Tích hợp Microsoft AD để đăng nhập Cisco ISE GUI và CLI

Thảo luận trong 'Firewall Cisco' bắt đầu bởi tranminhthanh, 1/10/21.

Tags:
  1. tranminhthanh

    tranminhthanh Member

    I/. GIỚI THIỆU:
    - Bài viết hướng dẫn cấu hình mẫu sử dụng Microsoft Active Directory (AD) như một kho lưu trữ danh tính xác thực mở rộng cho quản trị truy cập đến quản lý GUI và CLi của Cisco Identity Services Engine (ISE).

    II/. NHỮNG THÀNH PHẦN ĐƯỢC SỬ DỤNG:
    - Thông tin trong bài viết này dựa trên các phiên bản phần mềm và phần cứng sau:
    • Cisco ISE Version 3.0
    • Windows Server 2016

    - Thông tìn trên được tạo từ các thiết bị trong môi trường lab chuyên biệt. Tất cả các thiết bị được sử dụng trong tài liệu này đều bắt đầu với cấu hình sạch (mặc định). Nếu mạng của bạn đang hoạt động, bài viết này sẽ giúp bạn có các kiến thức để triển khai cấu hình, cũng như các hiểu được các tác động tiềm ẩn của bất kỳ cài đặt lệnh nào trên nó.

    III/. CẤU HÌNH:
    - Sử dụng phần này để cấu hình việc sử dụng Microsoft AD làm kho lưu trữ danh tính mở rộng bên ngoài để truy cập quản trị vào GUI quản lý của Cisco ISE.
    - Các port này được sử dụng giữa node ISE và AD giao tiếp với nhau:
    [​IMG]
    3.1 Những quyền hạn được yêu cầu của AD Account cho việc thực hiện vận hành đa nền tảng:
    Tham gia vào các hoạt động của AD – Để tài khoản được sử dụng để thực hiện tham gia hoạt động, các quyền hạn bên dưới được yêu cầu phải có:
    - Tìm kiếm Active Directory (để thấy nếu tài khoản của Cisco ISE machine đã tồn có sẵn)
    - Tạo tài khoản Cisco ISE machine tới domain (nếu tài khoản ISE chưa có)
    - Cài đặt các thuộc tính trên tài khoản ISE mới (vd: mật khẩu Cisco ISE machine, SPN, dnsHostname)

    Không nhất thiết phải là admin domain để thực hiện tham gia vào.

    Rời bỏ hoạt động của AD – Để tài khoản được sử dụng để rời ra khởi hoạt động, các quyền hạn bên dưới được yêu cầu phải có:
    - Tìm kiếm Active Directory (để thấy nếu tài khoản của Cisco ISE machine đã tồn có sẵn)
    - Xóa tài khoản Cisco ISE machine từ domain

    Nếu bạn tiến hành buộc rời bỏ (không cần mật khẩu), thì tài khoản của ISE sẽ không được xóa trên trong domain AD .

    Các tài khoản Cisco ISE Machine – Để tạo mới tài khoản cho ISE machine được sử dụng để giao tiếp với kết nối AD, cần các quyền dưới phải có:
    - Có khả năng thay đổi mật khẩu sơ hữu
    - Đọc những nội dung user/machine tương ứng với các user/machine được xác thực
    - Truy vấn các thành phần của AD để học về thông tin yêu cầu (vd: trusted domain, thay đổi hậu tố UPN…)
    - Khả năng đọc được các thuộc tính các tokenGroup

    Bạn có thể tạo trước tài khoản cho Cisco ISE machine trong AD domain, và nếu tên SAM trùng với hostname thiết bị Cisco ISE, nó nên được đặt trong khi tham gia hoạt động và tái sử dung.

    Nếu nhiều hệ điều hành cùng tham gia được triển khai, nhiều tài khoản machine được duy trì bên trong Cisco ISE, một tài khoản cho mỗi tham gia.

    3.2 Cisco ISE tham gia vào AD domain :
    1. Trên giao diện GUI của Cisco ISE, chuyển đến Administration > Identity Management > External Identity Sources > Active Directory.
    2. Nhập tên điểm tham gia mới và tên AD domain.
    3. Nhập các thông tin tài khoản AD để có thể thêm và thay đổi các nội dụng máy tính và click OK.
    [​IMG]
    [​IMG]
    3.3. Chọn AD Group:
    1. Đi đến trang Administration > Identity Management > External Identity Sources > Active Directory > Groups > Add > chọn nhóm trong AD.
    2. Nhập tối thiểu một AD Group mà tài khoản admin thuộc về.
    [​IMG]

    3.4 Bật Administrative Access cho AD:
    - Hoàn thành các bước sau để bật xác thực bằng mật khẩu cho AD:

    1. Đi đến trang Administration > System > Admin Access > Authentication.
    2. Trong phần Authentication Method, chọn Password Based.
    3. Chọn AD trong danh sách của Identity Source.
    4. Click Save Changes.
    [​IMG]

    3.5 Cấu hình Admin Group vào AD Group Mapping:
    - Xác định nhóm Cisco ISE Admin Group và gán vào một AD Group. Điều này cho phép ủy quyền để Kiểm soát truy cập dựa trên vai trò – Role Based Access Control (RBAC) cho admin dựa trên tư cách thành viên nhóm trong AD.
    1. Đi đến trang Administration > System > Admin Access > Administrators > Admin Groups.
    2. Click Add để thấy bảng cấu hình mới cho Admin Group.
    3. Nhập tên cho Admin Group mới này.
    4. Trong ô Type, check ô External.
    5. Trong danh sách External Groups được liệt kê, chọn các AD group mà bạn muốn gán với Admin Group, như được định nghĩa trong phần chọn nhóm AD ở trên.
    6. Click Save Changes.
    [​IMG]
    3.6 Đặt quyền RBAC Permissions cho Admin Group:
    1. Đi đến trang Administration > System > Admin Access > Authorization > Policy.
    2. Trong danh sách Actions bên phải, chọn Insert New Policy Below để thêm một policy mới.
    3. Tạo một quy tắc mới gọi là AD_Administrator, gán nói với Admin Group đã được xác định ở bước 3.4, và chỉ định quyền cho nó.
    Lưu ý: ví dụ này Admin Group được gọi là Super Admin được chỉ định, nó tương đướng với tiêu chuẩn tài khoản admin.
    4. Click Save Changes. Xác nhận các thay đổi đã lưu lại được hiển thị góc phải bên dưới của giao diện GUI.
    [​IMG]
    3.7 Truy cập vào GUI của ISE với Thông tin xác thực AD (AD Credentials):
    1. Đăng xuất ra khỏi GUI của tài khoản admin local.
    2. Chọn AD trong danh sách Identity Source.
    3. Nhập tài khoản và mật khẩu trong AD database và log in.

    Lưu ý: ISE mặc định lưu user nội bộ trong trường hợp không thể truy cập AD hoặc thông tài khaonr được sử dụng không tồn tại trong AD. Điều này tạo điều kiện đăng nhập nhanh nếu bạn sử dụng lưu nội bộ khi AD được cấu hình để truy cập quản trị.
    [​IMG]
    [​IMG]

    3.8 Truy cập ISE CLI Access với Thông tin xác thực AD:
    - Xác thực với một nguồn dánh tính bên ngoài sẽ bảo mật hơn là sử dụng cơ sở dữ liệu cục bộ trên Cisco ISE. RBAC cho quản trị bằng CLI cũng hỗ trợ lưu trữ danh tính bên ngoài.
    Lưu ý: Phiên bản ISE Version 2.6 và sau này hỗ trợ xác thực của người quản trị CLI bằng nguồn danh tính được lưu bên ngoài, như AD.

    - Để quản lý một nguồn duy nhất cho mật khẩu mà không cần quản lý nhiều chính sách mật khẩu và người dùng nội bộ trong ISE, do đó giảm thời gian và công sức.

    - Các điều kiện tiên quyết: Bạn phải xác định user Admin, và thêm chúng vào Admin Group. Admin này phải là một Super Admin.

    - Xác định các thuộc tính của user trong AD User Directory: Trên Windows server mở Active Directory Users and Computers, thay đổi các thuộc tính cho mỗi user mà bạn định cấu hình như một CLI Admin.
    1. Mở cửa sổ Server Manager Window, và đi đến Server Manager > Roles > Active Directory Domain Services > Active Directory Users and Computers > [ ad.adserver ] <ad_server>.local.
    2. Bật Advanced Features bêm dưới View để có thể thay đổi thuộc tính cho user.
    [​IMG]

    3. Chuyển đến AD group có chứa Admin user và tìm user đó.
    4. Double-click vào user để mở cửa sổ Properties và chọn Attribute Editor.
    5. Tìm thuộc tính gidNumber
    6. Double-click vào gidNumber để thay đổi mỗi thuộc tính. Cho mỗi user:
    > Đặt uidNumber lớn hơn '60000', và số này là duy nhất.
    > Đặt gidNumber là '110' hoặc '111'
    > gidNumber '110' biểu thị là một admin user trong khi '111' là read-only user.
    > Không thay số uidNumber sau khi đã đặt lại.
    - Nếu bạn thay đổi giá trị của gidNumber, đợi tối thiểu 5 phút trước khi tiến hành kết nối qua SSH.
    [​IMG] [​IMG]

    3.9 Admin CLI User tham gia vào AD Domain:
    - Kết nối Cisco ISE CLI, chạy lệnh 'identity-store', và chỉ định Admin user vào ID-store. Ví dụ, gán CLI admin user với AD là isha.global trong ISE, chạy lệnh 'identity-store active-directory domain-name <Domain name> user <AD join username>'.
    - Hãy kết nối tới Cisco ISE CLI và login vào bằng Admin CLI user để kiểm tra cấu hình.
    - Nếu domain bạn sử dụng trong lệnh này trước đó đã được tham gia vào node ISE, thì bạn phải tham gia lại domain trong Administrator console.
    1. Trong Cisco ISE GUI, click biểu tượng Menu và chuyển đến trang Administration > Identity Management > External Identity Sources.
    2. Phía bên trái, chọn Active Directory và chọn tên AD.
    3. Bên tay phải, trạng thái của kết nối AD của bạn có thể hiện 'Operational'. Nhưng bạn sẽ nhận lỗi nếu kiểm tra kết nối với Test User sử dụng một trong hai MS-RPC hoặc Kerberos.
    4. Xác nhận lại rằng bạn vẫn có thể đăng nhập vào Cisco ISE CLI bằng tài khoản của Admin CLI user.
    3.10 Cấu hình lệnh ISE CLI:
    1. Login vào ISE CLI.
    2. ise30-1/admin# configure terminal
    3. Enter configuration commands, one per line. End with CNTL/Z.
    ise30-1/admin(config)#
    4. Để node tham gia vào domain:
    ise30-1/admin(config)# identity-store active-directory domain-name isha.global user Administrator

    If the domain isha.global is already joined via UI, then you must rejoin the domain isha.global from UI after this configuration. Until the rejoin happens, authentications to isha.global will fail

    Do you want to proceed? Y/N [N]: Y
    Password for Administrator:
    Joined to domain isha.global successfully

    Lưu ý:
    - Nếu domain đã join domain qua GUI, sau đó bạn phải re-join node lại lần nữa từ GUI nếu không quá trình xác thực chống AD sẽ tiếp tục không thành công.
    - Tất cả các node phải được join riêng qua CLI.

    V/. Troubleshoot:
    5.1 Sự cố khi tham gia vào AD domain:
    - Các vấn đề xảy ra trong quá trình tham gia domain và các log có liên quan có thể xem trong "/var/log/messages file".
    - Lệnh Command: show logging system messages

    - Tình huống cấu hình có hoạt động:

    - Tình huống cấu hình Không làm việc:
    Join domain lỗi vì sai mật khẩu xác thực:

    5.2 Login Issues:
    - Các vấn đề trong quá trình đăng nhập và log liên quan có thể xem trong "/var/log/secure".
    - Lệnh Command: show logging system secure

    Xác thực thành công:

    Xác thực không thành công do sai mật khẩu:
    Xác thực không thành công do sai tài khoản người dùng:
     
    tranminhthanh, 1/10/21
    #1

trang này