Active Directory Integration with Cisco ISE 2.1

Active Directory Integration with Cisco ISE 2.1

Bu makalemizde ISE Server ımı Active Directory ile entegrasyonunu sağlayacağım  ardından Active Directory User ve Computer  bazlı ,authentication authorization policy leri nasıl yazılır onu göreceğim.

Active Directory Entegrasyonu;

External Identy Sources altında Active Directory add deyip bir isim veriyorum.

 

İlgili yerleri doldurduktan Submit diyorum.

ISE Node altında domain imiz işaretleyip join deyip entegrasyonu bitiriyorum.

Authentication policy mizi computer ve user bazlı yapacağımız için Active Directory mizden bu grupları çekelim

Aynı tab dan Groups > Add > Select Groups From Directory deyip “Retrieve Groups” ordan Domain Users ve Domain Computers  seçiyorum.

Örnek 1:

Çalışanlarımızdan Coşkun evinden notebookunu getirdi ama bilgisayarında antivirusü yok windows update leri eksik

Yapmamız gereken Coşkun kabloyu taktığında networkumden izole edilsin şirket kaynaklarına ulaşamasın ama internete çıkabilsin.

Authentication Policy ;

Authorization  Policy ;

Eğer bir cihaz sistemde tanımlı bir yetkiye gruba üye değilse mab_mach  kuralına çarpsın ve  VLAN_60_ONLY_INTERNET permission ile networkte gezinsin.

Peki nedir bu VLAN_60_ONLY_INTERNET

İlk önce ISE üzerinde switch lere gönderebildiğimiz Downloadable ACL yazıyoru.

Sonrasında Authorization Policy de vlan ataması yapıp bu vlan da bir önceki adımdaki DACL yi assing ediyorum.

Switch üzerinden durumu control etmek gerekirse kullanacağımız komut

“show authentication sessions interface gigabitEthernet 1/0/1 details”

Aldığı ip ,authentication method, uygulan DACL hepsini burada görebilirim.

Interface altındaki komutum.

ve son olaran client taki aksiyon,

Örnek 2:

Örneğimizde user yada machine bazlı authorization gerçekleştiğinde VLAN_10 herikiside gerçekleştiğinde VLAN_41 e assing et diyeceğim (windows işletim sistemi sadece açılışta machine bilgisi gönderir, yani machine authentication yapacaksanız bilgisayarı restart etmeniz gerek)

Authentication Policy ;

2.kuralda makalenin başında gerçekleştirdiğim active directory seçiyorum

Authorization  Policy ;

Client ımı restart ediyorum ve aksiyonumuzu loglardan adım adım takip ediyorum.

Kullanıcı adı şifremi yazdığım sırada Machine Auth oldu ardından user ve halka tamamlandı hem user hemde machine authentication olduğundan beni vlan 41 e assing etti.

Switch deki durumumuz.

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)