Nah, kemaren2 kita authentikasi user yang mau akses jaringan dengan database local server ISE itu sendiri (Internal)

Now…how about we authenticate users with Active Directory (ISE will synchronize with AD)…pretty good right?!?

Requirement:

  • Like the first lab
  • (optional) Cisco AnyConnect…here’s how to do it
  • DNS Server (wajib, soalnya ISE konek ke AD pake FQDN, bukan IP Address)
  • Active Directory Server (buat external authentication)

Note: DNS dan ActiveDir-nya bisa dalam 1 server yang sama kok

Wokeh..lets begin

===========================

(optional) klo lu udah pasang DNS dan bener IP-nya…skip yang ini, berhubung gw salah kasih IP DNS, makanya gw ganti wkwkwk

Create External Identity Source on ISE

Masuk ke Administration -> Identity Management -> External Identity Sources

Klik Active Directory -> input domain name (nama ActiveDir server lo, gw pake “domain.com”) dan Identity Store Name-nya (nama alias buat dijadiin referensi ISE-nya)

Kalau sudah…nanti ada tulisan bahwa status ISE-nya “not joined to domain”, nyok di test dulu…pilih basic test aja

Isi username dan password ACTIVE DIRECTORY SERVER-nya

Klo berhasil…ada tulisan success

Nah, klo sudah sukses..tinggal klik join deh

Masukin lagi username dan password ActiveDir server-nya

Kita bisa liat Join Operation Status-nya sudah completed

Yuk kita cek di Server ActiveDir-nya…masuk ke Server Manager -> Roles -> Active Directory Users -> [nama domain lu] -> Computers, disitu ada server ISE kita

Klik kanan tulisan ISE-nya..pilih properties, cek bahwa ISE nya sudah Certified CCNA *map* certifiedDC alias sudah pake CA-nya server

Sudah??? Itu aja?? Ya jelas belum…default-nya ISE kan pake Internal User, skrg kita arahin klo mau authentikasi ya pake ActiveDir…klo ActiveDir-nya fail/ga bisa di akses baru pake Internal (Sequences)

====================================

Moving Authentication Source from Internal to External

Masuk ke Administration -> Identity Management -> Identity Source Sequences

Bikin sequence baru…klik add

Bikin dengan nama AD_Internal (maksudnya…urutannya AD dulu…baru klo ga bisa ke Internal), bebas lah klo nama mah…yang penting lu ngerti tujuan lu kasih nama, jgn sampe pusing sendiri wkwkwk

Pastikan AD urutan pertama, baru Internal Users…soalnya ISE nge-cek nya sequential..berurutan (bisa dirubah kok urutannya)

Dan jangan lupa klik option “Treat as if the user…” biar process ke next sequence klo authentikasi via AD fail (ke Internal User)

Trus masuk ke Policy -> Authentication

Edit rule yang dot1x (liat deh…masih pake Sequence Internal Users)…arahin pake AD_Internal Sequence

Jangan lupa save

nah, skrg nyok kita test

=============================

Testing Authentication

Bisa ga pake AyConnect, tapi gw pake…biar kereeen 😛

Klik network repair di Cisco AnyConnect Icon (kanan bawah layar monitor)

Nanti disuru authentikasi ulang, why? Karena username (rahman) yang lama ga dikenal, nyok kita pake username rahmanAD (rahman yang ada di ActiveDir maksudnya)

RahmanAD-nya bikin dimana?? Ya di server maaang….

Create user baru di Server Active Dir

Selain initial…semua harus diisi (untuk logon ke network pake “User Logon Name” yang ada di server)

Jgn lupa password-nya

Nah, begitu AnyConnect-nya kita enter…statusnya Connected

Nyok kita liat di ISE dan Switch-nya

Advertisements