伊势 2.0初始配置-启用服务和/ PassiveID配置

在本文中,我们将在此博客文章中为ISE节点启用服务,并在ISE和Active Directory之间配置服务(在ISE 2.1中称为PassiveID)。该服务使ISE能够监视由域控制器而非直接由dot1x进行身份验证的用户。此功能对于EasyConnect配置很有用,稍后的文章中将对此进行说明。 它可以通过使用Microsoft WMI界面连接到Active Directory以及通过查询Windows事件消息中的日志来收集此信息。 

我们之前在Active Directory中配置了组策略,以允许ISE收集这些日志。如果您需要查看该配置,请单击 这里。在本文中,我们将为/ PassiveID集成配置ISE节点并进行测试。 

打开ISE GUI并且导航对 行政 >System>Deployment。单击您正在使用的ISE节点的主机名。 。这将打开“编辑节点”页面。选中此页面上的以下框以为pxGrid启用此节点:

  • 启用S​​XP服务 -这是一项允许端点将安全组标记与IP地址绑定进行通信的服务。对于pxGrid而言,这不是必需的,但对于TrustSec则是好的,我将在以后的博客文章中对其进行配置。
  • 启用设备管理服务 -这是为了将ISE节点用于TACACS +,以便可以使用ISE来管理网络访问设备。 pxGrid不需要它,但是由于我稍后将在TACACS +和ISE 2.0上做文章,因此我将检查此选项。
  • Enable 身份映射 (in 伊势 2.1, this is 启用被动身份服务) -这当然是针对pxGrid集成的。这指定此主机可用于pxGrid身份映射。
  • 格网 -这将为此主机启用pxGrid服务

注意:在ISE 2.1中,增加了一个其他角色:

  • 启用ThreatCentric NAC服务 -这启用了以威胁中心NAC服务为基础的ISE 2.1,该服务允许ISE与AMP for Endpoints和Qualys集成 

导航 行政 >Identity Mapping>AD域控制器 (在ISE 2.1中,这称为 PassiveID) 然后点击 加。 如果组策略中的PassiveID配置正确遵循了先前博客文章中的说明,则应该可以轻松在此页面上添加AD服务器。在“新建AD域控制器”页面中,这些字段很容易解释。对于凭据,请使用配置组策略时计划使用的凭据(域管理员或非域管理员帐户)。如果需要,您可以在此处添加许多域控制器。添加所需数量以收集日志表格。 

点击 验证直流连接设置 按钮以验证此连接。有时我注意到,第一次尝试可能会失败,因此请至少重试一次或两次。如果在ISE服务器和Active Directory服务器上都正确配置了所有内容,则应该获得一个绿色复选框,以验证是否正确建立了连接。如果您收到此成功消息,请单击 提交 保存设置。 

如果连接失败,请检查以下内容以进行故障排除:

1)GPO设置
2)用户凭证
3)ISE和AD服务器之间的网络连接
4)ISE使用其中有Active Directory FQDN的DNS服务器
 

通过建立这个,你应该 看到用户登录到域下 运作方式>RADIUS Livelog 无论它们是否连接到通过ISE进行身份验证的设备。 

接下来,我们将启用自动注册的Pxgrid服务。这将使您的Pxgrid客户端在以后的博客文章中无缝地将自己添加到ISE。在生产环境中,如果要手动批准Pxgrid客户端,则可能要禁用自动注册,但是对于实验室,我通常不这样做。 Navigate to 行政 >Pxgrid Services 然后点击 启用自动注册 链接位于右上角。