Posts com Tag ‘Active Directory’

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Anúncios

No primeiro post dessa série fizemos a configuração básica do servidor. Agora vamos configurar o Active Directory Domain Services.

Parte 2/7 – Configuração do Active Directory Domain Services (AD DS)

Clique em Start > Run e digite dcpromo.exe.

Será carregada a tela Active Directory Domain Service Installation Wizard.

Clique em Next.

Next novamente.

Neste caso estar criando um novo domínio em uma nova floresta. Portando selecionamos a opção Create a new domain in a new forest e clicamos em Next.

Definimos o FQDN e clicamos em Next.

Em Set Forest Functional Level, vamos escolher a opção Windows Server 2008 R2 e clicar em Next.

Na próxima tela, manter a opção DNS Server Selecionada e clicar em Next.

No alerta que aparecer, apenas clicar em Yes.

Na tela de Location for Database, Log Files, and SYSVOL, não é necessário alterar nada. Apenas clique em Next.

Defina a senha de Restore Mode Administrator Password e clique em Next.

Chegamos a tela de Summary. Confira as configurações e, estando tudo OK, clique em Next.

Será iniciada a instalação. Pode-se selecionar a opção Reboot on completion.

Após a máquina reiniciar, clicando no ícone Server Manager e expandindo Roles, serão exibidas as novas Roles (AD DS e DNS) do servidor.

  • Criando um Grupo e Usuários

No Active Directory Domain Services, vamos criar um grupo de usuários chamado Network Users e criar um usuário.

Para isso, vamos expandir Active Directory Domain Services > Active Directory Users and Computers [Win2k8r2.home.com] > Users.

Clique com o botão direito do mouse em cima de Users e selecione New > Group.

Nosso grupo será chamado de Network Users. Selecione, em Group scope, Universal. Em Group Type, Security, e clique em OK.

O grupo em questão foi criado. Agora vamos criar um usuário e atrelá-lo a este grupo. Para isso, novamente clique em Users > New, e agora selecione Users.

Neste lab irei criar o usuário itautec. Preencha conforme a figura abaixo e clique em Next.

Defina a senha e clique em Next.

Por fim, clique em Finish.

Agora temos que atrelar o usuário “itautec@home.com” ao grupo “Network Users”. Para isso, clique com o botão direito em cima do usuário “itautec” e depois em Properties.

Selecione a aba Member Of e clique em Add.

Digite Network Users, clique em Check Names e depois em Ok.

A imagem abaixo exibe o usuário fazendo parte do Grupo Network Users. Clique em OK.

Vou repetir esse processo para criar o usuário “iphone@home.com” e “ipad@home.com”.

Nosso AD DS está configurado, Grupo e Usuários criados.

No próximo post seguiremos com a configuração do DNS Server.

Até o próximo post pessoal!

Bartulihe

Olá,

Devido a carência de bons Configuration Guides na Internet mostrando como configurar o Windows 2008 R2 para autenticar usuários da rede Wireless, resolvi fazer uma série de posts ensinando step-by-step, partindo de um servidor recém instalado, a configuração. Irei abordar os seguintes tópicos:

  1. Configurações básicas do Server
  2. Configuração do Active Directory Domain Services
  3. Configuração do DNS Server
  4. Configuração do DHCP Server
  5. Configuração do Active Directory Certificate Services e Web Server (IIS)
  6. Configuração do Network Policy and Access Services
  7. Conectando a WLAN

Cada um destes 7 tópicos será um post. Hoje eu irei mostrar as configurações básicas do servidor, como alterar o nome, configurar IP estático e habilitar o Windows Update.

Parte 1/7 – Configurações Básicas do Servidor

Primeiramente, segue a topologia lógica do Lab:

  • Alterando o nome da máquina

Clicar em Change System Properties.

Em System Properties, clicar em Change.

Definir o nome do computador e clicar em OK. Será necessário reiniciar a máquina.

Após a máquina reiniciar, será exibida a tela abaixo. Pode-se observar que o nome do computador foi alterado.

Também podemos ver que o servidor recebeu um IP por DHCP. Vamos alterar para um IP estático.

  • Configurando IP Estático no servidor

Abra o Network and Sharing Center

Clique em Chance Adapter Settings.

Clique com o botão direito do mouse em Local Area Connection > Properties.

Internet Protocol Version 4 (TCP/IPv4).

Edite tais parâmetros de acordo com sua necessidade. Neste lab estou utilizando os endereços exibidos na figura abaixo.

De OK até sair de todas as telas.

  • Habilitando o Windows Update

Para isso, vá em Start > Control Panel > System and Security e clique em Turn on automatic updates.

Pronto! Finalizamos a configuração básica do nosso Windows 2008 Server. Agora o próximo passo é configurar o AD DS (Active Directory Domain Server).

Até o próximo post!

Bartulihe