ProCurve Identity Driven Manager

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


ProCurve Identity Driven Manager (IDM) — модуль приложения для управления сетевой инфраструктурой ProCurve Manager Plus (PCM+), который дополняет функциональность PCM+ функциями контроля авторизации.

ProCurve Identity Driven Manager является частью решения ProCurve Network Access Control.

Содержание

[править] Основные понятия

IDM позволяет на основании:

  • пользователя, который подключается,
  • компьютера, с которого происходит подключение,
  • времени подключения,
  • места подключения,
  • целостности компьютера,

устанавливать соответствующие права доступа с помощью:

  • VLAN,
  • ограничения пропускном способности,
  • QoS,
  • ACL.

В ProCurve Network Access Control решении IDM, с помощью агента установленного на NAC 800, учитывает и информацию о целостности компьютера. Передается эта информация через протокол RADIUS.

Icon-caution.gif

Для управления NAC 800, версия IDM должна быть 2.2.


IDM может быть интегрирован не только с NAC 800, но и с другим программным обеспечением для оценки целостности компьютеров (например, Sygate, Zone Labs).

Access Profile — политика контроля доступа.

Access Policy Group — группа пользователей с одинаковыми правами доступа к сети.

[править] Компоненты IDM

IDM сервер:

  • Интегрирован с PCM+. Все настройки PCM+ и IDM производятся через единый графический интерфейс;
  • Все настройки осуществляются с сервера, агенты настраиваются с сервера;
  • Динамически синхронизирует локальную базу данных групп пользователей с пользователями Active Directory или LDAP;
  • Активно не участвует в процессе аутентификации.

IDM агент:

  • Находится на каждом RADIUS сервере;
  • Работает непосредственно с RADIUS сервером в процессе аутентификации;
  • Устанавливается на RADIUS сервер;
  • Динамически назначает на коммутатор:
    • VLAN,
    • ограничения пропускном способности,
    • QoS,
    • ACL.

[править] Пример работы IDM

На коммутаторе должна быть настроена аутентификация 802.1x, Web или MAC.

На RADIUS сервере установлен IDM агент. IDM сервер на рисунке отсутствует. В качестве примера базы пользователей выбрана AD.

IDM.jpg

[править] Интерфейс IDM

[править] Установка IDM

[править] Требования к настройкам сетевого оборудования

Надо настроить SNMP. Настройки на PCM+ и на коммутаторах должны совпадать.

Пример конфигурации коммутатора:

snmp-server community "public" Operator 
snmp-server community "private" Operator Unrestricted 
snmp-server host 192.168.101.2 "public" 
snmp-server host 192.168.101.2 "private" 

[править] Установка PCM+

При установке PCM+ настраивается:

  • Пароль администратора (имя -- Administrator, пароль задается)
  • Настройки для начального обнаружения устройств
  • Параметры SNMPv2 и/или SNMPv3
  • Имя и пароль для доступа к консоли устройств (имя и пароль для Manager и Operator)
  • (Опционально) параметры SSH
  • (Опционально) информация о прокси-сервере
  • (Опционально) установка модулей Identity Driven Manager и/или Mobility Manager


Основная страница: ProCurve Manager

[править] Файл access.txt

Файл находится:

\Program Files\Hewlett-Packard\PNM\server\config\access.txt

В этом файле прописываются адреса:

  • NAC 800
  • удаленых RADIUS-серверов, с которыми работает IDM
  • удаленных клиентов PCM+

[править] IDM агент

[править] IDM агент на NAC 800

Команды управления IDM агентом из консоли NAC 800:

service idmagent restart
service idmagent stop
service idmagent start
service idmagent status

[править] Настройка IDM

Общие шаги по настройке IDM:

  • Подготовка Access Policy Groups
  • Создание Locations, TImes и Systems elements
  • Создание Network Resources
  • Создание Access Profiles
  • Создание правил для APG
  • Применение конфигурации

[править] Настройка IDM для управления NAC 800

После того как PCM+ находит NAC 800, IDM находит NAC 800 при выполнении таких условий:

В файле \Program Files\Hewlett-Packard\PNM\server\config\access.txt надо указать IP-адрес NAC 800.

На NAC 800 надо указать адрес компьютера на котором установлен IDM.

[править] Дополнительная информация