Posts com Tag ‘AD’

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Anúncios