2.1 de la configuración ISE que perfila los servicios ... · La información que contiene este...

2.1 de la configuración ISE que perfila losservicios basados en la sonda AD Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesConfigurarDiagrama de la redConfigure el WLCConfigure el ISEPaso 1. Agregue el dispositivo de acceso a la redPaso 2. Radio del permiso y sondas ADPaso 3. Aduana de la configuración que perfila las condicionesPaso 4. Directiva de perfilado de encargo de la configuraciónPaso 5. Únase al ISE al ADPaso 6. Directivas de la autorización de la configuraciónVerificaciónTroubleshootingDebugs en el ISEInformación Relacionada

Introducción

Este documento describe cómo configurar el 2.1 del Identity Services Engine (ISE) que perfila losservicios basados en la sonda del Active Directory (AD). El sensor del dispositivo es unacaracterística de los dispositivos de acceso. Recoge la información sobre los puntos finalesconectados.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Protocolo RADIUS●

AD●

Cisco ISE●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Versión 2.1 de Cisco ISE●

Regulador del Wireless LAN (WLC) 8.0.133.0●

Service Pack 1 de Windows 7●

R2 AD 2012●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

La sonda AD:

Mejora la fidelidad de la información del operating system (OS) para los puntos finales deWindows. Microsoft AD sigue la información detallada OS para los ordenadores AD-joinedque incluye los niveles de la versión y del Service Pack. La sonda AD extrae esta informacióndirectamente y utiliza el conector del Runtime AD para proporcionar altamente una fuenteconfiable de información del OS cliente.

●

Ayudas a distinguir entre los activos corporativos y NON-corporativos. Un básico, pero elatributo importante disponible para la sonda AD es si un punto final existe en el AD. Estainformación se puede utilizar para clasificar un punto final contenido en el AD como undispositivo administrado o activo corporativo.

●

Configurar

Diagrama de la red

Éste es el flujo:

El cliente conecta con la red inalámbrica vía puente de la autenticación de MAC (MAB),acceso limitado se da al punto final.

1.

El WLC vía la característica del sensor del dispositivo envía el nombre de host de lamáquina del cliente al ISE.

2.

Interrogación de los activadores AD ISE para conseguir los atributos: AD-Host-existe, la AD-Unir a-punta, AD-Actuar-sistema, AD-OS-versión, AD-Servicio-paquete.

3.

Puesto que hay manual perfilando la directiva configurada, la regla de la autorización existe,se perfila el punto final y el cambio de la autorización (CoA) se acciona.

4.

El acceso total se da al punto final.5.

Configure el WLC

El WLC se configura para la autenticación básica MAB. Las configuraciones se resaltan en el rojo.

El WLC se configura para el sensor del dispositivo, recoge la información de red de los puntosfinales conectados con los protocolos tales como HTTP y DHCP, y adelante esta información alnodo de los servicios de la directiva ISE (PSN) en los paquetes de las estadísticas RADIUS.Cuando el ISE recibe un nombre de host, trae los atributos AD para un nuevo punto final. Elnombre de host es típicamente docto de las sondas del DHCP o DNS.

Configuración ISE

Paso 1. Agregue el dispositivo de acceso a la red

Agregue el WLC como dispositivo de red en la administración > los recursos de red > losdispositivos de red. Utilice la clave del servidor de RADIUS del WLC como configuración de laautenticación del secreto compartido.

Paso 2. Radio del permiso y sondas AD

Sonda del radio del permiso en el nodo de perfilado en la administración > el sistema > eldespliegue > el nodo ISE > perfilando la configuración. Solamente dos sondas se utilizanrealmente en este escenario, sonda del radio para conseguir el nombre de host del punto final yde la sonda AD, para extraer los atributos AD.

Una vez que está extraído con éxito, el ISE no intenta preguntar el AD otra vez para el mismopunto final hasta que expire el temporizador de la pre-exploración. Éste es limitar la carga en elAD para las interrogaciones del atributo. El temporizador de la pre-exploración es configurable enlos días antes del campo de la pre-exploración (la administración > sistema > despliegue >perfilando la configuración > el Active Directory). Si hay adicional perfilando la actividad en elpunto final, el AD se pregunta otra vez.

Paso 3. Aduana de la configuración que perfila las condiciones

Navegue a los centros de trabajo > a los elementos del Profiler > de la directiva > a lascondiciones del Profiler. Verifique si la punta común es dominio EXAMPLE.COM.

Verifique si el sistema operativo es profesional de Windows 7.

Verifique si el OS tiene Service Pack 1 instalado.

Verifique si hay una máquina explica el punto final en el AD.

Paso 4. Directiva de perfilado de encargo de la configuración

Navegue a los centros > al Profiler de trabajo > perfilando las directivas. Para ser perfilado comoekorneyc_Win7_SP1_Corporate específico, usted necesita satisfacer las condiciones mínimaspara todas las condiciones. Si usted hace juego todos, el factor acumulativo de Certantinity será60, que es un mínimo para perfilar la directiva en este ejemplo.

Una vez que se guarda la directiva, crean al grupo correspondiente de la identidad del punto final.Es importante configurar el tipo asociado correcto CoA, para asegurar una vez que se perfila elpunto final, CoA que Reauth se envía para aplicar la nueva directiva.

Paso 5. Únase al ISE al AD

1. Navegue a la administración > a la Administración de la identidad > identidad externa salva >Active Directory > Add. Proporcione el nombre de la punta del unido, dominio AD y el tecleosomete.

2. Cuando se le pregunte para unirse a todos los Nodos ISE a este dominio AD, haga clic sí.

3. Proporcione el Nombre de usuario y la contraseña AD, AUTORIZACIÓN del tecleo.

La cuenta AD requerida para el acceso del dominio en el ISE debe tener cualquiera de éstos:

Agregue los puestos de trabajo a la derecha de Domain User en el dominio correspondiente.●

Cree los objetos de la Computadora o borre el permiso de los objetos de la Computadora enel envase de los ordenadores donde la cuenta de máquina ISE se crea antes de unirse a lamáquina ISE al dominio.

●

Cisco recomienda inhabilitar la directiva del cierre para la cuenta ISE y configurar la

infraestructura AD para enviar las alertas al admin si una contraseña incorrecta se utiliza para esacuenta. Cuando se ingresa la contraseña incorrecta, el ISE no crea ni modifica su cuenta demáquina cuando es necesario y por lo tanto para negar posiblemente todas las autenticaciones.

4. Revise el estado de la operación, estado de nodo debe aparecer según lo completado, cierredel tecleo.

5. El estatus del AD debe ser operativo.

Paso 6. Directivas de la autorización de la configuración

Se configuran dos directivas de la autorización, el valor por defecto uno autorizan el punto finalcon el acceso limitado. Una vez que se perfila la máquina, se envía el CoA Reauth, y la nuevadirectiva con los derechos de acceso total se asigna.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Navegue a las operaciones > al radio > vivo abre una sesión el ISE. La primera autenticación dela parte inferior, muestra que el acceso limitado está dado, que es seguido por el CoA, que esseguida por la directiva de total acceso.

Navegue a la visibilidad > a los puntos finales del contexto a verificar que el punto final correctofue creado y corregir el perfil del punto final fue asignado.

Haga clic en el MAC address de los puntos finales para ver todos los atributos. Los atributos AD,perfilando la directiva se resaltan.

El atributo del hostname recibido del WLC, que accionaron la extracción de los atributos AD seresalta.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas deconfiguración.

Debugs en el ISE

Para habilitar los debugs en el ISE navegue a la administración > al sistema > a la configuracióndel registro del registro > del debug, PSN selecto y cambie el registro llano del componente delprofiler PARA HACER EL DEBUG DE.

Registros que se marcarán - profiler.log. Usted puede atarlo directamente de ISE CLI:

ISE21-3ek/admin# show logging application profiler.log tail

El punto final autentica por primera vez:

2016-07-01 18:52:54,916 DEBUG [RADIUSParser-1-thread-2][]

cisco.profiler.probes.radius.RadiusParser -::- Radius Accounting message for

mac:24:77:03:D9:4D:48for probe typePROBE

2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder

-:ProfilerCollection:- Processing endpoint:24:77:03:D9:4D:48


-:ProfilerCollection:- Filtering:24:77:03:D9:4D:48


-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

Attribute:AAA-Server value:psn1-21

Attribute:Airespace-Wlan-Id value:11

Attribute:AllowedProtocolMatchedRule value:Default

Attribute:AuthenticationMethod value:Lookup

Attribute:AuthorizationPolicyMatchedRule value:Default

Attribute:BYODRegistration value:Unknown

Attribute:Called-Station-ID value:3c-ce-73-09-84-50:ekorneyc_Corporate

Attribute:Calling-Station-ID value:24-77-03-d9-4d-48

Attribute:DestinationIPAddress value:10.201.228.86

Attribute:DestinationPort value:1812

Attribute:Device IP Address value:10.201.228.93

Attribute:Device Type value:Device Type#All Device Types

Attribute:DeviceRegistrationStatus value:NotRegistered

Attribute:EndPointMACAddress value:24-77-03-D9-4D-48

Attribute:EndPointProfilerServer value:psn1-21.example.com

Attribute:EndPointSource value:RADIUS Probe

Attribute:FailureReason value:-

Attribute:IsThirdPartyDeviceFlow value:false

Attribute:Location value:Location#All Locations

Attribute:MACAddress value:24:77:03:D9:4D:48

Attribute:MessageCode value:5200

Attribute:NAS-IP-Address value:10.201.228.93

Attribute:NAS-Identifier value:(Cisco Controller)

Attribute:NAS-Port value:1

Attribute:NAS-Port-Type value:Wireless - IEEE 802.11

Attribute:Network Device Profile value:Cisco

Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device

Types

Attribute:NetworkDeviceName value:WLC-backbone

Attribute:NetworkDeviceProfileId value:403ea8fc-7a27-41c3-80bb-27964031a08d

Attribute:NetworkDeviceProfileName value:Cisco

Attribute:NmapSubnetScanID value:0

Attribute:OUI value:Intel Corporate

Attribute:OriginalUserName value:247703d94d48

Attribute:PolicyVersion value:0

Attribute:PortalUser value:

Attribute:PostureApplicable value:Yes

Attribute:PostureAssessmentStatus value:NotApplicable

Attribute:RadiusFlowType value:WirelessMAB

Attribute:Response value:{User-Name=24-77-03-D9-4D-48;

State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s;

Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-av-

pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-LimitedAccess-57758e56; LicenseTypes=1; }

Attribute:SSID value:3c-ce-73-09-84-50:ekorneyc_Corporate

Attribute:SelectedAccessService value:Default Network Access

Attribute:SelectedAuthenticationIdentityStores value:Internal Users,

All_AD_Join_Points, Guest Users

Attribute:SelectedAuthorizationProfiles value:LimitedAccess

Attribute:Service-Type value:Call Check

Attribute:StepData value:6= Normalised Radius.RadiusFlowType, 7=

Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points,

16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com,

21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default

Attribute:UseCase value:Host Lookup

Attribute:User-Name value:247703d94d48

Attribute:UserName value:24-77-03-D9-4D-48

Attribute:allowEasyWiredSession value:true

Attribute:SkipProfiling value:false

Se perfila el punto final basó en la directiva del Intel-dispositivo UDI que corresponde con. Elpunto final se crea en la base de datos:

2016-07-01 18:52:54,922 DEBUG [EndpointHandlerWorker-0-32-thread-1][]

cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Generating

FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48


cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy Intel-Device

matched 24:77:03:D9:4D:48 (certainty 5)

2016-07-01 18:52:54,975 DEBUG [pool-42-thread-17][]

cisco.profiler.infrastructure.notifications.EndPointNotificationHandler -::- EndPoint created -

(mac : 24:77:03:D9:4D:48)

Las estadísticas del radio se envían del WLC, conteniendo el hostname del punto final:


cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 1: host-name=[EKORNEYC-PC]


cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[MSFT

5.0]


cisco.profiler.probes.radius.RadiusParser -::- Endpoint: EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

Attribute:AAA-Server value:psn1-21

Attribute:Acct-Authentic value:RADIUS

Attribute:Acct-Session-Id value:57764da6/24:77:03:d9:4d:48/165

Attribute:Acct-Status-Type value:Start

Attribute:AcsSessionID value:psn1-21/256595711/821

Attribute:Airespace-Wlan-Id value:11

Attribute:AllowedProtocolMatchedRule value:Default


Attribute:CPMSessionID value:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s

Attribute:Called-Station-ID value:10.201.228.93

Attribute:Calling-Station-ID value:24-77-03-d9-4d-48

Attribute:Class value:CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-

21/256595711/820

Attribute:Device IP Address value:10.201.228.93

Attribute:Device Type value:Device Type#All Device Types


Attribute:EndPointPolicy value:Unknown

Attribute:EndPointPolicyID value:

Attribute:EndPointSource value:RADIUS Probe

Attribute:Event-Timestamp value:1467370923

Attribute:Framed-IP-Address value:10.201.228.111

Attribute:IdentityGroup value:

Attribute:IdentityGroupID value:

Attribute:Location value:Location#All Locations


Attribute:MatchedPolicy value:Unknown

Attribute:MatchedPolicyID value:

Attribute:MessageCode value:3000

Attribute:NAS-IP-Address value:10.201.228.93

Attribute:NAS-Identifier value:(Cisco Controller)

Attribute:NAS-Port value:1

Attribute:NAS-Port-Type value:Wireless - IEEE 802.11

Attribute:Network Device Profile value:Cisco

Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device

Types

Attribute:NetworkDeviceName value:WLC-backbone






Attribute:RequestLatency value:3

Attribute:SelectedAccessService value:Default Network Access

Attribute:StaticAssignment value:false

Attribute:StaticGroupAssignment value:false

Attribute:Total Certainty Factor value:0

Attribute:Tunnel-Medium-Type value:(tag=0) 802

Attribute:Tunnel-Private-Group-ID value:(tag=0) 903

Attribute:Tunnel-Type value:(tag=0) VLAN

Attribute:User-Name value:24-77-03-D9-4D-48

Attribute:cisco-av-pair value:audit-session-id=0ac9e45d000000a057764da7, dhcp-

option=host-name=EKORNEYC-PC, dhcp-option=dhcp-class-identifier=MSFT 5.0

Attribute:dhcp-class-identifier value:MSFT 5.0

Attribute:host-name value:EKORNEYC-PC

Attribute:ip value:10.201.228.111


El ISE trae los atributos AD para un nuevo punto final tan pronto como reciba un nombre de host:

2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =

operatingSystemVersion, Value = [6.1 (7601)]


profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = jp, Value =

[EXAMPLE.COM]


profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = domain, Value =

[example.com]


profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = dn, Value =

[CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com]


profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =

operatingSystemServicePack, Value = [Service Pack 1]


profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystem,

Value = [Windows 7 Professional]

Los atributos se agregan al punto final en la base de datos:


-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

Attribute:AD-Fetch-Host-Name value:EKORNEYC-PC

Attribute:AD-Host-Exists value:true

Attribute:AD-Join-Point value:EXAMPLE.COM

Attribute:AD-Last-Fetch-Time value:1467399179672

Attribute:AD-OS-Version value:6.1 (7601)

Attribute:AD-Operating-System value:Windows 7 Professional

Attribute:AD-Service-Pack value:Service Pack 1



Attribute:EndPointProfilerServer value:psn1-21.example.com

Attribute:EndPointSource value:Active Directory Probe







Attribute:operating-system-result value:Windows 7 Professional


La nueva directiva se corresponde con según la directiva de perfilado configurada:


cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy

ekorneyc_Win7_SP1_Corporate matched 24:77:03:D9:4D:48 (certainty 60)

Información Relacionada

Guía del administrador del Cisco Identity Services Engine, 2.1 de la versión●

Soporte Técnico y Documentación - Cisco Systems●

Sensor del dispositivo de la configuración para el perfilado ISE●

Cisco ISE que perfila la guía de diseño●

/content/en/us/td/docs/security/ise/2-1/admin_guide/b_ise_admin_guide_21.html

http://www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

http://www.cisco.com/c/es_mx/support/docs/security/identity-services-engine/200292-Configure-Device-Sensor-for-ISE-Profilin.html

/content/dam/en/us/td/docs/security/ise/how_to/HowTo-30-ISE_Profiling_Design_Guide.pdf

2.1 de la configuración ISE que perfila los servicios ... · La información que contiene este...

Documents

Transcript of 2.1 de la configuración ISE que perfila los servicios ... · La información que contiene este...