Cisco ISE
Sommaire
Renseignements principaux
- @IP : 10.13.102.221/24 et 10.13.102.222/24
- Serveurs NAC MOY1300
- Virtualisé sur cluster VMware
- Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
- Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
- Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
Déclaration d'éléments réseau
Ajout d'un VLAN
Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :
- Renseigner un nom
- Définir le type d'accès sur ACCESS_ACCEPT
- Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.
Ajout d'un switch
Dans Administration → Network Resources → Network Devices → Add :
- Renseigner un nom
- Indiquer une @IP/masque_sous_réseau
- Device Profile (Cisco ou Junip)
- Nom du modèle
- Version logicielle
- Localisation (SW DR13 / SW CAMPUS - BAT X)
- Device Type (Cisco SW / Junip SW)
- Shared Secret (à copier dans conf du SW)
- SNMP RO Community : cnrsDR13
Ajout d'un AD
Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :
- Nom
- FQDN
- identifiants utilisateur avec droits d'admin
Maintenance
Plantage nœud secondaire
Redémarrer le nœud en CLI via SSH (~15/20min) :
reload
Plantage nœud primaire
Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).
Sinon, aller à Deployment → Promote to Primary
Sur nœud primaire, redémarrage en CLI via SSH (~15/20min) :
reload
Plantage complet
Redémarrage nœud primaire puis nœud secondaire :
reload
Déploiement Patch de sécu
Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install
Une fois le patch installé sur le nœud 1, il va ensuite être déployé automatiquement sur le nœud 2.
Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status
Déploiement Hotpatch
Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.
Création répertoire sur disque local :
conf t mkdir disk:/hotpatch repository hotpatch url disk:/hotpatch
Copie fichier hotpatch via SFTP (SCP non supporté) :
copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch
Installation du hotpatch :
application install hotpatch_file.tar.gz hotpatch
Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante nous permet d’obtenir les informations les concernant.
show logging application hotpatch.log Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1
MAJ d'ISE
Étapes d'une MAJ
- Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
- Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
- Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire
Mise à jour CLI via SSH
Création répertoire sur disque local :
conf t mkdir disk:/upgrade repository upgrade url disk:/upgrade
Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.
IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier
application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade
Installation de la MAJ :
application upgrade proceed
Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Conclusion : Il faut être patient !
Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.
