Configuration et dépannage d'ISE avec le magasin d'identité LDAPS externe

Introduction

Ce document décrit l'intégration de Cisco Identity Service Engine (ISE) avec le serveur LDAPS (Secure Lightweight Directory Access Protocol) en tant que source d'identité externe. LDAPS permet le chiffrement des données LDAP (qui inclut les informations d'identification des utilisateurs) en transit lorsqu'une liaison d'annuaire est établie. LDAPS utilise le port TCP 636.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Connaissances de base de l'administration ISE
• Connaissances de base d'Active Directory/LDAP

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Correctif Cisco ISE 2.6 7
• Microsoft Windows version 2012 R2 avec les services AD LDS (Active Directory Lightweight Directory Services) installés
• PC du système d'exploitation Windows 10 avec demandeur natif et certificat utilisateur installé
• Commutateur Cisco C3750X avec image 152-2.E6

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Ces protocoles d’authentification sont pris en charge avec LDAPS :

• Carte générique EAP (EAP-GTC)
• Protocole PAP (Password Authentication Protocol)
• EAP Transport Layer Security (EAP-TLS)
• Sécurité de la couche de transport EAP protégée (PEAP-TLS)

Remarque: EAP-MSCHAPV2 (en tant que méthode interne de PEAP, EAP-FAST ou EAP-TTLS), LEAP, CHAP et EAP-MD5 ne sont pas pris en charge avec la source d'identité externe LDAPS.

Configuration

Cette section décrit la configuration des périphériques réseau et l'intégration de l'ISE au serveur LDAPS Microsoft Active Directory (AD).

Diagramme du réseau

Dans cet exemple de configuration, le point de terminaison utilise une connexion Ethernet avec un commutateur pour se connecter au réseau local (LAN). Le port de commutateur connecté est configuré pour l'authentification 802.1x pour authentifier les utilisateurs avec ISE. Sur l'ISE, LDAPS est configuré en tant que magasin d'identité externe.

Cette image illustre la topologie de réseau utilisée :

Configurer LDAPS sur Active Directory

Installer le certificat d'identité sur le contrôleur de domaine

Afin d'activer LDAPS, installez un certificat sur le contrôleur de domaine (DC) qui répond à ces exigences :

1. Le certificat LDAPS se trouve dans le magasin de certificats personnels du contrôleur de domaine.
   
   
2. Une clé privée qui correspond au certificat est présente dans le magasin du contrôleur de domaine et est correctement associée au certificat.
   
   
3. L'extension Enhanced Key Usage inclut l'identificateur d'objet Server Authentication (1.3.6.1.5.5.7.3.1) (également appelé OID).
   
   
4. Le nom de domaine complet (FQDN) du contrôleur de domaine (par exemple, DC1.testlab.com) doit être présent dans l'un de ces attributs : Le nom commun (CN) dans le champ Objet et l'entrée DNS dans l'extension de l'autre nom du sujet.
   
   
5. Le certificat doit être émis par une autorité de certification (CA) que le contrôleur de domaine et les clients LDAPS font confiance. Pour une communication sécurisée de confiance, le client et le serveur doivent faire confiance à l'autorité de certification racine de l'autre et aux certificats d'autorité de certification intermédiaire qui leur ont délivré des certificats.
   
   
6. Le fournisseur de services cryptographiques Schannel (CSP) doit être utilisé pour générer la clé.

Accéder à la structure du répertoire LDAPS

Pour accéder au répertoire LDAPS sur le serveur Active Directory, utilisez n'importe quel navigateur LDAP. Au cours de ce TP, vous utiliserez Softerra LDAP Browser 4.5.

1. Établissez une connexion au domaine sur le port TCP 636.

2. Pour plus de simplicité, créez une unité d'organisation nommée unité d'organisation ISE dans la AD et elle doit avoir un groupe nommé UserGroup. Créez deux utilisateurs (user1 et user2) et faites-les membres du groupe UserGroup.

Remarque: La source d'identité LDAP sur ISE est utilisée uniquement pour l'authentification des utilisateurs.

Intégrer ISE au serveur LDAPS

1. Importez le certificat de l'autorité de certification racine du serveur LDAP dans le certificat approuvé.

2. Validez le certificat d'administrateur ISE et assurez-vous que le certificat d'émetteur de certificat d'administrateur ISE est également présent dans le magasin de certificats de confiance.

3. Afin d'intégrer le serveur LDAPS, utilisez les différents attributs LDAP du répertoire LDAPS. Accédez à Administration > Identity Management > External Identity Sources > LDAP Identity Sources > Add.

4. Configurez ces attributs à partir de l'onglet Général :

Classe d'objets Objet : Ce champ correspond à la classe Objet des comptes d'utilisateurs. Vous pouvez utiliser l'une des quatre classes ici :

•   Haut
•   Personne
•   Personne d'organisation
•   InetOrgPerson

Attribut de nom de sujet : ce champ correspond au nom de l'attribut contenant le nom d'utilisateur de la demande. Cet attribut est extrait du LDAPS lorsque l'ISE demande un nom d'utilisateur spécifique dans la base de données LDAP (vous pouvez utiliser cn, sAMAccountName, etc.). Dans ce scénario, le nom d'utilisateur user1 du point de terminaison est utilisé.

Attribut de nom de groupe : Attribut contenant le nom d'un groupe. Les valeurs d'attribut de nom de groupe dans votre annuaire LDAP doivent correspondre aux noms de groupe LDAP sur la page Groupes d'utilisateurs

Classe d'objets de groupe : Cette valeur est utilisée dans les recherches pour spécifier les objets reconnus en tant que groupes.

Attribut de mappage de groupe : Cet attribut définit comment les utilisateurs sont mappés aux groupes.

Attribut de certificat : Entrez l'attribut qui contient les définitions de certificat. Ces définitions peuvent éventuellement être utilisées pour valider les certificats qui sont présentés par les clients lorsqu'ils sont définis comme faisant partie d'un profil d'authentification de certificat. Dans de tels cas, une comparaison binaire est effectuée entre le certificat client et le certificat extrait de la source d'identité LDAP.

5. Afin de configurer la connexion LDAPS, accédez à l'onglet Connexion :

6. Exécutez dsquery sur le contrôleur de domaine pour obtenir le nom d'utilisateur DN à utiliser pour établir une connexion au serveur LDAP :

PS C:\Users\Administrator>dsquery user -name poongarg
« CN=Poongarg, CN=Utilisateurs, DC=testlab, DC=com »

Étape 1. SDéfinissez l'adresse IP ou le nom d'hôte corrects du serveur LDAP, définissez le port LDAPS (TCP 636) et le nom de domaine Admin pour établir une connexion avec LDAP sur SSL.

Étape 2. Activez l'option Secure Authentication et Server Identity Check.

Étape 3. Dans le menu déroulant, sélectionnez le certificat d'autorité de certification racine du serveur LDAP et le certificat d'autorité de certification d'administrateur ISE (Nous avons utilisé l'autorité de certification installée sur le même serveur LDAP pour émettre également le certificat d'administration ISE),

Étape 4. Sélectionnez la liaison de test au serveur. À ce stade, aucun sujet ou groupe n'est récupéré car les bases de recherche ne sont pas encore configurées.

7. Sous l'onglet Organisation du répertoire, configurez la base de recherche d'objet/groupe. C'est le point de jonction de l'ISE vers LDAP.  Vous pouvez maintenant récupérer uniquement les sujets et les groupes qui sont des enfants du point de jonction. Dans ce scénario, l'objet et le groupe sont récupérés à partir de l'unité d'organisation =ISE

8. Sous Groupes, cliquez sur Ajouter pour importer les groupes à partir du LDAP sur l'ISE et récupérer les groupes, comme illustré dans cette image.

Configuration du commutateur

Configurez le commutateur pour l'authentification 802.1x. Le PC Windows est connecté au port de commutation Gig2/0/47

aaa new-model

radius server ISE
address ipv4 x.x.x.x auth-port 1812 acct-port 1813
key xxxxxx
aaa group server radius ISE_SERVERS
server name ISE

!

aaa server radius dynamic-author
client x.x.x.x server-key xxxxxx

!
aaa authentication dot1x default group ISE_SERVERS local
aaa authorization network default group ISE_SERVERS
aaa accounting dot1x default start-stop group ISE_SERVERS
!
dot1x system-auth-control

ip device tracking
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
!

!

interface GigabitEthernet2/0/47
switchport access vlan xx
switchport mode access
authentication port-control auto
dot1x pae authenticator

Configurer le point de terminaison

Windows Native Supplicant est utilisé et l'un des protocoles EAP pris en charge par LDAP est utilisé, EAP-TLS pour l'authentification et l'autorisation des utilisateurs.

1. Assurez-vous que le PC est provisionné avec un certificat utilisateur (pour l'utilisateur 1) et a une fonction prévue en tant qu'authentification client et que, dans les Autorités de certification racines de confiance, la chaîne de certificats de l'émetteur est présente sur le PC.

2. Activez l'authentification Dot1x et sélectionnez la méthode d'authentification en tant que Microsoft : Smart Card ou autre certificat pour l'authentification EAP-TLS.

3. Cliquez sur Paramètres supplémentaires, une fenêtre s'ouvre, cochez la case avec spécifier le mode d'authentification et choisissez Authentification utilisateur, comme illustré dans cette image.

Configurer le jeu de stratégies sur ISE

Puisque le protocole EAP-TLS est utilisé, avant que l'ensemble de stratégies ne soit configuré, le profil d'authentification de certificat doit être configuré et la séquence de source d'identité est utilisée dans la stratégie d'authentification ultérieurement.

Reportez-vous au profil d'authentification de certificat dans la séquence de source d'identité et définissez la source d'identité externe LDAPS dans la liste de recherche d'authentification :

Maintenant, configurez le jeu de stratégies pour l'authentification Wired Dot1x :

Après cette configuration, nous devrions être en mesure d'authentifier le point de terminaison à l'aide du protocole EAP-TLS par rapport à la source d'identité LDAPS.

Vérification

1. Vérifiez la session d'authentification sur le port de commutation connecté au PC :

2. Afin de vérifier les configurations LDAPS et ISE, vous pouvez récupérer les sujets et les groupes avec une connexion de test au serveur :

3. Vérifiez le rapport d'authentification de l'utilisateur :

4. Vérifiez le rapport d'authentification détaillé du point de terminaison :

5. Validez le chiffrement des données entre le serveur ISE et le serveur LDAPS en prenant la capture de paquets sur l'ISE vers le serveur LDAPS :

Dépannage

Cette section décrit certaines erreurs courantes rencontrées avec cette configuration et explique comment les dépanner :

•  Dans le rapport d'authentification, vous pouvez voir ce message d'erreur :

Authentication method is not supported by any applicable identity store

Ce message d'erreur indique que la méthode que vous avez choisie n'est pas prise en charge par LDAP. Assurez-vous que le protocole d'authentification du même rapport affiche l'une des méthodes prises en charge (EAP-GTC, EAP-TLS ou PEAP-TLS).

• La liaison de test au serveur s'est terminée par une erreur.

La plupart du temps, cela est dû à l'échec du contrôle de validation du certificat du serveur LDAPS. Afin de dépanner de tels types de problèmes, prenez une capture de paquets sur ISE et activez les trois composants runtime et prrt-jni au niveau de débogage, recréez le problème et vérifiez le fichier prrt-server.log.

La capture de paquets se plaint du mauvais certificat et le port-server indique :

04:10:20,197,ERROR,0x7f9c5b6f1700,LdapSslConnectionContext::checkCryptoResult(id = 1289): error message = SSL alert: code=0x22A=554 ; source=local ; type=fatal ; message="Server certificate identity verification failed: host IP didnt match SAN IP.s3_clnt.c:1290

Remarque: Le nom d'hôte de la page LDAP doit être configuré avec le nom d'objet du certificat (ou tout autre nom d'objet). Donc, à moins que vous n'en ayez dans le sujet ou le SAN, cela ne fonctionne pas, le certificat avec l'adresse IP dans la liste SAN est nécessaire.

3. Dans le rapport d'authentification, vous remarquerez peut-être que l'objet est introuvable dans le magasin d'identités. Cela signifie que le nom d'utilisateur du rapport ne correspond pas à l'attribut Subject Name pour un utilisateur de la base de données LDAP. Dans ce scénario, la valeur a été définie sur sAMAccountName pour cet attribut, ce qui signifie que l'ISE recherche les valeurs sAMAccountName pour l'utilisateur LDAP lorsqu'il tente de trouver une correspondance.

4. Il se peut que les sujets et les groupes ne soient pas récupérés correctement lors d'un test de liaison au serveur. La cause la plus probable de ce problème est une configuration incorrecte pour les bases de recherche. N'oubliez pas que la hiérarchie LDAP doit être spécifiée de la feuille à la racine et du point de présence (peut être constituée de plusieurs mots).

Informations connexes

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/119149-configure-ise-00.html#anc9
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/214975-configure-eap-tls-authentication-with-is.html