Posts

پیاده سازی ٨٠٢.١x – بخش نهم

در ادامه بحث پیاده سازی 802.1x در خدمت شما عزیزان هستیم.

تعریف کاربران در Cisco Secure ACS :


مراحل زیر را دنبال کنید که در دیتابیس داخلی Cisco Secure ACS کاربر تعریف کنید.

  • روی گزینه User Setup در منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • یک نام منحصر به فرد در کادر User وارد کنید سپس کلید Add/Edit را بزنید تا پنجره مربوط به تنظیمات کاربر ظاهر شود.
  • در این قسمت یک پسورد برای کاربر در نظر بگیرد و همچنین آنرا عضو یک گروه کنید.
  • کلید Submit را بزنید.

در تصویر زیر بخش تنظیمات کاربر نمایش داده شده است :

Image

 

تولید فایل PAC :


این مرحله اختیاری است. اگر مسیر بین Supplicant و سرور AAA یک مسیر کاملا امن نیست پیشنهاد می شود عمل توزیع فایل PAC به صورت دستی انجام گیرد. برای اینکه اینکار به صورت دستی انجام گیرد باید در ابتدا فایل PAC باید تولید شود. در این مرحله نحوی تولید فایل PAC توضیح داده شده است به همین منظور مراحل زیر را دنبال کنید :

  • Command Prompt را در مسیر نصب Cisco Secure ACS با دسترسی Administrator باز کنید. همانند تصویر زیر :
Image

 

  • دستور CSUtil را با سوئیچ های –a و –t اجرا کنید تا فایل PAC تولید شود.
  • فایل تولید شده را روی تمام Supplicant ها کپی کنید.

نکته : اگر PAC فایل به صورت خودکار به Supplicant ها ارسال می شود این کار در طی اولین تایید هویت EAP-FAST انجام می گیرد.

تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x :


این مرحله اختیاری است. اگر بخواهیم کاربر را برای تایید هویت تنها به یک RADIUS Clients محدود کنیم می توانیم از (Network Access Restrictions (NAR استفاده کنیم. در این مرحله نحوی تنظیم NAR نمایش داده شده است. برای اینکار مراحل زیر را دنبال کنید :

  • روی گزینه Group Setup از منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • گروهی که حاوی کاربر 802.1x است که می خواهیم آنرا محدود کنیم را انتخاب کنید سپس کلید Edit Settings را بزنید تا پنجره مربوطه باز شود.
  • در پنجره تنظیمات گروه به بخش Network Access Restrictions و چک باکس Define CLI/DNIS-based Access Restrictions را انتخاب کنید. در کادر AAA Client نام دستگاهی که می خواهید تایید هویت را انجام دهد را انتخاب کنید و مقدار کادر های Port ، CLI و DNIS را برابر * قرار دهید سپس کلید enter را کلیک کنید تا به لیست اضافه گردد.
  • کلید Submit + Restart را کلیک کنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

 

فعال کردن logging :


Cisco Secure ACS می تواند تایید هویت های موفق را نیز همانند تایید هویت های ناموفق برای کاربر را log گیری کند. Log گیری برای تایید هویت های موفق به صورت پیش فرض غیرفعال است. برای فعال کردن آن مراحل زیر را طی کنید:

  • روی کلید Network Configuration از منوی سمت چپ کلید کنید.
  • گزینه logging را انتخاب کنید تا صفحه مربوط به تنظیمات logging نمایش داده شود.
  • در جدول ACS Report روی گزینه Configure از ستون CSV و ردیف Passed Authentication کلیک کنید.
Image

 

  • در این صفحه چک باکس Log to CSV Passed Authentication Report را انتخاب کنید و کلید Submit را بزنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

تنظیم Cisco Secure ACS به اتمام رسیده است و در مرحله بعدی باید Supplicant تنظیم شود.

تنظیم Cisco Secure Service Client به عنوان Supplicant :


برای اینکه کلاینت برای تایید هویت از EAP-FAST استفاده کند باید (Cisco Secure Services Client (CSSC روی کلاینت نصب و تنظیم گردد. این به طور کلی شامل مراحل زیر است :

  • ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility
  • ساخت پروفایل و Policy برای تایید هویت
  • تنظیم تایمرهای 802.1x
  • انتخاب متد تایید هویت (یوزر ، دستگاه یا هردو)
  • انتخاب متد EAP
  • ساخت پکیچ نصب CSSC حاوی Configuration Profile
  • نصب پکیچ CSSC در کلاینت

 

ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility :


اولین مرحله ساخت پروفایل با استفاده از CSSC Management Utility است. خروجی CSSC Management Utility یک فایل XML است که شامل تنظیمات لازم برای Supplicant است. مراحل زیر را برای تنظیم پروفایل دنبال کنید :

  • CSSC Management Utility را دانلود کنید و از حالت فشرده خارج کنید سپس فایل sscManagementUtility را اجرا کنید که صفحه اصلی ظاهر شود.
  • گزینه Create New Configuration Profile را در صفحه اصلی انتخاب کنید.
Image

 

  • نسخه CSSC که می خواهید استفاده کنید را انتخاب کنید. که در اینجا ما از نسخه 5.1 استفاده می کنیم.

 

ساخت پروفایل و Policy برای تایید هویت :


در مرحله بعد یک پروفایل مربوط به شبکه کابلی در پروفایل CSSC Configuration ایجاد می کنیم. مراحل زیر را دنبال کنید :

  • اگر فقط گزینه Allow Wired انتخاب شود نیاز به لایسنس ندارد اما اگر بخواهید هر دو شبکه کابلی و وایرلس را استفاده کنید باید لایسنس را در کادر provide license وارد کنید.
  • گزینه Attempt Connection After User Login را در بخش Connection Setting انتخاب کنید.
  • گزینه Allow Wired Media را انتخاب کنید سپس کلید Next را بزنید.
Image

 

  • در صفحه Authentication Policy گزینه EAP FAST را در قسمت Allowed Authentication Modes انتخاب کنید و کلید Next را بزنید.
Image

 

  • در صفجه Network کلید Add Network را بزنید.
Image

 

  • تنظیمات مربوط به صفحه Network Media را بدون تغییر Next بزنید.
  • یک نام برای پروفایل جدید در صفحه Wired Network Settings در نظر بگیرید. در بخش Security Level گزینه authenticating network را انتخاب کنید سپس کلید Next را بزنید.
Image

چرا به AAA نیاز داریم؟

استفاده از authentication ، authorization و accounting (به اختصار AAA) به منظور بررسی هویت کاربر و اینکه کاربر می تواند چه کاری انجام دهد یک راه بسیار عالی برای امن کردن management plane در تجهیزات محسوب می شود. در بسیاری از سازمان تعداد بسیاری زیادی دستگاه وجود دارد. اگر برای این دستگاه ها از دیتابیس لوکال دستگاه ها استفاده شود مدیریت کاربران برای این دستگاه ها سخت خواهد بود. به طور مثال اگر بخواهید به یک کاربر دسترسی به 10 دستگاه را بدهید باید برای این کاربر روی هر 10 دستگاه یوزر و پسورد تعریف کنید یا اگر بخواهید پسورد این کاربر را در این 10 دستگاه تغییر بدهید باید اینکار رو روی تمام این دستگاه ها انجام دهید. این روش در شبکه های بزرگ با دستگاه های زیاد و همچنین تعداد زیادی کاربر روش درستی نیست.
راه حل مناسب برای اینکار استفاده از یک دیتابیس مرکزی است که برای همه یوزر و پسورد ها برای تایید هویت و همچنین اینکه هر کاربر اجازه دارد چه کاری انجام دهد استفاده شود. این در درجه اول کاری است که (Access Control Server (ACS می تواند برای ما انجام دهد. اولین قسمت کانفیگ مربوط به سرور ACS می شود که در آن باید یوزر و پسورد ها و همچنین کاری که آنها اجازه دارند انجام دهند مشخص می شود. قسمت دوم کانفیگ این است که برای دستگاه مشخص کنیم که هنگامی که درخواست authentication یا authorization داشت از سرور ACS استفاده کند و با آن ارتباط برقرار کند.
از سرور ACS می توان برای مدیریت کاربران که می خواد از طریق دستگاه مثل روتر یا فایروال به شبکه دسترسی پیدا کنند استفاده کرد به طور مثال برخی از کاربران می خواهند از طریق VPN به شبکه متصل شوند در نتیجه نیاز به تایید هویت و کنترل دسترسی وجود دارد که اینکار توسط ACS به صورت متمرکز امکان پذیر است. همچنین از سرور ACS می توان برای ضبط اتفاقات (Accounting) استفاده کرد که در اینجا مشخص می شود که کاربر چه زمانی به تجهیزات متصل شده است و چه کاری انجام داده است.

Image

 

چرا از Cisco ACS استفاده می کنیم؟


بسیاری از سازمان های از تجهیزات سیسکو استفاده می کنند همچنین قصد استفاده از سرور ACS دارند بنابراین آنها می توانند کاربران خود را به صورت متمرکز مدیریت و کنترل کنند. با تعریف کاربران در سرور ACS ، تمام این دستگاه های سازمان به عنوان کلاینت برای سرور ACS عمل می کنند در نتیجه می توانید از سرور ACS به عنوان نقطه مرکزی برای تایید هویت استفاده کنید. به این صورت یکبار یک یوزر در سرور ACS ساخته می شود و دستگاه ها برای تایید هویت توسط ACS تنظیم می شوند در نتیجه از این به بعد تایید هویت به وسیله سرور ACS انجام می گیرد و به راحتی امکان اضافه کردن و تغییر کاربر وجود دارد و دیگر نیاز به مراجعه به تک تک دستگاه های برای تعریف و تغییر کاربران نیست و خیلی راحت و ساده می توانیم آنها را از طریق سرور ACS به صورت متمرکز مدیریت کنیم.
در بسیاری از سازمان ها کاربران زیادی برای تعریف در سرور ACS وجود دارد که این کاربران می تواند جهت دسترسی به شبکه یا تجهیزات باشند اما تعریف تعداد زیادی کاربر در دیتابیس لوکال ACS می تواند زمان بر باشد یک ویژگی که در ACS در نظر گرفته شده است استفاده از یک دیتابیس خارجی است که حاوی این کاربران و پسورد آنها می باشد یک نمونه از این دیتابیس خارجی Microsoft Active Directory است که حاوی اطلاعات کاربران و پسورد آنها است و می تواند به عنوان دیتابیس خارجی برای ACS عمل کند.
زنجیره ای از این رخدادها و اتفاقات می تواند شبیه این مثال باشد : یک کاربر به یک روتر متصل می شود و روتر به او پیغام تایید هویت می دهد در این مثال فرض بر این می شود که یک کاربر admin است که می خواد دسترسی CLI به روتر پیدا کند. روتر برای استفاده از ACS تنظیم شده است بعد از اینکه روتر یوزر و پسورد را از کاربر دریافت کرد این اطلاعات را برای سرور AAA خود یعنی سرور ACS ارسال می کند و منتظر پاسخ می ماند. در سرور ACS اگر از دیتابیس خارجی مانند Microsoft Active Directory استفاده شده باشد سرور ACS یک درخواست به Active Directory برای تایید اعتبار یوزر و پسورد ارسال می کند. اگر اطلاعات ارسالی توسط Active Directory تایید شد ACS صحت تایید هویت را به روتر اطلاع می دهد و روتر اجازه دسترسی به کاربر را می دهد اما اگر اطلاعات در Active Directory وجود نداشت براساس تنظیمات صورت گرفته برای ACS می توان دیتابیس لوکال خود را بررسی کند. در کل می توان این نکته را برداشت کرد که ACS می تواند از چند دیتابیس که شامل چند دیتابیس خارجی و دیتابیس لوکال برای بررسی صحت یوزر و پسورد استفاده کند.

آموزش نصب و راه اندازی Cisco Secure ACS در ماشین مجازی به صورت تصویری

در مقاله قبلی با Cisco Secure ACS آشنا شدیم در ادامه آن می خواهیم نحوی نصب و راه اندازی آنرا به عنوان یک ماشین مجازی شرح دهیم.
Cisco Secure ACS به عنوان یک نقطه مرکزی جهت کنترل دسترسی به شبکه و مدیریت تجهیزات مورد استفاده قرار می گیرد. Cisco Secure ACS روی چند پلتفرم ارائه شده است که شامل موارد زیر است :

  • Cisco Secure ACS Appliance
  • نسخه لینوکسی
  • نسخه ویندوزی ( از نسخه 5 به بعد ارائه نشده است)

در این آموزش می خواهیم طریقه نصب و راه اندازی نسخه لینوکسی را شرح دهیم.

پیش نیاز های نصب ACS :


حداقل سیستم مورد نیاز برای نصب ACS به شرح زیر است :

  • CPU : dual CPU، Xeon، Core2 Duo یا 2 single CPUs
  • Memory 4 GB : RAM
  • Hard Disks : 500 GB of disk storage
  • NIC

 

آماده سازی Esxi برای نصب ACS :


برای نصب ACS روی ESXi Server از vSphere client استفاده می کنیم که یک نرم افزار است که از طریق یک کامپیوتر راه دور اینکار را برای ما می کند.
به ماشین مجازی با استفاده از vsphere client وارد شوید :
همانطور که در تصویر می بینید برای ورود نیاز به یوزر ، پسورد و IP سرور Esxi داریم.

Image

در تصویر زیر محیط نرم افزار vsphere client را می بینیم :

Image

برای نصب ACS نیاز به 500 GB فضای هارد داریم. از مسیر زیر می توانید وضعیت هارد و فضای موجود را ببینید :

Configuration > Storage
Image

برای نصب ACS باید یک ماشین مجازی در ESXi ایجاد کنیم که مراحل ایجاد آن به شرح زیر است :
در محیط vSphere Client همانطور که در تصویر زیر می بینید در پنل سمت چپ روی سرور ESXi راست کلیک کرده و گزینه New Virtual Machine را انتخاب می کنیم :

Image

همانطور که مشاهده می کنید Wizard ساخت ماشین مجازی باز شده و در مراحل اول گزینه Typical را انتخاب می کنیم :

Image

در مرحله بعدی یک نام برای ماشین مجازی انتخاب می کنیم :

Image

در این مرحله هارد دیسکی که می خواهیم ACS روی آن نصب شود را انتخاب می کنیم :

Image

در اینجا نوع سیستم عامل را Linux و نسخه آنرا (Other linux (32-bit انتخاب می کنیم :

Image

در اینجا تعداد و نوع کارت شبکه مشخص می شود :

Image

میزان فضای مورد نیاز ماشین مجازی از هارد دیسک و نوع آنرا مشخص می کنیم. در اینجا 512 GB را در نظر می گیریم.

Image

 

  • نکته : نباید نوع thin provision را انتخاب کنیم چون ACS فقط از نوع thick provision پشتیبانی می کند.

در پنجره بعدی گزینه edit the virtual machine setting before completion را انتخاب می کنیم و سپس گزینه continue را می زنیم :

Image

در پنجره بعدی میزان رم را برابر 4096 قرار می دهیم :

Image

سپس به قسمت CPU رفته و تعداد مورد نظر را برای آن مشخص می کنیم و کلید Finish را انتخاب می کنیم :

Image

ماشین مجازی ما ایجاد شده و همانطور که در تصویر می بینید به لیست ماشین های مجازی اضافه شده است :

Image

مراحل ایجاد ماشین مجازی به اتمام رسیده است و اکنون می توانیم نصب ACS را شروع کنیم در این آموزش می خواهیم نسخه ACS 5.3 را با هم نصب کنیم :
در ابتدا باید ماشین مجازی را از روی DVD یا روش دیگر Load کنیم برای اینکار در vSphere Client تنظیمات زیر را انجام می دهیم :
روی ماشین مجازی که ساخته ایم راست کلیک کرده و گزینه Edit setting را انتخاب می کنیم :

Image

سپس در کادر باز شده همانند تصویر گزینه ها را انتخاب می کنیم تا ماشین مجازی از روی DVD بارگزاری شود.

Image

مجدد روی ماشین مجازی راست کلیک می کنیم و اینبار گزینه Open Console را انتخاب می کنیم:

Image

در کادر پنجره باز شده کلید Power on را می زنیم تا ماشین مجازی شروع به کار کند :

Image

بعد از چند لحظه منوی زیر ظاهر می شود و گزینه 1 را وارد و کلید enter را می زنیم :

Image

بعد از بار گذاری ، کادر زیر برای آماده سازی هارد نمایش داده می شود با انتخاب گزینه yes نصب ACS شروع می شود :

Image

چند مرحله طی می شود که نصب ACS کامل شود. در تصاویر زیر این مراحل نمایش داده می شود :

Image

 

Image

 

Image

 

Image

 

Image

 

Image

نصب کامل شده است و باید تنظیمات ابتدایی برای راه اندازی ACS را انجام دهیم برای اینکار دستور setup را وارد می کنیم :

Image

در این بخش مواردی مانند IP address ، Default Gateway ، نام دامین ، DNS ، یوزر و پسورد را تعیین می کنیم. که در تصویر زیر نمایش داده شده است :

Image

نکته : ارتباط DNS ها و Default Gateway با استفاده از ping گرفته می شود و در صورتی که هر یک از آنها در دسترسی نباشند به شما پیغام نمایش داده می شود.
ACS شروع به اعمال تنظیمات می کند و این مرحله مدتی زمان می برد در تصاویر زیر این مراحل نمایش داده شده است:

Image

 

Image

نصب ACS و تنظیمات کامل شده است و اکنون می توانید به کنسول ACS وارد شوید :

Image

برای مشاهده نسخه و برخی اطلاعات می توانیم از دستور show version استفاده کنیم :

Image

برای اینکه به ACS از طریق Web دسترسی داشته باشیم از دستور زیر استفاده می کنیم :

ACS-Server#acs start management
Image

برای دسترسی به کنسول وب از پروتکل https به همراه IP استفاده می کنیم مانند :

https://192.168.11.14

به صورت پیش فرض یوزر acsadmin و پسورد default می باشد.

Image

برای اولین بار که وارد ACS شوید از شما خواسته می شود که پسورد را عوض کنید:

Image

در مرحله بعدی از شما لایسنس خواسته می شود که یک فایل با پسوند lic می باشد از طریق کلید choose file فایل مربوطه را انتخاب و با زدن کلید install لایسنس نصب خواهد شد.

Image

مراحل نصب و راه اندازی ACS به پایان رسیده و شما می توانید از این لحظه از آن استفاده کنید.

Image