การใช้งาน ISE โดยทั่วไปจะเชื่อมต่อกับ Active Directory (AD) เพื่อให้สามารถดึงข้อมูลกลุ่มผู้ใช้จาก AD และสามารถค้นหาข้อมูลผู้ใช้ได้ ซึ่งช่วยให้องค์กรสามารถระบุตัวตนผู้ใช้ อุปกรณ์ และกำหนด Policy การเข้าถึงได้อย่างปลอดภัยและยืดหยุ่น ISE รองรับการใช้งานร่วมกับ Active Directory เพื่อให้สามารถตรวจสอบสิทธิ์และกำหนดสิทธิการเข้าถึงตามUser Groups หรืออุปกรณ์ที่กำหนดไว้ใน Domain ได้
ในบทความนี้จะแสดงวิธีการ Join Cisco ISE กับ Active Directory โดยมีขั้นตอนดังนี้
สร้าง OU สองรายการดังนี้
-
iselab users
-
iselab computers
1. สร้าง OU ได้เข้าไปที่ Active Directory Users and Computers จากนั้นคลิกขวาที่โดเมน AD แล้วเลือก New -> Organizational Unit
2. ตั้งชื่อ OU
สร้าง Group iselab users และ iselab computers
3. สร้าง User และรหัสผ่าน
ตั้ง Username
ตั้ง Password และ Policy
สร้าง User เสร็จเรียบร้อย
4. นำ ISE Join Domain
ไปที่ ISE > Administration -> External Identity Sources -> Active Directory > คลิ๊ก Add
5. คลิ๊ก Add จากนั้นตั้งชื่อ AD และใส่ Domain Name
6. คลิ๊ก Submit และกด YES
7. ใส่ข้อมูล User Credential ที่มีสิทธิ์ให้ ISE สามารถ Join Domain ได้
การ Join domain เสร็จเรียบร้อย
8. จะเห็นว่า ISE Join Domain ได้สำเร็จ
ตรวจสอบบน AD
9. Import OU ที่ได้สร้าง มาใช้งานเป็น User Group บน ISE
คลิ๊กที่เมนู Group
10. คลิ๊ก Add > Select Groups from Directory
11. คลิ๊ก Retrieve Groups…
12. เลือก Group ที่ต้องการ และกด OK
13. คลิ๊ก Save
เสร็จเรียบร้อยครับ เราได้เชื่อมต่อ Cisco ISE กับ Active Directory สำเร็จ และจะสามารถดึงข้อมูลจาก AD ได้ เช่น การตรวจสอบว่าผู้ใช้เป็นสมาชิกของกลุ่มใน AD หรือไม่ เมื่อต้องเขียน Policy (Authorization Rules) ในระบบ ISE ได้ครับ
