Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
2.1 de la configuración ISE que perfila losservicios basados en la sonda AD Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesConfigurarDiagrama de la redConfigure el WLCConfigure el ISEPaso 1. Agregue el dispositivo de acceso a la redPaso 2. Radio del permiso y sondas ADPaso 3. Aduana de la configuración que perfila las condicionesPaso 4. Directiva de perfilado de encargo de la configuraciónPaso 5. Únase al ISE al ADPaso 6. Directivas de la autorización de la configuraciónVerificaciónTroubleshootingDebugs en el ISEInformación Relacionada
Introducción
Este documento describe cómo configurar el 2.1 del Identity Services Engine (ISE) que perfila losservicios basados en la sonda del Active Directory (AD). El sensor del dispositivo es unacaracterística de los dispositivos de acceso. Recoge la información sobre los puntos finalesconectados.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Protocolo RADIUS●
AD●
Cisco ISE●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Versión 2.1 de Cisco ISE●
Regulador del Wireless LAN (WLC) 8.0.133.0●
Service Pack 1 de Windows 7●
R2 AD 2012●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Antecedentes
La sonda AD:
Mejora la fidelidad de la información del operating system (OS) para los puntos finales deWindows. Microsoft AD sigue la información detallada OS para los ordenadores AD-joinedque incluye los niveles de la versión y del Service Pack. La sonda AD extrae esta informacióndirectamente y utiliza el conector del Runtime AD para proporcionar altamente una fuenteconfiable de información del OS cliente.
●
Ayudas a distinguir entre los activos corporativos y NON-corporativos. Un básico, pero elatributo importante disponible para la sonda AD es si un punto final existe en el AD. Estainformación se puede utilizar para clasificar un punto final contenido en el AD como undispositivo administrado o activo corporativo.
●
Configurar
Diagrama de la red
Éste es el flujo:
El cliente conecta con la red inalámbrica vía puente de la autenticación de MAC (MAB),acceso limitado se da al punto final.
1.
El WLC vía la característica del sensor del dispositivo envía el nombre de host de lamáquina del cliente al ISE.
2.
Interrogación de los activadores AD ISE para conseguir los atributos: AD-Host-existe, la AD-Unir a-punta, AD-Actuar-sistema, AD-OS-versión, AD-Servicio-paquete.
3.
Puesto que hay manual perfilando la directiva configurada, la regla de la autorización existe,se perfila el punto final y el cambio de la autorización (CoA) se acciona.
4.
El acceso total se da al punto final.5.
Configure el WLC
El WLC se configura para la autenticación básica MAB. Las configuraciones se resaltan en el rojo.
El WLC se configura para el sensor del dispositivo, recoge la información de red de los puntosfinales conectados con los protocolos tales como HTTP y DHCP, y adelante esta información alnodo de los servicios de la directiva ISE (PSN) en los paquetes de las estadísticas RADIUS.Cuando el ISE recibe un nombre de host, trae los atributos AD para un nuevo punto final. Elnombre de host es típicamente docto de las sondas del DHCP o DNS.
Configuración ISE
Paso 1. Agregue el dispositivo de acceso a la red
Agregue el WLC como dispositivo de red en la administración > los recursos de red > losdispositivos de red. Utilice la clave del servidor de RADIUS del WLC como configuración de laautenticación del secreto compartido.
Paso 2. Radio del permiso y sondas AD
Sonda del radio del permiso en el nodo de perfilado en la administración > el sistema > eldespliegue > el nodo ISE > perfilando la configuración. Solamente dos sondas se utilizanrealmente en este escenario, sonda del radio para conseguir el nombre de host del punto final yde la sonda AD, para extraer los atributos AD.
Una vez que está extraído con éxito, el ISE no intenta preguntar el AD otra vez para el mismopunto final hasta que expire el temporizador de la pre-exploración. Éste es limitar la carga en elAD para las interrogaciones del atributo. El temporizador de la pre-exploración es configurable enlos días antes del campo de la pre-exploración (la administración > sistema > despliegue >perfilando la configuración > el Active Directory). Si hay adicional perfilando la actividad en elpunto final, el AD se pregunta otra vez.
Paso 3. Aduana de la configuración que perfila las condiciones
Navegue a los centros de trabajo > a los elementos del Profiler > de la directiva > a lascondiciones del Profiler. Verifique si la punta común es dominio EXAMPLE.COM.
Verifique si el sistema operativo es profesional de Windows 7.
Verifique si el OS tiene Service Pack 1 instalado.
Verifique si hay una máquina explica el punto final en el AD.
Paso 4. Directiva de perfilado de encargo de la configuración
Navegue a los centros > al Profiler de trabajo > perfilando las directivas. Para ser perfilado comoekorneyc_Win7_SP1_Corporate específico, usted necesita satisfacer las condiciones mínimaspara todas las condiciones. Si usted hace juego todos, el factor acumulativo de Certantinity será60, que es un mínimo para perfilar la directiva en este ejemplo.
Una vez que se guarda la directiva, crean al grupo correspondiente de la identidad del punto final.Es importante configurar el tipo asociado correcto CoA, para asegurar una vez que se perfila elpunto final, CoA que Reauth se envía para aplicar la nueva directiva.
Paso 5. Únase al ISE al AD
1. Navegue a la administración > a la Administración de la identidad > identidad externa salva >Active Directory > Add. Proporcione el nombre de la punta del unido, dominio AD y el tecleosomete.
2. Cuando se le pregunte para unirse a todos los Nodos ISE a este dominio AD, haga clic sí.
3. Proporcione el Nombre de usuario y la contraseña AD, AUTORIZACIÓN del tecleo.
La cuenta AD requerida para el acceso del dominio en el ISE debe tener cualquiera de éstos:
Agregue los puestos de trabajo a la derecha de Domain User en el dominio correspondiente.●
Cree los objetos de la Computadora o borre el permiso de los objetos de la Computadora enel envase de los ordenadores donde la cuenta de máquina ISE se crea antes de unirse a lamáquina ISE al dominio.
●
Cisco recomienda inhabilitar la directiva del cierre para la cuenta ISE y configurar la
infraestructura AD para enviar las alertas al admin si una contraseña incorrecta se utiliza para esacuenta. Cuando se ingresa la contraseña incorrecta, el ISE no crea ni modifica su cuenta demáquina cuando es necesario y por lo tanto para negar posiblemente todas las autenticaciones.
4. Revise el estado de la operación, estado de nodo debe aparecer según lo completado, cierredel tecleo.
5. El estatus del AD debe ser operativo.
Paso 6. Directivas de la autorización de la configuración
Se configuran dos directivas de la autorización, el valor por defecto uno autorizan el punto finalcon el acceso limitado. Una vez que se perfila la máquina, se envía el CoA Reauth, y la nuevadirectiva con los derechos de acceso total se asigna.
Verificación
Use esta sección para confirmar que su configuración funciona correctamente.
Navegue a las operaciones > al radio > vivo abre una sesión el ISE. La primera autenticación dela parte inferior, muestra que el acceso limitado está dado, que es seguido por el CoA, que esseguida por la directiva de total acceso.
Navegue a la visibilidad > a los puntos finales del contexto a verificar que el punto final correctofue creado y corregir el perfil del punto final fue asignado.
Haga clic en el MAC address de los puntos finales para ver todos los atributos. Los atributos AD,perfilando la directiva se resaltan.
El atributo del hostname recibido del WLC, que accionaron la extracción de los atributos AD seresalta.
Troubleshooting
En esta sección encontrará información que puede utilizar para solucionar problemas deconfiguración.
Debugs en el ISE
Para habilitar los debugs en el ISE navegue a la administración > al sistema > a la configuracióndel registro del registro > del debug, PSN selecto y cambie el registro llano del componente delprofiler PARA HACER EL DEBUG DE.
Registros que se marcarán - profiler.log. Usted puede atarlo directamente de ISE CLI:
ISE21-3ek/admin# show logging application profiler.log tail
El punto final autentica por primera vez:
2016-07-01 18:52:54,916 DEBUG [RADIUSParser-1-thread-2][]
cisco.profiler.probes.radius.RadiusParser -::- Radius Accounting message for
mac:24:77:03:D9:4D:48for probe typePROBE
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder
-:ProfilerCollection:- Processing endpoint:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder
-:ProfilerCollection:- Filtering:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder
-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:AuthenticationMethod value:Lookup
Attribute:AuthorizationPolicyMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:Called-Station-ID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:DestinationIPAddress value:10.201.228.86
Attribute:DestinationPort value:1812
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointMACAddress value:24-77-03-D9-4D-48
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:RADIUS Probe
Attribute:FailureReason value:-
Attribute:IsThirdPartyDeviceFlow value:false
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MessageCode value:5200
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device
Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NetworkDeviceProfileId value:403ea8fc-7a27-41c3-80bb-27964031a08d
Attribute:NetworkDeviceProfileName value:Cisco
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:OriginalUserName value:247703d94d48
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:PostureAssessmentStatus value:NotApplicable
Attribute:RadiusFlowType value:WirelessMAB
Attribute:Response value:{User-Name=24-77-03-D9-4D-48;
State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s;
Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-av-
pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-LimitedAccess-57758e56; LicenseTypes=1; }
Attribute:SSID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:SelectedAccessService value:Default Network Access
Attribute:SelectedAuthenticationIdentityStores value:Internal Users,
All_AD_Join_Points, Guest Users
Attribute:SelectedAuthorizationProfiles value:LimitedAccess
Attribute:Service-Type value:Call Check
Attribute:StepData value:6= Normalised Radius.RadiusFlowType, 7=
Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points,
16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com,
21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default
Attribute:UseCase value:Host Lookup
Attribute:User-Name value:247703d94d48
Attribute:UserName value:24-77-03-D9-4D-48
Attribute:allowEasyWiredSession value:true
Attribute:SkipProfiling value:false
Se perfila el punto final basó en la directiva del Intel-dispositivo UDI que corresponde con. Elpunto final se crea en la base de datos:
2016-07-01 18:52:54,922 DEBUG [EndpointHandlerWorker-0-32-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Generating
FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48
2016-07-01 18:52:54,943 DEBUG [EndpointHandlerWorker-0-32-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy Intel-Device
matched 24:77:03:D9:4D:48 (certainty 5)
2016-07-01 18:52:54,975 DEBUG [pool-42-thread-17][]
cisco.profiler.infrastructure.notifications.EndPointNotificationHandler -::- EndPoint created -
(mac : 24:77:03:D9:4D:48)
Las estadísticas del radio se envían del WLC, conteniendo el hostname del punto final:
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][]
cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 1: host-name=[EKORNEYC-PC]
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][]
cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[MSFT
5.0]
2016-07-01 18:52:59,350 DEBUG [RADIUSParser-1-thread-1][]
cisco.profiler.probes.radius.RadiusParser -::- Endpoint: EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Acct-Authentic value:RADIUS
Attribute:Acct-Session-Id value:57764da6/24:77:03:d9:4d:48/165
Attribute:Acct-Status-Type value:Start
Attribute:AcsSessionID value:psn1-21/256595711/821
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:CPMSessionID value:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s
Attribute:Called-Station-ID value:10.201.228.93
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:Class value:CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-
21/256595711/820
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointPolicy value:Unknown
Attribute:EndPointPolicyID value:
Attribute:EndPointSource value:RADIUS Probe
Attribute:Event-Timestamp value:1467370923
Attribute:Framed-IP-Address value:10.201.228.111
Attribute:IdentityGroup value:
Attribute:IdentityGroupID value:
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MatchedPolicy value:Unknown
Attribute:MatchedPolicyID value:
Attribute:MessageCode value:3000
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device
Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:RequestLatency value:3
Attribute:SelectedAccessService value:Default Network Access
Attribute:StaticAssignment value:false
Attribute:StaticGroupAssignment value:false
Attribute:Total Certainty Factor value:0
Attribute:Tunnel-Medium-Type value:(tag=0) 802
Attribute:Tunnel-Private-Group-ID value:(tag=0) 903
Attribute:Tunnel-Type value:(tag=0) VLAN
Attribute:User-Name value:24-77-03-D9-4D-48
Attribute:cisco-av-pair value:audit-session-id=0ac9e45d000000a057764da7, dhcp-
option=host-name=EKORNEYC-PC, dhcp-option=dhcp-class-identifier=MSFT 5.0
Attribute:dhcp-class-identifier value:MSFT 5.0
Attribute:host-name value:EKORNEYC-PC
Attribute:ip value:10.201.228.111
Attribute:SkipProfiling value:false
El ISE trae los atributos AD para un nuevo punto final tan pronto como reciba un nombre de host:
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =
operatingSystemVersion, Value = [6.1 (7601)]
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = jp, Value =
[EXAMPLE.COM]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = domain, Value =
[example.com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = dn, Value =
[CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =
operatingSystemServicePack, Value = [Service Pack 1]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]
profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystem,
Value = [Windows 7 Professional]
Los atributos se agregan al punto final en la base de datos:
2016-07-01 18:52:59,672 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder
-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AD-Fetch-Host-Name value:EKORNEYC-PC
Attribute:AD-Host-Exists value:true
Attribute:AD-Join-Point value:EXAMPLE.COM
Attribute:AD-Last-Fetch-Time value:1467399179672
Attribute:AD-OS-Version value:6.1 (7601)
Attribute:AD-Operating-System value:Windows 7 Professional
Attribute:AD-Service-Pack value:Service Pack 1
Attribute:BYODRegistration value:Unknown
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:Active Directory Probe
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:operating-system-result value:Windows 7 Professional
Attribute:SkipProfiling value:false
La nueva directiva se corresponde con según la directiva de perfilado configurada:
2016-07-01 18:52:59,699 DEBUG [EndpointHandlerWorker-0-32-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy
ekorneyc_Win7_SP1_Corporate matched 24:77:03:D9:4D:48 (certainty 60)
Información Relacionada
Guía del administrador del Cisco Identity Services Engine, 2.1 de la versión●
Soporte Técnico y Documentación - Cisco Systems●
Sensor del dispositivo de la configuración para el perfilado ISE●
Cisco ISE que perfila la guía de diseño●