Uma das coisas que eu valorizo em materiais na internet é quando eles ajudam em pontos específicos de algum problema.
Eu pressuponho que um técnico deve esgotar todas as possibilidades através dos materiais técnicos fornecidos pelos fabricantes antes de sair perguntando em Blogs. Quando se trata de Cisco, ninguém pode reclamar de material. Se alguem o faz, recomento tentar aprender algo sobre Centrais Telefonicas Philips, Ericsson,etc. Estes fabricantes sim escondem seus materiais em algum cofre dentro da empresa.
Estou trabalhando em um projeto onde teremos um Cluster de ISEs, primario e secundário. Em uma implantação clássica, estou deixando o primário com Adminstration e Logging e o secundário com Policing. Todo o processo de configuração de um ISE é bem interessante mas não vale a pena escrever um Post sobre isso. Existem muitos materiais disponíveis na internet e eu recomendo os Videos do Lab Minutes. São definitivamente bons.
Porém, nem sempre você conseguirá tudo o que precisa. Nuancias em seu implantação ou mesmo a forma de fazer, pode lhe trazer surpresas. E aqui entram os Post úteis, como acredito que será este.
Existem alguns pré requisitos para registrar um novo node. O link abaixo explica ítem a ítem:
http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_dis_deploy.html#wp1145033
Ao realizar suas configurações, confira ítem a ítem e tenha certeza que você atende todos os pré requisitos. Se não entender algum deles, entenda isso como um ponto a ser melhorado e estude sobre o assunto. Mais importante que conseguir fazer é entender o que você está fazendo. Isso é fundamental para adminstrar depois de pronto.
Uma vez tendo os requitos atendidos, vamos fazer as configuraçoes.
Duas etapas importantes são:
Criar um usuário admin e colocar nos grupos super admin, rbac admin e system admin
Criar um certificado novo no ISE primário.
Eu briguei com a integração quase um dia todo sem sucesso porque não fiz isso. Usei o usuário de adminstração que eu havia criado na instalação do ISE, esse usuário está apenas no grupo system admin e também usei o certificado default do ISE.
Esse "pulo do gato" e os passos que colocarei abaixo, muito provavelmente lhe ajudará a ter os ISEs integrados sem maiores problemas.
Usuários administradores podem ser criados em :
Administration > Admin Acess >Administrator.
Nesta página são listados os Administradores configurados e a possibilidade de adicionar um novo:
- Super Admin, System Admin, or RBAC Admin
Desta forma, eu preferi adicionar um novo usuário e usá-lo. Lembrando que isso é necessário apenas no node secundário.
Apos preencher algumas informações básicas, temos que selecionar os grupos.
Criado o usuário, vamos para a segunda etapa que é criar e trocar os certificados entre os nodes.
Eu tive um outro problema aqui porque o domínio que configurei durante o setup inicial está incorreto. Ao final do processo, um certificado foi gerado e eu tentei usá-lo, porém, não aceitava por ter havido uma mudança no FQDN.
Para resolver, criei um novo certificado em ambos os ISEs e importei.
Em Administration > Certificate vamos ter a seguinte tela:
Para adicionar um novo Certificado, clicar em Add:
A troca dos certificados criados é extremamente simples.
Na janela mostrada acima, podemos ver o botão importe. Ao clicar em importe, podemos mapear o arquivo em nossa máquina e carregar.
Concluído essas etapas, nos resta apenas sincronizar os ISEs. Para isso, vamos em:
System > Deployment
Entre com o hostname seguido do domínio. O usuário e senha é o user criado como informado acima. Pertencente aos três grupos informados.
Se tudo correr bem, a tela acima será a tela final. Temos dois ISEs integrados.
Como disse, o objetivo deste Artigo é ajudar em uma dificuldade específica. Um tutorial sobre "como subir um ISE do zero" não é produtivo. Existem muitos vídeos ótimos na Internet.
Eu tive problemas e consegui resolver. Caso alguém tenha alguma outra dificuldade, basta informa ,podemos encontrar uma solução e adicionar ao artigo posteriormente.
