Administration RADIUS avec Cisco ISE

Cisco, Sécurité

Quelques exemples de contrôle des accès SSH et HTTPS d’équipements réseaux via authentification RADIUS sur des serveurs d’authentification Cisco ISE.

Synthèse des attributs RADIUS à retourner

EquipementAttribut RADIUS (VSA)Valeur
ArubaOS-CXAruba-Admin-RoleNom du groupe sur le switch (par défaut, groupes administrators, operators et auditors existants)
Cisco WLC (AireOS)Service-TypeLe renvoi d’un Permit-Access sans attribut donne des droits en RO. La valeur administrative (valeur numérique 6) permet un accès en RW.
CheckpointCP-Gaia-User-Role

CP-Gaia-SuperUser		Pour le premier attribut, retourner le nom du rôle existant sur la solution Checkpoint.

Retourner la valeur 1 pour autoriser l’accès comme superuser au shell Gaia.

Switch ArubaOS-CX

Le matériel

  • Switch virtuel ArubaOS-CX en version 10.6
    • Adresse IP 192.168.100.228 dans la VRF mgmt
  • Serveurs virtuels Cisco ISE en version 2.7 patch 2
    • Adresses IP en 192.168.100.213 et 192.168.100.209
  • Annuaire Active Directory sous Windows Server 2019

Configuration ArubaOS-CX

Déclaration des deux serveurs RADIUS Cisco ISE

radius-server host 192.168.100.213 key plaintext Labnipo123! vrf mgmt
radius-server host 192.168.100.209 key plaintext Labnipo123! vrf mgmt

Création d’un group de serveurs RADIUS et ajout des deux serveurs précédemment créés:

aaa group server radius RADIUS-MGMT
 server 192.168.100.213 vrf mgmt
 server 192.168.100.209 vrf mgmt

Définition des méthodes d’authentification et accounting avec interrogation du groupe RADIUS en nominal et Fallback sur la base d’utilisateur local:

aaa authentication login default group RADIUS-MGMT local
aaa accounting all default start-stop group RADIUS-MGMT

On oublie pas de valider la configuration avant de passer à la suite, grâce à ces commandes:

show radius-server
show aaa server-group radius
show aaa authentication
show aaa accounting

Configuration Cisco ISE

Déclaration du switch ArubaOS-CX comme NAD:

Cisco ISE – Ajout du switch ArubaOS-CX comme NAD

Création d’un profil d’autorisation qui attribuera les droit admin à l’utilisateur qui se connecte au switch. Utilisation du groupe par défaut administrators présent sur les switchs ArubaOS-CX:

Cisco ISE – Profil qui sera retourné pour les comptes avec droits admin

Création du Policy Set. L’utilisateur doit être membre du groupe Active Directory Network-Admin pour pouvoir se connecter au switch Aruba avec des droits admin. Sinon, demande d’accès au switch rejetée par le serveur ISE:

Cisco ISE – Policy Set

Réplication de la configuration sur l’autre serveur ISE si les deux serveurs ne font pas partie d’un même cluster.

Validation du fonctionnement

Tentative d’accès à la GUI HTTPS au switch Aruba:

ArubaOS-CX – Login

L’accès est fonctionnel. Vérification du log RADIUS coté ISE pour s’assurer que la requête a été traité par le bon Policy Set:

Cisco ISE – Livelog global

Cisco WLC (AireOS)

Le matériel

  • Contrôleur Wi-Fi virtuel Cisco vWLC en version 8.10.130.0
    • Adresse IP 192.168.100.207
  • Serveurs virtuels Cisco ISE en version 2.7 patch 2
    • Adresses IP en 192.168.100.213 et 192.168.100.209
  • Annuaire Active Directory sous Windows Server 2019

Configuration vWLC

Déclaration des deux serveurs d’authentification Cisco ISE sur le contrôleur Wi-Fi. En version 8.10, la partie accounting est automatiquement ajoutée. Si une version plus ancienne est utilisée sur le WLC, penser à le faire manuellement.

Répéter l’opération pour tous les serveurs RADIUS à configurer.

Cisco vWLC – déclaration des serveurs RADIUS

Configuration de l’authentification RADIUS comme méthode d’authentification principale. Fallback en local si les serveurs RADIUS sont injoignables:

Cisco vWLC – configuration des méthodes d’authentification

Configuration Cisco ISE

Déclaration du contrôleur Wi-Fi Cisco vWLC comme NAD:

Cisco ISE – déclaration du contrôleur vwlc comme NAD

Création d’un profil d’autorisation qui attribuera les droit admin à l’utilisateur qui se connecte au contrôleur.

Cisco ISE – Profil d’autorisation admin pour Cisco vwlc

Création du Policy Set. L’utilisateur doit être membre du groupe Active Directory Network-Admin pour pouvoir se connecter au contrôleur Wi-Fi Cisco vWLC avec des droits admin.

Cisco ISE – Règles d’authentification et autorisation pour accès admin au WLC

Réplication de la configuration sur l’autre serveur ISE si les deux serveurs ne font pas partie d’un même cluster.

Validation du fonctionnement

Tentative d’accès à la GUI HTTPS du contrôleur Wi-Fi Cisco vWLC:

Cisco vWLC – Login

L’accès est fonctionnel. Vérification du log RADIUS coté ISE pour s’assurer que la requête a été traité par le bon Policy Set:

Cisco ISE – Livelog Global

Firewalls Checkpoint

Le constructeur Checkpoint n’est pas existant par défaut sous ISE. Il faut donc commencer par le créer sous Policy > Policy Elements > Dictionaries.
Aller ensuite sous System > Radius > Radius Vendors puis cliquer sur Add:

Compléter les champs nécessaires comme ci-dessous, puis cliquer sur Submit:

Cliquer sur le nom Checkpoint et aller sous l’onglet Dictionary Attributes et cliquer sur Add:

Compléter les champs nécessaires puis cliquer sur Submit pour créer le premier attribut nécessaire:

Refaire la même chose pour la création du deuxième attribut:

Publié par nspoirier

Publié

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s