Cisco ISE 3.1 Uitstellen met Linux configureren

Downloadopties

  • PDF     (3.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 april 2022
Document-id:217818

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de procedure om een beleid voor het plaatsen van bestanden voor Linux en de Identity Services Engine (ISE) te configureren en implementeren.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • AnyConnect
    • Identity Services Engine (ISE)
    • Linux

    Gebruikte componenten

     De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • AnyConnect 4.10.05085
    • ISE versie 3.1 P1
    • Linux Ubuntu 20.04
    • Cisco Switch Catalyst 3650. Versie 3.07.05.E (15.12(3)E5)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Configuraties op ISE

    Stap 1. Dienst postdiensten bijwerken:

    navigeren naar werkcentra > Posture > Instellingen > Software updates > Posture updates. Selecteer Nu bijwerken en wacht tot het proces is voltooid:

    Screen Shot 2022-04-12 at 20.14.16

    Een door Cisco meegeleverd pakket is een softwarepakket dat u vanuit de Cisco.com-site kunt downloaden, zoals de AnyConnect-softwarepakketten. Een door de klant gemaakt pakket is een profiel of een configuratie die u buiten de ISE-gebruikersinterface hebt gemaakt en u wilt uploaden naar ISE voor gebruik met een beoordeling van de positie. Voor deze oefening kunt u het AnyConnect-webimplementatiepakket "anyconnect-linux64-4.10.05085-webimplementatie-k9.pkg" downloaden.

    Opmerking: Vanwege updates en patches kan de aanbevolen versie wijzigen. Gebruik de nieuwste, aanbevolen versie op de cisco.com-site.

    Stap 2.Upload AnyConnect:

    Ga vanuit het Posture Work Center naar Client Provisioning > Resources

    Picture1

    Stap 3. Selecteer Add > Agent Resources van Local Disk

    Resources

    Stap 4. Selecteer Cisco de geleverde pakketten uit de vervolgkeuzelijst Category.

    Local Disk

    Stap 5. Klik op Bladeren.

    Stap 6. Kies een van de AnyConnect-pakketten die u in de vorige stap hebt gedownload. Het AnyConnect-beeld wordt verwerkt en de informatie over het pakket wordt weergegeven

    Pkg

    Stap 7. Klik op Inzenden. Wanneer AnyConnect is geüpload naar ISE, kunt u contact met ISE opnemen en de andere clientbronnen van Cisco.com verkrijgen.

    Opmerking: Agent-bronnen omvatten modules die worden gebruikt door de AnyConnect-client die de mogelijkheid biedt om de naleving van een eindpunt te beoordelen voor een verscheidenheid aan conditiecontroles zoals Anti-Virus, Anti-Spyware, Anti-Malware, Firewall, Schijf Encryptie, Bestand, enzovoort.

    Stap 8. Klik op Add > Agent Resources van Cisco Site. Het kost een minuut voor het venster om te bevolken aangezien ISE Cisco.com bereikt en een manifest van alle gepubliceerde middelen voor de voorziening van klanten terugvindt.

    Resources

    Stap 9. Selecteer de nieuwste AnyConnect-nalevingsmodules voor Linux. Daarnaast kunt u ook de nalevingsmodule voor Windows en Mac selecteren.

    DownloadR

    Stap 10. Selecteer de nieuwste tijdelijke agents voor Windows en Mac.

    Temporal

    Stap 1. Klik op Opslaan.

    Opmerking: MAC- en Windows Postconfiguraties zijn buiten het bereik van deze configuratiehandleiding.

    Op dit moment hebt u alle benodigde onderdelen geüpload en bijgewerkt. Het is nu tijd om de configuratie en profielen te bouwen die nodig zijn om die onderdelen te gebruiken.

    Stap 12. Klik op Add > NAC Agent of AnyConnect Posture Profile.

    AC postureAC Posture2

    De parameters die moeten worden gewijzigd zijn:

    • VLAN-detectieinterval: Deze instelling stelt u in staat om het aantal seconden dat de module wacht tussen het controleren van VLAN-wijzigingen in te stellen. De aanbeveling is 5 seconden.
    • Ping of ARP: Dit is de eigenlijke VLAN-wijzigingsdetectiemethode. De agent kan de standaardgateway pingelen of het ARP cache bewaken voor de standaard poort naar timeout of beide. De aanbevolen instelling is ARP.
    • Remediation-timer: Wanneer de houding van een eindpunt onbekend is, wordt het eindpunt in een postbeoordelingsstroom geplaatst. Het verhelpen van mislukte posteringscontroles vergt tijd. De standaardtijd is 4 minuten voordat het eindpunt wordt aangegeven als niet-conform, maar de waarden kunnen variëren van 1 tot 300 minuten (5 uur). De aanbeveling bedraagt 15 minuten; dit kan echter aanpassingen vergen indien verwacht wordt dat het herstel langer zal duren .

    Opmerking: Linux File Posture ondersteunt automatische herstel niet.

    Raadpleeg voor een uitgebreide beschrijving van alle parameters de ISE- of AnyConnect-documentatie.

    Stap 13. Agent Behavior selecteert Back-uplijst met posterijproblemen en selecteert Kies, selecteer de PSN/STANDAARD FQDN en selecteer Opslaan

    PSNs

    Stap 14. Onder Posture Protocols > Discovery Host definieert het ip-adres van het PSN/Standalone knooppunt.

    Stap 15. Selecteer de optie PSN of de optie FQDN-standalone en selecteer Selecteer de optie Discovery Back-upserverlijst en selecteer Select.

    PSNs

    Stap 16. Onder Server name regels type * om met alle servers contact op te nemen en het PSN/Standalone IP-adres te definiëren onder call home list. In plaats hiervan kan een jokerteken ook worden gebruikt om alle mogelijke PSN's in uw netwerk aan te passen (dat is *.acme.com).

    Servername

    Stap 17. Klik op Add > AnyConnect Configuration

    ACConfig

    Select

    Desc

    Mod

    Pro

    Scrolt omlaag en selecteer Indienen

    Stap 18. Wanneer u klaar bent met het maken van selectie, klikt u op Inzenden.

    Stap 19. Selecteer Workcenters > Posture > Clientprovisioning > Clientprovisioningplatforms.

    Client Provis

    Stap 20. Onder het gedeelte Portal Settings, waar u de interface en poort kunt selecteren, evenals de groepen die zijn geautoriseerd om de pagina Select Workyee, SISE_Gebruikers en Domain Gebruikers te selecteren.

    authuse

    Stap 21. Zorg er onder Instellingen inlogpagina voor dat de optie Inloggen automatisch inschakelen is ingeschakeld

    Login

    Stap 2. Kies rechtsboven de optie Opslaan

    Stap 23.Selecteer Workcenters > Posture > Clientprovisioning > Clientprovisioningbeleid.

    Stap 2. Klik op de pijl-omlaag naast de IOS-regel in de CPP en kies Duplicaat hierboven

    Stap 25. Geef de regel LinuxPosture een naam

    Stap 2. Kies voor de resultaten de AnyConnect Configuration als de agent.

    Opmerking: In dit geval ziet u geen neerwaartse aanpassing van de module omdat deze is geconfigureerd als onderdeel van de AnyConnect-configuratie.

    ClientProvisionin

    Stap 27.Klik op Gereedschap.

    Stap 28. Klik op Opslaan.

    Elementen van het postbeleid

    Stap 29.Selecteer Workcenters > Posture > Beleidselementen > Voorwaarden > Bestand. Selecteer Toevoegen.

    Stap 3.Defineer TESTFile als de naam van de bestandstoestand en definieer de volgende waarden

    test

    Opmerking: Pad is gebaseerd op de bestandslocatie.

    Stap 31. Selecteer Opslaan

    Fileexistence.Dit bestand type conditie kijkt naar of er een bestand bestaat in het systeem waar het bestand—en dat is alles. Als deze optie geselecteerd is, is er helemaal geen zorg voor het valideren van de datums, hashes, enzovoort

    Stap 3. Selecteer vereisten en kies als volgt een nieuw beleid:

    Image

    Opmerking: Linux ondersteunt Berichttekst niet alleen als corrigerende actie

    Vereiste onderdelen

    • Besturingssysteem: Linux All
    • Nalevingsmodule: 4,x
    • Posttype: AnyConnect
    • Voorwaarden: Naleving van modules en agents (die beschikbaar worden nadat u het besturingssysteem hebt geselecteerd)
    • Maatregelen ter verbetering van de situatie: Wijzigingen die beschikbaar komen voor selectie nadat alle andere voorwaarden zijn geselecteerd.

    Stap 3. Selecteer Workcenters > Posture > Posture Policy

    Stap 3 4. Selecteer Bewerken op elk beleid en selecteer Nieuw beleid definiëren LinuxPosturePolicy als de naam en zorg ervoor dat u uw vereisten toevoegt die in stap 32 zijn gemaakt.

    Screen Shot 2022-04-12 at 20.43.38

    Stap 35. Selecteer Gereed en Opslaan

    Overige belangrijke Instellingen voor posterijen (sectie Algemene instellingen posterijen)

    Posture

    De belangrijkste instellingen in het gedeelte Instellingen voor posterijen en algemene instellingen zijn als volgt:

    • Versteltijd: Deze instelling definieert de hoeveelheid tijd die een cliënt moet corrigeren om een verzuimde posteringsconditie te corrigeren. Er is ook een hersteltimer in de AnyConnect-configuratie; Deze timer is voor ISE en niet voor AnyConnect.
    • Standaard Poststatus: Deze instelling geeft de status van houding aan voor apparaten zonder de postermiddel of besturingssystemen die de tijdagent niet kunnen gebruiken, zoals Linux-gebaseerde besturingssystemen.
    • Doorgaande bewaking Interval: Deze instelling is van toepassing op de toepassing- en hardwareomstandigheden die een inventaris van het eindpunt maken. De instelling specificeert hoe vaak AnyConnect de monitoringgegevens moet verzenden.
    • Aanvaardbaar gebruiksbeleid in Stealthwatch-modus: De enige twee keuzes voor deze instelling zijn blokkeren of doorgaan. Blok verhindert dat klanten in de verborgen modus AnyConnect kunnen verdergaan als de AUP niet is erkend. Hiermee kan de klant van de verborgen modus doorgaan, zelfs zonder de AUP te erkennen (wat vaak de bedoeling is bij gebruik van de instelling voor de verborgen modus van AnyConnect).

    Configuraties van herbeoordeling

    Herbeoordelingen van de wacht zijn een cruciaal onderdeel van de postwerkstroom. U hebt gezien hoe u de AnyConnect-agent moest configureren voor een nieuwe beoordeling van de functie in het gedeelte "Posture Protocol". De agent controleert periodiek in met de PSNs die op basis van de timer in die configuratie worden gedefinieerd.

    Wanneer een verzoek de PSN bereikt, bepaalt de PSN of een standpuntherbeoordeling nodig is, gebaseerd op de ISE-configuratie voor de rol van dat eindpunt. Als de cliënt de herbeoordeling doorgeeft, handhaaft de PSN de posteringsconforme staat van het eindpunt en wordt de postlease opnieuw ingesteld. Als het eindpunt niet voldoet aan de herbeoordeling, verandert de poststatus in niet-conforme, en wordt elke bestaande postlease verwijderd.

    Stap 36. Selecteer Beleidselementen > Resultaten > Vergunningverlening > Registratieprofiel. Selecteer Toevoegen

    Stap 37. Defineer Wired_Redirect als het autorisatieprofiel en stel de volgende parameters in

    Common Tasks

    Stap 38. Selecteer Opslaan

    Stap 39. Het autorisatiebeleid configureren

    Er zijn drie vooraf vastgestelde machtigingsregels voor de opstelling van een vacature:

    1. De eerste is ingesteld om te passen wanneer de authenticatie slaagt en de conformiteit van een apparaat is onbekend.
    2. De tweede regel komt succesvolle authenticaties met niet-conforme eindpunten aan.

    Opmerking: Beide van de eerste twee regels hebben hetzelfde resultaat, namelijk het gebruik van een vooraf ingesteld autorisatieprofiel dat het eindpunt naar het Provisioning-portaal van de client omwijst.

    1. De laatste regel komt overeen met succesvolle verificatie- en postconforme eindpunten en gebruikt het voorgebouwde vergunningsprofiel.

    Selecteer Policy > Policy Set en selecteer de juiste pijl voor bekabeld 802.1x - MAB die in het vorige lab is gemaakt.

    Stap 40. Selecteer autorisatiebeleid en kies de volgende regels

    Menu

    Configuraties van de switch

    Opmerking: De onderstaande configuratie verwijst naar IBNS 1.0. Er kunnen verschillen zijn voor IBNS 2.0-switches. Het omvat plaatsing in de lagedrukmodus.

    username <admin> privilege 15 secret <password>
    aaa new-model
    !
    aaa group server radius RAD_ISE_GRP
    server name <isepsnnode_1>
server name 
!
aaa authentication dot1x default group RAD_ISE_GRP
aaa authorization network default group RAD_ISE_GRP
aaa accounting update periodic 5
aaa accounting dot1x default start-stop group RAD_ISE_GRP
aaa accounting dot1x default start-stop group RAD_ISE_GRP
!
aaa server radius dynamic-author
 client  server-key 
 client  server-key 
!
aaa session-id common
!
authentication critical recovery delay 1000
access-session template monitor
epm logging
!
dot1x system-auth-control
dot1x critical eapol
!

# For Access Interfaces:
interface range GigabitEthernetx/y/z - zz
 description VOICE-and-Data
 switchport access vlan 
 switchport mode access
 switchport voice vlan 
 ip access-group ACL_DEFAULT in
 authentication control-direction in # If supported
 authentication event fail action next-method
 authentication host-mode multi-auth
 authentication open
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto

 # Enables preiodic re-auth, default = 3,600secs
 authentication periodic
    
 # Configures re-auth and inactive timers to be sent by the server
 authentication timer reauthenticate server
 authentication timer inactivity server
 authentication violation restrict
 mab
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 dot1x pae authenticator
 dot1x timeout tx-period 10
 dot1x timeout server-timeout 10
 dot1x max-req 3
 dot1x max-reauth-req 3
 auto qos trust

# BEGIN - Dead Server Actions -
 authentication event server dead action authorize vlan 
 authentication event server dead action authorize voice
 authentication event server alive action reinitialize
# END - Dead Server Actions -
 spanning-tree portfast
!

# ACL_DEFAULT #
! This ACL can be customized to your needs, this is the very basic access allowed prior
! to authentication/authorization. Normally ICMP, Domain Controller, DHCP and ISE
! http/https/8443 is included. Can be tailored to your needs.
!
ip access-list extended ACL_DEFAULT
 permit udp any eq bootpc any eq bootps
 permit udp any any eq domain
 permit icmp any any
 permit udp any any eq tftp
 permit ip any host 
 permit ip any host 
 permit tcp any host  eq www
 permit tcp any host  eq 443
 permit tcp any host  eq 8443
 permit tcp any host  eq www
 permit tcp any host  eq 443
 permit tcp any host  eq 8443
!
# END-OF ACL_DEFAULT #
!

# ACL_REDIRECT #
! This ACL can be customized to your needs, this ACL defines what is not redirected
! (with deny statement) to the ISE. This ACL is used for captive web portal,
! client provisioning, posture remediation, and so on.
!
ip access-list extended ACL_REDIRECT_AV
 remark Configure deny ip any host  to allow access to 
 deny   udp any any eq domain
 deny   tcp any any eq domain
 deny   udp any eq bootps any
 deny   udp any any eq bootpc
 deny   udp any eq bootpc any
 remark deny redirection for ISE CPP/Agent Discovery
 deny   tcp any host  eq 8443
 deny   tcp any host  eq 8905
 deny   udp any host  eq 8905
 deny   tcp any host  eq 8909
 deny   udp any host  eq 8909
 deny   tcp any host  eq 8443
 deny   tcp any host  eq 8905
 deny   udp any host  eq 8905
 deny   tcp any host  eq 8909
 deny   udp any host  eq 8909
 remark deny redirection for remediation AV servers
 deny   ip any host 
 deny   ip any host 
 remark deny redireciton for remediation Patching servers
 deny   ip any host 
 remark redirect any http/https
 permit tcp any any eq www
 permit tcp any any eq 443
!
# END-OF ACL-REDIRECT #
!
ip radius source-interface 
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server vsa send accounting
radius-server vsa send authentication
radius-server dead-criteria time 30 tries 3
!
ip http server
ip http secure-server
ip http active-session-modules none
ip http secure-active-session-modules none
!
radius server 
 address ipv4  auth-port 1812 acct-port 1813
 timeout 10
 retransmit 3
 key 
!
radius server 
 address ipv4  auth-port 1812 acct-port 1813
 timeout 10
 retransmit 3
 key 
!
aaa group server radius RAD_ISE_GRP
 server name 
 server name 
!
mac address-table notification change
mac address-table notification mac-move

    Verifiëren

    ISE-verificatie:

    Deze paragraaf gaat ervan uit dat AnyConnect met de ISE-postmodule eerder op het Linux-systeem is geïnstalleerd.

    Verifieer PC met dot1x

    Stap 1. Navigeer naar netwerkinstellingen

    dot1

    Stap 2. Selecteer het tabblad Security en specificeer 802.1x-configuratie en gebruikersreferenties

    Step2

    Stap 3.Klik op "Toepassen".

    Stap 4.Sluit het Linux-systeem aan op het 802.1x-bekabelde netwerk en bevestig in het ISE-live-logbestand:

    Screen Shot 2022-04-12 at 20.47.38

    In ISE, gebruik de horizontale rolbalk om extra informatie te bekijken, zoals PSN dat de stroom of de status van de houding bediende:

    Screen Shot 2022-04-12 at 20.48.05

    Stap 5. Voor de Linux-client moet er een omleiding plaatsvinden en de client is voorzien van een provisioningportal voor postale controle en om op "Start" te klikken:

    LinuxClient

    Wacht enkele seconden terwijl de connector AnyConnect probeert te detecteren:

    wait

    Als gevolg van een bekend voorbehoud, zelfs als AnyConnect is geïnstalleerd, detecteert het apparaat het niet. Gebruik Alt-Tab of het activiteitenmenu om op de AnyConnect-client te switches.

    Caveat

    AnyConnect probeert het PSN voor uw postbeleid te bereiken en beoordeelt het eindpunt ertegen.

    PSNPostr

    AnyConnect rapporteert de vaststelling van het postbeleid aan ISE. In dit geval, compatibel

    Det

    sucess

    Screen Shot 2022-04-12 at 20.53.40

    Indien het bestand echter niet bestaat, meldt de AnyConnect-posteringsmodule de vaststelling aan ISE

    error

    Screen Shot 2022-04-12 at 20.54.47

    Opmerking: ISE FQDN moet op het Linux-systeem kunnen worden opgelost via DNS of lokaal host-bestand.

    Problemen oplossen

    show authentication sessions int fa1/0/35

    Verrichten:

    REdirect

    De vergunning werd verleend:

    Autho

    Niet compatibel, verplaatst naar quarantaineVLAN en ACL:

    Non

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Apr-2022
    Eerste vrijgave

    Bijdrage van

    • Emmanuel Cano
      Cisco Security Consulting Engineer
    • Homero Ruiz
      Cisco Security Consulting Engineer
    • Berenice Guerra
      Cisco technische adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten