Tag: ISE

LAB – ISE jako radius dla PaloAlto dla kont Admina

Po dłuższej przerwie wróciłem do integracji Cisco ISE 2.0 z Palo Alto Networks wykorzystując Radiusa z ISE jako punkt uwierzytelniania kont administracyjnych. Wiem, że zapewne większość autoryzacji kont administracyjnych opiera się o LDAP oraz AD. Natomiast ja jak zawszę muszę kombinować i komplikować scenariusze do labowania, ale dzięki takiemu podejściu jestem w stanie bardziej poznać oba systemy.

Konfiguracja ISE

przechodzimy do Policy –> Policy Elements –> Dictationaries wybieramy system –> radiusRADIUS Vendors. Tutaj będzie nam pomocny link– gdzie mamy opisane atrybuty.
klikamy add

palo_ise01

Dictionary Name: PaloAlto – nasza nazwa
Vendor ID: 25461

klikamy submit

przechodzimy do nowo utworzonego profilu po czym przechodzimy do Dictionary Attributes. Klikamy add
zgodnie z dokumentacją PaloAlto. W tej chwili będzie nam potrzebny jeden atrybut
palo_ise02

Attribute Name: PaloAlto-Admin-Role
Data Type: String
Direction: Both
ID: 1
W kroku kolejnym tworzymy profil dla urządzań typu PaloAlto. Przechodzimy do Administration –> Network Resources –> Network Device Profiles klikamy Add

palo_ise03
Dodajemy nasze urządzenie do ISE, przechodzimy do Administration –> Network Resources –> Network Devices klikamy Add

palo_ise09
Podajemy dane:
Name: nazwę dla naszego urządzenia
IP Address: podajemy adres ip, z którego nasze urządzenie będzie się komunikowało z serwerem ISE
Device Profile: wybieramy nasz profil dla urządzeń Palo
Device Type: ja stworzyłem oddzielne repo dla urządzęń tego typu
Location: również podzieliłem na lokalizację
Wybieramy: RADIUS Authentication Settings
w polu Shared Secret wpisujemy nasze hasło, które będzie wykorzystywane do połączenia PALO do ISE

Wybieramy grupę AD, w  której będą użytkownicy mogący zalogować się na Palo

Przechodzimy do Administration –> Indetity Management –> External Identity Soures, wybieramy Active Direcory oraz nasz punkt spięcia z naszym AD. Tam wybieramy Groups, dodajemy Add z menu Select Dictionary Groups po czym otworzy się okno, w którym możemy wyszukać naszą grupę dodając ją do ISE.

palo_ise04

Tworzymy profil dozwolonych protokołów komunikacji PALO ISE, przechodzimy do Policy –> Policy Elements –> Results –> Authentication –> Allowed Protocols, klikamy Add

palo_ise05

Tworzymy profil autoryzacyjny, przechodzimy do Policy –> Policy Elements –> Results –> Authorization –> Authoriztion Profiles, kliamy Add

palo_ise06
w polu Advanced Attributes Settings wybieramy z menu PaloAlto –> PaloAlto-Admin-Role, w polu obok wpisujemy nazwę naszego profilu z Palo, który później zostanie skonfigurowany na Palo.

W polu Attributes Details mamy taki wynik:

przechodzimy do utworzenia reguły autoryzacyjnej, gdzie idziemy do Polcy –> Authorization

palo_ise07

dodajemy nową rulę gdzie:
Rule Name: nasza nazwa reguły
warunki:
If ANY and ISE-SRV:memberOf maches CN=PA-admin-full,CN=Users,DC=safekom,DC=pl
and DEVICE:Device Type Equals Device Type#All Device Types#Palo
then Palo-auth

 

Konfiguracja Palo

Prszyszedł czas na konfigurację naszego Palo. Po zalogowaniu się przechodzimy do Device –> Server Profiles –> Radius, dodajemy nowy profil z ISE

palo_ise08

gdzie:

Profil Name: nasz profil Radiusa

w polu servers dodajemy nasze serwery radiusa (w mym przypadku jest to jeden serwer)

Name: nasza nazwa rozpoznawcza

RADIUS Server: adres IP lub FQDN naszego radiusa

Secret: nasze ustawione hasło

Port: Standardowo 1812

CLI

Tworzymy profil Admin Roles – dzięki temu profilowi możliwe będzie zalogowanie się użytkownika z odpowiednimi uprawnieniami.

palo_ise10

W tym miejscu ważne jest aby nazwa profilu była taka sama jak zdefiniowaliśmy ją na serwerze ISE admin-radius

Cli

Tworzymy profil dla Authentication Profile, gdzie będziemy wykorzystywać nasz profil dla ISE:

palo_ise11
w Type wybieramy RADIUS
Server Profile wybieramy nasz profil ISE
W Advanced
w Allow List dajemy all

palo_ise12

Cli

Po wykonaniu commitu próbujemy zalogować się do urządzenia po ssh

palo_ise13

w logach PA widzimy:

Web

wyszukujemy po:

lub jak niżej na screenie:

Jak chcemy wyszukać błędne autoryzacje stosujemy filtr:

palo_ise18

CLI

 

Taki użytkownik nie może dodawać kont lokalnych i modyfikować ich oraz dodawać/modyfkować Admin Rulses tak jak widać niżej pola add oraz delete mam wyszarzane:

palo_ise17
Aby umożliwić dostęp na pełnych prawach musimy utworzyć konto Administratora:

palo_ise15

gdzie Name jest naszym userem, który jest w Radiusie.

CLI

Po takim zabiegu mamy konto z full uprawnieniami, zalogowany administrator już może modyfikować Admin Roles

palo_ise19

Poprzednie wpisy dotyczące ISE:

  1. LAB – Cisco ISE 2.0 w Labie – cz1
  2. LAB – Cisco ISE join AD cz.2
  3. Lab – Cisco ISE – AAA dla Junosa

Lab – Cisco ISE – AAA dla Junosa

W poprzednich wpisach opisałem jak zainstalować oraz jak podłączyć do AD ISE. Poniżej opiszę jak wykorzystać ISE jak radius który będzie serwować użytkowników do logowania po ssh i www dla urządzeń Juniper pod systemem Junos. Jak centralne repozytorium użytkowników będzie służyć AD. Mam nadzieję że komuś się przyda.

Bierzemy się do pracy.

Tworzymy grupy i userów:

Grupa AD User User Junos
Network-RW netrw RW
Network-RO netro RO
Network-OP netop OP

Od strony AD:

Logujemy się na kontroler domeny uruchamiamy przystawkę Active Directory Users and Computers.

Tworzymy grupy zgodnie z Tabelką wyżej:

ise_junos_19

Tworzymy userów zgodnie z tabelką:

ise_junos_21\

Przypisujemy userów do grup zgodnie z tabelką:

ise_junos_20

Na tym kończymy pracę po stronie AD

Logujemy się do ISE

ise_junos_01

Zaczytujemy grupy utworzone w AD do ISE:

przechodzimy do: Administration–>Active Directory–>ise1–>Groups klikamy Add z menu wybieramy Select Groups From Directory

ise_junos_22

pokazuje się okno w którym wyszykujemy nasze grupy, które wcześnie utworzyliśmy oraz je wybieramy:

ise_junos_15

Przechodzimy do zakładki Attributes gdzie wybieramy wpisujemy usera na podstawie tego wybierzemy atrybuty które użyjemy w kolejnych krokach.

ise_junos_16

klikamy ok

ise_junos_17

włączamy usługę dla Radius i Tacacs

przechodzimy do Administration > System > Deployment Nodes List > nasz node Ise zaznaczamy kwadracik przy Enable Device Admin Service

ise_jun03

Tworzymy lokalizację w której będziemy umieszczać urządzenia według jakiegoś typu – wym przypadku jest to Vendor. Przechodzimy do  Network Device Groups > All Device Types List > New Network Device Group

ise_junos_23

Tworzymy na podobnej zasadzie lokalizacje urządzeń przechodzimy do Network Device Groups > All Locations List > New Network Device Group:

ise_junos_03

Tworzymy profil dla urządzeń Juniper przechodzimy do Administration > Network Resources > Network Device Profile List klikamy Add

ise_jun01

w następnym oknie uzupełniamy:

  • nazwa profilu
  • w polu Vendor z menu wybieramy Other
  • w polu RADIUS Dictionaries z menu wybieramy Juniper
    ise_junos_08

Przechodzimy do dodania urządzenie które będzie mogło łączyć się do Radiusa

Administration > Network Resources > Network Devices klikamy Add i w nowej stronie uzupełniamy:

  • name – wpisujemy nazwę dla urządzenia lub puli urządzń
  • IP Address – adres urządzenia możemy dodać kilka jak dodajemy pulę urządzeń lub całą sieć
  • Device Profile – wybieramy wcześniej utworzony profil dla Junipera
  • Device Type – wybieramy z listy profil dla typu który utworzyliśmy wcześniej
  • Location – tak jak wyżej wybieramy lokalizację którą zdefiniowaliśmy
  • zaznaczamy kwadracik przy: RADIUS Authentication Settings tam w polu:
    • Shared Secret: ustawiamy hasło dla połączenia to samo hasło w późniejszym etapie będziemy ustawiać na urządzeniu

ise_jun02

Kolejnym etapem jest utworzenie profilu ale dozwolonych protokołów przechodzimy do Policy > Policy Elements > Results > Authentication > Allowed Protocols 

ise_jun04

klikamy Add na nowej stronie:

  • Name – nazywamy profil
  • Authentication Protocols – zaznaczamy Allow PAP/ASCII

ise_jun05

w sekcji Policy > Policy Elements > Results > Authorization Profiles klikamy Add

uzupełniamy pola:

  • w Name – Nazywamy profil ja go nazwałem zgodnie z profilem użytkownika oraz vendora
  • Network Device Profile – wybieramy Juniper profil który utworzyliśmy dla Junipera
  • Advanced Attributes Settings:
    • w polu pierwszym z menu wybieramy Juniper:Juniper-Local-User-Name oraz wpisujemy nazwę użytkownika którego będziemy konfigurować na urządzeniu w późniejszym etapie w mym przypadku to jest RW  pola mają wartości: Juniper-Local-User-Name = RW
    • dodajemy drugie pole gdzie z menu wybieramy Radius:Service-Type w polu obok wybieramy Login

ise_jun08

ostatni krok powtarzamy dla każdej z grup.

ise_jun11

Przechodzimy do Policy > Authentication dodajemy nową politykę klikając na strzałkę przy edit i wybieramy Insert new row above i uzupełniamy politykę

  • nazywamy politykę
  • w polu if budujemy politykę: DEVICE:Device Type Equals Device Type#All Device Types#Juniper
  • Allow Protocols wybieramy utworzony profil dopuszczonych protokołów
  • use – wybieramy naszą konfigurację AD

ise_jun06

ise_jun07

Przechodzimy do Policy > Authorization budujemy polityki dla trzech zdefiniowanych grup zgodnie z tabelką z początku wpisu.

w polach:

  • Rule Name – nazywamy politykę
  • Conditions (identity groups and other conditions) –  definiujemy na na jakiej podstawie następuje Autoryzacja użytkownika
  • Permissions wybieramy profil uprawnień na podstawie profilu który wcześniej zdefiniowaliśmy.

Politykę budujemy przez menu w każdym polu oraz dopisaniu wartości. W mym przypadku polityka wygląda tak:

Rule Name Conditions Permissions
Juniper-RW if ANY and (ise1:memberOf Contains CN=Network-RW,CN=Users,DC=safekom,DC=pl and DEVICE:Device Type Contains Device Type#All Device Types#Juniper) Juniper-RW

ise_jun09

Ten krok powtarzamy dla każdej grupy

ise_jun10

 

przechodzimy do konfiguracji po stronie urządzenia:

Logujemy się na urządzenie – ja preferuję CLI

Konfigurujemy Radiusa:

Konfigurujemy jaka sekwencja ma być przy autoryzacji użytkownika – w labie wybieram radius a jako drugie password (lokalny user)

Tworzymy userów jak wzorce dla użytkowników którzy będą logować się z wykorzystanie radiusa z godnie z tabelką na początku wpisu oraz konfiguracji ISE:

 

Pora na testy, jeżeli wszystko mamy skonfigurowane zgodnie założeniami nie będziemy mieli problemów. W ISE przechodzimy Operations > RADIUS Livelog klikamy na Show Live Authentications 

ise_jun12

i zaczynamy logować się na poszczególnych użytkowników do naszego urządzenia po ssh.

na pierwszy ogień idzie user netwr, jak widać poniżej możemy zalogować, przejść do konfiguracji oraz wyświetlić konfigurację

po stronie ISE widzimy:

ise_jun13

po kliknięciu na ikonę w kolumnie Details możemy dowiedzieć się wszystkie o procesie autoryzacji. Log otworzy nam się w nowym oknie lub zakładce:

ise_jun14

powtarzamy operację dla każdego usera.

sprawdzamy jak to wygląda po stronie ISE:

ise_jun15

od strony urządzenia:

User netop:

user netro:

Część 1 – Instalacja ISE w Labie

Część 2 – Integracja ISE z AD

 

LAB – Cisco ISE join AD cz.2

W tej części opiszę jak ISE podłączyć do Active Directory:

Dane domeny:

Domena safekom.pl
Kontroler Domeny AD01.safekom.pl

Logujemy się do ISE:

ise09

przechodzimy do Administration –> External Identity Sources

ise_ad02

wybieramy Active Directory po lewej stronie:

ise_ad03

Klikamy add

ise_ad04

w polu Join Point Name – musimy dać inną nazwę niż nazwa naszego serwera ISE

ise_ad05

Klikamy – YES

ise_ad07

Podajemy nazwę użytkownika który ma uprawnienia do podłączania komputerów do AD, w mym przypadku podaje Administratora

ise_ad08

Dostajemy informację że ISE zostało podłączone do AD

ise_ad09

widzimy status.

 

Część 1 – Instalacja ISE w Labie

Część 3 – ISE jako Radius dla Junosa

LAB – Cisco ISE 2.0 w Labie – cz1

Postanowiłem poznać co to jest oraz z czym to się je – ISE w wersji 2.0. Udało mi się zdobyć wersję demonstracyjną na 90dni z pełną funkcjonalnością.  Poniżej przedstawię jak instaluję w labie.

Importujemy plik ova do Workstation Wybieramy file –> open wybieramy nasz plik ova, poniżej kolejny już krok

ise01

nadajemy nazwę maszynie  oraz gdzie na dysku ma być przechowywaną maszyna, klikamy Import.

ise02

Czekamy na kończenie importu

ise04

Po zakończeniu edytuję wirtualną maszynę – dodajemy Serial Port chcę widzieć wszystko to co się dzieje podczas instalacji oraz ułatwi mi to dostęp do wirtualnej maszyny.

ise05

wybieramy 3 opcję Output to named pipe

ise06

nadajemy nazwę – ja zostawiłem domyślną, ważne aby zmienić w 2 polu wyboru na The other end is an application.

Aby dostać się do tego coma ściągamy soft dla Windowsa “Named Pipe TCP Proxy Utility” .  Instalujemy i przechodzimy do konfiguracji:

ise07

Klikamy na wtyczkę i uzupełniamy dane:

ise08

 

Uruchamiamy klienta Telnet i łączymy się do IP na którym jest uruchomione Workstation, w mym przypadku jest to 192.168.1.10, port na który mamy się połączyć to 9001 wcześniej zdefiniowany.

Uruchamiamy Wirtualną i czekamy na prompt:

po wpisaniu setup zobaczymy wizard w którym wypełniamy wszystkie potrzebne rzeczy aby skonfigurować ISE:

po wykonaniu tego kroku widzimy że następuje instalacja ISE

po wykonaniu automatycznego restartu możemy zalogować się do ISE, po ssh

oraz webie (zauważyłem że po ponownym uruchomieniu musimy długo poczekać  na uruchomienie strony administracyjnej ok 10min w mym przypadku)

ise09

po zalogowaniu:

ise10

część 2 – Integracja ISE z AD

część 3 – ISE Radius dla Junosa