ตั้งค่า 802.1X Wired Authentication บน Cisco Switch ด้วย Cisco ISE กับ Active Directory

ในบทความนี้เรามาตั้งค่า 802.1X Wired Authentication บน Cisco Switch ด้วย Cisco ISE กับ Active Directory กันครับ

1. ตั้งค่า External Authentication โดยใช้ Active Directory (AD)

ใส่ AD username / password สำหรับ Join Domain

เลือก Group จาก AD ที่ต้องการ เพื่อมาใช้งาน

สร้าง Identity Source Sequence แล้วเลือก AD ที่ add เข้ามาก่อนหน้านี้ เข้ามาใช้งาน

2. สร้าง Network Device Group และ Location ของ อุปกรณ์ Switch ที่จะ add เข้ามาสำหรับ authentication

3. Add Switch เข้ามาใน ISE และตั้งค่า RADIUS

4. ตั้งค่า Downloadable ACL สำหรับอนุญาตให้ไปได้เฉพาะ AD

6. ตั้งค่า Authorization Profile ผูกกับ dACL สำหรับอนุญาตเฉพาะ AD

7. ตั้งค่า Authorization Profile ผูกกับ dACL สำหรับ permit all

8. ตั้งค่า Policy Set สำหรับ Wired Authentication Policy

9. ตั้งค่า Authentication Policy สำหรับ Wired Authentication Policy

9. ตั้งค่า Authentication Policy สำหรับ Wired Authentication Policy

11. ตั้งค่า Authorization Policy สำหรับ User Authentication Policy สำหรับ authen user บน AD และให้ตรวจสอบว่าต้องมี host authen ก่อนถึงจะอนุญาตให้ใช้งานได้

12. ตั้งค่า AAA บน Switch

aaa new-model
dot1x system-auth-control

radius server ISE
 address ipv4 10.1.1.200 auth-port 1812 acct-port 1813
 key eve1

radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server dead-criteria time 30 tries 3
radius-server timeout 2

aaa group server radius ISE-GROUP
 server name ISE
 ip radius source-interface Vlan10

aaa authentication dot1x default group ISE-GROUP
aaa authorization network default group ISE-GROUP
aaa accounting update periodic 5
aaa accounting dot1x default start-stop group ISE-GROUP

aaa server radius dynamic-author
 client 10.1.1.200 server-key eve1

interface Ethernet1/1
 switchport access vlan 10
 switchport mode access
 authentication host-mode multi-auth
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 10
 spanning-tree portfast edge

13. ตรวจสอบการตั้งค่า Wired AutoConfig บนฝั่ง Windows

15. ตั้งค่า Authentication บน Window

16. ตรวจสอบการ Authentication บน Switch

SW#show authentication sessions int e1/0 details
            Interface:  Ethernet1/0
          MAC Address:  5000.0005.0000
         IPv6 Address:  Unknown
         IPv4 Address:  10.1.2.1
            User-Name:  EVE\supakorn.v
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  300s (local), Remaining: 43s
       Session Uptime:  12903s
    Common Session ID:  0A0101FD0000000C00020FA6
      Acct Session ID:  0x00000003
               Handle:  0xB1000001
       Current Policy:  POLICY_Et1/0

Local Policies:
    Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure
      Security Status:  Link Unsecure


Server Policies:
              ACS ACL:  xACSACLx-IP-WIRED_PERMIT_ALL-6313fa09

Method status list:
      Method            State
      dot1x              Authc Success

17. ตรวจสอบการ Authentication บน Cisco ISE

จบเรียบร้อยคร้าบบบบ หวังว่าจะเป็นประโยชน์นะครับ ติดตรงไหนเม้นสอบถามไว้ได้เลยนะครับ