Posts com Tag ‘Admin’

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Olá pessoal,

Primeiro post de 2012 e neste post irei mostrar uma coisa bem interessante: como recuperar a senha de usuários admin, usuários guest, secret de Radius/Tacacs+ e chaves WEP.

Infelizmente, para chaves WPA/WPA2 não há um meio de recuperá-las do próprio WLC. A solução é através de um client que já tenha tal rede configurada ou substituir a senha por uma nova.

Vamos ao procedimento….

1 – Acesse o WLC via CLI, seja via telnet ou SSH

2 – Faça o login

3 – Na tela (Cisco Controller) > entre com o comando show switchconfig

(Cisco Controller) >show switchconfig 

802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Disabled
secret obfuscation............................... Enabled
Strong Password Check Features:

         case-check ...........Enabled
         consecutive-check ....Enabled
         default-check .......Enabled
         username-check ......Enabled

(Cisco Controller) >

4 – Vamos desabilitar o secret obfuscation. Para isso, entre com o comando config switchconfig secret-obfuscation disable

(Cisco Controller) >config switchconfig secret-obfuscation disable 

Secret de-obfuscation may take a few minutes.
Please wait...  Done!

(Cisco Controller) >

5 – Em seguida, entre com o comando config passwd-cleartext enable

(Cisco Controller) >config passwd-cleartext enable 

The way you see your passwds will be changed
You are being warned.

Enter admin password: *****
Enabling cleartext viewing of passwords

(Cisco Controller) >

6 – Faça o download da configuração do WLC para um TFTP Server, para isso, acesse o WLC via GUI, vá em COMMANDS > Upload File, conforme imagem abaixo:

Upload file from Controller

Clique em Upload, no canto superior direito.

Quando o upload terminar, será exibida a mensagem File transfer operation completed successfully.

7 – Abra o arquivo com o WordPad e procure pelas seguintes linhas de comando, similares às abaixo:

Senha de Admin:

config mgmtuser add encrypt admin 0 0 0 5 24336e684000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 read-write

Senha de Guest Account:

config netuser add encrypt username marco password 0 0 0 9 62617274756c696865000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 wlan 2 usertype permanent description "Marco Bartulihe"

Secret de Radius:

config radius auth add encrypt 1 10.0.0.6 1812 password 0 0 0 11 6c6162776972656c657373000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Secret de Tacacs+:

config tacacs auth add encrypt 1 10.0.0.6 49 password 0 0 0 11 6c6162776972656c657373000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Chave WEP:

config wlan security static-wep-key encryption 4 40 hex encrypt 0 0 0 128 424072747500000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 1

Estes dados estão em hexadecimal, agora basta usar algum conversor de Hex para ASCII como, por exemplo, este: Hex To ASCII Converter

Copie os números até se inicarem os zeros:

Senha de Admin:

Hex: 24336e684

ASCII: $3nh@

Hex to ASCII Converter

Senha de Guest Account:

Hex: 62617274756c696865

ASCII: bartulihe

Secret de Radius:

Hex: 6c6162776972656c657373

ASCII: labwireless

Secret de Tacacs+:

Hex: 6c6162776972656c657373

ASCII: labwireless

Chave WEP:

Hex: 4240727475

ASCII: B@rtu

Espero que tenham gostado. Se gostaram, compartilhem, comentem e dêem joinha! =)

 Bartulihe