Tag: ad

Lab – Cisco ISE – AAA dla Junosa

W poprzednich wpisach opisałem jak zainstalować oraz jak podłączyć do AD ISE. Poniżej opiszę jak wykorzystać ISE jak radius który będzie serwować użytkowników do logowania po ssh i www dla urządzeń Juniper pod systemem Junos. Jak centralne repozytorium użytkowników będzie służyć AD. Mam nadzieję że komuś się przyda.

Bierzemy się do pracy.

Tworzymy grupy i userów:

Grupa AD User User Junos
Network-RW netrw RW
Network-RO netro RO
Network-OP netop OP

Od strony AD:

Logujemy się na kontroler domeny uruchamiamy przystawkę Active Directory Users and Computers.

Tworzymy grupy zgodnie z Tabelką wyżej:

ise_junos_19

Tworzymy userów zgodnie z tabelką:

ise_junos_21\

Przypisujemy userów do grup zgodnie z tabelką:

ise_junos_20

Na tym kończymy pracę po stronie AD

Logujemy się do ISE

ise_junos_01

Zaczytujemy grupy utworzone w AD do ISE:

przechodzimy do: Administration–>Active Directory–>ise1–>Groups klikamy Add z menu wybieramy Select Groups From Directory

ise_junos_22

pokazuje się okno w którym wyszykujemy nasze grupy, które wcześnie utworzyliśmy oraz je wybieramy:

ise_junos_15

Przechodzimy do zakładki Attributes gdzie wybieramy wpisujemy usera na podstawie tego wybierzemy atrybuty które użyjemy w kolejnych krokach.

ise_junos_16

klikamy ok

ise_junos_17

włączamy usługę dla Radius i Tacacs

przechodzimy do Administration > System > Deployment Nodes List > nasz node Ise zaznaczamy kwadracik przy Enable Device Admin Service

ise_jun03

Tworzymy lokalizację w której będziemy umieszczać urządzenia według jakiegoś typu – wym przypadku jest to Vendor. Przechodzimy do  Network Device Groups > All Device Types List > New Network Device Group

ise_junos_23

Tworzymy na podobnej zasadzie lokalizacje urządzeń przechodzimy do Network Device Groups > All Locations List > New Network Device Group:

ise_junos_03

Tworzymy profil dla urządzeń Juniper przechodzimy do Administration > Network Resources > Network Device Profile List klikamy Add

ise_jun01

w następnym oknie uzupełniamy:

  • nazwa profilu
  • w polu Vendor z menu wybieramy Other
  • w polu RADIUS Dictionaries z menu wybieramy Juniper
    ise_junos_08

Przechodzimy do dodania urządzenie które będzie mogło łączyć się do Radiusa

Administration > Network Resources > Network Devices klikamy Add i w nowej stronie uzupełniamy:

  • name – wpisujemy nazwę dla urządzenia lub puli urządzń
  • IP Address – adres urządzenia możemy dodać kilka jak dodajemy pulę urządzeń lub całą sieć
  • Device Profile – wybieramy wcześniej utworzony profil dla Junipera
  • Device Type – wybieramy z listy profil dla typu który utworzyliśmy wcześniej
  • Location – tak jak wyżej wybieramy lokalizację którą zdefiniowaliśmy
  • zaznaczamy kwadracik przy: RADIUS Authentication Settings tam w polu:
    • Shared Secret: ustawiamy hasło dla połączenia to samo hasło w późniejszym etapie będziemy ustawiać na urządzeniu

ise_jun02

Kolejnym etapem jest utworzenie profilu ale dozwolonych protokołów przechodzimy do Policy > Policy Elements > Results > Authentication > Allowed Protocols 

ise_jun04

klikamy Add na nowej stronie:

  • Name – nazywamy profil
  • Authentication Protocols – zaznaczamy Allow PAP/ASCII

ise_jun05

w sekcji Policy > Policy Elements > Results > Authorization Profiles klikamy Add

uzupełniamy pola:

  • w Name – Nazywamy profil ja go nazwałem zgodnie z profilem użytkownika oraz vendora
  • Network Device Profile – wybieramy Juniper profil który utworzyliśmy dla Junipera
  • Advanced Attributes Settings:
    • w polu pierwszym z menu wybieramy Juniper:Juniper-Local-User-Name oraz wpisujemy nazwę użytkownika którego będziemy konfigurować na urządzeniu w późniejszym etapie w mym przypadku to jest RW  pola mają wartości: Juniper-Local-User-Name = RW
    • dodajemy drugie pole gdzie z menu wybieramy Radius:Service-Type w polu obok wybieramy Login

ise_jun08

ostatni krok powtarzamy dla każdej z grup.

ise_jun11

Przechodzimy do Policy > Authentication dodajemy nową politykę klikając na strzałkę przy edit i wybieramy Insert new row above i uzupełniamy politykę

  • nazywamy politykę
  • w polu if budujemy politykę: DEVICE:Device Type Equals Device Type#All Device Types#Juniper
  • Allow Protocols wybieramy utworzony profil dopuszczonych protokołów
  • use – wybieramy naszą konfigurację AD

ise_jun06

ise_jun07

Przechodzimy do Policy > Authorization budujemy polityki dla trzech zdefiniowanych grup zgodnie z tabelką z początku wpisu.

w polach:

  • Rule Name – nazywamy politykę
  • Conditions (identity groups and other conditions) –  definiujemy na na jakiej podstawie następuje Autoryzacja użytkownika
  • Permissions wybieramy profil uprawnień na podstawie profilu który wcześniej zdefiniowaliśmy.

Politykę budujemy przez menu w każdym polu oraz dopisaniu wartości. W mym przypadku polityka wygląda tak:

Rule Name Conditions Permissions
Juniper-RW if ANY and (ise1:memberOf Contains CN=Network-RW,CN=Users,DC=safekom,DC=pl and DEVICE:Device Type Contains Device Type#All Device Types#Juniper) Juniper-RW

ise_jun09

Ten krok powtarzamy dla każdej grupy

ise_jun10

 

przechodzimy do konfiguracji po stronie urządzenia:

Logujemy się na urządzenie – ja preferuję CLI

Konfigurujemy Radiusa:

Konfigurujemy jaka sekwencja ma być przy autoryzacji użytkownika – w labie wybieram radius a jako drugie password (lokalny user)

Tworzymy userów jak wzorce dla użytkowników którzy będą logować się z wykorzystanie radiusa z godnie z tabelką na początku wpisu oraz konfiguracji ISE:

 

Pora na testy, jeżeli wszystko mamy skonfigurowane zgodnie założeniami nie będziemy mieli problemów. W ISE przechodzimy Operations > RADIUS Livelog klikamy na Show Live Authentications 

ise_jun12

i zaczynamy logować się na poszczególnych użytkowników do naszego urządzenia po ssh.

na pierwszy ogień idzie user netwr, jak widać poniżej możemy zalogować, przejść do konfiguracji oraz wyświetlić konfigurację

po stronie ISE widzimy:

ise_jun13

po kliknięciu na ikonę w kolumnie Details możemy dowiedzieć się wszystkie o procesie autoryzacji. Log otworzy nam się w nowym oknie lub zakładce:

ise_jun14

powtarzamy operację dla każdego usera.

sprawdzamy jak to wygląda po stronie ISE:

ise_jun15

od strony urządzenia:

User netop:

user netro:

Część 1 – Instalacja ISE w Labie

Część 2 – Integracja ISE z AD

 

LAB – Cisco ISE join AD cz.2

W tej części opiszę jak ISE podłączyć do Active Directory:

Dane domeny:

Domena safekom.pl
Kontroler Domeny AD01.safekom.pl

Logujemy się do ISE:

ise09

przechodzimy do Administration –> External Identity Sources

ise_ad02

wybieramy Active Directory po lewej stronie:

ise_ad03

Klikamy add

ise_ad04

w polu Join Point Name – musimy dać inną nazwę niż nazwa naszego serwera ISE

ise_ad05

Klikamy – YES

ise_ad07

Podajemy nazwę użytkownika który ma uprawnienia do podłączania komputerów do AD, w mym przypadku podaje Administratora

ise_ad08

Dostajemy informację że ISE zostało podłączone do AD

ise_ad09

widzimy status.

 

Część 1 – Instalacja ISE w Labie

Część 3 – ISE jako Radius dla Junosa

Palo – AD 2012 user maping

Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI.

Kontroler domeny windows 2012r poziom AD 2012

AD01- 192.168.1.199

User- pa-admin-user

domena- safekom.pl

Konfiguracja Palo:

Device –> Server Profiles –> LDAP

ldap01

Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS  domeny, w kolejnym polu wybieramy Active-Directory. W polu Base podajemy w formacie LDAP (X.500) czyli DC=safekom, dc=pl, w polu Bind DN podajemy usera który może czytać drzewo LDAP, w dokumentacji jest aby pole podawać w formacie X.500 a zastosowałem user@domena.pl, pole Bind Password – hasło do użytkownika.

to co wyżej ale z CLI:

 

Kolejnym krokiem jest wybranie grup w AD które będą przeszukiwane. Przechodzimy do Device–>User Identification –> Group Mapping Settings, dodajemy nowy profil:

ldap02

Gdzie:

Name – dowolna nazwa profilu

Server profile – wybieramy profil który utworzyliśmy dla serwera LDAP

przechodzimy do zakładki Group Include List gdzie wybieramy grupy AD które mają być przeszukiwane.

ldap03

To co wyżej ale z CLI:

Tworzymy użytkownika który może zalogować się po SSH oraz WEB GUI

Pierwszym krokiem będzie utworzenie profilu Authentication Profile.

ldap04

Gdzie:

Name – to dowolna nasza nazwa

w polu Allow List wybieramy grupę z AD która ma być sprawdzana autoryzację użytkownika.

Authentication – wybieramy LDAP

Server Profile – Nasz profil

Login Attribute – wpisujemy sAMAccountName (jest to nazwa pola user w AD)

To co wyżej ale z CLI:

Przechodzimy do Administrators gdzie mapujemy użytkowania.

ldap05

gdzie:

Name: użytkownik z AD

Roule: Dynamic – Superuser

To co wyżej ale z CLI:

 

Kolejnym krokiem będzie pozyskanie IP użytkowników ale to będzie w kolejnym wpisie na blogu