Configurar ISE 2.2 para a integração com server de … · 4. Integre o ISE com MySQL: 5. Configurar políticas da authentication e autorização: Verificar Troubleshooting ... Ubuntu

Configurar ISE 2.2 para a integração com serverde MySQL Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de fundoConfigurarDiagrama de RedeConfigurações1. Configurar MySQL em Ubuntu:2. Configurar o base de dados e as tabelas:3. Configurar procedimentos armazenados4. Integre o ISE com MySQL:5. Configurar políticas da authentication e autorização:VerificarTroubleshootingDebuga no ISEInformação relacionada

Introdução

Este documento descreve como configurar um Cisco Identity Services Engine (ISE) 2.2 para aintegração com origem externa da conectividade de bases de dados aberto (ODBC) de MySQL.Este documento é válido para as instalações que usam MySQL como a fonte externo daidentidade para a authentication e autorização ISE.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Configuração do Identity Services Engine (ISE)●

Configuração básica de MySQL●

Componentes Utilizados

A informação este documento é baseada nestes versão de software e hardware:

Versão 2.2 de Cisco ISE●

Ubuntu Linux com MySQL instalou●

Versão 8.0.100.0 do controlador de LAN do Cisco Wireless (WLC)●

Versão 7x64 de Microsoft Windows●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informações de fundo

O ISE 2.2 apoia origens externa múltiplos ODBC, um deles é MySQL. Você pode usar o ODBCcomo a fonte externo da identidade para autenticar os usuários e os valores-limite similares aodiretório ativo (AD). A fonte da identidade ODBC pode ser usada em uma sequência da loja daidentidade e para autenticações do convidado e do patrocinador.

Este é motores de base de dados de uma lista apoiados em ISE 2.2:

MySQL●

Oracle●

PostgreSQL●

Microsoft SQL server●

Sybase●

Mais informação pode ser encontrada aqui: https://www.cisco.com/c/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22/b_ise_admin_guide_22_chapter_01101.html#concept_6EB9B4875CBB47D79168E329696E2C65

Configurar

Diagrama de Rede

Neste exemplo de configuração, o valor-limite usa um adaptador Wireless a fim associar com arede Wireless. O Wireless LAN (WLAN) no WLC é configurado a fim autenticar os usuáriosatravés do ISE. No ISE, MySQL é configurado como uma loja externo da identidade. Esta imagemilustra a topologia de rede que é usada:

/content/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22/b_ise_admin_guide_22_chapter_01101.html#concept_6EB9B4875CBB47D79168E329696E2C65



Configurações

A configuração de MySQL apresentada é um exemplo. Não trate é como uma recomendação daCisco.

1. Configurar MySQL em Ubuntu:

Atualize seu sistema:

sudo apt-get update

sudo apt-get upgrade

Instale MySQL (você deve ser alertado para uma senha para o usuário de raiz durante ainstalação):

sudo apt-get install mysql-server

Para alcançar o base de dados de MySQL:

mysql -u root -p

2. Configurar o base de dados e as tabelas:

Crie o base de dados:

mysql>

mysql> CREATE DATABASE demo_db;

Query OK, 1 row affected (0.00 sec)

mysql>

mysql> use demo_db;

Reading table information for completion of table and column names

You can turn off this feature to get a quicker startup with -A

Database changed

Crie o usuário do base de dados e conceda-lhe privilégios:

mysql>

mysql> CREATE USER 'cisco' IDENTIFIED BY 'cisco';

mysql> GRANT USAGE ON *.* TO 'cisco'@'%';

mysql> GRANT ALL PRIVILEGES ON `demo_db`.* TO 'cisco'@'%';

mysql> GRANT SELECT ON *.* TO 'cisco'@'%';

Crie a tabela dos usuários:

mysql>

mysql> CREATE TABLE úsers´ (

-> ùser_id` int(10) unsigned NOT NULL AUTO_INCREMENT,

-> ùsername` varchar(50) NOT NULL,

-> `password` varchar(50) NOT NULL,

-> PRIMARY KEY (ùser_id`),

-> UNIQUE KEY ùsername_UNIQUE` (ùsername`)

-> ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Query OK, 0 rows affected (0.01 sec)

Crie usuários e adicionar-los na tabela:

mysql>

mysql> INSERT INTO users

-> (user_id, username, password)

-> VALUES

-> (1, "alice", "Krakow123");


Você pode adicionar outros usuários similarmente e alistar o índice da tabela (a mesma maneiraque usuários, adiciona o MAC address para a senha de autenticação MAB pode ficar vazia):

mysql>

mysql> select * from users;

+---------+----------+-----------+| user_id | username | password |+---------+----------+-----------+| 1 | alice | Krakow123 || 2 | bob | Krakow123 || 3 | oscar | Krakow123 |+---------+----------+-----------+

Crie a tabela dos grupos:

mysql>

mysql> CREATE TABLE `groups` (

-> `group_id` int(10) unsigned NOT NULL AUTO_INCREMENT,

-> `groupname` varchar(50) NOT NULL,

-> PRIMARY KEY (`group_id`),

-> UNIQUE KEY `groupname_UNIQUE` (`groupname`)

-> ) ENGINE=InnoDB DEFAULT CHARSET=utf8;


Crie grupos e adicionar-los na tabela:

mysql>

mysql> INSERT INTO groups

-> (group_id, groupname)

-> VALUES

-> (1, "everyone");


Você pode adicionar outros grupos similarmente e alistar o índice da tabela:

mysql>

mysql> select * from groups;

+----------+------------+| group_id | groupname |+----------+------------+| 3 | contractor || 2 | employee || 1 | everyone |+----------+------------+

Crie a tabela para mapeamentos entre usuários e grupos

mysql>

mysql> CREATE TABLE ùser_group` (

-> ùser_id` int(10) unsigned NOT NULL,

-> `group_id` int(10) unsigned NOT NULL,

-> PRIMARY KEY (ùser_id`,`group_id`),

-> KEY `group_id` (`group_id`),

-> CONSTRAINT ùser_group_ibfk_1` FOREIGN KEY (ùser_id`) REFERENCES ùsers` (ùser_id`)

-> ON DELETE CASCADE,

-> CONSTRAINT ùser_group_ibfk_2` FOREIGN KEY (`group_id`) REFERENCES `groups`

-> (`group_id`) ON DELETE CASCADE

) ENGINE=InnoDB DEFAULT CHARSET=utf8;


Encha a tabela para mapeamentos entre usuários e grupos

mysql>

mysql> INSERT INTO user_group

-> (user_id, group_id)

-> VALUES

-> (1, 1);


Você pode adicionar outros mapeamentos similarmente e alistar o índice da tabela:

mysql>

mysql> select * from user_group;+---------+----------+| user_id | group_id |+---------+----------+| 1 | 1 || 2 | 1 || 1 | 2 || 2 | 3 |+---------+----------+4 rows in set (0.00 sec)

3. Configurar procedimentos armazenados

Você tem que configurar os procedimentos armazenados exigidos para autenticar usuários contrauma fonte da identidade ODBC. As tarefas que são executadas pelo procedimento variam, combase no protocolo de autenticação. O ISE apoia três tipos diferentes de verificação credencialcontra a loja externo ODBC. Você precisa de configurar o procedimento armazenado separadopara cada tipo de verificação. O ISE chama o procedimento armazenado apropriado comparâmetros de entrada e recebe a saída. O base de dados pode retornar um recordset ou umgrupo de parâmetros Nomeados em resposta a uma pergunta ODBC.

Autenticação de senha do texto simples na base de dados ODBC - A autenticação para oPAP e o PEAP ocorre dentro do base de dados. Se o procedimento encontra umacombinação de nome de usuário/senha que combine a entrada, o usuário é autenticado comsucesso.

●

Senha do texto simples que busca da base de dados ODBC - A autenticação para aRACHADURA, o MS-CHAPv1/v2, o EAP-MD5, o PULO, e o EAP-MSCHAPv2 (como ométodo interno do PEAP ou EAP-FAST) ocorre dentro de Cisco ISE (o ISE verifica asenha fornecida pelo usuário e a compara com a senha recebida do procedimentoarmazenado). Os retornos de procedimento armazenado a senha se o username estácorreto. Se o username não é encontrado, retorna um código de erro.

●

Consulta - A autenticação para o MAB ocorre dentro do base de dados. Se o usernameexigido é encontrado, os parâmetros relevantes estão retornados ao ISE.

●

Cada um daqueles procedimentos deve ser definido com o delimitador para que MySQL aceite asintaxe da pergunta:

DELIMITER //

CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEGroups`(username varchar(64), OUT result INT)

beginCASE usernameWHEN '*' THENselect distinct groupname from groups;ELSEselect groupname from user_groupinner join users ON users.user_id = user_group.user_idinner join groups ON groups.group_id = user_group.group_idwhere users.username = username;

END CASE;SET result = 0;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEAuthUserPlainReturnsRecordset`(usernamevarchar(64), password varchar(255))

beginIF EXISTS (select * from users where users.username = username and users.password = password )THENselect 0,11,'This is a very good user, give him all access','no error';ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEFetchPasswordReturnsRecordset`(usernamevarchar(64))

beginIF EXISTS (select * from users where users.username = username) THENselect 0,11,'This is a very good user, give him all access','no error',password from users whereusers.username = username;ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEUserLookupReturnsRecordset`(usernamevarchar(64))

beginIF EXISTS (select * from users where users.username = username) THENselect 0,11,'This is a very good user, give him all access','no error';ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //

4. Integre o ISE com MySQL:

Use a informação mencionada abaixo a fim integrar MySQL com Cisco ISE. Navegue àadministração > ao Gerenciamento de identidades > fontes externos da identidade > ODBC eadicionar a loja nova:

Use o endereço IP de Um ou Mais Servidores Cisco ICM NT de Ubuntu que é base de dados deMySQL running como um hostname/endereço IP de Um ou Mais Servidores Cisco ICM NTabaixo. Especifique o tipo de base de dados (MySQL é usado nesta situação), da inserção de

nome do base de dados igualmente e de credenciais do usuário do base de dados que foramcriados mais cedo:

Especifique os nomes dos procedimentos que foram criados em MySQL – você necessidade deser cuidadosos com formato do MAC address (neste exemplo foi mudado ao formato diferente):

Uma vez que feito, vá para trás à aba e à conexão de teste da conexão:

Busque atributos de MySQL, clique sobre a aba dos atributos:

Busque a grupos a mesma maneira:

5. Configurar políticas da authentication e autorização:

Configurar o ISE para autenticar e autorizar usuários do base de dados de MySQL. Navegue àpolítica > à autenticação e a política > a autorização:

Verificar

Dois fluxos da autenticação foram testados: PEAP-MSCHAPv2 e MAB. Alice é parte de grupo doempregado em MySQL, Bob é parte de grupo de contratante:

Troubleshooting

Debuga no ISE

A fim permitir debuga no ISE, navegam à administração > ao sistema > registrando > debugam aconfiguração do log, nó seleto PSN e mudam o log em nível do componente da ODBC-identificação-loja PARA DEBUGAR:

Logs a ser verificados - prrt-server.log e prrt-management.log. Você pode atá-los diretamente doCLI do ISE:

cauda de registro de prrt-management.log do aplicativo da mostra vchrenek-ise22-1/admin#

Durante a autenticação do prumo do usuário, o ISE tem que buscar a senha do texto simples edepois do procedimento armazenado é ISEFetchPasswordReturnsRecordset usado:

2017-02-18 14:13:37,565 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcIdStore -:::- ODBC

ID Store Operation: Fetch Plain Text Password. Username=bob, SessionID=0a3e94660000090658a8487f

2017-02-18 14:13:37,566 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.CustomerLog -:::- Write

customer log message: 24861

2017-02-18 14:13:37,567 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcConnectionPool -

:::- OdbcConnectionPool - get connection


:::- OdbcConnectionPool - use existing connection


:::- OdbcConnectionPool - connections in use: 1

2017-02-18 14:13:37,568 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcConnection -:::-

Fetch plain text password


Prepare stored procedure call, procname=ISEFetchPasswordReturnsRecordset


Using recordset to obtain stored procedure result values




Text: {call ISEFetchPasswordReturnsRecordset(?)}


Setup stored procedure input parameters, username=bob


Execute stored procedure call


Process stored procedure results


Obtain stored procedure results from recordset


Received result recordset, number of columns=5


Results successfully parsed from recordset


:::- OdbcConnectionPool - release connection



2017-02-18 14:13:37,572 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcIdStore -:::- Call

to ODBC DB succeeded

2017-02-18 14:13:37,572 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcAuthResult -:::-

Authentication result: code=0, Conection succeeded=false, odbcDbErrorString=no error,

odbcStoredProcedureCustomerErrorString=null, accountInfo=This is a very good user, give him all

access, group=11

Desde que o ISE tem que verificar a atribuição do grupo ODBC, tem que recuperar os grupos:




ID Store Operation: Get all user groups. Username=bob, SessionID=0a3e94660000090658a8487f


ID Store Operation: Fetch user groups. Username=bob, SessionID=0a3e94660000090658a8487f










Fetch user groups


Prepare stored procedure call, procname=ISEGroups


Text: {call ISEGroups(?,?)}








Received result recordset, total number of columns=1


According to column number expect multiple rows (vertical attributes/groups retured result)


Fetched data: ExternalGroup=everyone


Fetched data: ExternalGroup=contractor




Result code indicates success










ID Store Operation: Get all user groups. Got groups...


ID Store Operation: Get all user groups. Got groups(0) = everyone


ID Store Operation: Get all user groups. Setting Internal groups(0) = everyone


ID Store Operation: Get all user groups. Got groups(1) = contractor


ID Store Operation: Get all user groups. Setting Internal groups(1) = contractor


ID Store Operation: Get all user groups. Username=bob, ExternalGroups=[everyone, contractor]


ID Store Operation: Fetch user attributes. Username=bob, SessionID=0a3e94660000090658a8487f









O mesmo aplica-se para atributos:


Fetch user attributes


Prepare stored procedure call, procname=ISEAttrsH


Text: {call ISEAttrsH(?,?)}








Received result recordset, total number of columns=3


According to column number expect multiple columns (hotizontal attributes/groups retured result)


Fetched data: eye_color=green


Fetched data: floor=1


Fetched data: is_certified=true




Result code indicates success










ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.eye_color to green


ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.floor to 1


ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.is_certified to true

Informação relacionada

Suporte Técnico e Documentação - Cisco Systems●

Release Note ISE 2.2●

Guia de instalação de hardware ISE 2.2●

Guia da elevação ISE 2.2●

Guia do administrador do motor ISE 2.2●

http://www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

/content/en/us/td/docs/security/ise/2-0/release_notes/ise20_rn.html

/content/en/us/td/docs/security/ise/2-0/installation_guide/b_ise_InstallationGuide20.html

/content/en/us/td/docs/security/ise/2-0/upgrade_guide/b_ise_upgrade_guide_20.html

/content/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20.html

Documents

Configurar ISE 2.2 para a integração com server de … · 4. Integre o ISE com MySQL: 5. Configurar políticas da authentication e autorização: Verificar Troubleshooting ... Ubuntu