Renseignements principaux

• nœud 1 : 10.13.102.221/24
• nœud 2 : 10.13.102.222/24
• Serveurs NAC MOY1300
• Virtualisé sur cluster VMware
• Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
• Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
• Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
• Pour l'accès à l'interface web, privilégier Chromium et ses dérivés

Debugging

Debugging Authentification clients

Statut des nœuds

À vérifier depuis Administration → System → Deployment → Deployment Nodes.

Interface Web

Live Logs

Pour les problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes étapes liées au processus d’identification d’un client.

L'affichage des clients peut se faire selon plusieurs critères :

• Identité (username)
• adresse MAC
• Type de device (marque / type d'équipement)
• Politique d'authentification utilisée (DR13 / SHD)
• VLAN
• Switch

On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment :

• les étapes de la phase d'authentification
• le profil que le client a matché
• le VLAN qui lui a été attribué
• les informations liées à l'AD (CN et Groupe du client)

Outils de diagnostic

RADIUS Authentication Troubleshooting

• 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client
• 2. Cliquer sur Search
• 3. Sélectionner la ligne dont le status est failed
• 4. Cliquer sur Troubelshoot
• 5. Cliquer sur Show Result Summary

Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client.

Endpoint Debug

/!\ Très très verbeux !!

Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :

• 1. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug
• 2. Cliquer sur Start
• 3. Initier une connexion au réseau depuis le client à debugguer
• 4. Télécharger les logs

C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.

Switch Cisco

Visualiser les sessions 802.1X

show authentication sessions method dot1x  

Interface MAC Address    Method  Domain  Status Fg  Session ID 
------------------------------------------------------------------------
Gi1/0/3 f09f.fc14.df78 dot1x   DATA    Auth   A000000CC6A2703...

Logging 802.1X

Activer les logs pour l’authentification dot1x.

dot1x logging verbose

Visualiser les logs à la volée en CLI.

terminal monitor

Désactiver le monitoring en CLI.

terminal no monitor

Switch Juniper

Visualiser les sessions 802.1X

show dot1x interface brief
802.1X Information:
Interface     Role           State           MAC address          User
ge-0/0/1      Authenticator  Authenticated   00:a0:d2:18:1a:c8    user

Détail d'une session sur une interface

show dot1x interface ge-0/0/1.0 detail

Logging 802.1X

Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer.

set protocols dot1x traceoptions file dot1x
set protocols dot1x traceoptions file size 5m
set protocols dot1x traceoptions flag all

Exemple : afficher les 10 dernières entrées du fichier de logs dot1x

show log dot1x | last 10

Debugging nœuds ISE

Statut des nœuds

À vérifier depuis Administration → System → Deployment → Deployment Nodes.

Statut des services

Commande à exécuter en CLI via SSH sur n’importe quel nœud.

show application status ise

Jonction avec l'AD

Vérifier dans Administration → Identity Management → External Identity Sources → Active Directory → Node View

Plantage nœud secondaire

Redémarrer le nœud en CLI via SSH (~15/20min).

reload

Plantage nœud primaire

Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).

Sinon, aller à Deployment → Promote to Primary

Sur nœud primaire, redémarrer en CLI via SSH (~15/20min) :

reload

Plantage complet

Redémarrer nœud primaire puis nœud secondaire :

reload

Maintenance

Déploiement Patch de sécu

Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install

Une fois le patch installé sur le nœud 1, il va être déployé automatiquement sur le nœud 2.

Vérifier l’état d’avancement du déploiement dans Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status

Déploiement Hotpatch

Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact (ex : Log4Shell).

Télécharger le hotpatch et le copier sur le serveur SFTP (compte root dans KeePassX du campus sur Mars\services\SSI\pwd).

scp hotpatch_file.tar.gz root@10.13.102.118:/var/sftp/hotpatch/

Création répertoire sur disque local d'ISE.

conf t
mkdir disk:/hotpatch
repository hotpatch
url disk:/hotpatch

Copie fichier hotpatch via SFTP (SCP non supporté). Le compte utilisateur dédié au service SFTP se trouve dans le KeePassX du campus sur Mars\services\SSI\pwd

copy sftp://10.13.102.118/hotpatch/hotpatch_file.tar.gz disk:/hotpatch

Installation du hotpatch.

application install hotpatch_file.tar.gz hotpatch

Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule cette commande permet d’obtenir les informations les concernant.

show logging application hotpatch.log 
Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1

MAJ d'ISE

Étapes d'une MAJ

• Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ.
• Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
• Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire

Mise à jour CLI via SSH

Création répertoire sur disque local d'ISE.

conf t
mkdir disk:/upgrade
repository upgrade
url disk:/upgrade

Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.

IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier

application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade 

Installation de la MAJ.

application upgrade proceed

Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Il faut être patient...

Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.

Renouvellement des certificats

L'import de nouveaux certificats s'effectue depuis Administration → System → Certificates.

Changement de DNS

Se connecter en CLI via SSH sur le nœud primaire puis exécuter les commandes suivantes :

conf t
no ip name-server ancienne_IP
ip name-server nouvelle_IP

Sur le nœud secondaire, le promouvoir en tant que maître depuis Deployment → Promote to Primary

Sur nœud primaire, redémarrer en CLI via SSH (~15/20min) :

reload

Faire de même pour le nœud secondaire en promouvant à nouveau le nœud 1 comme nœud primaire.

Configuration des clients

Imprimantes

Création utilisateur dans l'AD

Créer l'utilisateur dans ad.dr13.cnrs.fr → DR13 → Utilisateurs → divers, avec :

• Nom complet : nom de l'imprimante
• Description : Compte NAC ISE
• Membre de : NAC_Printers
• Cocher : L'utilisateur ne peut pas changer de mot de passe et Le mot de passe n'expire jamais

Ajouter le mot de passe de l'utilisateur créé dans le KeePassX du campus sur Mars\services\SSI\pwd.

Configuration réseau

Se connecter à l'interface web puis se rendre dans Réglages système → Réglages réseau → Réglages de l'interface.

Dans la section Réglage IEEE802.1X, renseigner les infos suivantes :

• Authentification IEEE802.1X: Activer
• Méthode d'authentification EAP: PEAP
• Nom d'utilisateur EAP: printer_username_AD
• Mot de passe: printer_pwd_AD

PC sous Linux

Work in progress...

PC sous Windows

Configurés selon la GPO définie dans ad.dr13.cnrs.fr → DR13 → Services → 802.1x Filaire DR13.

• Active 802.1X et pousse la configuration
• Active le service Configuration Automatique de réseau câblé de manière Automatique
• Pousse les certificats racine GEANT OV

Déclaration d'éléments réseau

Ajout d'un VLAN

Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :

• Renseigner un nom
• Définir le type d'accès sur ACCESS_ACCEPT
• Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.

Ajout d'un switch

Dans Administration → Network Resources → Network Devices → Add :

• Renseigner un nom
• Indiquer une @IP/masque_sous_réseau
• Device Profile (Cisco ou Junip)
• Nom du modèle
• Version logicielle
• Localisation (SW DR13 / SW CAMPUS - BAT X)
• Device Type (Cisco SW / Junip SW)
• Shared Secret (à copier dans conf du SW)
• SNMP RO Community : cnrsDR13

Ajout d'un AD

Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :

• Nom
• FQDN
• identifiants utilisateur avec droits d'admin

Ajout de règles

Protocoles utilisés

Possibilité de créer (bouton Add) un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X).

Définir de nouveaux profils depuis le menu Policy → Policy Elements → Results → Authentication → Allowed protocols

Policy Sets

Indiquer ensuite des conditions qui vont permettre de définir des ensembles de règles (Policy Sets).

Ces conditions sont définies dans Policy → Policy Sets. Possibilité d'ajout via le bouton + à gauche du tableau ou duplication à partir de la roue crantée.

Les tentatives de connexion sont séparées selon 2 conditions :

• le type de connexion (filaire, sans fil)
• le type de switch (DR13 ou Campus)

Règles d’autorisation d'accès au réseau

Menu permettant de définir une règle accessible en cliquant sur le chevron bleu située sur la droite au niveau de la colonne View.

Ajout d'une règle : Authorization Policy puis cliquer sur le bouton + à gauche du tableau ou la roue crantée pour dupliquer.

Éditeur de règles

Comporte 2 parties :

• Bibliothèque de conditions et règles pré-existantes
• L'éditeur en lui-même permettant d'accorder un accès réseau à une machine selon un ensemble d'attributs (certificat, identity group,...) et leurs valeurs respectives.

IMPORTANT : Une fois l'édition d'une règle terminée, 2 possibilités pour l'appliquer :

• La sauvegarder (bouton Save) pour la réutiliser ultérieurement (elle sera alors stockée dans la bibliothèque évoquée ci-dessus). En revanche, seul le nom de cette règle sera affiché dans la section Policy Sets au lieu des éléments qui la constitue
• L’utiliser (bouton Use) pour que le détail des éléments composant une condition soit visible dans la section Policy Sets. En revanche, il faut réécrire intégralement la règle pour la réutiliser

Exemple de règle

L'ensemble de règles nommé DR13-DOT1X-wired authentifie toutes les machines se connectant en filaire via 802.1X sur un switch appartenant à la DR13.

Exemple : les imprimantes se connectent via PEAP afin d'obtenir un accès au vlan 150.

La règle DR13 Printers définie dans Policy → Policy Sets → DR13-DOT1X-wired → Authorization Policy indique que la machine souhaitant obtenir un accès au VLAN 150 doit appartenir au groupe NAC_printers dont la référence dans l'AD est égale à ad.dr13.cnrs.fr/DR13/Utilisateurs/groupes/NAC_Printers.