การคอนฟิก Maximum Concurrent User Sessions และ User Session Expired บน Cisco Identity Service Engine 2.6 (ISE)

INTRODUCE

ในบทความนี้จะอธิบายวิธีการคอนฟิก Maximum session และการกำหนด User Session Expired บน Cisco ISE Version 2.6

ในปัจจุบัน ในแต่ละองค์กรณ์ เมื่อพนักงาน หรือ User ต้องการใช้งานระบบเครือข่าย จะมีการกำหนด Username กับ Password ให้ ซึ่งรหัสดังกล่าวจะใช้ในการระบุตัวตน ในการเข้าใช้งานระบบเครือข่ายภายในองค์กรณ์ หรือ การใช้งานในการทำธุรกรรมต่าง ๆ ยกตัวอย่างเช่น มหาวิทยาลัย จะกำหนด Username และ Password ให้กับนักศึกษา และนักศึกษานำเอารหัสผ่านดังกล่าว ไป Login เข้าระบบลงทะเบียนเรียน ระบบจองหอพัก หรือการระบุตัวตนเพื่อใช้งานอินเตอร์เน็ตของมหาวิทยาลัย ซึ่งข้อมูลของ User ส่วนนี้ มักจะถูกเก็บอยู่ใน Radius Server ,Active Directory จึงทำให้ Cisco ISE สามารถดึงข้อมูล User มาใช้ในการระบุตัวตน ก่อนเข้าใช้งานอินเตอร์เน็ตได้

รูปที่ 1 แสดง Endpoint ที่เชื่อมต่อเช้ามาใช้งาน WLAN

จากรูปที่ 1 เมื่อมีการกำหนดรหัสผ่าน ให้กับ User , User คนนั้นอาจจะนำรหัสดังกล่าวไปใช้กับอุปกรณ์หลายๆ เครื่อง เช่น iPad, iPhone หรือบางครั้งอาจจะเอารหัสของตัวเองไปให้กับบุคคลภายนอกใช้ในการ Login เพื่อใช้งาน Internet จากเหตุผลดังกล่าว Cisco ISE สามารถจำกัดการใช้งานของรหัสนั้นๆ กับอุปกรณ์ได้ เช่น 1 รหัส สามารถใช้งานได้กับ อุปกรณ์ 4 เครื่อเท่านั้น(ในเวลาเดียวกัน) เรียกวิธีการนี้ว่า Maximum Concurrent User Sessions

ในการเข้าใช้งาน Internet โดยใช้ Authentication แบบ 802.1x โดย Default User จะ Login เพียงครั้งเดียว และหลังจากนั้นจะเข้าใช้งานได้ โดยไม่ต้อง Login ซ้ำอีก แต่เราสามารถกำหนด บน Cisco ISE ได้ว่าเมื่อครบจำนวนวันที่เรากำหนด ให้ User นั้นๆ ต้อง Login อีกครั้ง เช่น เมื่อครบ 7 วัน การ Session Login จะหมดอายุ และ User ต้อง Login ใหม่ หากต้องการเข้าใช้งาน Internet

** Feature ดังกล่าว สามารถใช้งานเฉพาะ User บน Radius Server เท่านั้น ไม่สามารถใช้กับ TACACS ได้

ขั้นตอนการ Configuration

1. ไปที่เมนู Administration > System > Settings > Max Sessions

2. กำหนด Maximum Concurrent user session

ในส่วนนี้เป็นการกำหนด Maximum Concurrent user session ซึ่งเราสามารถกำหนดได้ว่า จะให้ 1 user สามารถใช้งานได้พร้อมกันบนอุปกรณ์ กี่เครื่อง โดย Default จะสามารถใช้งานได้ไม่จำกัด (Unlimited Session per user)

ไปที่เมนู User >> กำหนดนวน Session

3. กำหนด User Session Expired

ในส่วนนี้ใช้ในการกำหนดว่าเมื่อ User Login เข้ามาใช้งานในระบบแล้ว อีกกี่วัน จึงจะต้อง Login ใหม่อีกครั้ง

ไปที่เมนู Counter Time Limit >> กำหนดจำนวนวันที่เราต้องการ

4 . การกำหนด Maximum Concurrent user session และ User Session Expired ให้กับ User ที่ถูกจัดอยู่ใน Group

ใช้ในกรณีที่เราต้องการกำหนด Policy ดังกล่าวให้กับ User บางกลุ่มเท่านั้น ซึ่งในหัวข้อที่อธิบายไปข้างต้น จะทำการ Apply Policy ให้กับ User ทั้งหมด ที่อยู่บน Cisco ISE แต่หากเราทำการแยก User ออกเป็นกลุ่มๆ เราก็สามารถกำหนด Policy ให้กับแต่ละกลุ่มได้ เช่น กลุ่มอาจารย์ ใช้งานได้ไม่จำกัด แต่กลุ่ม นักศึกษา สามารถใช้งานได้กับ อุปกรณ์ 5 เครื่องเท่านั้น

ไปที่ Group >> เลือก Group >>ใส่ค่าตามที่เราต้องการ

Reference : https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-22/204463-Configure-Maximum-Concurrent-User-Sessio.html