Cisco ISE - Integração com Active Directory
Artigo originalmente publicado no medium em Dezembro de 2020 pelo mesmo autor. As configurações e exemplos continuam válidos.
Fala pessoal! Espero que todos estejam bem!
Tinha ficado devendo pra vocês a integração do ISE com o Active Directory da Microsoft, então, vamos lá?
A configuração é extremamente simples, mas 3 pré-requisitos importantes podem nos fazer perder um bom tempo no troubleshooting:
-
horário sincronizado (seja usando NTP - recomendado - ou manualmente);
-
mesmo timezone;
-
ISE apontando o DNS pro AD - ou um dos ADs do domínio.
Fora isso, você precisará de um usuário com permissão para criar um objeto no AD (meus tempos de MCSE já passaram então não lembro se é necessário esse usuário fazer parte do grupo Domain Admins, ou se tem algum outro grupo mais restritivo que permita a criação desse objeto).
Tendo isso em mãos, vamos pro ISE - aqui, consegui atualizar meu lab e estou usando a versão 2.7, atualmente recomendada pela Cisco.
Vamos então configurar o AD, que é uma base externa de usuários, ok?
Menu Administration > External Identity Source > Active Directory
O Join Point Name é apenas um nome que você vai dar para essa base de usuários e o AD Domain o seu domínio.
Depois do Submit, marque a caixa de selação ao lado e clique em Join. Entre com usuário e senha conforme falamos acima:
Você receberá uma mensagem de sucesso (se não, verifique os pré-reqs acima) e o objeto do ISE será criado no seu AD:
É isso! Nos próximos faremos AAA com Radius e TACACS utilizando usuários do AD que acabamos de configurar.
Um abraço!!
Você pode baixar esse artigo em formato PDF no botão abaixo: