Download - Configure ISE 2.2 para la integración con el servidor de MySQL · Ubuntu Linux con MySQL instaló Versión 8.0.100.0 del controlador LAN de la tecnología inalámbrica de Cisco (WLC)

Configure ISE 2.2 para la integración con elservidor de MySQL Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosInformación previaConfigurarDiagrama de la redConfiguraciones1. Configuración MySQL en Ubuntu:2. Base de datos y tablas de la configuración:3. Procedimientos almacenados de la configuración4. Integre el ISE con MySQL:5. Configure las directivas de la autenticación y autorización:VerificaciónTroubleshootingDebugs en el ISEInformación relacionada

Introducción

Este documento describe cómo configurar un Cisco Identity Services Engine (ISE) 2.2 para laintegración con la fuente externa de la Conectividad abierta de base de datos (ODBC) de MySQL.Este documento es válido para las configuraciones que utilizan MySQL como la fuente externa dela identidad para la autenticación y autorización ISE.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración del Identity Services Engine (ISE)●

Configuración básica de MySQL●

Componentes Utilizados

La información este documento se basa en estas versiones de software y hardware:

Versión 2.2 de Cisco ISE●

Ubuntu Linux con MySQL instaló●

Versión 8.0.100.0 del controlador LAN de la tecnología inalámbrica de Cisco (WLC)●

Versión 7x64 de Microsoft Windows●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Información previa

El ISE 2.2 soporta las fuentes externas múltiples ODBC, una de ellas es MySQL. Usted puedeutilizar el ODBC como fuente externa de la identidad para autenticar los usuarios y los puntosfinales similares al Active Directory (AD). La fuente de la identidad ODBC se puede utilizar en unasecuencia del almacén de la identidad y para las autenticaciones del invitado y del patrocinador.

Éste es motores de base de datos de una lista soportados en ISE 2.2:

MySQL●

Oracle●

PostgreSQL●

Microsoft SQL server●

SYBASE●

Más información se puede encontrar aquí: https://www.cisco.com/c/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22/b_ise_admin_guide_22_chapter_01101.html#concept_6EB9B4875CBB47D79168E329696E2C65

Configurar

Diagrama de la red

En este ejemplo de configuración, el punto final utiliza un adaptador de red inalámbrica paraasociarse a la red inalámbrica. El Wireless LAN (red inalámbrica (WLAN)) en el WLC se configurapara autenticar a los usuarios vía el ISE. En el ISE, MySQL se configura como almacén externode la identidad. Esta imagen ilustra la topología de red se utiliza que:

/content/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22/b_ise_admin_guide_22_chapter_01101.html#concept_6EB9B4875CBB47D79168E329696E2C65



Configuraciones

La configuración de MySQL presentada es un ejemplo. No trate está como Recomendación deCisco.

1. Configure MySQL en Ubuntu:

Ponga al día su sistema:

sudo apt-get update

sudo apt-get upgrade

Instale MySQL (usted debe ser indicado para una contraseña para el usuario raíz durante lainstalación):

sudo apt-get install mysql-server

Para acceder la base de datos MySQL:

mysql -u root -p

2. Base de datos y tablas de la configuración:

Cree la base de datos:

mysql>

mysql> CREATE DATABASE demo_db;

Query OK, 1 row affected (0.00 sec)

mysql>

mysql> use demo_db;

Reading table information for completion of table and column names

You can turn off this feature to get a quicker startup with -A

Database changed

Cree al usuario de la base de datos y concédale los privilegios:

mysql>

mysql> CREATE USER 'cisco' IDENTIFIED BY 'cisco';

mysql> GRANT USAGE ON *.* TO 'cisco'@'%';

mysql> GRANT ALL PRIVILEGES ON `demo_db`.* TO 'cisco'@'%';

mysql> GRANT SELECT ON *.* TO 'cisco'@'%';

Cree la tabla de usuarios:

mysql>

mysql> CREATE TABLE úsers´ (

-> ùser_id` int(10) unsigned NOT NULL AUTO_INCREMENT,

-> ùsername` varchar(50) NOT NULL,

-> `password` varchar(50) NOT NULL,

-> PRIMARY KEY (ùser_id`),

-> UNIQUE KEY ùsername_UNIQUE` (ùsername`)

-> ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Query OK, 0 rows affected (0.01 sec)

Cree a los usuarios y agreguelos en la tabla:

mysql>

mysql> INSERT INTO users

-> (user_id, username, password)

-> VALUES

-> (1, "alice", "Krakow123");


Usted puede agregar a otros usuarios semejantemente y enumerar el contenido de la tabla (lamisma manera que los usuarios, agrega la dirección MAC para la contraseña de autenticaciónMAB puede permanecer en blanco):

mysql>

mysql> select * from users;

+---------+----------+-----------+| user_id | username | password |+---------+----------+-----------+| 1 | alice | Krakow123 || 2 | bob | Krakow123 || 3 | oscar | Krakow123 |+---------+----------+-----------+

Cree la tabla de grupos:

mysql>

mysql> CREATE TABLE `groups` (

-> `group_id` int(10) unsigned NOT NULL AUTO_INCREMENT,

-> `groupname` varchar(50) NOT NULL,

-> PRIMARY KEY (`group_id`),

-> UNIQUE KEY `groupname_UNIQUE` (`groupname`)

-> ) ENGINE=InnoDB DEFAULT CHARSET=utf8;


Cree a los grupos y agreguelos en la tabla:

mysql>

mysql> INSERT INTO groups

-> (group_id, groupname)

-> VALUES

-> (1, "everyone");


Usted puede agregar a otros grupos semejantemente y enumerar el contenido de la tabla:

mysql>

mysql> select * from groups;

+----------+------------+| group_id | groupname |+----------+------------+| 3 | contractor || 2 | employee || 1 | everyone |+----------+------------+

Cree la tabla para las asignaciones entre los usuarios y los grupos

mysql>

mysql> CREATE TABLE ùser_group` (

-> ùser_id` int(10) unsigned NOT NULL,

-> `group_id` int(10) unsigned NOT NULL,

-> PRIMARY KEY (ùser_id`,`group_id`),

-> KEY `group_id` (`group_id`),

-> CONSTRAINT ùser_group_ibfk_1` FOREIGN KEY (ùser_id`) REFERENCES ùsers` (ùser_id`)

-> ON DELETE CASCADE,

-> CONSTRAINT ùser_group_ibfk_2` FOREIGN KEY (`group_id`) REFERENCES `groups`

-> (`group_id`) ON DELETE CASCADE

) ENGINE=InnoDB DEFAULT CHARSET=utf8;


Llene la tabla para las asignaciones entre los usuarios y los grupos

mysql>

mysql> INSERT INTO user_group

-> (user_id, group_id)

-> VALUES

-> (1, 1);


Usted puede agregar otras asignaciones semejantemente y enumerar el contenido de la tabla:

mysql>

mysql> select * from user_group;+---------+----------+| user_id | group_id |+---------+----------+| 1 | 1 || 2 | 1 || 1 | 2 || 2 | 3 |+---------+----------+4 rows in set (0.00 sec)

3. Procedimientos almacenados de la configuración

Usted tiene que configurar los procedimientos almacenados requeridos para autenticar a losusuarios contra una fuente de la identidad ODBC. Las tareas que son realizadas por elprocedimiento varían, sobre la base del protocolo de autenticación. El ISE apoya tres diversostipos de credencial marca contra el almacén externo ODBC. Usted necesita configurar elprocedimiento almacenado separado para cada tipo de control. El ISE llama el procedimientoalmacenado apropiado con los parámetros de entrada y recibe la salida. La base de datos puedevolver un recordset o un conjunto de los parámetros Nombrados en respuesta a una interrogaciónODBC.

Autenticación de contraseña del sólo texto en las base de dato de ODBC - La autenticaciónpara el PAP y el PEAP ocurre dentro de la base de datos. Si el procedimiento encuentra unaCombinación de nombre de usuario/contraseña que haga juego la entrada, autentican alusuario con éxito.

●

Contraseña del sólo texto que trae de las base de dato de ODBC - La autenticación para laGRIETA, MS-CHAPv1/v2, el EAP-MD5, el SALTO, y el EAP MSCHAPv2 (como métodointerno de PEAP o de EAP-FAST) ocurre dentro de Cisco ISE (el ISE marca lacontraseña proporcionada por el usuario y la compara con la contraseña recibida delprocedimiento almacenado). Las devoluciones de procedimiento almacenado la contraseña siel nombre de usuario está correcto. Si el nombre de usuario no se encuentra, devuelve uncódigo de error.

●

Operaciones de búsqueda - La autenticación para el MAB ocurre dentro de la base de datos.Si se encuentra el nombre de usuario requerido, los parámetros pertinentes se vuelven alISE.

●

Cada uno de esos procedimientos se debe definir con el delimitador para que MySQL valide elsintaxis de la interrogación:

DELIMITER //

CREATE DEFINER=`root`@`localhost` PROCEDURE `ISEGroups`(username varchar(64), OUT result INT)

beginCASE usernameWHEN '*' THEN

select distinct groupname from groups;ELSEselect groupname from user_groupinner join users ON users.user_id = user_group.user_idinner join groups ON groups.group_id = user_group.group_idwhere users.username = username;END CASE;SET result = 0;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEAuthUserPlainReturnsRecordset`(usernamevarchar(64), password varchar(255))

beginIF EXISTS (select * from users where users.username = username and users.password = password )THENselect 0,11,'This is a very good user, give him all access','no error';ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEFetchPasswordReturnsRecordset`(usernamevarchar(64))

beginIF EXISTS (select * from users where users.username = username) THENselect 0,11,'This is a very good user, give him all access','no error',password from users whereusers.username = username;ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //DELIMITER //CREATE DEFINER=`root`@`localhost` PROCEDURE ÌSEUserLookupReturnsRecordset`(usernamevarchar(64))

beginIF EXISTS (select * from users where users.username = username) THENselect 0,11,'This is a very good user, give him all access','no error';ELSEselect 3, 0, 'odbc','ODBC Authen Error';END IF;end //

4. Integre el ISE con MySQL:

Utilice la información mencionada abajo para integrar MySQL con Cisco ISE. Navegue a laadministración > a la Administración de la identidad > las fuentes externas de la identidad >ODBC y agregue el nuevo almacén:

Utilice la dirección IP de Ubuntu que es base de datos MySQL corriente como un nombre dehost/dirección IP abajo. Especifique el tipo de base de datos (en esta situación se utiliza MySQL),del separador de millares de nombre de la base de datos también y de credenciales del usuariode la base de datos que fueron creados anterior:

Especifique los nombres de los procedimientos que fueron creados en MySQL – usted necesidadde tener cuidados con el formato de la dirección MAC (en este ejemplo fue cambiado a diversoformato):

Una vez que está hecho, vuelva a la lengueta y a la conexión de prueba de la conexión:

Traiga los atributos de MySQL, haga clic en la lengueta de los atributos:

Traiga a grupos la misma manera:

5. Configure las directivas de la autenticación y autorización:

Configure el ISE para autenticar y para autorizar a los usuarios de la base de datos MySQL.Navegue a la directiva > a la autenticación y la directiva > la autorización:

Verificación

Dos flujos de la autenticación fueron probados: PEAP-MSCHAPv2 y MAB. Alicia es grupo delempleado de la parte de en MySQL, Bob es grupo de contratista de la parte de:

Troubleshooting

Debugs en el ISE

Para habilitar los debugs en el ISE, navegar a la administración > al sistema > a la configuracióndel registro del registro > del debug, al nodo selecto PSN y cambiar el registro llano delcomponente del ODBC-identificación-almacén PARA HACER EL DEBUG DE:

Registros que se marcarán - prrt-server.log y prrt-management.log. Usted puede atarlosdirectamente del CLI del ISE:

cola de prrt-management.log de la aplicación del registro de la demostración vchrenek-ise22-

1/admin#

Durante la autenticación de la sacudida del usuario, el ISE tiene que traer la contraseña del sólotexto y después del procedimiento almacenado es ISEFetchPasswordReturnsRecordset usado:

2017-02-18 14:13:37,565 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcIdStore -:::- ODBC

ID Store Operation: Fetch Plain Text Password. Username=bob, SessionID=0a3e94660000090658a8487f

2017-02-18 14:13:37,566 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.CustomerLog -:::- Write

customer log message: 24861

2017-02-18 14:13:37,567 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcConnectionPool -

:::- OdbcConnectionPool - get connection


:::- OdbcConnectionPool - use existing connection


:::- OdbcConnectionPool - connections in use: 1

2017-02-18 14:13:37,568 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcConnection -:::-

Fetch plain text password


Prepare stored procedure call, procname=ISEFetchPasswordReturnsRecordset


Using recordset to obtain stored procedure result values




Text: {call ISEFetchPasswordReturnsRecordset(?)}


Setup stored procedure input parameters, username=bob


Execute stored procedure call


Process stored procedure results


Obtain stored procedure results from recordset


Received result recordset, number of columns=5


Results successfully parsed from recordset


:::- OdbcConnectionPool - release connection



2017-02-18 14:13:37,572 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcIdStore -:::- Call

to ODBC DB succeeded

2017-02-18 14:13:37,572 DEBUG [Thread-493][] cisco.cpm.odbcidstore.impl.OdbcAuthResult -:::-

Authentication result: code=0, Conection succeeded=false, odbcDbErrorString=no error,

odbcStoredProcedureCustomerErrorString=null, accountInfo=This is a very good user, give him all

access, group=11

Puesto que el ISE tiene que marcar la asignación del grupo ODBC, tiene que extraer a los grupos:




ID Store Operation: Get all user groups. Username=bob, SessionID=0a3e94660000090658a8487f


ID Store Operation: Fetch user groups. Username=bob, SessionID=0a3e94660000090658a8487f










Fetch user groups


Prepare stored procedure call, procname=ISEGroups


Text: {call ISEGroups(?,?)}








Received result recordset, total number of columns=1


According to column number expect multiple rows (vertical attributes/groups retured result)


Fetched data: ExternalGroup=everyone


Fetched data: ExternalGroup=contractor




Result code indicates success










ID Store Operation: Get all user groups. Got groups...


ID Store Operation: Get all user groups. Got groups(0) = everyone


ID Store Operation: Get all user groups. Setting Internal groups(0) = everyone


ID Store Operation: Get all user groups. Got groups(1) = contractor


ID Store Operation: Get all user groups. Setting Internal groups(1) = contractor


ID Store Operation: Get all user groups. Username=bob, ExternalGroups=[everyone, contractor]


ID Store Operation: Fetch user attributes. Username=bob, SessionID=0a3e94660000090658a8487f









Lo mismo solicita los atributos:


Fetch user attributes


Prepare stored procedure call, procname=ISEAttrsH


Text: {call ISEAttrsH(?,?)}








Received result recordset, total number of columns=3


According to column number expect multiple columns (hotizontal attributes/groups retured result)


Fetched data: eye_color=green


Fetched data: floor=1


Fetched data: is_certified=true




Result code indicates success










ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.eye_color to green


ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.floor to 1


ID Store Operation: Get all user attrs. Username=bob, Setting myODBC.is_certified to true

Información relacionada

Soporte Técnico y Documentación - Cisco Systems●

Release Note ISE 2.2●

Guía de instalación del hardware ISE 2.2●

Guía de actualización ISE 2.2●

Guía del administrador del motor ISE 2.2●

http://www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

/content/en/us/td/docs/security/ise/2-0/release_notes/ise20_rn.html

/content/en/us/td/docs/security/ise/2-0/installation_guide/b_ise_InstallationGuide20.html

/content/en/us/td/docs/security/ise/2-0/upgrade_guide/b_ise_upgrade_guide_20.html

/content/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20.html

Download - Configure ISE 2.2 para la integración con el servidor de MySQL · Ubuntu Linux con MySQL instaló Versión 8.0.100.0 del controlador LAN de la tecnología inalámbrica de Cisco (WLC)

Top Related