Cisco AnyConnect Deploy via GPO
Merhaba arkadaşlar Cisco ISE Makalelerimin bu bölümünde enterprise yapılarda Anyconnect yazılımının clientlara deploy aşamasında dikkat edilmesi gereken hususlar konusuna değineceğim
Anyconnect üzerinde vpn posture amp umbrella gibi diğer Cisco ürün ailesi ile konuşan agentlar mevcut, ISE için kurulması gereken agentlar Core , Network Access Manager ve son olarak posture işlemi için ISE Posture
Anyconnect ISE server ımızla nasıl konuşuyor biraz ondan bahsedelim , ISE Server üzerinde kullanacağımız protokol EAP-FAST olmalı sonrasında daha önceki makalemizde bahsettiğimiz AnyConnect Editor vasıtasıyla clientların bu protokolu kullanırken user machine authentication için nasıl yol izleyeceğini seçiyorum ve bunlardan bir profil çıkarıyorum
Sonrasında bu profil dosyamız Clinet üzerindeki AnyConnect yazılımıma gösteriyorum ve ISE Serverım üzerindeki policy ilerime göre networke erişimini sağlıyorum.
GPO üzerinden software install seçeneğinden Anyconnect kurulumu yapamıyoruz burada önerilen Microsoft System Center ürünlerini kullanıp kullanıcıya deploy etmek ama ben bu işlemi bat file hazırlayıp deploy işlemini gerçekleştiricem.
İlk olarak kurulum dosyalarımızı dc üzerinde bir paylaşıma açıyorum
Sonrasında bat filemızı aşağıdaki gibi hazırlıyorum
Önce core agent sonrasında network access manager ve posture agentlarını kur ve en son agenttan sonrada restart et diyorum
msiexec /package \\dc01\anyconnect_kurulum\anyconnect-core.msi /norestart /quiet
msiexec /package \\dc01\anyconnect_kurulum\anyconnect-nam.msi /norestart /quiet
msiexec /package \\dc01\anyconnect_kurulum\anyconnect-posture.msi /restart /quiet
Hazırladığım bat file ı computer Policy altında startup Policy yerleştiriyorum
2.adımda NAM (Network Access Manager) için konfigüration dosyasının kopyalanacağı yere user için yetki vermem gerekiyor.Aşağıdaki resimde windows xp ve sonrası için işletim sistemlerinde bu dosyaların tutulduğu yer gösterilmekte.
Bizim kullanıcımız windows10 ve policy m aşağıdaki gibi yaratıyorum
Sıra geldi konfigürasyon dosyamızı client a kopyalama işlemine bunun için de aslında 2 yöntem var 1. yol xcopy ile bir bat file hazırlanması 2.yol ise GPO üzerinden source destination ların belirlenip dosyayı göstermek
Son işlemimiz Anyconnect Agent client üzerine kuruldu, configuration file üzerine kopyalandı ama ISE üzerinde machine authentication hatası alıyorsunuz , ISE üzerindeki policyleriniz doğru ama bir türlü machine authentication sağlayamıyor, sebebi windows 8 ve sonrası işletim sistemlerindeki değişen güvenlik tanımlarından kaynaklanmaktadır, aslında burda machine bilgisini ISE a gönderirken bu işlemi şifreli olarak göndermesi ve bunu ISE çözemiyor olması sorunun asıl kaynağıdır bu cisco da bir BUG olarak geçmekte çözümü ise gene GPO üzerinden hazırlaycağım register kaydı.
ISE loglarına baktığımızda artık user+machine authentication sağlanmış durumdadır.