Cisco vous recommande de prendre connaissance des rubriques suivantes :

Documents pareils
ETI/Domo. Français. ETI-Domo Config FR

Préparation à l installation d Active Directory

TeamViewer 9 Manuel Wake-on-LAN

Installation d'un serveur DHCP sous Windows 2000 Serveur

FORMATION WS0801. Centre de formation agréé

Stratégie de groupe dans Active Directory

Intégration de Cisco CallManager IVR et Active Directory

Gestion des utilisateurs : Active Directory

Le rôle Serveur NPS et Protection d accès réseau

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

Chapitre 2 Rôles et fonctionnalités

NAC 4.5 : Exemple de configuration d'import-export de stratégie

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP

Cours 20411D Examen

Raccordement desmachines Windows 7 à SCRIBE

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

Manuel de configuration du Wi-Fi

FileMaker Server 13. Guide de démarrage

NAS 206 Utiliser le NAS avec Windows Active Directory

Présentation de Active Directory

Préparer la synchronisation d'annuaires

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

TeamViewer 9 Manuel Management Console

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Introduction aux services de domaine Active Directory

Installation de Windows 2003 Serveur

Guide d utilisation. Table des matières. Mutualisé : guide utilisation FileZilla

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

NetSupport Notify (v2.01) Guide de démarrage. Tous droits réservés NetSupport Ltd

Configurez votre Neufbox Evolution

Integration à un domaine AD SOMMAIRE

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Virtualisation de Windows dans Ubuntu Linux

Arcserve Replication and High Availability

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

LOGICIEL KIPICAM : Manuel d installation et d utilisation

Authentification unique Unified MeetingPlace 7.0 avec WebEx Type II

Manuel d'installation

CA ARCserve Backup Patch Manager pour Windows

Cours admin 200x serveur : DNS et Netbios

Installation de Windows 2000 Serveur

Guide de configuration de SQL Server pour BusinessObjects Planning

Comment lire ce manuel

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Activités professionnelle N 2

Installation de Windows 2008 Serveur

MEDIAplus elearning. version 6.6

Printer Administration Utility 4.2

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

WIFI sécurisé en entreprise (sur un Active Directory 2008)

1 Résolution de nom Introduction à la résolution de noms Le système DNS Les types de requêtes DNS...

Installation DNS, AD, DHCP

Kaspersky Security Center 9.0 Manuel d'implantation

Nettoyer l'historique et le cache DNS de votre navigateur

DHCP Dynamic Host Configuration Protocol (Protocole de Configuration d'hôte Dynamique)

Module 8. Protection des postes de travail Windows 7

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

Introduction aux services Active Directory

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

Formateur : Jackie DAÖN

Gestion et impression

Kaspersky Security Center Web-Console

SOMMAIRE. Chapitre 1 - principe 3 Téléphonique 4 PC/Configuration logicielle 4 PC/Configuration matérielle: 4 Pabx 4

Le Protocole DHCP. Module détaillé

1 - EXCHANGE Installation

Configurer ma Livebox Pro pour utiliser un serveur VPN

CS REMOTE CARE - WEBDAV

CA ARCserve Replication and High Availability

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés.

Guide de déploiement

Arcserve Replication and High Availability

Bluetooth pour Windows

Guide d'installation du connecteur Outlook 4

PARAGON SYSTEM BACKUP 2010

Installation.Net Framework 2.0 pour les postes utilisant Windows 8/8.1.

La console MMC. La console MMC Chapitre 13 02/08/2009

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Réseaux Active Directory

Créer un réseau local

Windows Internet Name Service (WINS)

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Module 3 : Gestion et analyse du service DHCP

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Livre Blanc - septembre 2007 MAC OS X & WINDOWS : RÉUSSIR LA COHABITATION

Mettre en place un accès sécurisé à travers Internet

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

SOLUTION D ENVOI DE SMS POUR PROFESSIONNELS

TAGREROUT Seyf Allah TMRIM

Network Scanner Tool R2.7. Guide de l'utilisateur

Présentation d'un Réseau Eole +

Guide d'intégration à ConnectWise

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Transcription:

Contenu Introduction Conditions préalables Conditions requises Composants utilisés Informations générales Configurez Diagramme du réseau Configurez le WLC Configurez ISE Étape 1. Ajoutez le périphérique d'accès au réseau Étape 2. Rayon d'enable et sondes d'ad Étape 3. Configurez la coutume profilant des conditions Étape 4. Configurez la stratégie de profilage faite sur commande Étape 5. Joignez ISE à l'ad Étape 6. Configurez les stratégies d'autorisation Vérifiez Dépannez Debugs sur ISE Informations connexes Introduction Ce document décrit comment configurer le Cisco Identity Services Engine (ISE) 2.1 services de profilage basés sur la sonde de Répertoire actif (AD). Le capteur de périphérique est une caractéristique des périphériques d'accès. Il collecte des informations sur des points finaux connectés. Conditions préalables Conditions requises Cisco vous recommande de prendre connaissance des rubriques suivantes : Protocole RADIUS AD Cisco ISE Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version 2.1 de Cisco ISE

Contrôleur LAN Sans fil (WLC) 8.0.133.0 Service Pack 1 de Windows 7 AD 2012 R2 Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurezvous que vous comprenez l'effet potentiel de toute commande. Informations générales La sonde d'ad : Améliore la fidélité des informations du système d'exploitation (de SYSTÈME D'EXPLOITATION) pour des points finaux de Windows. L'AD de Microsoft dépiste les informations détaillées de SYSTÈME D'EXPLOITATION pour des ordinateurs AD-joined qui incluent la version et les niveaux du Service Pack. La sonde d'ad récupère ces informations directement et utilise le connecteur d'exécution d'ad afin de fournir une source fortement fiable d'informations de SYSTÈME D'EXPLOITATION de client. Aides à distinguer les ressources entreprises et non-entreprises. Un attribut de base, mais important disponible à la sonde d'ad est si un point final existe dans l'ad. Ces informations peuvent être utilisées pour classifier un point final contenu dans l'ad comme périphérique géré ou ressource entreprise. Configurez Diagramme du réseau C'est l'écoulement : 1. Le client se connecte au réseau Sans fil par l'intermédiaire de la dérivation d'authentification MAC (MAB), accès limité est donné au point final. 2. WLC par l'intermédiaire de caractéristique de capteur de périphérique envoie l'adresse Internet de la machine cliente à ISE. 3. Requête d'ad de déclencheurs ISE afin d'obtenir des attributs : AD-Hôte-existe, AD Joindre point, l'ad-actionner-système, AD-SYSTÈME D'EXPLOITATION-version, AD-Servicepaquet. 4. Puisqu'il y a manuel profilant la stratégie configurée, la règle d'autorisation est en place, le point final est profilé et la modification de l'autorisation (CoA) est déclenchée.

5. L'accès complet est donné au point final. Configurez le WLC Le WLC est configuré pour l'authentification de base de MAB. Des configurations sont mises en valeur en rouge.

Le WLC est configuré pour le capteur de périphérique, il collecte l'information réseau des points finaux connectés par des protocoles tels que le HTTP et le DHCP, et en avant ces informations au noeud de services de stratégie ISE (le RPC) en paquets de comptabilité de RAYON. Quand ISE reçoit une adresse Internet, il cherche les attributs d'ad pour un nouveau point final. L'adresse Internet est typiquement apprise des sondes DHCP ou de DN. Configurez ISE Étape 1. Ajoutez le périphérique d'accès au réseau Ajoutez le WLC comme périphérique de réseau dans la gestion > les ressources de réseau > des périphériques de réseau. Utilisez la clé de serveur de rayon du WLC en tant que configuration secrète partagée d'authentification.

Étape 2. Rayon d'enable et sondes d'ad Sonde de rayon d'enable sur le noeud de profilage dans la gestion > le système > le déploiement > le noeud ISE > profilant la configuration. Seulement deux sondes sont utilisées réellement dans ce scénario, sonde de rayon pour obtenir l'adresse Internet du point final et de la sonde d'ad, pour récupérer des attributs d'ad. Une fois qu'avec succès récupéré, ISE ne tente pas de questionner l'ad de nouveau pour le même point final jusqu'à ce que le temporisateur de retour expire. C'est de limiter le chargement sur l'ad pour des requêtes d'attribut. Le temporisateur de retour est configurable pendant les jours avant que champ de retour (gestion > système > déploiement > profilant la configuration > le Répertoire actif). S'il y a supplémentaire profilant l'activité sur le point final, l'ad est questionné de nouveau. Étape 3. Configurez la coutume profilant des conditions Naviguez vers des centres de travail > des éléments de profileur > de stratégie > des états de

profileur. Vérifiez si le point commun est domaine EXAMPLE.COM. Vérifiez si le système d'exploitation est Windows 7 professionnel. Vérifiez si le SYSTÈME D'EXPLOITATION a le Service Pack 1 installé.

Vérifiez s'il y a un ordinateur expliquent le point final sur l'ad. Étape 4. Configurez la stratégie de profilage faite sur commande Naviguez vers les centres > le profileur de travail > en profilant des stratégies. Afin d'être profilé comme particularité ekorneyc_win7_sp1_corporate, vous devez remplir des conditions minimum pour tous les états. Si vous appariez tous, le facteur cumulatif de Certantinity sera 60, qui est un minimum pour profiler la stratégie dans cet exemple. Une fois que la stratégie est enregistrée, le groupe correspondant d'identité de point final est créé. Il est important de configurer le type associé correct CoA, pour s'assurer une fois que le point final est profilé, CoA que Reauth est envoyé pour appliquer la nouvelle stratégie.

Étape 5. Joignez ISE à l'ad 1. Naviguez vers la gestion > la Gestion de l'identité > identité externe enregistre > Répertoire actif > ajoutent. Fournissez le nom de point de joindre, domaine d'ad et cliquez sur Submit. 2. Une fois incité à joindre tous les Noeuds ISE à ce domaine d'ad, cliquez sur oui. 3. Fournissez le nom d'utilisateur d'ad et le mot de passe, cliquent sur OK. Le compte d'ad exigé pour l'accès de domaine dans ISE devrait avoir l'un ou l'autre de ces derniers : Ajoutez les postes de travail vers le droit des utilisateurs de domaine dans le domaine correspondant. Créez les objets d'ordinateur ou supprimez l'autorisation d'objets d'ordinateur sur le conteneur

d'ordinateurs où le compte d'ordinateur ISE est créé avant de joindre l'ordinateur ISE au domaine. Cisco recommande de désactiver la stratégie de verrouillage pour le compte ISE et de configurer l'infrastructure d'ad pour envoyer des alertes à l'admin si un mot de passe incorrect est utilisé pour ce compte. Quand le mot de passe incorrect est entré, ISE ne crée pas ou modifie son compte d'ordinateur quand il est nécessaire et donc pour refuser probablement toutes les authentifications. 4. Passez en revue l'état d'exécution, état de noeud devrait révéler comme terminé, fin de clic. 5. L'état de l'ad devrait être opérationnel. Étape 6. Configurez les stratégies d'autorisation Deux stratégies d'autorisation sont configurées, le par défaut un autorise le point final avec Access

limité. Une fois l'ordinateur est profilé, CoA Reauth est envoyé, et la nouvelle stratégie avec des droites d'accès complet est assignée. Vérifiez Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration. Naviguez vers les exécutions > le rayon > les logins vivants ISE. La première authentification du bas, affiche qu'access limité est donné, qui est suivi par le CoA, qu'est suivie par stratégie d'accès complet. Naviguez vers la visibilité > les points finaux de contexte à vérifier que le point final correct a été créé et corriger le profil de point final a été assigné. Cliquez sur en fonction l'adresse MAC de points finaux pour voir tous les attributs. Des attributs d'ad, profilant la stratégie sont mis en valeur.

L'attribut de nom d'hôte reçu du WLC, qui a déclenché la récupération d'attributs d'ad est mis en valeur. Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Debugs sur ISE Afin d'activer met au point sur ISE naviguent vers la gestion > le système > se connectant > configuration de log de debug, le RPC choisi et changent le niveau de log du composant de profileur POUR DÉBUGGER.

Logs à vérifier - profiler.log. Vous pouvez le suivre directement d'ise CLI : Le point final authentifie pour la première fois : Le point final est profilé a basé sur la stratégie assortie d'intel-périphérique UDI. Le point final est créé dans la base de données : La comptabilité de rayon est envoyée du WLC, contenant le nom d'hôte du point final : ISE cherche les attributs d'ad pour un nouveau point final dès qu'il recevra une adresse Internet : Des attributs sont ajoutés au point final dans la base de données : La nouvelle stratégie est appariée selon la stratégie de profilage configurée : Informations connexes Guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.1 Support et documentation techniques - Cisco Systems Configurez le capteur de périphérique pour le profilage ISE Cisco ISE profilant le guide de conception

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back