Nah, kemaren2 kita authentikasi user yang mau akses jaringan dengan database local server ISE itu sendiri (Internal)
Now…how about we authenticate users with Active Directory (ISE will synchronize with AD)…pretty good right?!?
Requirement:
- Like the first lab
- (optional) Cisco AnyConnect…here’s how to do it
- DNS Server (wajib, soalnya ISE konek ke AD pake FQDN, bukan IP Address)
- Active Directory Server (buat external authentication)
Note: DNS dan ActiveDir-nya bisa dalam 1 server yang sama kok
Wokeh..lets begin
===========================
(optional) klo lu udah pasang DNS dan bener IP-nya…skip yang ini, berhubung gw salah kasih IP DNS, makanya gw ganti wkwkwk
Create External Identity Source on ISE
Masuk ke Administration -> Identity Management -> External Identity Sources
Klik Active Directory -> input domain name (nama ActiveDir server lo, gw pake “domain.com”) dan Identity Store Name-nya (nama alias buat dijadiin referensi ISE-nya)
Kalau sudah…nanti ada tulisan bahwa status ISE-nya “not joined to domain”, nyok di test dulu…pilih basic test aja
Isi username dan password ACTIVE DIRECTORY SERVER-nya
Klo berhasil…ada tulisan success
Nah, klo sudah sukses..tinggal klik join deh
Masukin lagi username dan password ActiveDir server-nya
Kita bisa liat Join Operation Status-nya sudah completed
Yuk kita cek di Server ActiveDir-nya…masuk ke Server Manager -> Roles -> Active Directory Users -> [nama domain lu] -> Computers, disitu ada server ISE kita
Klik kanan tulisan ISE-nya..pilih properties, cek bahwa ISE nya sudah Certified CCNA *map* certifiedDC alias sudah pake CA-nya server
Sudah??? Itu aja?? Ya jelas belum…default-nya ISE kan pake Internal User, skrg kita arahin klo mau authentikasi ya pake ActiveDir…klo ActiveDir-nya fail/ga bisa di akses baru pake Internal (Sequences)
====================================
Moving Authentication Source from Internal to External
Masuk ke Administration -> Identity Management -> Identity Source Sequences
Bikin sequence baru…klik add
Bikin dengan nama AD_Internal (maksudnya…urutannya AD dulu…baru klo ga bisa ke Internal), bebas lah klo nama mah…yang penting lu ngerti tujuan lu kasih nama, jgn sampe pusing sendiri wkwkwk
Pastikan AD urutan pertama, baru Internal Users…soalnya ISE nge-cek nya sequential..berurutan (bisa dirubah kok urutannya)
Dan jangan lupa klik option “Treat as if the user…” biar process ke next sequence klo authentikasi via AD fail (ke Internal User)
Trus masuk ke Policy -> Authentication
Edit rule yang dot1x (liat deh…masih pake Sequence Internal Users)…arahin pake AD_Internal Sequence
Jangan lupa save
nah, skrg nyok kita test
=============================
Testing Authentication
Bisa ga pake AyConnect, tapi gw pake…biar kereeen 😛
Klik network repair di Cisco AnyConnect Icon (kanan bawah layar monitor)
Nanti disuru authentikasi ulang, why? Karena username (rahman) yang lama ga dikenal, nyok kita pake username rahmanAD (rahman yang ada di ActiveDir maksudnya)
RahmanAD-nya bikin dimana?? Ya di server maaang….
Create user baru di Server Active Dir
Selain initial…semua harus diisi (untuk logon ke network pake “User Logon Name” yang ada di server)
Jgn lupa password-nya
Nah, begitu AnyConnect-nya kita enter…statusnya Connected
Nyok kita liat di ISE dan Switch-nya
Miftah Rahman (Go)-Blog 
Join ISE 1.3 to AD | Nbctcp's Weblog
Mar 23, 2015 @ 09:06:34
Nov 25, 2019 @ 15:06:14
mas kita bisa implement dot1x dan captive portal secara bersamaan menggunakan ISE ini gak ya? best practice nya gmn ya mas? thanks.
Mar 11, 2020 @ 10:17:07
bisa