Detalles de Despliegue ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuración (CLI).
Comando para ingresar al modo de configuración global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
_________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
En este punto, les hago llegar ciertos link, donde la información se hace ver muy detallada:
Crear un Controlador de Dominio ,Instalar Active Directory.
URL: https://www.taringa.net/post/hazlo-tu-mismo/14626374/Crear-un-Controlador-de-Dominio-Instalar-Active-Directory.html
Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio
URL: https://windowserver.wordpress.com/2014/11/26/windows-server-2012-r2-crear-un-dominio-instalacin-del-primer-controlador-de-dominio/
_________________________________________________________________________________
Desplegando La Máquina para
Servicio de Identidad Cisco (ISE)
Proceso
1: Instalar Maquina Primaria o Standalone
Paso 1: Bootear
el Disco ISE, y en el pront inicial, introducir “1”.
Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 1.2.1.198
Available boot options:
[1]
Cisco ISE Installation (keyboard/Monitor)
[2]
Cisco ISE Installation (Serial Console)
[3]
Recover administrator password (keyboard/Monitor)
[4]
Recover administrator password (Serial Console)
<Enter> Boot existing OS from hard disk.
Enter boot option and press <Enter>.
boot: 1
Paso
2: En
el promt “localhost login”, colocar setup.
La
instalación iniciara:
**********************************************
Please type ‘setup’ to configure the appliance
**********************************************
localhost login: setup
Paso
3: Introducir
el “hostname”, dirección IP, mascara de red y puerta de enlace:
Enter hostname[]: ISEBCOEXT01
Enter IP address[]: 172.19.50.18
Enter IP netmask[]: 255.255.255.0
Enter IP default gateway[]: 172.19.50.1
Paso
4: Introducir
el “hostname”, dirección IP, mascara de red y puerta de enlace:
Enter default DNS domain[]: setrys.com
Enter primary nameserver[]: 172.19.50.17
Add secondary nameserver? Y/N [N]: N
Paso
5: Configuración
de uso horario:
Enter NTP server[time.nist.gov]: 172.18.58.200
Add another NTP server? Y/N [N]: N
Enter system timezone[UTC]: America/Manaus
Paso
6: Configuración
para “Secure Shell” y credenciales de administración:
Enable SSH service? Y/N [N]: Y
Enter username[admin]: admin
Enter password: [password]
Enter password again: [password]
Proceso 2: Configurar nodo Cisco ISE
Usted
puede configurar instancias de Cisco ISE Administation, Monitoring y Policy
Service dentro un servidor o distribuirlo entre varios de ellos.
Paso 1: A
través de un Navegador Web conectarse e introducir credenciales a la instancia
primaria de Administración y Monitoreo. Por ejemplo: https://ISEBCOEXT01.setrys.com
Paso
2: En
el menú Administration, elegir System, y allí click en Deployment. Una ventana emergente se
despliega conteniendo un mensaje donde se le notifica que su nodo ISE es una
instancia configurada por default como stand-alone.
Hacer click en botón OK (Figura2).
Figura2.:
Notificación, Instancia configurada del modo Stand-Alone.
Paso
3: A
la izquierda sobre el panel Deployment,
expandir Deployment. Aparecerá una
lista de los nodos desplegados. Validar Figura3.
Paso
4: Click
sobre ISEBCOEXT01. Esto habilitará
la configuración de éste nodo. Validar Figura3.
Paso
5: Sobre
la pestaña General Settings, en la
sección Personas, ir hasta Administration Role, click Make a Stand-Alone (posiblemente este
configurado ya de esta manera). Validar Figura3.
Paso
6: Habilitar Policy Service y las subopciones Enable Session Services, Enable Profiling
Service, Enable Threat Centric NAC Service y Enable Device Admin Service. Hacer click en Save.
Figura3.: Instancia
configurada del modo Stand-Alone y sus servicios.
Paso 7: Es
posible que el sistema notificara la necesidad de hacer un reinicio de todo el
nodo, si fuese así, hacer click en OK
y esperar que el sistema reinicie. Validar Figura4. Luego hacer la reconexión.
Por ejemplo: https://ISEBCOEXT01.setrys.com.
Figura4.:
Notificacion de reinicio del sistema
Proceso 3: Agregar “Radius profiling” al nodo Cisco ISE
Ahora se configurar el metodo que
usaran los dispositivos finales a fin de autenticar los dispositivos finales.
Paso 1: Navegar
a través de la ruta Administration >
System > Deployment.
Paso 2: Seleccionar
el primer nodo PSN y hacer click en Edit.
Validar Figura5.
Figura5.:
Primer nodo PSN Cisco ISE
Paso 3: En
la parte superior, debajo del título de sección Edit Node, hacer click en la pestaña Profiling Configuration. Seleccionar las opciones HTTP y RADIUS. Luego click en Save.
Validar Figura6.
Figura6.:
Profiling Configuration, Primer nodo PSN Cisco ISE
Proceso 4: Configurar la administración de dispositivos sobre
Cisco ISE
Mediante esta sección del
documento se configuran las instancias o nodos Cisco ISE a fin de aceptar
solicitudes de autenticación de los dispositivos de red. Ya sea RADIUS o
TACACS, se necesita configurar una llave pre compartida. Cada uno de los
dispositivos dentro del sistema que necesiten establecer un proceso de
autenticación hará uso de esta llave.
Paso 1: Navegar a través ruta Administration >
Network Resources > Network Devices. En el panel a la izquierda
hacer click en Default Device.
Paso 2: A
la derecha, en Default Network Device, cambiar
a ENABLE la sección Default Network Devices Status para los
protocolos RADIUS y TACACS+. Validar Figura7. Agregar la
llave pre compartida. Click en Save.
Figura7:
Configuración para Administración de Dispositivos sobre Cisco ISE
Proceso 5: Configurar Cisco ISE, uso de Active Directory
Cisco ISE
pudiese utilizar un servidor externo para la autenticación como un existente
Active Directory, en lo adelante AD, configurado previamente.
Paso
1: Navegar
a través ruta Administration >
Identity Management > External Identity Sources.
Paso
2: En
el panel izquierdo, click en Active
Directory.
Paso 3: A
la derecha, click en la pestaña Connection,
colocar el nombre del dominio (por ejemplo: setrys.com) y el nombre del servidor (por
ejemplo, setrysDC).
Click en Save Configuration. Validar
Figura8.
Figura8.:
Ingreso de Nombre de Dominio y datos de servidor Controlador
Paso 4: Verificar la configuración realizada, para ello seleccionar
el Nodo Cisco ISE y realizar un Test
User, introducir las credenciales y click en OK. Una notificación de acceso exitoso o no aparecer en pantalla.
Click en Close.
Paso 5: Una
vez que se reciba un mensaje exitoso en el Test
User, integrar el nodo Cisco ISE al AD existente, para ello hacer
seleccionar el nodo ISE y hacer click en el botón Join, otorgar las credenciales de la cuenta administrador el
dominio en cuestión y hacer click en OK. Un mensaje será desplegado en
pantalla indicando el éxito de la operación, hacer click en Close, Validar Figura9.
Figura9.: Log de la
operación de Integracion Cisco ISE con AD
El estatus final de
integración se muestra e la Figura10.
Figura10.: Estatus, integración
en AD del nodo Cisco ISE
Ahora se seleccionara los grupos y dominios de AD
que serán usados en el proceso de autenticación.
Paso 6: A la derecha, hacer click sobre la pestaña Authetication Domains el sistema despliega la lista de los dominios
existentes dentro del “Forest” de AD. Desactivar los que no serán utilizados.
Click en Save. Validar Figura11.
Figura11.:
Selección de Dominios dentro del “Forest” utilizados para autenticar por Cisco
ISE
Paso 7: Nuevamente
en el panel de la derecha hacer click sobre la pestaña Groups, luego en click Add y aquí Select
Groups from Directory. Validar Figura12.
Figura12.:
Primeros pasos, selección grupos de AD para autenticación
Paso
8: Seleccionar
los grupos que se desean agregar. El campo Domain
se autocompleta. El campo Filter
selecciona todos los grupos “*”. Haga click en el botón Retrieve Groups a fin de
obtener toda la lista de grupos disponibles dentro del AD. Validar Figura 13.
Figura13.:
Solictud al AD de grupos disponibles
Paso 9: Seleccionar de la lista de grupos del dominio los
necesarios durante los procesos de autenticación y hacer click en OK. Por ejemplo: setrys.com/Users/Domain
Admins.
Validar Figura14.
Figura14.:
Selección de grupos de AD
Paso 10: Guardar la configuración haciendo click en Save Configuration. Figura15 muestra el
estatus final.
Figura15.: Grupos
definitivos selecionado del AD y que sera utilizado por Cisco ISE
Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.
No hay comentarios:
Publicar un comentario