Cisco ISE : Différence entre versions
(→Ajout d'un VLAN) |
|||
| Ligne 7 : | Ligne 7 : | ||
* Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE | * Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE | ||
* Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP) | * Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP) | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| Ligne 59 : | Ligne 30 : | ||
reload | reload | ||
| − | + | === Déploiement Patch de sécu === | |
| − | == Déploiement Patch de sécu == | ||
Sur nœud primaire : ''Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install'' | Sur nœud primaire : ''Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install'' | ||
| Ligne 68 : | Ligne 38 : | ||
Vérifier l’état d’avancement du déploiement : ''Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status'' | Vérifier l’état d’avancement du déploiement : ''Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status'' | ||
| − | + | === Déploiement Hotpatch === | |
| − | == Déploiement Hotpatch == | ||
Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact. | Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact. | ||
| Ligne 93 : | Ligne 62 : | ||
</pre> | </pre> | ||
| + | === MAJ d'ISE === | ||
| − | = | + | ==== Étapes d'une MAJ ==== |
| − | |||
| − | === Étapes d'une MAJ === | ||
* Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ | * Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ | ||
| Ligne 102 : | Ligne 70 : | ||
* Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire | * Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire | ||
| − | === Mise à jour CLI via SSH === | + | ==== Mise à jour CLI via SSH ==== |
Création répertoire sur disque local : | Création répertoire sur disque local : | ||
| Ligne 127 : | Ligne 95 : | ||
Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande '''application configure ise''' et choisir 5 (Refresh Database Statistics) sur ces nœuds. | Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande '''application configure ise''' et choisir 5 (Refresh Database Statistics) sur ces nœuds. | ||
| + | |||
| + | |||
| + | == Déclaration d'éléments réseau == | ||
| + | |||
| + | === Ajout d'un VLAN === | ||
| + | |||
| + | Dans ''Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add'' : | ||
| + | * Renseigner un nom | ||
| + | * Définir le type d'accès sur ACCESS_ACCEPT | ||
| + | * Dans ''Common Tasks'', cocher VLAN et indiquer l'ID/Name du VLAN. | ||
| + | |||
| + | === Ajout d'un switch === | ||
| + | |||
| + | Dans ''Administration → Network Resources → Network Devices → Add'' : | ||
| + | * Renseigner un nom | ||
| + | * Indiquer une @IP/masque_sous_réseau | ||
| + | * Device Profile (Cisco ou Junip) | ||
| + | * Nom du modèle | ||
| + | * Version logicielle | ||
| + | * Localisation (SW DR13 / SW CAMPUS - BAT X) | ||
| + | * Device Type (Cisco SW / Junip SW) | ||
| + | * Shared Secret (à copier dans conf du SW) | ||
| + | * SNMP RO Community : cnrsDR13 | ||
| + | |||
| + | === Ajout d'un AD === | ||
| + | |||
| + | Dans ''Administration → Identity Management → External Identity Sources → Active Directoy → Add'', renseigner : | ||
| + | * Nom | ||
| + | * FQDN | ||
| + | * identifiants utilisateur avec droits d'admin | ||
| + | |||
| + | |||
| + | == Ajout de règles == | ||
| + | |||
| + | === Protocoles utilisés === | ||
| + | |||
| + | On peut créer (bouton ''Add'') un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X). | ||
| + | |||
| + | La définition de nouveaux profils est possible depuis le menu ''Policy → Policy Elements → Results → Authentication → Allowed protocols'' | ||
| + | |||
| + | === Définir des conditions === | ||
| + | |||
| + | On indique ensuite des conditions qui vont permettre de créer des ensembles de règles. | ||
| + | |||
| + | Ces conditions sont définies dans ''Policy → Policy Sets''. Elles peuvent être ajoutées via le '''bouton +''' à gauche du tableau ou dupliquée à partir de la '''roue crantée'''. | ||
| + | |||
| + | Nous avons séparé les tentatives de connexion selon 2 conditions : | ||
| + | * le type de connexion (filaire, sans fil, via MAB) | ||
| + | * le type de switch (DR13 ou Campus) | ||
| + | |||
| + | === Règles d’autorisation === | ||
| + | |||
| + | L'accès au menu permettant de définir une règle s'effectue en cliquant sur la flèche bleue située sur la droite au niveau de la colonne '''View'''. | ||
| + | |||
| + | Pour ajouter une règle, on se rend dans '''Authorization Policy''' puis on clique sur le '''bouton +''' à gauche du tableau ou la '''roue crantée''' pour dupliquer. | ||
| + | |||
| + | === Éditeur de règles === | ||
Version du 11 mars 2022 à 11:33
Sommaire
Renseignements principaux
- @IP : 10.13.102.221/24 et 10.13.102.222/24
- Serveurs NAC MOY1300
- Virtualisé sur cluster VMware
- Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
- Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
- Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
Maintenance
Plantage nœud secondaire
Redémarrer le nœud en CLI via SSH (~15/20min) :
reload
Plantage nœud primaire
Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).
Sinon, aller à Deployment → Promote to Primary
Sur nœud primaire, redémarrage en CLI via SSH (~15/20min) :
reload
Plantage complet
Redémarrage nœud primaire puis nœud secondaire :
reload
Déploiement Patch de sécu
Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install
Une fois le patch installé sur le nœud 1, il va ensuite être déployé automatiquement sur le nœud 2.
Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status
Déploiement Hotpatch
Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.
Création répertoire sur disque local :
conf t mkdir disk:/hotpatch repository hotpatch url disk:/hotpatch
Copie fichier hotpatch via SFTP (SCP non supporté) :
copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch
Installation du hotpatch :
application install hotpatch_file.tar.gz hotpatch
Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante nous permet d’obtenir les informations les concernant.
show logging application hotpatch.log Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1
MAJ d'ISE
Étapes d'une MAJ
- Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
- Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
- Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire
Mise à jour CLI via SSH
Création répertoire sur disque local :
conf t mkdir disk:/upgrade repository upgrade url disk:/upgrade
Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.
IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier
application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade
Installation de la MAJ :
application upgrade proceed
Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Conclusion : Il faut être patient !
Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.
Déclaration d'éléments réseau
Ajout d'un VLAN
Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :
- Renseigner un nom
- Définir le type d'accès sur ACCESS_ACCEPT
- Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.
Ajout d'un switch
Dans Administration → Network Resources → Network Devices → Add :
- Renseigner un nom
- Indiquer une @IP/masque_sous_réseau
- Device Profile (Cisco ou Junip)
- Nom du modèle
- Version logicielle
- Localisation (SW DR13 / SW CAMPUS - BAT X)
- Device Type (Cisco SW / Junip SW)
- Shared Secret (à copier dans conf du SW)
- SNMP RO Community : cnrsDR13
Ajout d'un AD
Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :
- Nom
- FQDN
- identifiants utilisateur avec droits d'admin
Ajout de règles
Protocoles utilisés
On peut créer (bouton Add) un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X).
La définition de nouveaux profils est possible depuis le menu Policy → Policy Elements → Results → Authentication → Allowed protocols
Définir des conditions
On indique ensuite des conditions qui vont permettre de créer des ensembles de règles.
Ces conditions sont définies dans Policy → Policy Sets. Elles peuvent être ajoutées via le bouton + à gauche du tableau ou dupliquée à partir de la roue crantée.
Nous avons séparé les tentatives de connexion selon 2 conditions :
- le type de connexion (filaire, sans fil, via MAB)
- le type de switch (DR13 ou Campus)
Règles d’autorisation
L'accès au menu permettant de définir une règle s'effectue en cliquant sur la flèche bleue située sur la droite au niveau de la colonne View.
Pour ajouter une règle, on se rend dans Authorization Policy puis on clique sur le bouton + à gauche du tableau ou la roue crantée pour dupliquer.
