Cisco AnyConnect Deploy via GPO

Cisco AnyConnect Deploy via GPO

Merhaba arkadaşlar Cisco ISE Makalelerimin  bu bölümünde enterprise yapılarda Anyconnect yazılımının clientlara deploy aşamasında dikkat edilmesi gereken hususlar konusuna değineceğim

Anyconnect üzerinde vpn posture amp umbrella gibi diğer Cisco ürün ailesi ile konuşan agentlar mevcut, ISE için kurulması gereken agentlar Core , Network Access Manager ve son olarak posture işlemi için ISE Posture

Anyconnect ISE server ımızla nasıl konuşuyor biraz ondan bahsedelim , ISE Server üzerinde kullanacağımız protokol EAP-FAST olmalı sonrasında daha önceki makalemizde bahsettiğimiz AnyConnect Editor vasıtasıyla clientların bu protokolu kullanırken user machine authentication için nasıl yol izleyeceğini seçiyorum ve bunlardan bir profil çıkarıyorum

Sonrasında bu profil dosyamız Clinet üzerindeki AnyConnect yazılımıma gösteriyorum ve ISE Serverım üzerindeki policy ilerime göre networke erişimini sağlıyorum.

GPO üzerinden software install seçeneğinden Anyconnect kurulumu yapamıyoruz burada önerilen Microsoft System Center ürünlerini kullanıp kullanıcıya deploy etmek ama ben bu işlemi bat file hazırlayıp deploy işlemini gerçekleştiricem.

İlk olarak kurulum dosyalarımızı dc üzerinde bir paylaşıma açıyorum 

Sonrasında bat filemızı aşağıdaki gibi hazırlıyorum

Önce core agent sonrasında network access manager ve posture agentlarını kur ve en son agenttan sonrada restart et diyorum

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-core.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-nam.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-posture.msi /restart /quiet 

Hazırladığım bat file ı  computer Policy altında startup Policy yerleştiriyorum

2.adımda NAM (Network Access Manager) için konfigüration dosyasının kopyalanacağı yere user için yetki vermem gerekiyor.Aşağıdaki resimde windows xp ve sonrası için işletim sistemlerinde bu dosyaların tutulduğu yer gösterilmekte.

Bizim kullanıcımız windows10 ve policy m aşağıdaki gibi yaratıyorum

Sıra geldi konfigürasyon dosyamızı client a kopyalama işlemine bunun için de aslında 2 yöntem var  1. yol xcopy ile bir bat file hazırlanması   2.yol ise GPO üzerinden source destination ların belirlenip dosyayı göstermek

Son işlemimiz Anyconnect Agent client üzerine kuruldu, configuration file üzerine kopyalandı ama ISE üzerinde machine authentication hatası alıyorsunuz , ISE üzerindeki policyleriniz doğru ama bir türlü machine authentication sağlayamıyor, sebebi windows 8 ve sonrası işletim sistemlerindeki değişen güvenlik tanımlarından kaynaklanmaktadır, aslında burda machine bilgisini ISE a gönderirken bu işlemi şifreli olarak göndermesi ve bunu ISE çözemiyor olması sorunun asıl kaynağıdır bu cisco da bir BUG olarak geçmekte çözümü ise gene GPO üzerinden hazırlaycağım register kaydı.

ISE loglarına baktığımızda artık user+machine authentication sağlanmış durumdadır.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)