EAP Chaining Cisco ISE 2.1

EAP Chaining Cisco ISE 2.1

EAP-FAST Cisco tarafından geliştirilmiştir. Networkde dijital sertifika veya güçlü şifre kullanmaya gerek duymayan bir protokoldür.

EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tünel bir kez kurulduğunda, kullanıcı adı ve şifreleriyle kimlik denetimini bu tunelden  yapar.

Windows sunucunun yapabildiği; önce user sonra machine bilgisini gönderir bu durumda user and machine authentication aynı anda yapamaz.

User+certificate (PEAP+EAP+TLS) bu iki etken ile authentication yapmak istiyorsak Any Connect Kullanmamız gerekmekte.

PEAP Mschap 2 user auth
EAP-TLS Certificate auth
EAP-FAST Cisco Spesifik protocol  (arka tarafta EAP-TLS ve PEAP kullanır ve bu işleme EAP Chaining denir.)

Örneklerimiz;

User + Machine bilgisi ile erişim olursa VLAN41 Bunu firmaya ait ,domaine girmiş , masaüstü bilgisayarı olarak düşünebiliriz.

User bilgisi ile giriş yapılmak istenirse ; VLAN10 a assign et bunuda kişisel notebook u ile elinde sadece kullanıcı adı ve şifresi olan ve networkte belli kaynaklara erişmek isteyen bir kullanıcı olarak düşünelim

Bu örneklerimin hepsini kablolu networkte gerçekleştireceğim , daha sonraki makalelerde kablosuz  tarafında BYOD,MYDEVICEPORTAL gibi örnekleri de yayınlayacağım.

Idendtity Soruce Sequences den internal ve external gruplarımı seçiyorum.

Authentication için Eap Chaining protokolunun enable edilmesi için New deyip Protokolü oluşturuyorum dikkat ! Enable EAP Chaining

Authentication rule yazarken bu sefer oluşturduğumuz iki Result u seçiyorum.

Authentication Policylerim için aşağıdaki conditionları oluşturmaya geldi sıra.

USER_AND_MACH_EAPFAST

ONLY_USER_EAPFAST

ONLY_MACH_EAP_FAST

Authorization policy mizin son durumu.

Şimdi AnyConnect için profile dosyamızı oluşturacağım bu işlem için Anyconnect Profile Editor ü kullanıyorum.

Network Add diyorum

Profilime bir isim veriyorum ve bunu Wired Networkte kullanacağımı belirtiyorum.

Bu Network Authentication gerektiren bir network

User  ve Machine bilgisine bakacağım

 

Configuration.xml olarak kaydediyorum

Şahsi bilgisayarım ile şirket networkume girdiğim zaman

Domainde olan şirket bilgisayarımda oturum açtığım zaman

Bir sonraki makalede görüşmek üzere.

Leave a Reply

Your email address will not be published.

Enjoy this blog? Please spread the word :)