Cisco ISE — Integração com AD
Fala pessoal! Espero que todos estejam bem!
Tinha ficado devendo pra vocês a integração do ISE com o Active Directory da Microsoft, então, vamos lá?
A configuração é extremamente simples, mas 3 pré-requisitos importantes podem nos fazer perder um bom tempo no troubleshooting:
- horário sincronizado (seja usando NTP — recomendado — ou manualmente);
- mesmo timezone;
- ISE apontando o DNS pro AD — ou um dos ADs do domínio.
Fora isso, você precisará de um usuário com permissão para criar um objeto no AD (meus tempos de MCSE já passaram então não lembro se é necessário esse usuário fazer parte do grupo Domain Admins, ou se tem algum outro grupo mais restritivo que permita a criação desse objeto).
Tendo isso em mãos, vamos pro ISE — aqui, consegui atualizar meu lab e estou usando a versão 2.7, atualmente recomendada pela Cisco.
Vamos então configurar o AD, que é uma base externa de usuários, ok?
Menu Administration > External Identity Source > Active Directory
O Join Point Name é apenas um nome que você vai dar para essa base de usuários e o AD Domain o seu domínio.
Depois do Submit, marque a caixa de selação ao lado e clique em Join. Entre com usuário e senha conforme falamos acima:
Você receberá uma mensagem de sucesso (se não, verifique os pré-reqs acima) e o objeto do ISE será criado no seu AD:
É isso! Nos próximos faremos AAA com Radius e TACACS utilizando usuários do AD que acabamos de configurar.
Abraços!
Se você gostou, deixa seu “claps” aí do lado esquerdo e compartilhe nos seus grupos. Você também pode me seguir e a TechRebels!
Sobre o autor:
Fernando Mantovani Pierobon trabalha há 18 anos na área de TI sendo 14 com segurança da tecnologia da informação.
É formado em Ciências da Computação e CCIE Security #63268.