配置ISE根据AD探测的2.1描出的服务

配置 ISE 根据 AD 探测的 2.1 描出的服务 Contents Introduction Prerequisites Requirements Components Used 背景信息 Configure Network Diagram 配置 WLC 配置 ISE 步骤 1. 添加网络接入设备步骤 2. Enable (event) Radius 和 AD 探测步骤 3. 配置描出情况的自定义步骤 4. 配置自定义描出的策略步骤 5. 加入 ISE 对 AD 步骤 6. 配置授权策略 Verify Troubleshoot 在 ISE 的调试 Related Information Introduction 本文描述如何配置身份服务引擎 (ISE) 根据激活目录 (AD) 探测的 2.1 描出的服务 设备传感器是接入设备功能 它收集关于被连接的终端的信息 Prerequisites Requirements Cisco 建议您了解以下主题 : RADIUS 协议 AD Cisco ISE Components Used 本文档中的信息基于以下软件和硬件版本 : Cisco ISE 版本 2.1

无线局域网控制器 (WLC) 8.0.133.0 Windows 7 服务包 1 AD 2012 R2 The information in this document was created from the devices in a specific lab environment.all of the devices used in this document started with a cleared (default) configuration.if your network is live, make sure that you understand the potential impact of any command. 背景信息 AD 探测 : 改进操作系统 (OS) 信息的保真度 Windows 终端 Microsoft AD 跟踪包括版本和服务包级别 ADjoined 计算机的详细的 OS 信息 AD 探测直接地检索此信息并且使用 AD 运行时连接器为了提供客户端 OS 信息的一个极可靠的来源 区分的帮助在公司和非公司资产之间 一个基本, 但是重要的属性可用对 AD 探测是终端是否存在于 AD 此信息可以用于分类在 AD 包含的终端作为一个可管理的设备或公司资产 Configure Network Diagram 这是流 : 1. 客户端连接到无线网络通过 MAC 验证旁路 (MAB), 有限享用产生终端 2. WLC 通过设备传感器功能发送主机名 - 客户端机器到 ISE 3. ISE 触发 AD 查询为了获得属性 :AD 主机存在, AD 加入点, AD 运行系统, AD OS 版本, AD 服务装箱 4. 因为手工描出被配置的策略, 授权规则到位, 终端被描出, 并且授权 (CoA) 的更改被触发 5. 全部存取产生终端 配置 WLC WLC 为基本的 MAB 认证被配置 设置用红色突出显示

WLC 为设备传感器被配置, 从被连接的终端收集网络信息通过协议例如 HTTP 和 DHCP, 并且寄此信息给 ISE 策略 Services 节点 (PSN) 在 RADIUS 认为的信息包 当 ISE 接受一个主机名 - 时, 拿来一个新的终端的 AD 属性 主机名 - 从 DHCP 或 DNS 探测是典型地获知 配置 ISE 步骤 1. 添加网络接入设备 添加 WLC 作为在 Administration > 网络资源 > 网络设备的一个网络设备 请使用从 WLC 的 RADIUS 服务器键作为共有的秘密验证设置

步骤 2. Enable (event) Radius 和 AD 探测 Enable (event) 在描出的节点的 Radius 探测在管理 >System > 配置 > ISE 节点 > 配置文件配置 仅两次探测实际上用于此方案, Radius 探测获得主机名 - 终端和 AD 探测, 检索 AD 属性 一旦顺利地检索, ISE 不尝试再查询 AD 同一个终端, 直到重新扫描计时器到期 这是为了限制在 AD 的负荷属性查询的 重新扫描计时器在日是可配置的在重新扫描字段 ( 管理 >System > 配置前 > 描出 Configuration> 激活目录 ) 如果有另外的描出在终端的活动, AD 再被查询

步骤 3. 配置描出情况的自定义 连接对工作区 > 仿形铣床 >Policy 元素 > 仿形铣床情况 验证联合点是否是 EXAMPLE.COM 域

是否验证操作系统是 Windows 7 专业人员 验证 OS 是否有 1 安装的服务包 验证是否有终端的一个计算机帐户在 AD

步骤 4. 配置自定义描出的策略 连接到工作区 > 仿形铣床 > 描出策略 为了将被描出作为特定 ekorneyc_win7_sp1_corporate, 您需要满足所有状况的极小条件 如果匹配所有, 渐增 Certantinity 要素将是 60, 是描出的策略一个最小数量在本例中 一旦策略被保存, 对应的终端身份组创建 配置正确的相关的 CoA 类型, 保证, 一旦终端被描出是重要的, 发送运用新的策略 Reauth 的 CoA 步骤 5. 加入 ISE 对 AD

1. 连接对 Administration > 身份管理 > 外部身份存储 > 活动 Directory> 添加 提供加入点名字, AD 域并且点击提交 2. 当提示加入所有 ISE 节点到此 AD 域, 是请点击 3. 提供 AD 用户名, 并且密码, 点击 OK 键 对于在 ISE 的域访问是必需的 AD 帐户应该有这些之一 : 添加工作站在对应的域的域用户权限 创建计算机对象或删除计算机在 ISE 计算机帐户在加入 ISE 机器前被创建的计算机容器的对象权限对域 如果一个错误的密码使用该帐户, Cisco 推荐禁用 ISE 帐户的停工策略和配置 AD 基础设施发送戒备到 admin 当错误的密码输入时, ISE 不创建或修改其计算机帐户, 当是必要的时并且可能拒绝所有认证

4. 查看操作状态, Status 节点应该出现如完成, 请点击 Close 5. AD 的状态应该是可操作的 步骤 6. 配置授权策略 配置两个授权策略, 默认值一核准与有限享用的终端 一旦机器被描出, 发送 CoA Reauth, 并且与全部存取的权利的新的策略分配

Verify Use this section to confirm that your configuration works properly. 连接对实际操作 > Radius> 注册 ISE 从有限享用产生, 由 CoA 跟随, 由全部存取的策略跟随的底部的第一个认证, 显示 连接对验证上下文的公开性 > 的终端正确的终端被创建了, 并且更正终端配置文件分配 点击终端 MAC 地址发现所有属性 AD 属性, 描出策略突出显示

从 WLC 接收的主机名属性, 触发 AD 属性检索突出显示

Troubleshoot 本部分提供的信息可用于对配置进行故障排除 在 ISE 的调试 为了在 ISE 的关闭调试连接对管理 >System > 记录 > 调试日志配置, 挑选 PSN 并且改变仿形铣床组件的日志标准调试

将被检查的日志 - profiler.log 您能直接地从 ISE CLI 盯梢它 : ISE21-3ek/admin# show logging application profiler.log tail 终端第一次验证 : 2016-07-01 18:52:54,916 DEBUG [RADIUSParser-1-thread-2][] cisco.profiler.probes.radius.radiusparser -::- Radius Accounting message for mac:24:77:03:d9:4d:48for probe typeprobe 2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.forwarder -:ProfilerCollection:- Processing endpoint:24:77:03:d9:4d:48 2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.forwarder -:ProfilerCollection:- Filtering:24:77:03:D9:4D:48 2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>] MAC: 24:77:03:D9:4D:48 Attribute:AAA-Server value:psn1-21 Attribute:Airespace-Wlan-Id value:11 Attribute:AllowedProtocolMatchedRule value:default Attribute:AuthenticationMethod value:lookup Attribute:AuthorizationPolicyMatchedRule value:default Attribute:BYODRegistration value:unknown Attribute:Called-Station-ID value:3c-ce-73-09-84-50:ekorneyc_corporate Attribute:Calling-Station-ID value:24-77-03-d9-4d-48 Attribute:DestinationIPAddress value:10.201.228.86 Attribute:DestinationPort value:1812 Attribute:Device IP Address value:10.201.228.93 Attribute:Device Type value:device Type#All Device Types Attribute:DeviceRegistrationStatus value:notregistered Attribute:EndPointMACAddress value:24-77-03-d9-4d-48 Attribute:EndPointProfilerServer value:psn1-21.example.com Attribute:EndPointSource value:radius Probe Attribute:FailureReason value:- Attribute:IsThirdPartyDeviceFlow value:false Attribute:Location value:location#all Locations Attribute:MACAddress value:24:77:03:d9:4d:48 Attribute:MessageCode value:5200 Attribute:NAS-IP-Address value:10.201.228.93 Attribute:NAS-Identifier value:(cisco Controller) Attribute:NAS-Port value:1 Attribute:NAS-Port-Type value:wireless - IEEE 802.11 Attribute:Network Device Profile value:cisco Attribute:NetworkDeviceGroups value:location#all Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:wlc-backbone Attribute:NetworkDeviceProfileId value:403ea8fc-7a27-41c3-80bb-27964031a08d Attribute:NetworkDeviceProfileName value:cisco

Attribute:NmapSubnetScanID value:0 Attribute:OUI value:intel Corporate Attribute:OriginalUserName value:247703d94d48 Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:yes Attribute:PostureAssessmentStatus value:notapplicable Attribute:RadiusFlowType value:wirelessmab Attribute:Response value:{user-name=24-77-03-d9-4d-48; State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s; Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-avpair=acs:ciscosecure-defined-acl=#acsacl#-ip-limitedaccess-57758e56; LicenseTypes=1; } Attribute:SSID value:3c-ce-73-09-84-50:ekorneyc_corporate Attribute:SelectedAccessService value:default Network Access Attribute:SelectedAuthenticationIdentityStores value:internal Users, All_AD_Join_Points, Guest Users Attribute:SelectedAuthorizationProfiles value:limitedaccess Attribute:Service-Type value:call Check Attribute:StepData value:6= Normalised Radius.RadiusFlowType, 7= Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points, 16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com, 21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default Attribute:UseCase value:host Lookup Attribute:User-Name value:247703d94d48 Attribute:UserName value:24-77-03-d9-4d-48 Attribute:allowEasyWiredSession value:true Attribute:SkipProfiling value:false 终端被描出根据 UDI 配比的 Intel 设备策略 终端在数据库被创建 : 2016-07-01 18:52:54,922 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.profilermanager -:Profiling:- Generating FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48 2016-07-01 18:52:54,943 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.profilermanager -:Profiling:- Policy Intel-Device matched 24:77:03:D9:4D:48 (certainty 5) 2016-07-01 18:52:54,975 DEBUG [pool-42-thread-17][] cisco.profiler.infrastructure.notifications.endpointnotificationhandler -::- EndPoint created - (mac : 24:77:03:D9:4D:48) Radius 记帐从 WLC 被发送, 包含终端的主机名 : 2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.radiusparser -::- Parsed IOS Sensor 1: host-name=[ekorneyc-pc] 2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.radiusparser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[msft 5.0] 2016-07-01 18:52:59,350 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.radiusparser -::- Endpoint: EndPoint[id=<null>,name=<null>] MAC: 24:77:03:D9:4D:48 Attribute:AAA-Server value:psn1-21 Attribute:Acct-Authentic value:radius Attribute:Acct-Session-Id value:57764da6/24:77:03:d9:4d:48/165 Attribute:Acct-Status-Type value:start Attribute:AcsSessionID value:psn1-21/256595711/821 Attribute:Airespace-Wlan-Id value:11 Attribute:AllowedProtocolMatchedRule value:default Attribute:BYODRegistration value:unknown Attribute:CPMSessionID value:0ac9e456ygjq/6qenvbtwpeif_25n9rnta41rhpm1mzosl3ll1s Attribute:Called-Station-ID value:10.201.228.93 Attribute:Calling-Station-ID value:24-77-03-d9-4d-48 Attribute:Class value:cacs:0ac9e456ygjq/6qenvbtwpeif_25n9rnta41rhpm1mzosl3ll1s:psn1-

21/256595711/820 Attribute:Device IP Address value:10.201.228.93 Attribute:Device Type value:device Type#All Device Types Attribute:DeviceRegistrationStatus value:notregistered Attribute:EndPointPolicy value:unknown Attribute:EndPointPolicyID value: Attribute:EndPointSource value:radius Probe Attribute:Event-Timestamp value:1467370923 Attribute:Framed-IP-Address value:10.201.228.111 Attribute:IdentityGroup value: Attribute:IdentityGroupID value: Attribute:Location value:location#all Locations Attribute:MACAddress value:24:77:03:d9:4d:48 Attribute:MatchedPolicy value:unknown Attribute:MatchedPolicyID value: Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:10.201.228.93 Attribute:NAS-Identifier value:(cisco Controller) Attribute:NAS-Port value:1 Attribute:NAS-Port-Type value:wireless - IEEE 802.11 Attribute:Network Device Profile value:cisco Attribute:NetworkDeviceGroups value:location#all Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:wlc-backbone Attribute:NmapSubnetScanID value:0 Attribute:OUI value:intel Corporate Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:yes Attribute:RequestLatency value:3 Attribute:SelectedAccessService value:default Network Access Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:Total Certainty Factor value:0 Attribute:Tunnel-Medium-Type value:(tag=0) 802 Attribute:Tunnel-Private-Group-ID value:(tag=0) 903 Attribute:Tunnel-Type value:(tag=0) VLAN Attribute:User-Name value:24-77-03-d9-4d-48 Attribute:cisco-av-pair value:audit-session-id=0ac9e45d000000a057764da7, dhcpoption=host-name=ekorneyc-pc, dhcp-option=dhcp-class-identifier=msft 5.0 Attribute:dhcp-class-identifier value:msft 5.0 Attribute:host-name value:ekorneyc-pc Attribute:ip value:10.201.228.111 Attribute:SkipProfiling value:false 当接受一个主机名 -, ISE 拿来一个新的终端的 AD 属性 : 2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = operatingsystemversion, Value = [6.1 (7601)] 2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = jp, Value = [EXAMPLE.COM] 2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = domain, Value = [example.com] 2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = dn, Value = [CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com] 2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = operatingsystemservicepack, Value = [Service Pack 1] 2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.activedirectoryeventhandler -::- Attr = operatingsystem, Value = [Windows 7 Professional] 属性被添加到在数据库的终端 : 2016-07-01 18:52:59,672 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>] MAC: 24:77:03:D9:4D:48 Attribute:AD-Fetch-Host-Name value:ekorneyc-pc Attribute:AD-Host-Exists value:true Attribute:AD-Join-Point value:example.com Attribute:AD-Last-Fetch-Time value:1467399179672 Attribute:AD-OS-Version value:6.1 (7601) Attribute:AD-Operating-System value:windows 7 Professional Attribute:AD-Service-Pack value:service Pack 1 Attribute:BYODRegistration value:unknown Attribute:DeviceRegistrationStatus value:notregistered Attribute:EndPointProfilerServer value:psn1-21.example.com Attribute:EndPointSource value:active Directory Probe Attribute:MACAddress value:24:77:03:d9:4d:48 Attribute:NmapSubnetScanID value:0 Attribute:OUI value:intel Corporate Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:yes Attribute:operating-system-result value:windows 7 Professional Attribute:SkipProfiling value:false 新的策略根据被配置的描出的策略被匹配 : 2016-07-01 18:52:59,699 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.profilermanager -:Profiling:- Policy ekorneyc_win7_sp1_corporate matched 24:77:03:D9:4D:48 (certainty 60) Related Information 思科身份服务引擎管理员指南, 版本 2.1 Technical Support & Documentation - Cisco Systems 配置 ISE 描出的设备传感器 描出设计指南的 Cisco ISE