ProCurve Identity Driven Manager
Материал из Xgu.ru
ProCurve Identity Driven Manager (IDM) — модуль приложения для управления сетевой инфраструктурой ProCurve Manager Plus (PCM+), который дополняет функциональность PCM+ функциями контроля авторизации.
ProCurve Identity Driven Manager является частью решения ProCurve Network Access Control.
Содержание |
[править] Основные понятия
IDM позволяет на основании:
- пользователя, который подключается,
- компьютера, с которого происходит подключение,
- времени подключения,
- места подключения,
- целостности компьютера,
устанавливать соответствующие права доступа с помощью:
- VLAN,
- ограничения пропускном способности,
- QoS,
- ACL.
В ProCurve Network Access Control решении IDM, с помощью агента установленного на NAC 800, учитывает и информацию о целостности компьютера. Передается эта информация через протокол RADIUS.
Для управления NAC 800, версия IDM должна быть 2.2. |
IDM может быть интегрирован не только с NAC 800, но и с другим программным обеспечением для оценки целостности компьютеров (например, Sygate, Zone Labs).
Access Profile — политика контроля доступа.
Access Policy Group — группа пользователей с одинаковыми правами доступа к сети.
[править] Компоненты IDM
IDM сервер:
- Интегрирован с PCM+. Все настройки PCM+ и IDM производятся через единый графический интерфейс;
- Все настройки осуществляются с сервера, агенты настраиваются с сервера;
- Динамически синхронизирует локальную базу данных групп пользователей с пользователями Active Directory или LDAP;
- Активно не участвует в процессе аутентификации.
IDM агент:
- Находится на каждом RADIUS сервере;
- Работает непосредственно с RADIUS сервером в процессе аутентификации;
- Устанавливается на RADIUS сервер;
- Динамически назначает на коммутатор:
- VLAN,
- ограничения пропускном способности,
- QoS,
- ACL.
[править] Пример работы IDM
На коммутаторе должна быть настроена аутентификация 802.1x, Web или MAC.
На RADIUS сервере установлен IDM агент. IDM сервер на рисунке отсутствует. В качестве примера базы пользователей выбрана AD.
[править] Интерфейс IDM
[править] Установка IDM
[править] Требования к настройкам сетевого оборудования
Надо настроить SNMP. Настройки на PCM+ и на коммутаторах должны совпадать.
Пример конфигурации коммутатора:
snmp-server community "public" Operator snmp-server community "private" Operator Unrestricted snmp-server host 192.168.101.2 "public" snmp-server host 192.168.101.2 "private"
[править] Установка PCM+
При установке PCM+ настраивается:
- Пароль администратора (имя -- Administrator, пароль задается)
- Настройки для начального обнаружения устройств
- Параметры SNMPv2 и/или SNMPv3
- Имя и пароль для доступа к консоли устройств (имя и пароль для Manager и Operator)
- (Опционально) параметры SSH
- (Опционально) информация о прокси-сервере
- (Опционально) установка модулей Identity Driven Manager и/или Mobility Manager
- Основная страница: ProCurve Manager
[править] Файл access.txt
Файл находится:
\Program Files\Hewlett-Packard\PNM\server\config\access.txt
В этом файле прописываются адреса:
- NAC 800
- удаленых RADIUS-серверов, с которыми работает IDM
- удаленных клиентов PCM+
[править] IDM агент
[править] IDM агент на NAC 800
Команды управления IDM агентом из консоли NAC 800:
service idmagent restart service idmagent stop service idmagent start service idmagent status
[править] Настройка IDM
Общие шаги по настройке IDM:
- Подготовка Access Policy Groups
- Создание Locations, TImes и Systems elements
- Создание Network Resources
- Создание Access Profiles
- Создание правил для APG
- Применение конфигурации
[править] Настройка IDM для управления NAC 800
После того как PCM+ находит NAC 800, IDM находит NAC 800 при выполнении таких условий:
В файле \Program Files\Hewlett-Packard\PNM\server\config\access.txt надо указать IP-адрес NAC 800.
На NAC 800 надо указать адрес компьютера на котором установлен IDM.
[править] Дополнительная информация
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |