Использование технологии Identity Management (IDM) в коммутаторах Extreme

В современном мире практически все предприятия используют в своей Корпоративной сети Microsoft Active Directory. Технология Identity Management (IDM) позволяет контролировать устройства и пользователей, подключающихся к коммутатору и на основе доменного аккаунта Microsoft AD накладывать списки контроля доступа на порт коммутатора, в который подключился пользователь.


При подключении пользователя или устройства к порту коммутатора, аутентификации в серверах LDAP (например, Microsoft Active Directory), коммутатор собирает данные (MAC и IP адреса, LDAP UserName и.т.д.) и накладывает на порт списки контроля доступа. Таким образом, контроль за доступом начинается от порта доступа Корпоративной сети, что существенно повышает Информационную Безопасность предприятия.
Настройки на сервере LDAP или на компьютере пользователя совершенно не требуется. Вся настройка производится локально на коммутаторе или используя графическую систему управления Ridgeline.

Identity management поддерживает две роли — authenticated и unauthenticated. При подключении пользователя или устройства к коммутатору, по умолчанию порт имеет роль unauthenticated.
При аутентификации пользователе на сервере LDAP, могут использоваться следующие атрибуты:

  • City
  • State
  • Country
  • Employee ID
  • Title
  • Department
  • Company
  • Email Address


Механизм IDM работает следующим образом:

1. Порт коммутатора, к которому подключен пользователь находится в состоянии unauthenticated. На этом порту прописаны списки контроля доступа «по умолчанию», разрешающие доступ к серверам DHCP, DNS и LDAP (возможны и любые другие ACL, отвечающие политикам безопасности предприятия).
2. Пользователь вводит свой логин и пароль на компьютере.
3. Коммутатор «видит» пакета аутентификации, направленные в сторону сервера Kerberos.
4. Коммутатор от имени прописанного на нем пользователя запрашивает у сервера LDAP карточку аутентифицирующегося пользователя.
5. Коммутатор, сопоставляет роль пользователя и список контроля доступа.
6. Коммутатор накладывает список контроля доступа на порт, к которому подключается пользователь.

 

Настройка IDM на коммутаторе

Настройка и включение IDM на портах коммутатора:

configure identity-management ports 1-3
enable identity-management on ports 1-3


Настройка LDAP сервера. Для обеспечения отказоустойчивости, можно указать несколько серверов LDAP.

configure identity-management ldap add server [ | ] {} client-ip {vr } {encrypted sasl digest-md5}

Например:

configure identity-management ldap add server 192.168.100.100 389 client-ip 192.168.100.254 vr «VR-Default» no-ssl

Указание LDAP домена, где производится поиск:

configure identity-management ldap base-dn [ | none]

Например:

configure identity-management ldap base-dn «DC=vlabidmgr1,DC=com»

Настройка пользователя, от имени которого будет производиться запрос в сервер LDAP:

configure identity-management ldap bind-user [ {encrypted}
| anonymous]


Например:

configure identity-management ldap bind-user «john_baker@vlabidmgr1.com» extreme

Создание ролей пользователей, по которым идентифицируется пользователь:

create identity-management role match-criteria
{priority }


Например:

create identity-management role «Employees» match-criteria «company==Extreme;» priority 200
create identity-management role «Contractors» match-criteria «title==Contractor;» priority 200


Далее необходимо настроить списки контроля доступа для разных ролей:
Разрешить доступ к DHCP серверу:

create access-list aDHCP «protocol udp; destination-port 67 ;» «permit; count caDHCP ;» application «Cli»

Разрешить доступ к DNS серверу:

create access-list aDNS «protocol udp; destination-port 53 ;» «permit; count caDNS ;» application «Cli»

Разрешить доступ к серверу LDAP:

create access-list aIS1 «destination-address 192.168.100.100/32 ;» «permit; count caIS1 ;» application «Cli»

Разрешить прохождение пакетов к серверу Kerberos:

create access-list aKT «protocol tcp; destination-port 88 ;» «mirror-cpu; permit; count caKT ;» application «Cli»
create access-list aKU «protocol udp; destination-port 88 ;» «mirror-cpu; permit; count caKU ;«application «Cli»


Запретить весь остальной трафик:

create access-list denyall «destination-address 0.0.0.0/0 ;»» deny; count cdenyall;«application «Cli»

Разрешить весь остальной трафик:

create access-list permitall «destination-address 0.0.0.0/0 ;»» permit; count cpermitall;» application «Cli»

Связывание ролей и списков контроля доступа:

configure identity-management role «unauthenticated» add dynamic-rule «aDHCP»
configure identity-management role «unauthenticated» add dynamic-rule «aDNS»
configure identity-management role «unauthenticated» add dynamic-rule «aKT»
configure identity-management role «unauthenticated» add dynamic-rule «denyall»


configure identity-management role «Contractors» add dynamic-rule «permitall»

Включение механизма IDM:

enable identity-management

Как видно из описанного выше, механизм Identity Management довольно легко настраивается и внедряется в существующую сеть предприятия.
Кроме того, IDM не требует никаких лицензий на коммутаторе и работает на базовой версии програмного обеспечения.
Так же, хотелось бы отметить, что еще более просто настраивать и поддерживать Identity Management можно используя графическую систему управления Extrene Networks Ridgeline.
Система позволяет не только прописывать серверы LDAP, создавать правила и привязывать их к пользователю но и контролировать, какие правила применены и какие пользователи и на каком порту коммутатора подключились в систему.