ISE Najlepsze praktyki oraz rozwiązywanie problemów
Michał Garcarz
Krakow TAC AAA Lead
CCIE #25272 (R&S, Security, Wireless)
Cisco Secure 2014
Cisco Public 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
?
Cisco Public 3© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP – problemy i rozwiązania
Client suppression
Debug/runtime
Packet capture
Config validator
Posture
Active Directory
Cluster
Hasła – odzyskiwanie
Agenda
Cisco Public 4© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP
Cisco Public 5© 2013-2014 Cisco and/or its affiliates. All rights reserved.
1. EAP: dot1x (wired, wireless), ASA/IOS VPN ikev2, integracja ISE 1.3
2. Olbrzymia liczba suplikantów 802.1x (Windows, Anyconnect, MAC OS, Linux, Open1X, Android, Apple IOS i wiele innych zwłaszcza mobilnych) –ich wszystkich musimy akceptować jako gości/BYOD
3. RFC nie zawsze precyzyjne (PEAP MSCHAPv2 draft)
4. Nie obsługiwanie „may” z RFC np.: atrybut Radius Framed-MTU (RFC 2865) pozwalający na ustalanie rozmiarów fragmentów EAP-TLS
5. Zachowania specyficzne np.: certyfikat Apple (potwierdzenia), niewłaściwe kończenie sesji EAP-PEAP
6. Kto najbardziej ? Sieci kampusowe, uczelnie, hotele
EAP
Cisco Public 6© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP-PEAP przykład
Cisco Public 7© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP-PEAP przykład
Cisco Public 8© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Event 5411 Supplicant stopped responding to ISE
Failure Reason 12930 Supplicant stopped responding to ISE after sending it the first PEAP message
Resolution Verify that supplicant is configured properly to conduct a full EAP
conversation with ISE. Verify that NAS is configured properly to transfer EAP messages to/from supplicant. Verify that supplicant or NAS does not have a short timeout for EAP conversation. Check the network that connects the Network Access Server to ISE.
Root cause Supplicant stopped responding to ISE after sending it the first PEAP message. Username anonymous.
EAP Troubleshooting – supplicant timeout
Dlaczego anonymous ? (AC)
Cisco Public 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP-PEAP przykład
Cisco Public 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Reason: 12930 Supplicant stopped responding to ISE after sending it the first PEAP message
Reason: 12931 Supplicant stopped responding to ISE after sending it the first EAP-TLS message
Reason: 12932 Supplicant stopped responding to ISE after sending it the first EAP-FAST message
Reason: 12933 Supplicant stopped responding to ISE during EAP-FAST tunnel establishment
Reason: 12934 Supplicant stopped responding to ISE during PEAP tunnel establishment
Reason: 12935 Supplicant stopped responding to ISE during EAP-TLS Certificate exchange
Reason: 12936 Supplicant stopped responding to ISE after sending it inner EAP Identity Request
Reason: 12937 Supplicant stopped responding to ISE after sending it the first inner EAP-MSCHAPv2 message
EAP Troubleshooting – supplicant timeout
Cisco Public 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Client Suppression
Cisco Public 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Problem: Nieudane autentykacje: zasoby (CPU, logowanie), limit sesji EAP (per węzeł).
Efekt:
„5405 RADIUS Request dropped” (limit sesji)
Oraz mnóstwo logów w Mnt (logowanie)
CPU i zasoby dyskowe przeciążone (CPU, dysk twardy)
Rozwiązanie:
Nie dopuszczenie do wielu nieudanych sesji (czy zawsze możliwe ?, kampus)
Client Suppression (blacklista na ISE)
Client Suppression
Cisco Public 13© 2013-2014 Cisco and/or its affiliates. All rights reserved.
WLC (Client Exclusion Policies), ISE 1.2 (Client Suppression). AAA debug lub packet capture: pokaże gdzie.
Client Suppression
Cisco Public 14© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Endpoint na blackliście 2014-08-31 20:02:11,058,DEBUG,0x2b653bf8f940,cntx=0000003030,sesn=ISE-sec/167315226/509,
ClientSuppression endpoint is in reject mode ,ClientSuppression.cpp:357
2014-08-31 20:02:11,058,INFO ,0x2b653bf8f940,cntx=0000003030,sesn=ISE-sec/167315226/509, RadiusRequestFlow reject endpoint=87-32-4a-20-3a-20 due to suppression,RadiusRequestFlow.cpp:235
Endpoint poprawny 2014-08-31 14:18:23,869 DEBUG [Thread-316][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
ClientSuppression,DEBUG,0x7f9395103700,cntx=0000001301,sesn=lise/198843988/16,CPMSessionID=c0a8010a0000500054032eae,CallingStationID=192.168.10.68,FramedIPAddress=192.168.1.50,ClientSuppression endpoint is not in the misconfigured list, ClientSuppression.cpp:395
Client Suppression
Cisco Public 15© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Endpoint (user?) nie jest dodawany do identity group „Blacklist” (to jest usługa Portalowa). Reguła authz dla Blacklist.
Logowanie jest ograniczone przez Reporting Interval, który domyślnie wynosi 15min (ochrona przed DoS). To oznacza, że w przypadku kolejnej nieudanej autentykacji zazwyczaj nie będzie logów.
Endpoint domyślnie jest blokowany przez 60min (Request RejectionInterval)
W raze wątpliwości: Diagnostic Tool/ Endpoint debug
Klient wyłączył suppression -> awaria. Unsupression per mac.
Client Suppression - podsumowanie
Cisco Public 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Debug runtime
Cisco Public 17© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Jeśli błędy raportowane przez ISE Mnt nie wystarczają (a kiedy ich brak ?)
Jeśli packet capture nie daje jednoznacznej odpowiedzi (pakiety uszkodzone, inne kodowanie) ?
Jeśli decyzja podejmowana przez ISE jest niejasna (np.: clientsuppression)
Rozwiązanie:
Packet capture
Debug aaa runtime
Debug AAA/runtime
Cisco Public 18© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Debug AAA/runtime - przykład
Dane o sesji, każdy pakiet Radiusa dokładnie wyświetlony (prrt.log):
Dokładnie przeanalizowany, np.: sprawdzony MAR cache i ustawiona flaga WasMachineAuthenticated:
Cisco Public 20© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Prrt.log (ISE 1.2): Eap,2014-07-14 12:31:28,451,WARN ,0x2b143f749940,NIL-
CONTEXT,configureServerCertificateChain - failed to configure the server-certificate chain ; will continue without the complete chain, EapConfigObjectBase.cpp:718
Eap,2014-09-07 09:07:53,513,WARN ,0x2b455c8d6940,cntx=0000052614,sesn=ise01/178019822/4743,user=example.com\mgarcarz,EAP-TLS: ProcessData failed with handshake error, EapTlsProtocol.cpp:588
Eap,2014-09-07 09:07:53,513,WARN ,0x2b455c8d6940,cntx=0000052614, sesn=ise01/178019822/4743, user=example.com\mgarcarz,EAP-TLS: SSL handshakefailed, connection state = 3, peek SSL error 1048, SSL message "SSL alert: code=0x230=560 ; source=remote ; type=fatal ; message="unknownCA"",EapTlsProtocol.cpp:659
Exception in parsing attributes !,RADIUSHandler.cpp:453 (Narzędzia TAC)
ISE 1.3 Prrt-server.log
Debug AAA/runtime - przykłady
Cisco Public 22© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Natywny suplikant 802.1x (EAP-TLS) na windows nie wysyła całego łańcucha w ClientHello (brak dołączonego CA) – Efekt ?
Debug AAA/runtime – windows zachowanie dla EAP-TLS
Cisco Public 23© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Debug AAA/runtime – przykłady, windows zachowanie
Authentication failed : 12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain"
Kiedy ? Jeśli certyfikat klienta podpisany subCA (którego zazwyczaj nie będzie na ISE, ponieważ tam wystarczy CA) klient->subCA->CA (Windows wyśle klient), ISE nie umie zweryfikować bo nie ma subCA (ma tylko CA w trusted store)
Objeście problemu: zainstalowanie subCA w trusted store na ISE
Rozwiązanie: Anyconnect NAM (poprawnie wysyła cały łańcuch certyfikatów klienta)
Cisco Public 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture
Cisco Public 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Problem: pakiety odrzucane, uszkodzone, fragmentacja
Rozwiązanie:
Packet capture na ISE
Debug aaa runtime
Gdzie podsłuchiwać ?
ISE
NAD
Packet capture
Cisco Public 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Wygodnie (z poziomu GUI)
Pakiety z dowolnego węzła (z poziomu GUI PAN – filozofia ISE)
Filtry
Interfejsy
Format pcap (wireshark)
Packet capture
Cisco Public 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture
Cisco Public 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture – przykład wyliczenia Message-Authenticator
11036 The Message-Authenticator Radius Attribute is invalid.5405 RADIUS Request dropped
Atrybut Radius zdefiniowany w RFC 3579 służący do walidacji poprawności (integralności, nadawcy) pakietów.
Obierający wylicza i porównuje: Message-Authenticator = HMAC-MD5 (Type, Identifier, Length, Request Message-Authenticator, Attributes)
Resolution: Check whether the Shared Secrets on the AAA Client and ISE Server, match.Ensure that the AAA Client and the network device, have no hardware problems or problemswith RADIUS compatibility. Also ensure that the network that connects the device to theISE, has no hardware problems.
Cisco Public 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture – przykład wyliczenia Message-Authenticator
pluton # cat packet30-clear-msgauth.bin | openssl dgst -md5 -hmac 'cisco'(stdin)= 01418d3b1865556918269d3cf73608b0
Cisco Public 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture – zdeszyfrowana i zdekodowana sesja PEAP-MSCHAPv2
Potrzeba analizy sesji MSCHAP w tunelu SSL (EAP-PEAP)
Wireshark posiada dekoder SSL (warunek: cipher RSA, nie DH, klucz prywatny serwera) – ale potrafi to zrobić tylko dla ruchu SSL overTCP (a nie SSL over EAP over Radius)
Rozwiązanie:
Skrypt perl tworzący sesje TCP do której zostaje przekopiowany payloadSSL z EAP (https://supportforums.cisco.com/blog/154046)
Cisco Public 32© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Packet capture – zdeszyfrowana i zdekodowana sesja PEAP-MSCHAPv2
Jeśli suplikant posiada poprawne hasło wyśle odpowiedź z 49 bajtami challenge response:16 octets: Peer-Challenge8 octets: Reserved, must be zero24 octets: NT-Response1 octet : Flags
Cisco Public 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
Cisco Public 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Problem:
czy urządzenie sieciowe zostało skonfigurowane poprawnie
czy jest dostępne z/do ISE
czy ISE ma poprawne dane dostępu do urządzenia
per usługa/technologia (np.: Trustsec)
Rozwiązanie:
Configuration validator
Configuration Validator
Cisco Public 35© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
Podajemy
Adres ip, Interfejs oraz usługę do sprawdzenia
Cisco Public 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
Podajemy Dane do logowania (telnet
lub ssh)
Cisco Public 37© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
Dostajemy wynik konfiguracji poszczególnych sekcji
Cisco Public 38© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
• Radius global config• Device discovery config• Logging config
Cisco Public 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Configuration Validator
• Profiler config• Web auth config• Trustsec config
Cisco Public 40© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture
Cisco Public 41© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture
Cel
Instalacja na stacji aplikacji (NAC Agent) która sprawdzi czy stacja jest zgodna z politykami (compliance) i wyśle raport do ISE
Rezultat
ISE wiedząc czy stacja jest zgodna z politykami (lub nie) dynamicznie zmieni poprzez Radius CoA stan sesji na urządzeniu końcowym (switch, WLC, ASA): możliwość kwarantanny albo uzyskanie pełnego dostępu
Jak
Przekierowanie HTTP do ISE (CWA lub CPP flow)
Reguły „client provisioning” zależne od systemu operacyjnego (HTTP User-Agent)
Cisco Public 42© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – client provisioning
Reguły kontrolujące jakiego agenta instalujemy
Niepoprawna regułka!
Cisco Public 43© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – polityki
Reguły kontrolujące jakie polityki muszą być sprawdzone przez agenta
Cisco Public 44© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – posture szczegóły
Weryfikacja:- Szczegóły dotyczące sesji(user, mac, ip)- Lista regułek polityki (które warunki zostały spełnione a które nie
Cisco Public 45© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – posture szczegóły
Compliant
NonCompliant – lista wymagań
Kiedy pojawia się okno NAC Agenta ?
Cisco Public 46© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – poprawne debugi posture (ise-psc.log)
Discovery
Poproszę o polityki Received posture requestPosture policy resource id posture_rule1….File Path Suffix=C:\test.txt, File Type=FileExistence,
Polityka z regułkami
Raport (compliant)
Konfiguracja
Posture state is compliant for endpoint with mac …..
Sending response to endpoint….X-Perfigo-VLAN-Change-Delay=3(NAC Agent profile)
NAC Agent Pop-up
Cisco Public 49© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – debugi problemy (ise-psc.log)
2014-09-18 17:55:19,868 DEBUG [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- Session Id is null, setting to emptystring as part of audit logging
2014-09-18 17:55:19,868 DEBUG [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- Mac address is null, setting to emptystring as part of audit logging
2014-09-18 17:55:19,868 ERROR [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- doError: 500 - Unable to get sessionfrom session cache
2014-09-18 17:55:19,868 ERROR [portal-http-8443302][] cpm.client.provisioning.action.ProvisioningAction -:::::- ProvisioningHandler encountered anexception while handling the request
Wolne łącze, timeout przy ściąganiu klienta (sesja już nie istnieje). Kiedy ? Ustawienia Java/ActiveX.
Cisco Public 50© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Posture – debugi problemy (ise-psc.log)
cpm.client.provisioning.handler.PostureAgentHandler -:::::- is IE?: Firefox
cpm.client.provisioning.action.ProvisioningAction -:::::- Setting webagent_download_top3 = This portal requires you to disable CRL. To disable CRL: Control Panel, Java, Advanced, Perform certificate revocation checks on: Change to - Do not check (not recommended).
Dlaczego musimy rozpoznawać typ przeglądarki (IE, Firefox ?)
Firefox wykorzystuje własny store na certyfikaty (nie systemowy/Windows). Nie wspiera ActiveX wiec musi ufać podpisanemu apletowi Javy. Upewnić się, że certyfikat ISE którym aplet jest podpisany jest zaufany (CA w trusted storeFirefoxa).
Problemy z CRL (jeśli certyfikat ISE/CA wskazuje na serwer CA który jest niedostępny)
Cisco Public 51© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory
Cisco Public 52© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory
Częste problemy
Czas (Kerberos akceptuje 5 min)
Złe DNSy
Firewall, wiele DC, wiele domen
Wspierane AD, per node, wersja
Narzędzia
Adinfo
ADDT
Test User
CLI + debugs
Koncepcje
Join Point
Cisco Public 53© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active DirectoryJeśli jest wiele DC w obrębie jednej domeny który serwer jest wybierany przez klienta ?wiele rekordów SRV _ldap._tcp.dc._msdcs.example.com
Efekt: różne węzły ISE podpięte do różnych DC w obrębie tej samej domeny (geograficznie, lokalizacje etc).
Cisco Public 54© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active DirectoryJeśli jest wiele DC w obrębie jednej domeny który jest wybierany przez klienta ?A jak to zrobić ręcznie (nie zalecane – troubleshooting !)
ise/admin# application configure ise[3]Configure Active Directory settingsParameter Name: dns.gcParameter Value: 1.1.1.1Parameter Name: dns.dcParameter Value: 2.2.2.2Parameter Name: dns.serversParameter Value: 3.3.3.3
Efekt: różne węzły ISE podpięte do różnych DC w obrębie tej samej domeny (georaficznie, lokalizacje etc).
Co się stanie jak dc=2.2.2.2 nie osiągalny ?
Cisco Public 55© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – Join PointJeśli jest wiele DC w obrębie różnych domen.ISE 1.3 - koncepcja Join Point
Efekt: różne węzły ISE podpięte do różnych domen (i w efekcie do różnych DC). Możliwość selekcji po poddomenach (np.: lokalizacja)
Cisco Public 56© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – Join Point cdJeśli jest wiele DC w obrębie różnych domen.ISE 1.3 - koncepcja Join Point
Efekt: różne węzły ISE podpięte do różnych domen (i w efekcie do różnych DC). Możliwość selekcji po poddomenach (np.: lokalizacja)
Cisco Public 57© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory - Join Point cd
Możliwość granularnego wyboru domeny
Cisco Public 58© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – troubleshooting z Adinfo
Opcja Test Connection/Details: wiele szczegółów dotyczących sesji
Cisco Public 59© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – troubleshooting z Adinfo
„Failed to finddomain controller in domainEXAMPLE.COM: There are no available DC’s”
Czyli jest łączność z DNS ale brak odpowiednich rekordów SRV. Prawdopodobnie wskazujemy nie ten serwer DNS.A co jeśli „join” się udaje ale autentykacje użytkowników nie ???
Cisco Public 60© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – troubleshooting z ADDT (ISE 1.3)
A co jeśli „join” się udaje ale autentykacje użytkowników nie ???
Cisco Public 61© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – troubleshooting z Test User
Od ISE 1.3 – pełen proces autentykacji/autoryzacji po Kerberos/MS-RPC albo sam „Lookup”
Cisco Public 62© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Active Directory – troubleshooting z Test User
Lookup Kerberos
Cisco Public 65© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cluster
Cisco Public 66© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cluster (Distributed Deployment) – Role vs Persona
Rola – opisuje usługi które działają na danym węźle:
Administration (PAN)
Monitoring (MNT)
Service Policy (PSN)
pxGrid
Persona – opisuje stan tych ról
Standalone (jeden węzeł)
Primary (możliwe dla PAN oraz MNT)
Secondary (możliwe dla PAN oraz MNT)
Cluster
Max 2 x PAN (Primary+Secondary)
Max 2 x MNT (Primary+Secondary)
Wiele PSN (do 40)
10 PSN per nodegroup
Cisco Public 67© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cluster – Problemy Rejestracji „nie Standalone”
Próba rejestracji (dodania) węzła:
2014-02-05 10:17:17,942 ERROR [admin-http-pool230][] cpm.admin.infra.action.DeploymentEditAction -:admin:30263645F28D9634384007944B540725:ise2-sec.test-cisco.com:registerNode:- Unable to register ise2-sec. Node isnot a Standalone node.
Węzeł już jest w „cluster”Rozwiązanie:- Derejestracja- Application reset-config ise
Cisco Public 68© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cluster – Problemy Rejestracji „nie zaufany certyfikat”
Próba rejestracji (dodania) węzła:
2014-02-05 10:45:06,715 ERROR [admin-http-pool224][] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -:admin:30263645F28D9634384007944B540725: ise2-sec.test-cisco.com:registerNode:- An error occured while registering the node
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Certyfikat nowego węzła nie zaufany.Rozwiązanie:- Dodanie odpowiedniego CA do trustedcertificates
Cisco Public 72© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Hasła - odzyskiwanie
Cisco Public 73© 2013-2014 Cisco and/or its affiliates. All rights reserved.
pluton CiscoSecure2014 # ssh [email protected]
[email protected]'s password:
You are required to change your password immediately (password aged)
Last login: Sun Aug 31 13:53:24 2014 from 10.61.212.8
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user admin.
Changing password for admin
(current) UNIX password:
New UNIX password:
BAD PASSWORD: is too similar to the old one
New UNIX password:
BAD PASSWORD: is too similar to the old one
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
Hasła administracyjne – CLI (Linux)
ise2/admin# password
Enter old password:
Enter new password:
Confirm new password:
ise2/admin#
Wygaśnięcie hasła CLI użytkownika admin
i wymuszona zmiana hasła
Hasła CLI (Linux) lokalne per węzeł !
Ręczna zmiana hasła CLI użytkownika admin
Cisco Public 74© 2013-2014 Cisco and/or its affiliates. All rights reserved.
pluton CiscoSecure2014 # ssh [email protected]
[email protected]'s password:
ise2/admin# application reset-passwd ise admin
Enter new password:
Confirm new password:
Password reset successfully.
Hasła administracyjne – GUI (Aplikacja)
Hasła GUI (Aplikacja) takie samo dla wszystkich węzłów w klastrze !
Wygaśnięcie hasła GUI i brak możliwości zmiany przez GUI, zmiana tylko przez CLI
Cisco Public 75© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Hasła administracyjne - polityki
Polityka wspólna dla CLI oraz GUI, konfigurowana z GUI:
password-policy
password-expiration-enabled
password-expiration-days 1
min-password-length 4
Replikowana do CLI
Nie mylić z politykami haseł dla użytkowników sieciowych!
Cisco Public 76© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Hasła administracyjne – polityki sieci i gości
Oddzielne polityki dla administratorów, użytkowników, gości.
UżytkownicyGoście
Cisco Public 77© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CLI – poprzez bootowanie ISO z opcją recovery
Welcome to Cisco Identity Services Engine - ISE 3355
To boot from hard disk press <Enter>
Available boot options:
[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)
[2] Cisco Identity Services Engine Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot: 3
Hasła administracyjne - odzyskiwanie
GUI – poprzez application password-reset (z CLI)
ise2/admin# application reset-passwd ise admin
Enter new password:
Confirm new password:
Password reset successfully.
Cisco Public 81© 2013-2014 Cisco and/or its affiliates. All rights reserved.
EAP – problemy i rozwiązania
Client suppression
Debug/runtime
Packet capture
Config validator
Posture
Active Directory
Cluster
Hasła – odzyskiwanie
Podsumowanie
Pytania ?
Dziękuję
Top Related