Configuración y solución de problemas de ISE con almacenamiento de identidad LDAPS externo

Opciones de descarga

  • PDF     (2.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de noviembre de 2024
ID del documento:216190

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la integración de Cisco ISE con el servidor Secure LDAP como fuente de identidad externa.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos básicos sobre la administración de Identity Service Engine (ISE)
    • Conocimientos básicos de Active Directory/protocolo ligero de acceso a directorios seguro (LDAPS)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Parche 7 de Cisco ISE 2.6
    • Microsoft Windows versión 2012 R2 con Active Directory Lightweight Directory Services instalado
    • PC con sistema operativo Windows 10 con suplicante nativo y certificado de usuario instalado
    • Switch Cisco C3750X con imagen 152-2.E6

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    LDAPS permite el cifrado de datos LDAP (que incluye credenciales de usuario) en tránsito cuando se establece un enlace de directorio. LDAPS utiliza el puerto TCP 636.

    Estos protocolos de autenticación son compatibles con LDAPS:

    • EAP-tarjeta de testigo genérica (EAP-GTC)
    • Protocolo de autenticación de contraseña (PAP)
    • EAP-seguridad de la capa de transporte (EAP-TLS)
    • EAP protegido con seguridad de la capa de transporte (PEAP-TLS)

    Nota: EAP-MSCHAPV2 (como método interno de PEAP, EAP-FAST o EAP-TTLS), LEAP, CHAP y EAP-MD5 no son compatibles con la fuente de identidad externa LDAPS.

    Configurar

    Esta sección describe la configuración de los dispositivos de red y la integración de ISE con el servidor LDAP de Microsoft Active Directory (AD).

    Diagrama de la red

    En este ejemplo de configuración, el terminal utiliza una conexión Ethernet con un switch para conectarse con la red de área local (LAN). El puerto de switch conectado está configurado para la autenticación 802.1x con el fin de autenticar a los usuarios con ISE. En ISE, los LDAPS se configuran como un almacén de identidades externo.

    Esta imagen ilustra la topología de red que se utiliza:

    LDAP

    Configuración de LDAPS en Active Directory

    Instalar certificado de identidad en controlador de dominio

    Para habilitar LDAPS, instale un certificado en el controlador de dominio (DC) que cumpla estos requisitos:

    1. El certificado LDAPS se encuentra en el almacén de certificados personales del controlador de dominio.

    2. Hay una clave privada que coincide con el certificado en el almacén del controlador de dominio y está asociada correctamente al certificado.

    3. La extensión Enhanced Key Usage (Uso mejorado de claves) incluye el identificador de objeto de autenticación de servidor (1.3.6.1.5.5.7.3.1) (también conocido como OID).

    4. El nombre de dominio completo (FQDN) del controlador de dominio (por ejemplo, DC1.testlab.com) debe estar presente en uno de estos atributos: El nombre común (CN) en el campo Asunto e entrada DNS en la extensión de nombre alternativo del sujeto.

    5. El certificado debe ser emitido por una autoridad certificadora (CA) en la que confíen el controlador de dominio y los clientes LDAPS. Para una comunicación segura de confianza, el cliente y el servidor deben confiar en la CA raíz de la otra entidad y en los certificados de CA intermedia que les han emitido certificados.

    6. Se debe utilizar el proveedor de servicios criptográficos (CSP) de Schannel para generar la clave.

    LDAP Server Cert

    Acceso a la estructura del directorio LDAPS

    Para acceder al directorio LDAP en el servidor de Active Directory, utilice cualquier explorador LDAP. En este LABORATORIO, se utiliza el Explorador LDAP 4.5 de Softerra.

    1. Establezca una conexión con el dominio en el puerto TCP 636.

    LDAPS Connection

    2. Para simplificar, cree una unidad organizativa (OU) denominada OU de ISE en AD y debe tener un grupo denominado UserGroup. Cree dos usuarios (user1 y user2) y conviértalos en miembros del grupo UserGroup.

    Nota: El origen de identidad LDAP en ISE solo se utiliza para la autenticación de usuarios.

    OU=ISE OU

    Integración de ISE con el servidor LDAP

    1. Importe el certificado de CA raíz del servidor LDAP en el certificado de confianza.

    DC1 cert

    2. Valide el certificado de administrador de ISE y asegúrese de que el certificado de emisor del certificado de administrador de ISE también esté presente en el almacén de certificados de confianza.

    3. Para integrar el servidor LDAP, utilice los diferentes atributos LDAP del directorio LDAP. Vaya a Administration > Identity Management > External Identity Sources > LDAP Identity Sources > Add:

    General tab

    4. Configure estos atributos desde la pestaña General:

    Subject Objectclass: este campo corresponde a la clase Object de las cuentas de usuario. Puede utilizar una de las cuatro clases aquí:

    •   Arriba
    •   Persona
    •   PersonaOrganizativa
    •   InetOrgPerson

    Object Class

    Atributo de nombre de asunto: este campo es el nombre del atributo que contiene el nombre de usuario de la solicitud. Este atributo se recupera de LDAPS cuando ISE consulta un nombre de usuario específico en la base de datos LDAP (puede utilizar cn, sAMAccountName, etc). En esta situación, se utiliza el nombre de usuario user1 en el terminal.

    Subject Name Attribute

    Atributo de nombre de grupo: atributo que contiene el nombre de un grupo. Los valores de atributo de nombre de grupo del directorio LDAP deben coincidir con los nombres de grupo LDAP de la página Grupos de usuarios

    Group Name Attribute

    Clase de objeto de grupo: este valor se utiliza en búsquedas para especificar los objetos que se reconocen como grupos.

    object class = groups

    Atributo de asignación de grupo: este atributo define cómo se asignan los usuarios a los grupos.

    Group Map Atribute

    Atributo de certificado: introduzca el atributo que contiene las definiciones de certificado. Estas definiciones se pueden utilizar opcionalmente para validar los certificados que presentan los clientes cuando se definen como parte de un perfil de autenticación de certificados. En estos casos, se realiza una comparación binaria entre el certificado de cliente y el certificado recuperado del origen de identidad LDAP.

    usercert Attributeuser Certificate Attribute

    5. Para configurar la conexión LDAPS, navegue hasta la pestaña Connection:

    Connection Primary Server

    Server Timeout

    6. Ejecute dsquery en el controlador de dominio para obtener el DN de nombre de usuario que se utilizará para establecer una conexión con el servidor LDAP:

    PS C:\Users\Administrator> dsquery user -name poongarg
    "CN=poongarg,CN=Users,DC=testlab,DC=com"

    Paso 1. SEstablezca la dirección IP o el nombre de host correcto del servidor LDAP, defina el puerto LDAP (TCP 636) y el DN de administrador para establecer una conexión con LDAP sobre SSL.

    Paso 2. Habilitar autenticación segura y la opción de comprobación de identidad del servidor.

    Paso 3. En el menú desplegable, seleccione el certificado de CA raíz del servidor LDAP y el certificado de administrador de ISE Certificado de CA del emisor (hemos utilizado la autoridad de certificación instalada en el mismo servidor LDAP para emitir también el certificado de administrador de ISE).

    Paso 4. Seleccione el enlace de prueba al servidor. En este momento, no se recuperan los temas o grupos porque las bases de búsqueda aún no están configuradas.

    7. En la pestaña Organización de Directorios, configure la base de búsqueda de sujetos/grupos. Es el punto de unión de ISE con LDAP. Ahora sólo puede recuperar sujetos y grupos que sean hijos del punto de unión. En esta situación, tanto el sujeto como el grupo se recuperan de la unidad organizativa OU=ISE:

    Directory Organization

    8. En Grupos, haga clic en Agregar para importar los grupos desde LDAP en ISE y recuperar los grupos, como se muestra en esta imagen:

    Groups

    Configuración del switch

    Configure el switch para la autenticación 802.1x. PC con Windows conectado al puerto de switch Gig2/0/47

    aaa new-model

radius server ISE
address ipv4 x.x.x.x auth-port 1812 acct-port 1813
key xxxxxx
aaa group server radius ISE_SERVERS
server name ISE

!

aaa server radius dynamic-author
client x.x.x.x server-key xxxxxx

!
aaa authentication dot1x default group ISE_SERVERS local
aaa authorization network default group ISE_SERVERS
aaa accounting dot1x default start-stop group ISE_SERVERS
!
dot1x system-auth-control

ip device tracking
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
!

!

interface GigabitEthernet2/0/47
switchport access vlan xx
switchport mode access
authentication port-control auto
dot1x pae authenticator

    Configuración del terminal

    Se utiliza el suplicante nativo de Windows y se utiliza uno de los protocolos EAP compatibles con LDAP, EAP-TLS, para la autenticación y autorización de usuarios.

    1. Asegúrese de que el equipo esté aprovisionado con un certificado de usuario (para el usuario 1) y tenga el propósito previsto como Autenticación de cliente y en las Autoridades de certificación raíz de confianza, la cadena de certificados del emisor esté presente en el equipo:

    Certificate Information

    2. Habilite la autenticación Dot1x y el método Select Authentication como Microsoft:Tarjeta inteligente u otro certificado para la autenticación EAP-TLS:

    Authentication

    3. Haga clic en Additional Settings y se abrirá una ventana. Marque la casilla con especificar el modo de autenticación y elija la autenticación de usuario, como se muestra en esta imagen:

    Advanced settings

    Configurar conjunto de políticas en ISE

    Dado que se utiliza el protocolo EAP-TLS, antes de configurar el conjunto de políticas, es necesario configurar el perfil de autenticación de certificado y utilizar la secuencia de origen de identidad en la política de autenticación más adelante.

    Certificate Authentication Profile

    Consulte Perfil de Autenticación de Certificado en la Secuencia de Origen de Identidad y defina el origen de identidad externo LDAPS en la lista Búsqueda de Autenticación:

    Identity Source Sequence

    Ahora configure el conjunto de políticas para la autenticación Wired Dot1x:

    Policy Sets

    Authorization Policy

    Después de esta configuración, autentique el punto final utilizando el protocolo EAP-TLS con el origen de identidad LDAP.

    IPv4 Connectivity

    Verificación

    1. Verifique la sesión de autenticación en el puerto de switch conectado al PC:

    User1 Authorized

    2. Para verificar las configuraciones LDAPS e ISE, puede recuperar los sujetos y grupos con una conexión de prueba al servidor:

    Number of subjects = 3 Number of groups = 2

    3. Verifique el informe de autenticación de usuario:

    Counts

    4. Compruebe el informe de autenticación detallado para el terminal:

    Authentication Succeeded

    Authentication identity store

    Send Request Primary LDAP Server

    Evaluating Authorization Policy

    5. Valide que los datos se cifran entre el servidor ISE y el servidor LDAPS tomando la captura de paquetes en el ISE hacia el servidor LDAPS:

    Secure Sockets Layer

    Troubleshoot

    Esta sección describe algunos errores comunes que se encuentran con esta configuración y cómo solucionarlos.

    1.  En el informe de autenticación, puede ver este mensaje de error:
    Authentication method is not supported by any applicable identity store

    Este mensaje de error indica que el método seleccionado no es soportado por LDAP. Asegúrese de que el protocolo de autenticación del mismo informe muestre uno de los métodos compatibles (EAP-GTC, EAP-TLS o PEAP-TLS).

    2. El enlace de prueba al servidor finalizó con un error.

    Normalmente, esto se debe a un error en la comprobación de validación del certificado del servidor LDAP. Para resolver este tipo de problemas, tome una captura de paquetes en ISE y habilite los tres componentes en tiempo de ejecución y port-jni en el nivel de depuración, vuelva a crear el problema y verifique el archivo prt-server.log.

    La captura de paquetes se queja de un certificado incorrecto y el servidor de puertos muestra:

    04:10:20,197,ERROR,0x7f9c5b6f1700,LdapSslConnectionContext::checkCryptoResult(id = 1289): error message = SSL alert: code=0x22A=554 ; source=local ; type=fatal ; message="Server certificate identity verification failed: host IP didnt match SAN IP.s3_clnt.c:1290

    Nota: El nombre de host en la página LDAP debe configurarse con el nombre de sujeto del certificado (o cualquiera de los nombres alternativos de sujeto). Por lo tanto, a menos que tenga estos datos en el asunto o en la SAN, no funcionan, se necesita el certificado con la dirección IP en la lista de SAN.

    3. En el informe de autenticación, puede observar que el sujeto no se encontró en el almacén de identidades. Esto significa que el nombre de usuario del informe no coincide con el atributo de nombre de sujeto para ningún usuario de la base de datos LDAP. En este escenario, el valor se estableció en sAMAccountName para este atributo, lo que significa que ISE busca los valores de sAMAccountName para el usuario LDAP cuando intenta encontrar una coincidencia.


    4. Los sujetos y grupos no se pudieron recuperar correctamente durante una prueba de enlace al servidor. La causa más probable de este problema es una configuración incorrecta de las bases de búsqueda. Recuerde que la jerarquía de LDAP debe especificarse desde la hoja hasta la raíz y desde el dc (puede constar de varias palabras).

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    01-Nov-2024
    -Formato revisado -Atribuido y aclarado texto alternativo -Enlaces fijos -Errores ortográficos
    2.0
    23-Jun-2023
    -Formato revisado -Atribuido y aclarado texto alternativo -Sección de introducción actualizada para cumplir con los límites de caracteres
    1.0
    02-Nov-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Poonam Garg
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos