[2025][CISCO ISE#22] - Integration with active directory

안녕하세요.

 

오늘은 Cisco ISE에 Active Directory를 연동해 보겠습니다.

 

Cisco ISE는 Internal Database로 user 또는 End device를 인증 할수 있지만, 외부에 Active Direcotry로도 인증이 가능 합니다. 

 

1. Windows Server에서 Active Directory를 구축합니다.  - 이전 글에서 구축 완료 하였습니다. 

   도메인은 test.local 입니다

2. cisco ISE NTP서버를 windows server로 설정 합니다. 

 Administration -> System -> Setting -> System time 클릭 합니다.

NTP Server 1에 192.168.10.193 입력 합니다.

 

Timezone은 GUI변경이 불가능 합니다.

만약 TimeZone이 다르면, 아래처럼 putty를 통해서 SSH 접속 합니다.

clock timezone Asia/Singapore

ise02/admin(config)#clock timezone Asia/Singapore   % On ise distributed deployments, it is recommended all nodes be % configured with the same time zone. % Changing the time zone may result in undesired side effects % Recommended to reimage the node after changing the time zone Are you sure you want to change the time zone? You must restart ISE for change to take effect.Do you want to restart ISE now? Proceed? [yes,no] yes Stopping ISE Monitoring & Troubleshooting Log Processor... PassiveID WMI Service is disabled PassiveID Syslog Service is disabled PassiveID API Service is disabled PassiveID Agent Service is disabled PassiveID Endpoint Service is disabled PassiveID SPAN Service is disabled Stopping ISE Application Server... Stopping ISE Process Monitoring Service... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping TC-NAC Service ... VA Service is not running ISE VA Database is not running Segmentation Policy Service is disabled REST Auth Service is disabled Stopping ISE Messaging Service... Stopping ISE API Gateway Service... Stopping edda-url-fetcher-service Service... Stopping ISE API Gateway Database Service... Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Stopping ISE Node Exporter... Stopping ISE Prometheus Service... Stopping ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is not running. ISE Logstash Service is not running. ISE Kibana service is not running. ISE Database processes already running, PID: 1360649 Starting ISE Messaging Service... Starting ISE API Gateway Database Service... Starting ISE Profiler Database... Starting ISE API Gateway Service... Starting ISE Monitoring & Troubleshooting Session Database... Starting edda-url-fetcher-service Service... Starting ISE Process Monitoring Service... Starting ISE Application Server... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... NSS database for CA Service is ready ISE EST service is already running, PID: 1372490 Starting ISE AD Connector... Starting ISE Node Exporter... Starting ISE Prometheus Service... Starting ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is disabled ISE Logstash Service is disabled ISE Kibana Service is disabled Note: ISE Processes are initializing. Use 'show application status ise'       CLI to verify all processes are in running state. ise02/admin(config)#end

 

3. name-server가 윈도우 DNS server인지 확인 합니다.

name server 8.8.8.8를 지우고 192.168.10.193를 추가 합니다. 

ise02/admin#show running-config | include name hostname ise02 ip domain-name test.local ip name-server 8.8.8.8  no-username username admin password hash $6$0P59A.G83wyCrKZk$xfb3NrZMfr9C56ncY/0YrMn4KfMmcDolLQRrcpjz14Jycm63VxZ.lQMfG74NqSt2ABgIB9joecTd91Y3V8.t6. role admin ise02/admin# ise02/admin#configure t Entering configuration mode terminal ise02/admin(config)#ip name-server 192.168.10.193   DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE for the change to take effect. Also note for ISE connectivity to AD, ensure all configured DNS servers can resolve all relevant AD DNS records. If this is not the case and current AD join points may not resolve under new DNS settings then it is recommended to manually perform leave and rejoin. Do you want to restart ISE now? Proceed? [yes,no] yes Stopping ISE Monitoring & Troubleshooting Log Processor... PassiveID WMI Service is disabled PassiveID Syslog Service is disabled PassiveID API Service is disabled PassiveID Agent Service is disabled PassiveID Endpoint Service is disabled PassiveID SPAN Service is disabled Stopping ISE Application Server... Stopping ISE Process Monitoring Service... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping TC-NAC Service ... VA Service is not running ISE VA Database is not running Segmentation Policy Service is disabled REST Auth Service is disabled Stopping ISE Messaging Service... Stopping ISE API Gateway Service... Stopping edda-url-fetcher-service Service... Stopping ISE API Gateway Database Service... Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Stopping ISE Node Exporter... Stopping ISE Prometheus Service... Stopping ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is not running. ISE Logstash Service is not running. ISE Kibana service is not running. ISE Database processes already running, PID: 1428135 Starting ISE Messaging Service... Starting ISE API Gateway Database Service... Starting ISE Profiler Database... Starting ISE API Gateway Service... Starting ISE Monitoring & Troubleshooting Session Database... Starting edda-url-fetcher-service Service... Starting ISE Process Monitoring Service... Starting ISE Application Server... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... NSS database for CA Service is ready ISE EST service is already running, PID: 1439913 Starting ISE AD Connector... Starting ISE Node Exporter... Starting ISE Prometheus Service... Starting ISE Grafana Service... ISE MNT LogAnalytics Elasticsearch Service is disabled ISE Logstash Service is disabled ISE Kibana Service is disabled Note: ISE Processes are initializing. Use 'show application status ise'       CLI to verify all processes are in running state. ise02/admin(config)#end ise02/admin#show application status ise

 

4. Windows Server에 Ping 되는지 확인 합니다.

ise02/admin#ping 192.168.10.193 PING 192.168.10.193 (192.168.10.193) 56(84) bytes of data. 64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.662 ms 64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.576 ms 64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.749 ms 64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.572 ms --- 192.168.10.193 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3075ms rtt min/avg/max/mdev = 0.572/0.639/0.749/0.078 ms ise02/admin#

 

5. DNS으로 Ping 되는지 확인 합니다.

ise01.test.local - 첫번째 ISE01 서버

ise02.test.local - 두번째 ISE02 서버

first.test.local  - windows server - NTP, AD, DNS, DHCP, CA and Etc

ise02/admin#ping ise01.test.local PING ise01.test.local (192.168.10.191) 56(84) bytes of data. 64 bytes from 192.168.10.191: icmp_seq=1 ttl=64 time=0.710 ms 64 bytes from 192.168.10.191: icmp_seq=2 ttl=64 time=0.363 ms 64 bytes from 192.168.10.191: icmp_seq=3 ttl=64 time=0.341 ms 64 bytes from 192.168.10.191: icmp_seq=4 ttl=64 time=0.409 ms --- ise01.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3088ms rtt min/avg/max/mdev = 0.341/0.455/0.710/0.151 ms ise02/admin#ping first.test.local PING first.test.local (192.168.10.193) 56(84) bytes of data. 64 bytes from 192.168.10.193: icmp_seq=1 ttl=128 time=0.424 ms 64 bytes from 192.168.10.193: icmp_seq=2 ttl=128 time=0.588 ms 64 bytes from 192.168.10.193: icmp_seq=3 ttl=128 time=0.651 ms 64 bytes from 192.168.10.193: icmp_seq=4 ttl=128 time=0.556 ms --- first.test.local ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3086ms rtt min/avg/max/mdev = 0.424/0.554/0.651/0.087 ms ise02/admin#

 

현재까지 cisco ISE를 Active Directory 연동하기 위해 기본 설정들을 하였습니다.

 

그럼 cisco ISE를 Active Directory에 연동 해보겠습니다.

1. Administration  - Identity Management -> External Identity Sources를 클릭 합니다. 

 

2. 아래처럼 설정 합니다.

join point name - 아무 이름이나 상관없습니다

active directory - 실제 윈도우 서버 AD domain를 입력 합니다. 

 

3. Yes버튼을 클릭 합니다.

 

4. administrator계정과 Password를 입력 합니다.

 

5. 정상적으로 등록 되었습니다. 

 

6. 아래 처럼 정상적으로 등록 되었습니다.

아래 처럼 정보들을 확인 가능 합니다. 그리고 status에서 상태가 Operational입니다. 

 

똑같은 방식으로 Cisco ISE01에서 Active Directory를 등록 합니다. 

 

7. windows server AD group를 불러오겠습니다.

저번글에서 설정했던 ise OU에 있는 user와 그룹을 불러옵니다. 

 

 

select group from directory를 선택 합니다. 

 

Retrieve Groups 버튼을 클릭후 저번에 생성한 그룹을 선택 합니다. 

 

추가적으로 아래로 선택하고 OK버튼을 클릭 합니다. 

 

마지막으로 Save버튼을 클릭 합니다.

 

지금까지 [2025][CISCO ISE#22] - Integration with active directory 글을 읽어주셔서 감사합니다.