Configuración y resolución de problemas de ISEcon el almacén de identidades LDAPS externo Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarDiagrama de la redConfiguración de LDAPS en Active DirectoryInstalar certificado de identidad en controlador de dominioAcceder a la estructura del directorio LDAPSIntegración de ISE con servidor LDAPSConfiguración del switchConfigurar el terminalConfiguración del conjunto de políticas en ISEVerificaciónTroubleshootInformación Relacionada

Introducción

Este documento describe la integración de Cisco Identity Service Engine (ISE) con el servidorSecure Lightweight Directory Access Protocol (LDAPS) como origen de identidad externo. LDAPSpermite el cifrado de datos LDAP (que incluye credenciales de usuario) en tránsito cuando seestablece un enlace de directorio. LDAPS utiliza el puerto TCP 636.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Conocimiento básico de la administración de ISE●

Conocimiento básico de Active Directory/LDAP●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Cisco ISE 2.6 parche 7●

Microsoft Windows versión 2012 R2 con Active Directory Lightweight Directory Servicesinstalado

●

PC con sistema operativo Windows 10 con suplicante nativo y certificado de usuario instalado●

Switch Cisco C3750X con imagen 152-2.E6●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Estos protocolos de autenticación son compatibles con LDAPS:

EAP Generic Token Card (EAP-GTC)●

Protocolo de autenticación de contraseña (PAP)●

EAP Transport Layer Security (EAP-TLS)●

Seguridad de la capa de transporte EAP protegida (PEAP-TLS)●

Nota: EAP-MSCHAPV2 (como método interno de PEAP, EAP-FAST o EAP-TTLS), LEAP,CHAP y EAP-MD5 no son compatibles con el origen de identidad externo de LDAPS.

Configurar

En esta sección se describe la configuración de los dispositivos de red y la integración de ISE conel servidor LDAPS de Microsoft Active Directory (AD).

Diagrama de la red

En este ejemplo de configuración, el terminal utiliza una conexión Ethernet con un switch paraconectarse con la red de área local (LAN). El switchport conectado está configurado para laautenticación 802.1x para autenticar a los usuarios con ISE. En ISE, LDAPS se configura comoalmacén de identidad externo.

Esta imagen ilustra la topología de red que se utiliza:

Configuración de LDAPS en Active Directory

Instalar certificado de identidad en controlador de dominio

Para habilitar LDAPS, instale un certificado en el controlador de dominio (DC) que cumpla estosrequisitos:

El certificado LDAPS se encuentra en el almacén de certificados personales del controladorde dominio.

1.

Hay una clave privada que coincide con el certificado en el almacén del controlador dedominio y está asociada correctamente con el certificado.

2.

La extensión Uso mejorado de claves incluye el identificador de objeto Autenticación deservidor (1.3.6.1.5.7.3.1) (también conocido como OID).

3.

El nombre de dominio completo (FQDN) del controlador de dominio (por ejemplo,DC1.testlab.com) debe estar presente en uno de estos atributos: El nombre común (CN) enel campo Asunto y la entrada DNS en la extensión Nombre alternativo del sujeto.

4.

El certificado debe ser emitido por una Autoridad de Certificación (CA) en la que confían elcontrolador de dominio y los clientes LDAPS. Para una comunicación segura de confianza,el cliente y el servidor deben confiar en la CA raíz del otro y en los certificados de CAintermedia que les expidieron certificados.

5.

El proveedor de servicios criptográficos (CSP) de Schannel debe utilizarse para generar la6.

clave.

Acceder a la estructura del directorio LDAPS

Para acceder al directorio LDAPS en el servidor de Active Directory, utilice cualquier navegadorLDAP. En este LAB, se utiliza Softerra LDAP Browser 4.5.

1. Establezca una conexión al dominio en el puerto TCP 636.

2. Por simplicidad, cree una unidad organizativa (OU) denominada ISE OU en el AD y debe tenerun grupo denominado UserGroup. Cree dos usuarios (user1 y user2) y conviértalos en miembrosdel grupo UserGroup.

Nota: El origen de identidad LDAP en ISE se utiliza solamente para la autenticación deusuario.

Integración de ISE con servidor LDAPS

1. Importe el certificado de CA raíz del servidor LDAP en el certificado de confianza.

2. Valide el certificado de administrador ISE y asegúrese de que el certificado de emisor decertificado de administrador ISE también esté presente en el almacén de certificados deconfianza.

3. Para integrar el servidor LDAPS, utilice los diferentes atributos LDAP del directorio LDAPS.Vaya a Administración > Administración de identidades > Orígenes de identidad externos >Orígenes de identidad LDAP > Agregar.

4. Configure estos atributos desde la ficha General:

Clase de objetivo del asunto: Este campo corresponde a la clase Object de las cuentas deusuario. Aquí puede utilizar una de las cuatro clases:

 Arriba●

 Persona●

 PersonaOrganizativa●

 InetOrgPerson●

Atributo Nombre de Asunto: Este campo es el nombre del atributo que contiene el nombre deusuario de la solicitud. Este atributo se recupera del LDAPS cuando el ISE solicita un nombre deusuario específico en la base de datos LDAP (puede utilizar cn, sAMAccountName, etc). En estasituación, se utiliza el nombre de usuario user1 en el terminal.

Atributo de nombre de grupo: Este es el atributo que contiene el nombre de un grupo. Los valoresde atributo de nombre de grupo en su directorio LDAP deben coincidir con los nombres de grupoLDAP en la página Grupos de usuarios

Group Object (Clase de objeto de grupo): Este valor se utiliza en las búsquedas para especificarlos objetos reconocidos como grupos.

Atributo de mapa de grupo: Este atributo define cómo se asignan los usuarios a los grupos.

Atributo del certificado: Introduzca el atributo que contiene las definiciones de certificado. Estasdefiniciones se pueden utilizar opcionalmente para validar los certificados que presentan losclientes cuando se definen como parte de un perfil de autenticación de certificados. En talescasos, se realiza una comparación binaria entre el certificado del cliente y el certificadorecuperado del origen de identidad LDAP.

5. Para configurar la conexión LDAPS, navegue a la ficha Connection :

6. Ejecute dsquery en el controlador de dominio para que el nombre de usuario DN se use parahacer una conexión al servidor LDAP:

PS C:\Users\Administrator>configuración de nombre de usuario dsquery"CN=poongarg,CN=Users,DC=testlab,DC=com"

Paso 1. SEstablezca la dirección IP o el nombre de host correctos del servidor LDAP, defina elpuerto LDAPS (TCP 636) y el DN de administrador para realizar una conexión con el LDAP sobreSSL.

Paso 2. Active la opción Autenticación segura y Comprobación de identidad del servidor.

Paso 3. En el menú desplegable, seleccione el certificado de CA raíz del servidor LDAP y elcertificado CA del emisor del certificado de administrador ISE (hemos utilizado la autoridad decertificación, instalada en el mismo servidor LDAP para emitir también el certificado deadministrador ISE),

Paso 4. Seleccione el enlace de prueba al servidor. En este punto, no se recuperan los temas ogrupos porque las bases de búsqueda todavía no están configuradas.

7. En la ficha Organización de directorios, configure la base de búsqueda de asunto/grupo. Es elpunto de unión para el ISE al LDAP.  Ahora sólo puede recuperar temas y grupos que son hijosdel punto de unión. En esta situación, tanto el asunto como el grupo se recuperan del OU=ISE OU

8. En Grupos, haga clic en Agregar para importar los grupos desde el LDAP en el ISE y recuperarlos grupos, como se muestra en esta imagen.

Configuración del switch

Configure el switch para la autenticación 802.1x. Windows PC está conectado al puerto de switchGig2/0/47

aaa new-model radius server ISE address ipv4 x.x.x.x auth-port 1812 acct-port 1813 key xxxxxx

aaa group server radius ISE_SERVERS server name ISE ! aaa server radius dynamic-author client

x.x.x.x server-key xxxxxx ! aaa authentication dot1x default group ISE_SERVERS local aaa

authorization network default group ISE_SERVERS aaa accounting dot1x default start-stop group

ISE_SERVERS ! dot1x system-auth-control ip device tracking ! radius-server attribute 6 on-for-

login-auth radius-server attribute 8 include-in-access-req ! ! interface GigabitEthernet2/0/47

switchport access vlan xx switchport mode access authentication port-control auto dot1x pae

authenticator

Configurar el terminal

Se utiliza Windows Native Supplicant y se utiliza uno de los protocolos EAP compatibles conLDAP, EAP-TLS para la autenticación y autorización de usuarios.

1. Asegúrese de que el equipo esté provisto con el certificado de usuario (para user1) y que tengael propósito deseado como autenticación de cliente y en las Autoridades de certificación raíz deconfianza, la cadena de certificados del emisor está presente en el equipo.

2. Habilite la autenticación Dot1x y el método Select Authentication como Microsoft:Smart Card uotro certificado para la autenticación EAP-TLS.

3. Haga clic en Configuración adicional, se abre una ventana, active la casilla con especificar elmodo de autenticación y elija Autenticación de usuario, como se muestra en esta imagen.

Configuración del conjunto de políticas en ISE

Dado que se utiliza el protocolo EAP-TLS, antes de configurar el conjunto de políticas, esnecesario configurar perfil de autenticación de certificados y utilizar la secuencia de origen deidentidad más adelante en la política de autenticación.

Consulte Perfil de Autenticación de Certificado en la Secuencia de Origen de Identidad y defina elorigen de identidad externo LDAPS en la lista Búsqueda de Autenticación:

Ahora configure el conjunto de políticas para la autenticación Dot1x por cable:

Después de esta configuración, deberíamos poder autenticar el terminal usando el protocolo EAP-TLS contra el origen de identidad de LDAPS.

Verificación

1. Verifique la sesión de autenticación en el switchport conectado al PC:

2. Para verificar las configuraciones de LDAPS e ISE, puede recuperar los temas y grupos conuna conexión de prueba al servidor:

3. Verifique el informe de autenticación de usuario:

4. Verifique el informe de autenticación detallado para el terminal:

5. Valide los datos cifrados entre el ISE y el servidor LDAPS mediante la captura de paquetes enISE hacia el servidor LDAPS:

Troubleshoot

Esta sección describe algunos errores comunes encontrados con esta configuración y cómoresolverlos:

 En el informe de autenticación, es posible que vea este mensaje de error:●

Authentication method is not supported by any applicable identity store

Este mensaje de error indica que el método que seleccionó no es compatible con LDAP.Asegúrese de que el protocolo de autenticación del mismo informe muestre uno de los métodosadmitidos (EAP-GTC, EAP-TLS o PEAP-TLS).

El enlace de prueba al servidor terminó con un error.●

Lo más común es que esto se debe a la falla de verificación de validación del certificado delservidor LDAPS. Para resolver estos tipos de problemas, tome una captura de paquetes en ISE yhabilite los tres componentes de tiempo de ejecución y prrt-jni en el nivel de depuración, vuelva acrear el problema y verifique el archivo prrt-server.log.

La captura de paquetes se queja del certificado erróneo y el servidor de puertos muestra:

04:10:20,197,ERROR,0x7f9c5b6f1700,LdapSslConnectionContext::checkCryptoResult(id = 1289): error

message = SSL alert: code=0x22A=554 ; source=local ; type=fatal ; message="Server certificate

identity verification failed: host IP didnt match SAN IP.s3_clnt.c:1290

Nota: El nombre de host en la página LDAP debe configurarse con el nombre del asunto delcertificado (o con cualquiera de los nombres alternativos del asunto). Por lo tanto, a menosque tenga tal información en el asunto o SAN, no funciona, se necesita el certificado con ladirección IP en la lista SAN.

3. En el informe de autenticación, es posible que observe que el asunto no se ha encontrado en elalmacén de identidades. Esto significa que el nombre de usuario del informe no coincide con elatributo de nombre de asunto para ningún usuario de la base de datos LDAP. En este escenario,

el valor se estableció en sAMAccountName para este atributo, lo que significa que ISE busca losvalores sAMAccountName para el usuario LDAP cuando intenta encontrar una coincidencia.

4. Es posible que los temas y grupos no se recuperen correctamente durante una prueba deenlace al servidor. La causa más probable de este problema es una configuración incorrecta paralas bases de búsqueda. Recuerde que la jerarquía LDAP debe especificarse de hoja a raíz y dc(puede constar de varias palabras).

Información Relacionada

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/119149-configure-ise-00.html#anc9

●

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/214975-configure-eap-tls-authentication-with-is.html

●