Tweet
I. Mục đích thực hiện
Nếu ISE của bạn chưa được tích hợp với Active Directory (AD), bạn nên xem xét sử dụng thông tin đăng nhập AD để xác thực với ISE thay vì thông tin lưu trữ cục bộ trên ISE.Không chỉ có thông tin đăng nhập AD thuận tiện hơn khi sử dụng, nó còn dễ dàng theo dõi hoạt động của người dùng hơn trong ISE khi họ đang sử dụng thông tin đăng nhập của riêng họ so với thông tin được lưu trữ cục bộ.
Điều tuyệt vời ở ISE là, giống như hầu hết các thiết bị kết nối mạng (điển hình là PC hay laptop), nó sẽ quay trở lại thông tin đăng nhập cục bộ khi AD fail nên nguy cơ tự khóa bạn khỏi ISE là rất nhỏ. ( tức là khi join vào AD, ISE vẫn sẽ giữ thông tin đăng nhập cục bộ (local) của bạn trước đó).
Một điều thú vị khác về tích hợp AD là bạn có thể sử dụng các nhóm bảo mật AD cho việc Kiểm soát truy cập dựa trên vai trò (RBAC) trên ISE. Khi bạn đã thiết lập các role trong ISE và tạo các nhóm AD, nó cũng đơn giản như việc thêm người dùng AD vào nhóm bảo mật khi họ gia nhập và loại bỏ chúng khỏi nhóm AD khi họ nghỉ hưu hoặc thay đổi vị trí.
II. Thực hiện
Bước 1: Build windows server lên thành Domain Controler.
Đầu tiên, vì đây là môi trường lab nghiên cứu, trên windows server 2012 chúng ta nên tắt firewall và các defender để có thể làm lab thuận lợi mà không cần mở port hay policy.
Quan trọng không kém đó chính là việc đặt địa chỉ ip, trên các server chúng ta luôn cần đặt địa chỉ ip tĩnh và trong domain controler bạn cũng phải cần đặt DNS là địa chỉ ip của server domain của bạn.
Trong Server Manager (biểu tượng server và cái vali ở thanh taskbar), chọn Add roles and features -> Next -> Next -> Kiểm tra xem đúng ip mong muốn chưa rồi tiếp tục Next. ( Các bước được thể hiện như các hình dưới đây)
Tiến hành Add Roles Active Directory Domain Services và DNS Server. (Như hình dưới đây)
Ở mục Add Features chúng ta không cần add gì thêm mà chọn Next.
Ở các bước tiếp theo chọn Next cho tới khi gặp hình dưới đây. Ta tiến hành chọn Install.
Chờ cho cài đặt xong, bạn đừng bắm close mà chọn Promote the server… như mũi tên trong hình dưới đây.
Đây là bước chúng ta tạo domain, chọn Add a new forest, đặt tên cho domain và chọn Next.
Tiếp đến chúng ta set password cho account Administrators quản lý domain, sau đó chọn Next.
Kiểm tra lại tên NetBIOS bạn mong muốn và Next.
Ở các cửa sổ tiếp theo, bạn chọn Next cho tới khi gặp hình dưới đây. Trong hình dưới, bạn chọn Install để cài đặt domain.
Khi đã chạy xong với dòng thông báo successfully như trên, máy tính đã lên DC thành công và sẽ yêu cầu bạn khởi động lại máy. Sau khi khởi động, bạn vào lại Server Manager, quan sát góc trái, chúng ta đã có thêm AD DS và DNS, tức là bạn đã lên Domain Controller và DNS server cho server 2012 thành công.
Chúng ta tiếp tục set up DNS, chuột phải vào servername như mũi tên, chọn DNS Manager.
Vào phần Forward Lookup Zones, tạo một pointer với name là ise và trỏ địa chỉ ip của cisco ISE vào. Như hình dưới đây là ta đã trỏ DNS ISE 10.215.26.49 vào Lookup Zones.
Tiếp theo, trong Dashboard của Server Manager, nhìn góc trên bên phải chọn Tools -> Active Directary Users and Computers để tạo user cho domain như hình dưới đây. Để tạo user ta chọn mục Users trong domain vnpro.local -> Phần bên phải, click chuột vào một vùng trống nào đó chuột phải chọn New -> User.
Bước 2: Join Cisco ISE vào domain.
Trước khi muốn join ISE vào domain, bạn cần phải kiểm tra xem 2 thiết bị đã “nhìn” thấy nhau chưa qua việc gửi các gói ICMP ( thực hiện ping test). Sau đó, trên giao diện command line interface của cisco ISE, thực hiện lệnh trỏ dns cho cisco ISE về server win 2012 đã lên DC của bạn, chúng ta ping test vào domain name của AD để kiểm tra xem cisco ISE của bạn đã “hiểu” được domain name cần join hay chưa.
Code:
Cisco-ISE-1/admin(config)# ip name-server 192.168.3.190 Cisco-ISE-1/admin# ping vnpro.local PING vnpro.vn.local (192.168.3.190) 56(84) bytes of data. 64 bytes from 192.168.3.190: icmp_seq=1 ttl=126 time=2.00 ms 64 bytes from 192.168.3.190: icmp_seq=2 ttl=126 time=2.12 ms 64 bytes from 192.168.3.190: icmp_seq=3 ttl=126 time=2.41 ms 64 bytes from 192.168.3.190: icmp_seq=4 ttl=126 time=2.12 m --- vnpro.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3003ms rtt min/avg/max/mdev = 2.002/2.165/2.411/0.150 m
Một box nhỏ sẽ hiện ra và bạn nhập Join Point Name (bạn đặt tên tùy ý sao cho dễ phân biệt, ở một số dòng ISE bạn không nên đặt tên khó như kiểu vnpro\vnpro.local) và Active Directory Domain ( bạn nhập đúng domain name vừa tạo ở bước trên). Chọn OK, một box nhỏ sẽ xuất hiện, chọn Yes.
Sau đó sẽ là hộp thoại yêu cầu bạn nhập username password để join domain, bạn nhập user đã tạo ở bước trên trong Server DC.
Chọn OK và thông báo bạn đã join thành công như hai hình dưới đây.
Trên server DC bạn cũng có thể thấy cisco ISE đã join vào domain trong mục Domain Computers Properties.
Tiếp đến chúng ta cần tạo user group để quản lý cisco ISE. Đầu tiên bạn cần tạo một user group trên Server, thực hiện bước này tương tự như việc tạo user chỉ khác là thay vì chọn New -> User thì ta chọn New -> Group. Sau đó chuyển sang user mà ta đã dùng để login trên cisco ISE (ở đây là user: ise), chuột phải chọn Properties -> Member of -> Add group vừa tạo vàoà OK. Vậy là chúng ta đã hoàn thành việc tạo user group và join user vào group đó.
Hoàn tất việc trên chúng ta chuyển sang Web Interface của Cisco ISE. Sau khi cấu hình join domain xong, ta chuyển từ tab Connection sang tab Group, sẽ có một list các group được đồng bộ từ Server và ta chọn group vừa tạo trên Server để làm user group quản lý cisco ISE.
Tiếp tục cấu hình dùng Server AD với domain vnpro.local làm server xác thực và quản lý user cho ISE. Chọn Administration -> System -> Admin Access -> Authentication -> Authentication Method và thực hiện như hình dưới đây.
Sau đó chuyển sang Administrators -> Admin groups -> Add để thêm group vừa chọn từ Server làm Admin Group của ISE. Thao tác như 2 hình dưới đây.
Và cuối cùng, chúng ta cần gán policy cho group này. Vào tab Authorization à Permissions à Policy. Chọn rule name đầu tiên nhìn sang bên phải ngoài cùng -> chọn Actions -> New Rule -> Đặt tên cho Rule và set policy cũng như Permissions như 2 hình dưới đây. Với 2 quyền này, các user từ user group vừa tạo có tất cả quyền truy cập vào Menu và Data (full quyền) trên ISE.
Giờ đây chúng ta đã có thể đăng nhập vào user được quản lý bởi Server AD.
