伊势 2.0初始配置-引导并加入AD域

现在,我们已经配置了Active Directory,我们将开始设置ISE。在本文中,我将逐步介绍ISE的基本自举,以及如何将其加入Active Directory域。我在实验室中使用的是ISE 2.0,这是本文发布时的最新版本的ISE,但是自举和加入Active Directory域的过程与以前的版本保持不变。  在我的实验室中,我正在使用从ISO部署的ISE虚拟机。虽然可以通过从Cisco站点下载的OVA进行部署,但我建议改用ISO下载。原因是您可以在部署虚拟机之前对其进行配置。过去,我看到ISE在部署OVA然后更改其资源(添加/删除RAM,vCPU等)后会变慢。在将其安装到该VM上之前,更容易对其进行正确设置和调整大小。

ISO安装完成后, 您将通过vSphere Client启动虚拟机和控制台。您将看到一个登录屏幕,您可以在其中输入 建立 配置设备:

在安装过程中,您需要提供以下信息:
- 主机名
-ISE的IP地址
-网络掩码
- 默认网关
-DNS域- I use my 活动目录 domain
-名称服务器-这是我的AD服务器,因为它也是我的DNS服务器
-NTP服务器-(至少一个)
- 时区
-用户名-默认为admin。 这是用于CLI登录,而不是GUI
-密码- 同样,用于登录CLI

输入此信息后,ISE将启动网络接口,尝试与默认网关和名称服务器联系,并在安装完成后重新启动(如果成功)。

重新启动后,我建议进行一些完整性检查:
1)登录到CLI,并确保您的凭据有效
2)通过发出以下命令来确保NTP已同步 显示ntp 命令
3)确保您可以SSH到ISE服务器。如果不能,请使用 服务sshd启用 command

注意:正确配置NTP非常重要。如果它无法正常工作并且年份/月份偏斜已消除,则可能必须重新安装ISE才能对其进行修复。 


通过在浏览器中输入IP地址导航到ISE GUI。我建议将Firefox用于ISE 2.0。以我的经验,Firefox,Chrome和IE可以在ISE 2.1上正常运行。 

登录到GUI:

导航 行政>System>Admin Access>Administrators>Admin Users. 在这里,您可以创建新的管理员,也可以更改默认管理员用户的密码,因此不再是默认凭据。 

接下来,我们将ISE加入Active Directory域。在我们最初配置AD的先前文章中,我提到了时间同步的重要性。原因是,如果ISE和AD之间的时间同步大于5分钟,则ISE将不会加入域。要注意的另一件事是,您要确保使用的任何DNS服务器都具有域控制器的AD指针记录。如果没有,ISE将无法找到域控制器并且不加入域。 

导航 行政>外部身份来源>Active Directory 然后点击

在里面 连接点名称 字段,使用AD服务器的计算机名称,并将域名添加到 活动目录 Domain 领域:

单击提交后,将弹出一个窗口,要求提供域凭据以将ISE添加到域。我使用了管理员凭据,但是如果您在上一个练习中创建了,则可以使用其他帐户之一:

 

此时,ISE将尝试加入域。如果一切顺利,您应该收到以下消息:

如果您无法加入域,则应该收到一条消息,说明为什么不这样做。如果仍然不清楚,请检查以下内容:

  • 伊势和域控制器之间的网络连接
  • 伊势和DNS服务器之间的网络连接
  • 该记录存在于DNS服务器上的AD服务器
  • 伊势与您的域控制器之间的时差
  • 域控制器和DNS服务器防火墙设置
  • 活动目录 username 和 password

将ISE加入域后,单击 团体 标签。 Click on  and then 选择目录组。这是我们将Active Directory组添加到ISE以便将来在我的身份验证策略中使用的地方。在生产环境中,您可以使用 名称筛选 字段来搜索特定的组,或者如果您有较大的Active Directory域,则将其缩小。就我的实验室而言,我使用星号将所有广告组拉起来:

在我的实验室中,我选中了“域用户”,“域计算机”,“域管理员”,“员工”和“供应商”复选框,因为稍后我将使用身份验证策略创建基于角色的访问。 

然后导航到 属性 标签。 Click 从目录中选择属性。在样本用户或计算机帐户中,输入管理员用户名或您创建的其他用户名。这将拉出该帐户的AD属性。您可以选中相应框,以备以后在策略中可能要使用的属性。就我而言,我使用了cn,memberOf和userCertificate属性:

完成后,单击 to finish this 活动目录 configuration.