Cisco ISE – Active Directory Entegrasyonu

Merhaba arkadaşlar,

 

Bugün kahvemi yudumlarken  ne üzerine bir yazı yazsam diye düşündüm ve aklıma, adım adım ISE- Active Directory, ISE-Cisco WLC entegrasyonu ve  yayınlayacağınız tek SSID üzerinden, active directory kullanıcılarını captive portal ile güvenli wifi ağınıza nasıl dahil edebileceğinizi yazmak geldi.

Yazımıza geçmeden önce ezber mantığını kırmak adına ISE ve WLC’den biraz bahsedelim.

Identity Services Engine (ISE) ,  cisco tarafından networkünüzü (kablolu-kablosuz) uçtan uca güvenlik altında tutabilmenizi sağlayan merkezi bir policy management yazılımıdır.  Şirketinizde kullandığınız, IP phone, IP camera, smartphone, tablet v.b cihazlar networkünüze bağlanmak istediğinde bu cihazlar için oluşturduğunuz profillerin access control kurallarına tabi tutulur ve sizin istediğiniz özellikleri karşılamıyorsa (OS check, A.v Check, Username pass v.s ) ya cihazı networke dahil etmez ya da belirlediğiniz bir guest vlan’a otomatik olarak düşmesini sağlar. Kısaca ISE size networkünüzde sizden habersiz kuç uçmasına izin vermez.  Bir nevi cisco 802.1x çözümü

WLC, Cisco firmasının accesspoint’leri yönettiği ve monitör ettiği wireless controller mimarisidir.

Bu yazım biraz karmaşık yapıda olacağı için üç farklı makale şeklinde yayınlayacağım.

İlk yazımızda ISE-A.Directory entegrasyonunu,

İkinci yazımızda ise  WLC-ISE entegrasyonu,

Üçüncü yazımızda da yayınlayacağımız bir SSID üzerinden kullanıcı auth.

 

ihtiyacımız olacak bileşenleri belirtelim.

  • Active Directory(Wireless kullanıcı auth. için)
  • Cisco ISE

 

 

Şirketinizde kullandığınız ISE yapısı distributed bir mimari ise ISE admin node’a bağlanıp

 

Administraor -> Identity Managment –> External Identity Sources  alanına gelelim.

1_external identity

 

Identity alanına değinmemizde fayda var,

Identities,  ISE’ın local user database’inde kullanıcı tanımlandığı alan.

External Identity, ISE’ın entegre çalışabileceği LDAP, Radius, Active Directory mimarilerinin tanımladığı alan.

Identity Source Sequences, ISE’ı farklı user db’ler ile entegre ettiğinizde (A.D, LDAP, RSA, Radius Token Server ) bunları tek kuralda kullanmak isteyebilirsiniz. Bu alanda tek bir grup oluşturup ilgili kurala atadığınızda, kullanıcı hangi mimariyi kullanıyorsa bu grubun içindeyse authentication işlemi gerçekleşecektir.

 

Bu kısa bilgilendirmeden sonra external Identity alanına gelip active directory sekmesine gelip yeni bir Scope ekleyelim. Ben scope adı olarak “Aydin” diye açıyorum.

Not: Bu işlemlere geçmeden önce lütfen ISE makinanızın DNS üzerinde HOST A kayıtı olduğundan emin olun

Açtığınız scope altına gelerek “Add” dediğinizde  karşınıza “ Join Point Name” ve “Active Directory Domain “ alanları gelecek,

Join Point Name” alanına description giriyoruz

Active Directory” alanına Domain adımızı giriyoruz (gokhanyuceler.local gibi)

2_Ad_add

 

 

 

Submit ettiğiniz zaman karşınıza ISE sunuculularınızın ismi gelecel ve yanlarında “Not Joined” ifadesi yer alacak

3_ise_node_join

 

Kurumunuz  bizimki gibi 40 bin kişiye hizmet veriyorsa ISE mimariniz ister istemez distributed mimaride oluyor bu yüzden bu alanda iki veya daha çok ISE makinanızı görebilirsiniz.

Not Joined” demesi bizi şuan ilgilendirmiyor çünkü tabiri caizse ISE makinalarımızı daha domain’e almadık.

Şimdi ilgili ISE node’u seçip join tabı aktif olacak ve karşımıza çıkan pencere AD üzerinde yetkili kullanıcı adı ve şifresini tanımlayacağız.

4_join

 

 

 

Kullanıcı adı – şifre  girdikten sonra karşımıza,  biraz önce “not joined” yazan alanın  yerine, yeşil check box ile  “Domain Controller” alanında DC Server’ın adı görülecek ve başarılı bir entegrasyon gerçekleştiğini anlayacağız.

5_joincomplated

 

Diyelim ki bir hata aldınız, bu entegrasyon nerede patladı diye düşünmeyin onun yerine,  aynı alanda hata veren node’u seçin ve “ Diagnostic Tool ” alanına geldiğinizde karşınıza, entegrasyonun tamamlanabilmesi için gerekli olan bütün ayarları kontrol edebileceğiniz pencere gelecek ve burada node’u seçip “ Run All Tests “ dediğinizde bütün kontrolleri yapıp size nerede hata olabileceğini bildirecek.   Ünlü düşünürün dediği gibi, “ Attım beyine beyin bedava, bedava ya ”

7

 

 

 

 

Bitti mi… hayır 🙂

Şimdi entegrasyonu yaptık yapmasına fakat ISE’ın DC üzerinde sorgu çekerken hangi Organization Unit üzerinde kontrolleri yapmasını gerektiğini belirtmedik. Bu alanı tanımlamazsak, siz ne kadar entegre ederseniz edin çalışmayacaktır.

Groups” sekmesine gelip, tüm DC üzerinde bu sorguyu yapmasını istiyorsanız “Domain Users” grubunu eklemeniz  yeterli olacaktır.

8

Evet arkadaşlar, ISE ile Active Directory yapımızın entegrasyonunu tamamladık. Bu hafta yayınlayacağım,  ISE-Cisco WLC entegrasyonunda görüşmek üzere…

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*