Home

Configuring Cisco ISE to use External Authentication

January 19, 2015

Miftah Rahman Security , , 3 Comments

Nah, kemaren2 kita authentikasi user yang mau akses jaringan dengan database local server ISE itu sendiri (Internal)

Now…how about we authenticate users with Active Directory (ISE will synchronize with AD)…pretty good right?!?

Requirement:

  • Like the first lab
  • (optional) Cisco AnyConnect…here’s how to do it
  • DNS Server (wajib, soalnya ISE konek ke AD pake FQDN, bukan IP Address)
  • Active Directory Server (buat external authentication)

Note: DNS dan ActiveDir-nya bisa dalam 1 server yang sama kok

Wokeh..lets begin

===========================

(optional) klo lu udah pasang DNS dan bener IP-nya…skip yang ini, berhubung gw salah kasih IP DNS, makanya gw ganti wkwkwk

Create External Identity Source on ISE

Masuk ke Administration -> Identity Management -> External Identity Sources

Klik Active Directory -> input domain name (nama ActiveDir server lo, gw pake “domain.com”) dan Identity Store Name-nya (nama alias buat dijadiin referensi ISE-nya)

Kalau sudah…nanti ada tulisan bahwa status ISE-nya “not joined to domain”, nyok di test dulu…pilih basic test aja

Isi username dan password ACTIVE DIRECTORY SERVER-nya

Klo berhasil…ada tulisan success

Nah, klo sudah sukses..tinggal klik join deh

Masukin lagi username dan password ActiveDir server-nya

Kita bisa liat Join Operation Status-nya sudah completed

Yuk kita cek di Server ActiveDir-nya…masuk ke Server Manager -> Roles -> Active Directory Users -> [nama domain lu] -> Computers, disitu ada server ISE kita

Klik kanan tulisan ISE-nya..pilih properties, cek bahwa ISE nya sudah Certified CCNA *map* certifiedDC alias sudah pake CA-nya server

Sudah??? Itu aja?? Ya jelas belum…default-nya ISE kan pake Internal User, skrg kita arahin klo mau authentikasi ya pake ActiveDir…klo ActiveDir-nya fail/ga bisa di akses baru pake Internal (Sequences)

====================================

Moving Authentication Source from Internal to External

Masuk ke Administration -> Identity Management -> Identity Source Sequences

Bikin sequence baru…klik add

Bikin dengan nama AD_Internal (maksudnya…urutannya AD dulu…baru klo ga bisa ke Internal), bebas lah klo nama mah…yang penting lu ngerti tujuan lu kasih nama, jgn sampe pusing sendiri wkwkwk

Pastikan AD urutan pertama, baru Internal Users…soalnya ISE nge-cek nya sequential..berurutan (bisa dirubah kok urutannya)

Dan jangan lupa klik option “Treat as if the user…” biar process ke next sequence klo authentikasi via AD fail (ke Internal User)

Trus masuk ke Policy -> Authentication

Edit rule yang dot1x (liat deh…masih pake Sequence Internal Users)…arahin pake AD_Internal Sequence

Jangan lupa save

nah, skrg nyok kita test

=============================

Testing Authentication

Bisa ga pake AyConnect, tapi gw pake…biar kereeen 😛

Klik network repair di Cisco AnyConnect Icon (kanan bawah layar monitor)

Nanti disuru authentikasi ulang, why? Karena username (rahman) yang lama ga dikenal, nyok kita pake username rahmanAD (rahman yang ada di ActiveDir maksudnya)

RahmanAD-nya bikin dimana?? Ya di server maaang….

Create user baru di Server Active Dir

Selain initial…semua harus diisi (untuk logon ke network pake “User Logon Name” yang ada di server)

Jgn lupa password-nya

Nah, begitu AnyConnect-nya kita enter…statusnya Connected

Nyok kita liat di ISE dan Switch-nya

Implement MAB on Cisco ISE

January 19, 2015

Miftah Rahman Security , Leave a comment

The introduction question is…

if any of these devices doesn’t support dot1x protocol like printer, how we connect it into the network?

The introduction answer is…MAB (MAC Authentication Bypass)

Anggeplah kita pake interface fa0/3 untuk konek ke printer…Lets start…

========================

Additional Setting on Switchport

Sama kek lab pertama, Cuma ada beberapa tambahan

Mab keyword untuk enable mac authentication bypass

Authentication order mab dot1x untuk nge-cek authentikasi mab, klo gagal baru pake dot1x

Authentication priority dot1x mab untuk lebih prefer pake authentikasi dot1x daripada mab (klo end device-nya support dot1x)

Note: menurut Cisco, configuring MAB first memang bisa bikin cepet authentikasi untuk alat2 yang ga support dot1x, tapi klo alat2nya support…malah akan consumes resources switch pas attempting authentication, so…klo di jaringan kita lebih expect semua end devices pake dot1x…urutan ordernya jgn MAB dulu

Nah, nanti ada status muncul kek dibawah ini:

Starting MAB tapi MAB-nya sendiri fail, why? Because itu mac address belum di taro di ISE untuk di bypass

====================================

Add Mac-address to ISE

Masuk ke Administration-> identity management -> groups

Klik Endpoint Identity Groups folder -> klik Add

Kasih nama contohnya “printservers” dan kosongin aja parent group-nya

Setelah di create group-nya, masuk Administration-> identity management -> Identities -> Endpoints folder -> klik Add

Disinilah MAB dibuat (kok ga ada tulisan “MAB”-nya yaks?? Auk dah…Tanya Cisco aja)

Kasih mac-address yang mau di bypass…masukin ke group printserver yang kita buat tadi, klik submit

Yuk kita cek MAB-nya udah jalan apa belum

Masih fail, klo nemuin kek gini dan lu rasa udah bener semua settingan-nya…

….

….

….restart ISE-nya wkwkwk (keith barker #6783 pun gitu pas nemuin masalah ini, di restart ini ISE-nya, mungkin sama2 kurang kali resource VM-nya)

Pas di cek lagi…noh, ada authentication result ‘success’ from ‘mab’

Kita cek lagi di show authen sess int fa0/3

runnable method list: mab authc Success

Older Entries