 탭에 대해 이 세 가지 옵션 중 하나를 선택하기 위해 데이터 액세스 규칙을 구성할 수 있습니다.

메뉴 액세스 및 데이터 액세스 정책을 관리자 그룹에 적용하려면 먼저 만들어야 합니다. 기본적으로 내장되어 있는 몇 가지 정책이 있지만 항상 사용자 지정할 수도 있고 새 정책을 만들 수도 있습니다.

메뉴 액세스 정책을 구성하려면 로Administration > System > Admin Access > Authorization > Permissions > Menu Access이동합니다.

Add(추가)를 클릭합니다. ISE의 각 탐색 옵션은 정책에서 표시/숨기도록 구성할 수 있습니다.

데이터 액세스 정책을 구성하려면 로Administation > System > Admin Access > Authorization > Permissions > Data Access이동합니다.

Add(추가)를 클릭하여 새 정책을 생성하고 권한을 구성하여 Admin/User Identity/Endpoint Identity/Network Groups(관리자/사용자 ID/엔드포인트 ID/네트워크 그룹)에 액세스합니다.

RBAC 정책 구성

RBAC는 Role-Based Access Control을 의미합니다. 사용자가 속한 역할(관리자 그룹)은 원하는 메뉴 및 데이터 액세스 정책을 사용하도록 구성할 수 있습니다. 단일 역할에 대해 여러 RBAC 정책을 구성할 수 있으며, 메뉴 및/또는 데이터에 액세스하기 위해 단일 정책에 여러 역할을 구성할 수 있습니다. 이러한 모든 적용 가능한 정책은 관리자 사용자가 작업을 수행하려고 할 때 평가됩니다. 최종 결정은 해당 역할에 적용할 수 있는 모든 정책의 집계입니다. 허용과 거부를 동시에 수행하는 상반된 규칙이 있는 경우, 허용 규칙은 거부 규칙을 재정의합니다. 이러한 정책을 구성하려면 로Administration > System > Admin Access > Authorization > RBAC Policy이동합니다.

정책Actions 을 복제/삽입/삭제하려면 클릭합니다.

참고: 시스템 생성 및 기본 정책은 업데이트할 수 없으며 기본 정책은 삭제할 수 없습니다.

참고: 여러 메뉴/데이터 액세스 권한은 단일 규칙에서 구성할 수 없습니다.

관리자 액세스에 대한 설정 구성

RBAC 정책 외에도 구성 할 수 있는 몇 가지 설정은 모든 관리자 사용자에게 공통입니다.

GUI 및 CLI에 대해 허용되는 최대 세션 수, 사전 로그인 수 및 사후 로그인 배너를 구성하려면 로Administration > System > Admin Access > Settings > Access이동합니다. Session(세션) 탭에서 이를 구성합니다.

GUI 및 CLI에 액세스할 수 있는 IP 주소 목록을 구성하려면 탭으로Administration > System > Admin Access > Settings > Access이동하여IP Access이동합니다.

관리자가 Cisco ISE의 MnT 섹션에 액세스 할 수 있는 노드 목록을 구성 하려면 탭으로 이동Administration > System > Admin Access > Settings > Access하고 탐색MnT Access합니다.

구축 내 또는 구축 외부의 노드 또는 엔티티가 syslog를 MnT로 전송하도록 허용하려면 라디오 버튼을Allow any IP address to connect to MNT클릭합니다. 구축 내의 노드 또는 엔티티만 MnT로 syslog를 전송하도록 허용하려면 라디오 버튼을Allow only the nodes in the deployment to connect to MNT클릭합니다.

참고: ISE 2.6 패치 2 이상에서는 UDP Syslog를 MnT에 전달하기 위해 ISE 메시징 서비스가 기본적으로 활성화됩니다. 이 컨피그레이션은 구축 이외의 외부 엔터티에서 syslog를 수락하는 것을 제한합니다.

세션이 비활성화되어 시간 초과 값을 구성하려면 로Administration > System > Admin Access > Settings > Session이동합니다. 탭 아래에서 이 값을Session Timeout설정합니다.

현재 활성 세션을 보거나 무효화하려면 탭으로Administration > Admin Access > Settings > Session이동하여Session Info클릭합니다.

AD 자격 증명으로 관리 포털 액세스 구성

ISE를 AD에 가입

ISE를 외부 도메인에 가입시키려면 로Administration > Identity Management > External Identity Sources > Active Directory이동합니다. 새 조인 지점 이름 및 Active Directory 도메인을 입력합니다. 추가할 수 있는 AD 계정의 자격 증명을 입력하고 컴퓨터 개체를 변경한 다음 [확인]을 클릭합니다.

디렉터리 그룹 선택

로Administration > Identity Management > External Identity Sources > Active Directory이동합니다. 원하는 조인 지점 이름을 클릭하고 그룹 탭으로 이동합니다. 를Add > Select Groups from Directory > Retrieve Groups클릭합니다. 관리자가 속한 하나 이상의 AD 그룹을 가져오고 OK(확인)를 클릭한 다음 Save(저장)를 클릭합니다.

AD에 대한 관리 액세스 사용

AD를 사용하여 ISE의 비밀번호 기반 인증을 활성화하려면 로Administration> System > Admin Access > Authentication이동합니다. 탭에서Authentication Method옵션을Password-Based선택합니다. 드롭다운 메뉴에서 AD를Identity Source선택하고 Save를 클릭합니다.

AD 그룹에 대한 ISE 관리 그룹 매핑 구성

이렇게 하면 권한 부여가 AD의 그룹 멤버십을 기반으로 관리자에 대한 RBAC 권한을 결정할 수 있습니다. Cisco ISE Admin Group(Cisco ISE 관리 그룹)을 정의하고 이를 AD 그룹에 매핑하려면 로Administration > System > Admin Access > Administrators > Admin Groups이동합니다. Add(추가)를 클릭하고 새 관리자 그룹의 이름을 입력합니다. Type(유형) 필드에서 External(외부) 확인란을 선택합니다. External Groups 드롭다운 메뉴에서 이 관리 그룹을 매핑할 AD 그룹을 선택합니다(섹션에 정의됨)Select Directory Groups. 변경 사항을 제출합니다.

관리자 그룹에 대한 RBAC 권한 설정

이전 섹션에서 생성한 관리자 그룹에 RBAC 권한을 할당하려면 로Administration > System > Admin Access > Authorization > RBAC Policy이동합니다. 오른쪽의 Actions(작업) 드롭다운 메뉴에서 Select(선택)Insert new policy. 새 규칙을 생성하고 이전 섹션에서 정의한 Admin Group(관리 그룹)과 매핑한 다음 원하는 데이터 및 메뉴 액세스 권한으로 할당한 다음 Save(저장)를 클릭합니다.

AD 자격 증명으로 ISE에 액세스하고 확인

관리 GUI에서 로그아웃합니다. 드롭다운 메뉴에서 조인 지점Identity Source이름을 선택합니다. AD 데이터베이스의 사용자 이름 및 비밀번호를 입력하고 로그인합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 ISE GUI 오른쪽 상단의 Settings(설정) 아이콘에서 인증된 사용자 이름을 확인합니다. Server Information(서버 정보)으로 이동하고 사용자 이름을 확인합니다.

LDAP로 관리 포털 액세스 구성

LDAP에 ISE 조인

로Administration > Identity Management > External Identity Sources > Active Directory > LDAP이동합니다. 탭에서GeneralLDAP의 이름을 입력하고 스키마를 다음으로 선택합니다Active Directory.

다음으로, 연결 유형을 구성하려면 탭으로Connection이동합니다. 여기에서 포트 389(LDAP)/636(LDAP-Secure)과 함께 기본 LDAP 서버의 호스트 이름/IP를 설정합니다. LDAP 서버의 관리자 비밀번호와 함께 관리자 DN(Distinguished Name)의 경로를 입력합니다.

다음으로, 탭으로Directory Organization이동하여 LDAP 서버에 저장된 사용자 계층 구조에 따라 사용자의 올바른 조직 그룹을 선택하려면 클릭합니다Naming Contexts.

ISETest Bind to Server에서ConnectionLDAP 서버의 연결성을 테스트하려면 탭 아래를 클릭합니다.

이제 Groups(그룹) 탭으로 이동하고 를 클릭합니다Add > Select Groups From Directory > Retrieve Groups. 관리자가 속한 그룹을 하나 이상 가져오고 OK(확인)를 클릭한 다음 Save(저장)를 클릭합니다.

LDAP 사용자에 대한 관리 액세스 활성화

LDAP를 사용하여 ISE의 비밀번호 기반 인증을 활성화하려면 로Administration> System > Admin Access > Authentication이동합니다. 탭에서Authentication Method옵션을Password-Based선택합니다. 드롭다운 메뉴에서Identity SourceLDAP를 선택하고 Save를 클릭합니다.

ISE 관리 그룹을 LDAP 그룹에 매핑

이렇게 하면 구성된 사용자가 RBAC 정책의 권한 부여에 따라 관리자 액세스 권한을 얻을 수 있으며, 이는 다시 사용자의 LDAP 그룹 멤버십을 기반으로 합니다. Cisco ISE Admin Group(Cisco ISE 관리 그룹)을 정의하고 이를 LDAP 그룹에 매핑하려면 로Administration > System > Admin Access > Administrators > Admin Groups이동합니다. Add(추가)를 클릭하고 새 관리자 그룹의 이름을 입력합니다. Type(유형) 필드에서 External(외부) 확인란을 선택합니다. External Groups(외부 그룹) 드롭다운 메뉴에서 이 관리 그룹을 매핑할 LDAP 그룹을 선택합니다(이전에 검색 및 정의됨). 변경 사항을 제출합니다.

관리자 그룹에 대한 RBAC 권한 설정

이전 섹션에서 생성한 관리자 그룹에 RBAC 권한을 할당하려면 로Administration > System > Admin Access > Authorization > RBAC Policy이동합니다. 오른쪽의 Actions(작업) 드롭다운 메뉴에서 Select(선택)Insert new policy. 새 규칙을 생성하고 이전 섹션에서 정의한 Admin Group(관리 그룹)과 매핑한 다음 원하는 데이터 및 메뉴 액세스 권한으로 할당한 다음 Save(저장)를 클릭합니다.

LDAP 자격 증명으로 ISE에 액세스하고 확인

관리 GUI에서 로그아웃합니다. Identity Source 드롭다운 메뉴에서 LDAP 이름을 선택합니다. LDAP 데이터베이스의 사용자 이름 및 비밀번호를 입력하고 로그인합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 ISE GUI 오른쪽 상단의 Settings(설정) 아이콘에서 인증된 사용자 이름을 확인합니다. Server Information(서버 정보)으로 이동하고 사용자 이름을 확인합니다.