Cisco ISE ROPC с Azure — EAP-TLS
-
Привет, команда! Приветствую. У меня есть вопрос по поводу интеграции Cisco ISE с Azure с использованием ROPC — EAP TLS для аутентификации пользователей WiFi. Мы проводим PoC с нашим клиентом для внедрения 802.1x/EAP-TLS с Azure (с использованием ROPC) на основе документации: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act.html Из того, что я понял из документа, ISE станет «посредником» для сопоставления сертификата клиента на клиентском устройстве и в Azure: ![Agung1007_0-1701327150475.png] ![Agung1007_1-1701328398336.png] Вопрос: - кто
генерирует
сертификат для пользователя (как в примере выше)? Azure? - Если это Azure, то какую
службу
Azure нам нужно использовать/включить? - В документации также упоминается: ![Agung1007_3-1701328539455.png] какие корневые и промежуточные центры сертификации нам нужно загрузить в ISE? Это из Azure? - ISE сохраняет/сохраняет сертификат пользователя, сгенерированный Azure? Если да, то где ISE его хранит? Спасибо!
-
Ваша собственная внутренняя PKI генерирует сертификаты. Как вы получите сертификаты идентификации на компьютер, решать вам. Большинство клиентов, с которыми я работаю, используют для этого ADCA и InTune.
-
Метод OAuth-ROPC используется только для аутентификации на основе имени пользователя и пароля через
EAP-TTLS+PAP
. Аутентификация на основе сертификата пользователя
EAP-TLS
осуществляется ISE на основе любого профиля аутентификации сертификата, после чего отдельно выполняется поиск группы Azure AD для имени пользователя (UPN) в сертификате. См.
раздел «Настройка Cisco ISE 3.2 EAP-TLS с Microsoft Azure Active Directory
». ![802.1X with EAP-TLS or TEAP to Azure AD.png] ![802.1X with EAP-TLS or TEAP to Azure AD - certificate.png] Рекомендуем посмотреть наш вебинар по ISE, в котором рассматривается эта и другие темы: ▷
Интеграция ISE с Intune MDM
02.08.2022 28:25
Аутентификация EAP-TLS в AD: компьютер или пользователь) (традиционный 802.1X с AD)
30:06
Аутентификация TEAP (EAP-TLS) в ISE 2.7+ для компьютера + пользователя (EAP-Chaining)
33:33
Аутентификация EAP-TLS с гибридным соответствием
AD+Azure
34:44
Аутентификация EAP-TLS с соответствием Azure
Intune
35:29
Аутентификация EAP-TTLS+PAP в ISE 3.0 (без GUID для Intune)
36:31
Аутентификация EAP-TLS с авторизацией Azure AD с соответствием Intune в ISE 3.2
-
В настоящее время Azure не имеет собственного облачного решения PKI. Сертификаты должны быть зарегистрированы для пользователей с помощью Intune, интегрированного с локальной службой Active Directory Certificate Services (ADCS) или другим решением, таким как
SCEPman
. Вы также можете ознакомиться с этим блогом, в котором обсуждаются доступные варианты и поддерживаемые потоки с ISE и Entra ID.
[Cisco ISE с Microsoft Active Directory, Azure AD и Intune] -
Привет
[, @]
[ahollifield]
@Greg Gibbs
@thomas Согласен, что внутренний PKI может генерировать сертификат. Кто может генерировать CSR для PKI, чтобы создать сертификат? А также, можете ли вы поделиться параметрами сертификата (аутентификация клиента, аутентификация сервера, EKU, шифрование и т. д.), которые необходимо использовать при создании CSR для сертификата пользователя или устройства? -
Генерация CSR является частью потока SCEP. Обычно это делается с помощью MDM или другого прокси-решения SCEP. Варианты поиска идентификационных данных (пользователь = UPN, устройство = DeviceName или DeviceID) обсуждаются в моем блоге, который я ранее поделился (
https://cs.co/ise-entraid
). Вам необходимо будет посмотреть, как создавать сертификаты, подходящие для вашей конкретной среды. Для сертификатов на стороне клиента обычно требуется только аутентификация клиента. Вы можете увидеть пример в моем примере с использованием Intune и MS Cloud PKI.
[) -
@Greg Gibbs
Если кому-то понадобится ссылка Cisco по EAP-TLS Client Cert - EKU Type, она находится по нижеуказанному URL. Руководство администратора Cisco Identity Services Engine, версия 3.5 Клиентский сертификат EAP-TLS
должен иметь KeyUsage=Key Agreement и
ExtendedKeyUsage=Client
Authentication
для следующих шифров:
•
ECDHE-ECDSA-AES128-GCM-SHA256•
ECDHE-ECDSA-AES256-GCM-SHA384•
ECDHE-ECDSA-AES128-SHA256• ECDHE-ECDSA-AES256-SHA384
Клиентский сертификат EAP-TLS должен иметь KeyUsage=Key Encipherment и
ExtendedKeyUsage=Client
Authentication
для следующих шифров:
•
AES256-SHA256•
AES128-SHA256•
AES256-SHA•
AES128-SHA•
DHE-RSA-AES128-SHA•
DHE-RSA-AES256-SHA•
DHE-RSA-AES128-SHA256•
DHE-RSA-AES256-SHA256•
ECDHE-RSA-AES256-GCM-SHA384•
ECDHE-RSA-AES128-GCM-SHA256•
ECDHE-RSA-AES256-SHA384•
ECDHE-RSA-AES128-SHA256•
ECDHE-RSA-AES256-SHA•
ECDHE-RSA-AES128-SHA•
EDH-RSA-DES-CBC3-SHA•
DES-CBC3-SHA•
RC4-SHA• RC4-MD5 -
Метод OAuth-ROPC используется только для аутентификации на основе имени пользователя и пароля через
EAP-TTLS+PAP
. ==>
Да, мы уже пробовали следующий метод для EAP-TTLS (который использует только имя пользователя и пароль).
Для компьютеров с Windows (10, 11) и Android мы можем использовать этот метод,
но, к сожалению, когда мы пробуем его на устройствах Apple (Macbook и iPhone), мы не можем использовать EAP-TTLS (у Apple нет опции, позволяющей пользователю выбрать EAP-TTLS). Мы пытаемся найти другой способ реализации 802.1x с Azure, который будет поддерживаться всеми устройствами. Сейчас мы пробуем использовать
EAP-TLS. Я попробую сначала проверить по видео, которое вы поделились. Спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти