2 posts tagged with "Active Directory"

Artigo originalmente publicado no medium em Dezembro de 2020 pelo mesmo autor. As configurações e exemplos continuam válidos.

Fala pessoal! Espero que todos estejam bem!

Tinha ficado devendo pra vocês a integração do ISE com o Active Directory da Microsoft, então, vamos lá?

A configuração é extremamente simples, mas 3 pré-requisitos importantes podem nos fazer perder um bom tempo no troubleshooting:

• horário sincronizado (seja usando NTP - recomendado - ou manualmente);

• mesmo timezone;

• ISE apontando o DNS pro AD - ou um dos ADs do domínio.

Fora isso, você precisará de um usuário com permissão para criar um objeto no AD (meus tempos de MCSE já passaram então não lembro se é necessário esse usuário fazer parte do grupo Domain Admins, ou se tem algum outro grupo mais restritivo que permita a criação desse objeto).

Tendo isso em mãos, vamos pro ISE - aqui, consegui atualizar meu lab e estou usando a versão 2.7, atualmente recomendada pela Cisco.

Vamos então configurar o AD, que é uma base externa de usuários, ok?

Menu Administration > External Identity Source > Active Directory

O Join Point Name é apenas um nome que você vai dar para essa base de usuários e o AD Domain o seu domínio.

Depois do Submit, marque a caixa de selação ao lado e clique em Join. Entre com usuário e senha conforme falamos acima:

Você receberá uma mensagem de sucesso (se não, verifique os pré-reqs acima) e o objeto do ISE será criado no seu AD:

É isso! Nos próximos faremos AAA com Radius e TACACS utilizando usuários do AD que acabamos de configurar.

Um abraço!!

---

Você pode baixar esse artigo em formato PDF no botão abaixo:

Artigo originalmente publicado no medium em Dezembro de 2019 pelo mesmo autor. As configurações e exemplos continuam válidos.

Vamos continuar agora com o nosso tour pelo ISE. Caso você não tenha lido o primeiro artigo, o link é esse aqui: ISE Basics - Parte 1.

Começando pela tela Administration > System > Admin Access e aba Password Policy: Aqui fazemos a configuração da política de senha e autenticação de usuários da GUI e da CLI - usuários de acesso administrativo ao software ISE.

Repare nas possibilidades: tamanho mínimo de senha, histórico, requisito mínimo de complexidade, bloqueio após tentativas incorretas, e etc.

Nessa mesma tela, em Authorization, temos uma ótima granularidade para definir o que cada usuário administrativo pode ou não fazer. Acesso a menus específicos, permissão para criar outros usuários e etc.

Essa possibilidade é bem útil caso tenhamos vários admins olhando pro ISE. Teríamos então um grupo Help Desk com possibilidade de read-only, um grupo Operadores, com permissão de troubleshooting ou review básico de autenticação, e um grupo Admin, que poderia criar e adicionar devices e novas regras - esses são apenas exemplos de possibilidades 😉

Administration > Identity Management. Aqui já começaremos a falar dos usuários de rede, ou seja, usuários que serão utilizados para acesso a recursos da rede (seja Internet, servidores específicos, etc.), via protocolo RADIUS ou TACACS+.

Abaixo, faremos a criação de um usuário como exemplo. Dois pontos de destaque nesse processo:

• Em Password Type, podemos utilizar uma senha que será armazenada na base de dados do ISE ou em uma base externa, como um Microsoft Active Directory (é necessário integração antes, mostraremos em artigos futuros ok?).
• E mais pra baixo, podemos adicionar esse usuário em grupos, que são criados na aba seguinte.

Aqui vemos dois tipos de grupos: usuários e endpoints. Isso porque o ISE autentica não só usuários como também dispositivos.

Esses dispositivos podem ser criados manualmente ou automaticamente, através da funcionalidade de Profiling que comentamos no artigo anterior. Dessa forma, como o ISE pode identificar iPhones, máquinas Windows 7, Linux, Smartphone Samsung, impressoras HP entre outros, podemos criar regras permitindo que apenas um tipo de equipamento acesse determinado recurso na rede. Granularidade total! 😊

A próxima tela External identity Sources, é onde configuramos a integração de uma base de usuários externa com o ISE. Em destaque o Active Directory que é o mais usual.

A próxima tela é a Identity Sources Sequences que trataremos mais pra frente, e a última é a Settings, bem parecida com a tela que falamos no início do artigo. Aqui, nós definiremos a política de usuários para acesso aos recursos da rede, diferente do acesso administrativo ao ISE que falamos acima.

Bom, agora que já temos um usuário e um grupo no ISE, vamos configurar o NAD (Network Access Device). O dispositivo que irá consultar o ISE para confirmar a autenticação e aplicar a política de autorização.

Aqui estamos só tratando da criação do NAD, o processo todo de autenticação será no próximo artigo blz?

Vamos adicionar então nome, IP, e senha do RADIUS.

Na lista, ele irá aparecer dessa forma:

Os NADs também podem ser alocados em grupos, seja por tipo ou localização. Planejar é fundamental para a organização da rede 😉

E, finalmente, vamos pra tela Policy aba Authentication.

Esse é o padrão do ISE nessa versão.

A primeira regra é de MAB - Mac Authentication Bypass, que autentica o MAC Address, ou seja, estamos falando de camada 2.

Traduzindo a regra, significa: SE a autenticação for para MAC Address cabeada (wired) ou wireless, em protocolos permitidos na regra padrão de nome Default Network Access - falaremos mais para frente dela - e, caso esse dispositivo (notebook, celular, etc.) estiver criado na base do ISE, aí ele passará para a próxima etapa: Autorização.

Agora que já sabemos que o usuário foi autenticado com sucesso, vamos definir O QUE ELE PODE FAZER. Essa configuração é feita na tela Authorization.

Abaixo, as regras padrão do ISE nessa versão 2.1.

No próximo artigo, faremos a configuração do switch e uma autenticação básica inicial.

Um abraço!!

---

Você pode baixar esse artigo em formato PDF no botão abaixo: