Cấu hình Cisco ISE 2.4 mới làm TACACS+ Server

- Bài viết này mình sẽ hướng dẫn các bạn sử dụng ứng dụng Cisco (Identity Services Engine) ISE 2.4 để cấu hình hoạt động như một TACACS+ server.

TẠO ACTIVE DIRECTORY GROUPS:
- Để kiểm soát các cấp độ của người dùng truy cập khi đăng nhập vào thiết bị mạng chúng ta cần tạo một số nhóm trong Active Directory. Ở bài viết này mình sẽ tạo 2 nhóm, ISE Network Infrastructure và ISE Network Operations.

- Trong môi trường của minh Infrastructure Team quản lý thiết bị mạng. Operations Team đa phần quản lý ở cấp ứng dụng server, nhưng vẫn sẽ có quyền hạn của nhóm Infra để có thể đăng nhập vào thiết bị mạng và xem cấu hình nhưng không được thay đổi chúng.

- Mục đích là để Infrastructure Team có toàn quyền truy cập vào hệ thống mạng và giới hạn Operations Team để hiện commands.

​

KIỂM TRA CẤU HÌNH DNS:
- Để ISE làm việc đúng với AD bạn cần đảm bảo domain name và DNS server đang thiết lập cài đặt. Bạn có thể kiểm ra các cài đặt này với console (hoặc SSH) theo lệnh.

show run | include name​

​

THÊM CISCO ISE VÀO AD DOMAIN:
- Bước kế tiếp chúng ta cần phải làm là để ISE vào trong Active Directory Domain. Đây là thứ sẽ cho phép ISE khớp với các nhóm AD mà bạn đã tạo trước đó.

1. Vào theo các bước Administration > External Identity Sources > Active Directory và click Add.

​

2. Nhập Domain Name của bạn vào cả hai ô Join Point Name và Active Directory Domain.

​

- Join Point Name là tên hiển thị cần thiết cho bước AD join. Bạn có thể join nhiều AD và mục Join Point Name giúp bạn phân biệt chúng. Trong bước cài đặt này chúng ta chỉ sử dụng một domain do đó nó không thực sự quan trọng.​

3. Click nút Submit.
4. Click Yes để join toàn bộ các ISE node vào AD domain này sau khi được thông báo.

​

5. Nhập tài khoản xác thực bạn sử dụng khi join các thiết bị vào domain.

​

- Bạn cũng có thể chọn hộp thoại để chọn đơn vị tổ chức bạn muốn ISE kết thúc ở đó. Bạn sẽ chỉ cần di chuyển đối tượng (ISE) vào AD nếu bạn muốn nó ở một nơi cụ thể nào đó.

- Như trong “Store Credentials”, bạn sẽ sử dụng bước này nếu bạn muốn lưu thông tin đăng nhập để join vào các node khác.​

6. Click OK.

- Bạn có thể thấy trạng thái của Joint Point thay đổi lúc này thành Operational và hiện ra trong danh sách domain controller.​

​

THÊM ACTIVE DIRECTORY GROUPS VÀO ISE:
- Bây giờ chúng ta sẽ thêm nhóm bảo mật AD chúng ta đã tạo trước đó ở ISE.

1. Trong cùng màn hình mà bạn đã join AD, click mục Group.

​

2. Click Add > chọn các Groups từ Directory.

​

3. Kiếm các group bạn đã tạo và tick vào các ô trước đó.

​

- Trong ví dụ này chúng ta đã có ISE Network Infrastructure và ISE Network Operations do đó mình nhập " ISE* " vào ô Name Filter để chỉ tìm các nhóm bắt đầu với ISE.​

4. Click OK.

- Bước kế tiếp là một tùy chọn nhưng mình muốn làm vì nó giúp dễ dàng đăng nhập vào thiết bị. Bạn sẽ có thể đăng nhập vào các thiết bị mạng mà không phải chọn thêm FQDN.​

5. Cũng trong cửa sổ này bạn tìm các group click Advanced Settings và chọn "Search in all "Whitelisted Domains" section".

​

6. Click Save.

TẠO IDENTITY SOURCE SEQUENCE:
- Bước kế tiếp là tạo một Identity Source Sequence. Bước này sẽ cho ISE biết những database nào để tìm kiếm cho một user acctount khi xác thực cho một thiết bị.

1. Vào theo đường dẫn Administration > Identity Management > Identity Source Sequences > New.
2. Đặt tên cho Identity Source Sequence.
3. Chuyển Domain của bạn và group Internal Users sang Selected từ Available.
4. Chọn ô "“Treat as if the user was not found…".

​

- Lý do mình chọn Treat as if the user was not found là để cho phép sử dụng tài khoản local được tạo trên ISE server khi không thể liên kết với AD. Điều này giúp bạn không phải sử dụng tài khoản local trên thiết bị mạng trong trường hợp không có AD. Nó không cần thiết nhưng đó là một lớp bảo vệ khác.​

5. Click Submit.

BẬT TACACS:
- Đầu tiên chúng ta cần phải làm là đảm bảo Device Admin Services đang chạy, làm theo các bước sau:

1. Vào theo đường dẫn Administration > System > Deployment.
2. Chọn vào ô kế bên ISE server và click Edit.

​

3. Chọn ô Enable Device Admin Service.

​

4. Click Save.

THÊM THIẾT BỊ VÀO CISCO ISE:
- Bây giờ TACACS đã được bật lên, chúng ta cần thêm một số thiết bị mạng vào. Tùy theo ý bạn muốn thêm thiết bị nào. Bạn có thể thêm chúng bằng IP riêng, subnet, hoặc cài đặt theo một profile để khớp với toàn bộ thiết bị.

- Mình sẽ thêm từng thiết bị:

1. Vào theo đường dẫn Work Centers > Device Administration > Network Resources > Network Devices > click Add.

​

2. Điền tên và IP của thiết bị mạng.

​

3. Chọn ô TACACS và nhập Shared secret bạn muốn sử dụng với thiết bị đó.

​

- Chọn ô Enable Single Connect Mode là một tùy chọn nhưng là một ý tưởng hay để sử dụng nó nếu bạn có một kết nối ổn định giữa thiết bị và ISE server. Cài đặt này hoạt động đơn giản là giữ một kết nối TCP mở giữa thiết bị và ISE trong khi đã xác thực tới thiết bị rồi. Nếu không có tùy chọn này server sẽ mở một kết nối mới cho mỗi yêu cầu TACACS+ từ thiết bị. Việc này giảm tải cho mạng và thời gian phản hồi.​

CẤU HÌNH TACACS COMMAND SETS:
- Sau khi chúng ta đã thêm thiết bị mạng, chúng ta cũng cần phải cấu hình một số cài đặt lệnh. Điều khiển Commnad Sets là các mệnh lệnh cho các user đã xác thực có thể vào trong thiết bị mạng.

- Mình muốn cấu hình một Set để cho phép nhóm ISE Network Infrastructure để có toàn quyền tới toàn bộ command trong thiết bị và các set khác chỉ cho phép lệnh "show" cho nhóm ISE Network Operations group.

1. Đi vào Work Centers > Device Administration > Policy Elements > Results > TACACS Command Sets > click Add.

​

2. Nhập "Permit All" vào Name và chọn “Permit any command that is not listed below”. Không thêm gì vào danh sách bên dưới.

​

- Bằng cách không thêm gì vào danh sách ở trên thì cơ bản ý nghĩa là cho phép toàn bộ các commands. Bước này để tạo command set cho ISE Network Infrastructure sẽ được làm sau.​

3. Thêm policy set khác và đặt tên là "Show Only". Sau đó click Add và chọn PERMIT dưới Grant và nhập show* trong command.

​

4. Click Submit.

- Bây giờ chúng ta có tổng là 3 command sets, mặc định Deny All và được tạo thêm Permit All, Show Only.​

CẤU HÌNH TACACS AUTHENTICATION POLICY:
- Lúc này chúng ta cần cho ISE biết Identity Source Sequence để sử dụng và xác định được Authentication Policies để cho các AD group các quyền command set.

1. Vào mục Work Centers > Device Administration > Device Admin Policy Sets và chọn vào Tacacs Default policy set.

​

- Bạn cũng có thể click vào mũi tên nhỏ bên phải cũng được. Nếu muốn bạn cũng có thể tạo một policy set mới thay thế cho mặc định.​

2. Click vào mũi tên để mở rông Authentication Policy và thay đổi Use thành AD_Internal đã được tạo trong Identity Source Sequence từ trước.

​

3. Mở Authorization Policy và click biểu tượng dấu "+"

​

4. Đặt tên cho Policy (vd: Allow All Infrastructure Group). Chọn Command Sets thành Permit All. Đặt Shell Profiles thành Default Shell Profile. Click biểu tượng "+".

​

5. Mục Editor được mở lên click vào Click to add an attribute box và chọn “Yourdomain.com External Groups” và sau đó chọn ISE Network Infrastructure từ danh sách hộp thoai bên phải của Equals.

​

6. Click Use.
7. Lặp lại các bước từ 3-6 cho Operations Group except thay đổi command set thành Show Only và đặt cho nó riêng một Rule Name.

​

8. Click Save.

CẤU HÌNH THIẾT BỊ MẠNG CHO TACACS+ ĐI ĐẾN CISCO ISE.
- Đến đây chúng ta đã cấu hình đủ trên ISE để hoạt động như một TACACS+ server cơ bản. Giờ đây chúng ta cần cho thiết bị mạng thấy được ISE server dùng cho các yêu cầu xác thực.

- Trên thiết bị mạng của bạn hãy bật SSH và cấu hình thêm AAA như cấu hình tham khảo dưới dưới đây.

aaa new-model
!
aaa group server tacacs+ default
server name TAC_ISE
!
aaa authentication login default local group tacacs+
aaa authentication login console local
aaa authentication enable default group tacacs+ enable
aaa authorization config-commands
aaa authorization exec default local group tacacs+
aaa authorization commands 15 default local group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
tacacs server TAC_ISE
address ipv4 X.X.X.X
key mysharedsecret
!
line con 0
privilege level 15
login authentication console
line vty 0 4
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input ssh
!​

- Cấu hình này cho phép xác thực local quay trở lại tacacs+ nếu thông tin đăng nhập đã nhập không có trong cơ sở dữ liệu local. Nó cũng yêu cầu thông tin đăng nhập cục bộ tại console. Làm điều này để cho phép sử dụng thông tin đăng nhập local hoặc tacacs+ thông qua SSH và chỉ local tại giao diện console.

KIỂM TRA ISE LOGS CHO CÁC KẾT QUẢ XÁC THỰC TACACS:
- Nếu bạn đi đến Operations > TACACS > Live Logs, bạn có thể thấy các sự kiện đăng nhập TACACS của mình. Trong trường hợp ở đây, thành viên của Infrastructure group có toàn quyền truy cập vào thiết bị mạng. Bạn có thể thấy trong ảnh chụp màn hình bên dưới rằng tôi đã được xác thực thành công và Authorization Policy được cấp là Allow All Infrastructure.

​

- Khi bạn thực hiện show run và cấu hình lệnh chúng đều hoạt động bình thường.

- Khi xóa tài khoản này ra khỏi ISE Network Infrastructure Group và thêm vào nhóm ISE Network Operations trong AD và ISE cảnh báo xuất hiện.

​

- Khi thử kiểm tra lệnh #configure t kết quả là "Command authorization failed".
- Cuối cùng, mình xóa ra khỏi Operations group và không tham gia lại vào group nào khác. ISE từ chối yêu cầu xác thực tới switch.

​