Configuration de CSSM sur Prem et enregistrement des licences avec ISE

Introduction

Ce document décrit l'intégration de CSSM On-Prem avec Cisco Identity Service Engine (ISE) et Cisco Smart Account, assurant une configuration transparente.

Conditions préalables

Exigences

ISE 3.X

Cisco Smart Software Manager (CSSM) version 8 version 202304 +

Composants utilisés

• Identity Service Engine 3.2, correctif 2
• SSM sur Prem 8.20234
• Windows Active Directory 2016 (services DNS et Certificate Authority)
• VMware ESXi version 7

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Diagramme du réseau

Topologie générale

Installez CSSM On-Prem sur VMWARE ESXi.

1. Téléchargez le logiciel Cisco IOS®. Vous pouvez utiliser le lien suivant : https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

2. Téléchargez l'ISO dans VMWARE ESXi.

Accédez à Stockage > Navigateur de data store.

Section Navigateur de données

3. Cliquez sur Créer un répertoire pour créer un nouveau dossier (facultatif).

Création du répertoire

Dans cet exemple, le dossier CSSM a été créé :

Création de dossiers

4. Cliquez sur Upload, puis choisissez votre fichier ISO.

Téléchargement ISO

Le fichier ISO se trouve désormais dans le dossier CSSM :

Le téléchargement ISO est terminé

5. Créez la machine virtuelle. accédez à Virtual Machine > Create / Register VM.

Création d'une nouvelle VM, étape 01

6. Choisissez Create a new virtual machine et cliquez sur next.

Création d'une nouvelle VM, étape 02

7. Configurez ensuite les paramètres suivants :

• Name : Entrez le nom de votre ordinateur virtuel.
• Compatibilité : Sélectionnez ESXi 6.0 ou version ultérieure ou ESXi 6.5 ou version ultérieure. 
• Famille de systèmes d'exploitation invités : Linux.
• Version du système d'exploitation invité : Choisissez CentOS 7 (64 bits) ou Other 2.6x Linux (64 bits)

Cliquez sur Next (Suivant).

Nom de VM et IOS

8. Sélectionnez votre stockage et cliquez sur next.

Liste de stockage

9. Configurez les paramètres suivants :

• UC : 4 au minimum. Le paramètre de vCPU réel dépend de vos exigences d'évolutivité

Remarque : Le nombre de coeurs par socket doit être défini sur 1, quel que soit le nombre de sockets virtuels sélectionnés. Par exemple, une configuration à 4 processeurs virtuels doit être configurée avec 4 sockets et 1 coeur par socket.

Configuration des coeurs

• Mémoire : 8 Go
• Disque dur : 200 Go et vérifiez que le provisionnement est défini sur Thin Provisioning.

Configuration du disque

• Carte réseau : Sélectionnez le type d'adaptateur E1000 et sélectionnez Connect at Power On.

Configuration des paramètres réseau

• Lecteur CD/DVD : Choisissez « Fichier ISO de données » et sélectionnez le fichier ISO.

image ISO

Vous pouvez vérifier le résumé des paramètres une fois que vous avez terminé les étapes précédentes.

Récapitulatif de la configuration VM 01

Cliquez sur Next (Suivant).

10. Cliquez sur Terminer.

Récapitulatif de la configuration VM 02

Configuration initiale de CSSM On-Prem .

1. Dans VMWARE ESXi, accédez à Machines virtuelles et sélectionnez votre machine virtuelle, puis cliquez sur Mise sous tension.

Option de mise sous tension

2. Vous disposez de plusieurs options pour gérer la console de VM. Sélectionnez Console > Ouvrir la console du navigateur.

Options de gestion de la VM

3. Configurez vos paramètres réseau.

Remarque : Il est important de configurer l'adresse IP du serveur DNS qui résout le nom de domaine complet du CSSM.

Configuration des paramètres réseau CSSM

Cliquez sur Ok pour configurer votre nouveau mot de passe CLI.

4. Le processus d'installation démarre et se termine jusqu'à ce que vous voyiez l'invite d'accès.

Configuration initiale CSSM terminée

5. Ouvrez un navigateur et entrez https://<ip_address_CSSM>.

Page de connexion CSSM

Utilisez les informations d'identification par défaut :

username (nom d’utilisateur) : admin

Mot de passe : CiscoAdmin ! 2345

6. Sélectionnez votre langue.
7. Créez un nouveau mot de passe GUI.
8. Configurez le nom commun de l'hôte. (par exemple : hostname.votredomaine).

Dans ce cas, cssm.testlab.local a été configuré en tant que nom commun d'hôte.

Configuration du nom commun de l'hôte

9. Validez votre configuration et cliquez sur Apply.

Paramètres initiaux du CSSM terminés.

Intégration de CSSM On-Prem avec un compte Smart

Vous devez associer votre compte Smart à votre CSSM On Prem Server.

1. Ouvrez votre compte Cisco Smart en cliquant sur le lien suivant :

https://software.cisco.com/

2. Choisissez ensuite Manage Licenses dans la section Smart Software Manager.

	Option Gérer les licences

3. Accédez à Inventaire et copiez le nom de votre compte Smart et de votre compte virtuel. Dans ce guide, il s'agit de InternalTestDemoAccount67 et de AAA MEX TEST.

Page Software Cisco

4. Ouvrez l'interface utilisateur graphique de CSSM et sélectionnez l'option Admin Workspace.

Menu principal CSSM.

5. Sélectionnez ensuite Comptes.

Comptes.

6. Sélectionnez Nouveau compte pour créer une nouvelle demande d'inscription.

Création du compte CSSM.

7. Entrez les informations suivantes :

• Nom du compte : Il s'agit d'un nom personnalisé du nouveau registre.
• Compte Cisco Smart : Collez votre nom de compte Smart.
• Compte virtuel Cisco : Collez votre nom de compte virtuel.
• E-mail de notification : Saisissez votre adresse e-mail.

Enregistrement du compte.

Cliquez sur Submit.

8. Cliquez ensuite sur Demandes de compte.

Vous pouvez voir la demande effectuée à l'étape précédente dans cette section.

Demande de compte.

9. Cliquez sur actions.

Actions, option.

Trois options s'offrent à vous :

• Approuver : Utilisez cette option pour enregistrer le service CSSM On-Prem avec votre compte Smart via Internet.
• Rejeter : Abandonnez la demande.
• Enregistrement manuel : Utilisez cette option pour enregistrer le service CSSM On-Prem avec votre compte Smart sans Internet.

 OPTION 1: Enregistrez votre module CSSM On-Prem via une connexion Internet.

1. Si vous choisissez Approve, vous devez entrer votre nom d'utilisateur et votre mot de passe de votre compte Smart Cisco et cliquer sur Submit.

Approuver l'option

Cliquez ensuite sur next pour accepter l'enregistrement du compte.

Enregistrement du compte.

Pour confirmer le statut de l'inscription, accédez à Compte et le statut du compte doit être actif.

Statut du compte.

Ouvrez maintenant votre compte Smart (https://software.cisco.com/). Sélectionnez ensuite l'option On-Prem Accounts pour afficher le nouveau registre.

Sur le compte Prem.

OPTION 2: Enregistrez votre module CSSM On-Prem sans connexion Internet.

Si vous choisissez Enregistrement manuel, cliquez sur Générer un fichier d'enregistrement. Cette opération crée une demande d'enregistrement qui va être téléchargée sur votre ordinateur.

Enregistrement manuel.

Ouvrez ensuite votre compte Smart (https://software.cisco.com/) et accédez à Comptes sur site.

Cliquez sur Nouveau sur site

Ajout d'un nouveau serveur sur site.

Configurez ensuite les paramètres suivants :

• Nom sur site : Il s'agit d'un nom personnalisé du nouveau registre.
• Fichier d'enregistrement : Cliquez sur Choose File et sélectionnez la demande d'enregistrement.
• Compte virtuel : Collez votre nom de compte virtuel.

Fichier d'autorisation.

Et cliquez sur Generate Authorization File.

Téléchargez ensuite le fichier d'autorisation.

Téléchargement du fichier d'autorisation.

Ouvrez l'interface utilisateur graphique de CSSM pour télécharger le fichier d'autorisation. Cliquez sur Browse, choisissez le fichier, puis cliquez sur Upload.

Téléchargement du fichier d'autorisation.

Accédez ensuite à Synchronization et cliquez sur Actions > Manual Synchronization > Full Synchronization.

Synchronisation manuelle.

Téléchargez le fichier de demande de synchronisation.

Téléchargement du fichier Sync.

Ouvrez votre compte Smart et sélectionnez Compte On-Prem, puis recherchez votre nom On-Prem CSSM dans la liste et cliquez sur Actions > File Sync

Téléchargement du fichier Sync.

Téléchargez ensuite le fichier de demande de synchronisation, et cliquez sur Generate Response File.

Générez un fichier de réponse.

Cliquez ensuite sur Télécharger le fichier de réponse de synchronisation

Fichier de synchronisation.

Et enfin, téléchargez le fichier de réponse de synchronisation dans le CSSM sur site.

Synchronisation terminée.

 Intégration de CSSM On-Prem avec ISE.

1. Ouvrez l'interface graphique utilisateur de CSSM et sélectionnez Admin Workspace.

Menu principal CSSM.

2. Accédez à Security > Certificates > Generate CSR

Remarque : Il est important d'avoir le nom d'hôte + domaine configuré sur le nom commun d'hôte parce qu'ISE utilise ce paramètre afin d'établir une connexion avec le CSSM. Vous pouvez utiliser une adresse IP au lieu du nom d'hôte + domaine, mais la recommandation est d'utiliser le nom d'hôte + domaine

Remarque : Les étapes suivantes décrivent la procédure d'installation du certificat de l'interface graphique utilisateur dans le CSSM. Si vous souhaitez protéger la connexion de gestion à votre CSSM GUI à l'aide d'un certificat signé par votre autorité de certification personnelle, vous devez vérifier les étapes suivantes. Sinon, vérifiez directement l'étape 9.

Option CSR.

3. Saisissez ensuite vos informations personnelles. N'oubliez pas que le nom alternatif de l'objet est créé automatiquement en utilisant la même valeur que le nom commun. Le CSR est téléchargé automatiquement après avoir cliqué sur Générer.
   

Détails CSR.

4. Signez le CSR : Pour plus d'informations, consultez la section « Créer des certificats à partir de l'Autorité de certification Windows ». sur ce document.

5. Téléchargez le certificat CA racine.

Téléchargement de l'autorité de certification racine

Cliquez sur Continuer.

Option Continuer.

6. Entrez une description et choisissez le certificat racine et cliquez sur Ok.

Description de l'autorité de certification racine

7. Téléchargez le CSR signé par l'AC (certificat d'identité CSSM).

Téléchargement du certificat d'identité CSSM.

Remarque : NOTE: Dans notre cas, le certificat intermédiaire n'existe pas dans notre CA. Toutefois, si vous utilisez un certificat intermédiaire dans votre architecture, le certificat intermédiaire est obligatoire.

8. Vérifiez ensuite que les deux certificats ont été installés.

Validation des certificats.

9. Créez un jeton sur le SSM On-Prem : Sélectionnez Espace de travail de licence.

Page Workspace.

10. accédez à Licences Smart.

Page de licence Smart CSSM

11. Recherchez votre compte virtuel local, puis cliquez sur New Token et cliquez sur Proceed.

Nouvelle option de jeton.

12. Sélectionnez Create Token et copiez-le.

Création du nouveau jeton.

Détails du jeton.

13. Ouvrez l'interface utilisateur graphique d'ISE et accédez à Administration > Systems > Licensing, puis cliquez sur Registration details, sélectionnez la méthode hôte du serveur sur site SSM, et collez le jeton.

Enregistrement des licences.

14. Entrez le nom de domaine complet SSM On-Prem FQDN sur l'hôte du serveur SSM On-Prem et cliquez sur Register.

Paramètres CSSM et ISE.

Remarque : Il est important de configurer le nom d'hôte + le domaine sur le nom commun d'hôte parce qu'ISE utilise ce paramètre afin d'établir une connexion avec le CSSM. Vous pouvez utiliser une adresse IP au lieu du nom d'hôte + domaine, cependant la recommandation est d'utiliser le nom d'hôte + domaine

15. Et enfin, l'enregistrement est terminé.

Inscription terminée.

 Créer des certificats à partir de Windows CA.

Si vous êtes l'administrateur de l'autorité de certification, vous devez procéder comme suit :

1. Ouvrez un navigateur Web et accédez à http://localhost/certsrv/
2. Cliquez sur Demander un certificat.

Demander un certificat.

3. Cliquez sur Advanced certificate request (requête de certificat avancée).

Demande de certificat avancée.

4. Ouvrez la CSR générée précédemment.  Copiez ensuite les informations et collez-les sur la demande enregistrée.

Envoyer le certificat.

Après avoir cliqué sur Submit, le certificat est téléchargé automatiquement.

5. Téléchargez maintenant la racine du certificat CA. revenez à http://localhost/certsrv/ et sélectionnez Download a CA Certificate, Certificate Chain ou CRL.

Téléchargez l'autorité de certification racine.

6. Téléchargez le certificat CA en utilisant la méthode de codage Base64.

Option Base 64.

Ajoutez des enregistrements DNS sur Windows Server.

Si vous êtes l'administrateur, ajoutez les noms de domaine complets ISE et CSSM.

1. Ouvrez le Gestionnaire DNS : Tapez « DNS » dans le chercheur Windows et ouvrez l'application DNS.

Option DNS.

2. Naviguez jusqu'à Forward Lookup Zones > Et choisissez votre domaine.

Gestionnaire DNS.

3. Cliquez avec le bouton droit de la souris sur un espace noir de l'écran et sélectionnez « Nouvel hôte (A ou AAAA) »

Ajout d'un enregistrement.

4. Configurez le DNS d'enregistrement comme suit :

• Name : Il s’agit du nom de l’hôte.
• Adresse IP du périphérique.

Cliquez sur « Ajouter un hôte »

Enregistrer les paramètres.

Dépannage

L'hôte/l'adresse IP n'est pas accessible. (Erreur sur ISE)

Erreur accessible.

Solution 1 : Vérifiez et corrigez la configuration DNS dans le noeud ISE.

1. Ouvrez l'interface de ligne de commande ISE et tapez « nslookup <CSSM_FQDN> »

Dans l'exemple suivant, nous pouvons voir que cssm.testlab.local n'a pas été résolu à partir du noeud ISE.

Échec de la résolution CSSM.

La résolution correcte serait :

Résolution CSSM réussie.

Plan d'action :

1. Consultez la rubrique de configuration DNS de ce document.
2. Entrez la commande show running-config sur l'interface de ligne de commande ISE afin de vérifier le «ip name-server». Le «ip name-server» doit correspondre à l'adresse IP du serveur DNS.

Solution 2 : Ouvrez l'interface utilisateur graphique de CSSM pour confirmer que le nom commun d'hôte et le certificat de navigateur sont identiques au paramètre d'hôte du serveur sur site de CSSM du côté ISE.

Scénario incorrect :

La résolution CSSM et le paramètre ISE sont incorrects.

Scénario correct:

La résolution CSSM et les paramètres ISE sont corrects.

Plan d'action : Pour plus d'informations, reportez-vous à la section « Configuration ISE et CSSM » dans ce guide.

Service SSO : Impossible d'atteindre Cisco. (Erreur sur CSSM On-Prem)

Échec de l'enregistrement du compte.

Solution : Vérifiez votre connectivité à Internet.

Plan d'action :

1. Si vous avez besoin d'un proxy pour accéder à Internet, accédez à Réseau > Proxy et activez l'option Utiliser un serveur proxy et cliquez sur Appliquer.

Configuration du proxy.

Le nom commun dans le CSR n'est pas un nom d'hôte ou une adresse IP pouvant être résolu par DNS, veuillez réessayer. (Erreur sur CSSM On-Prem)

Erreur CSR.

Solution : Vérifiez et corrigez la résolution DNS sur le serveur CSSM.

1. Ouvrez l'interface de ligne de commande de CSSM et tapez « nslookup <CSSM_FQDN> »

Dans l'exemple suivant, nous pouvons voir que cssm.testlab.local n'a pas été résolu à partir du serveur CSSM.

Le serveur DNS n'est pas accessible.

Le résultat correct serait le suivant :

Le serveur DNS est accessible.

Plan d'action :

Vérifiez les configurations DNS sur le module CSSM On-Prem.

1. accédez à Réseau > Général > Paramètres DNS.

Le DNS principal ou secondaire doit être identique à l'adresse IP du serveur DNS.

Paramètres DNS.