Nuevo marroncito rondando mi cabeza, Cisco ISE para reemplazar dos maquinas viejas que estan corriendo ACS. Post al canto para compartir la información.
De momento el manual.
https://www.cisco.com/c/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22.pdf
show application status ise -> Para ver el estado del demonio, sobre todo cuando se reinicia
sh logging system ade/ADE.log tail -> Log del sistema
La cuenta de admin se bloquea cada 45 dias (salvo que lo deshabilites).
Para desbloquearla haces login al cli, cuando entras te pide cambiar la contraseña.
Una vez que tienes acceso al shell:
application reset-password ise admin (admin es la cuenta que creaste de usuario, que no tiene porque ser admin).
Configuración para switches con ios.
aaa new-model
!
!
aaa group server tacacs+ ISE-TACACS
server name XXXXX
server name YYYYY
!
aaa authentication login default group ISE-TACACS local
aaa authentication login ISE-VTY group ISE-TACACS local
aaa authentication enable default group ISE-TACACS enable none
aaa authorization console
aaa authorization config-commands
aaa authorization exec ISE-EXEC group ISE-TACACS local none
aaa authorization commands 0 default group ISE-TACACS local none
aaa authorization commands 1 default group ISE-TACACS local none
aaa authorization commands 7 default group ISE-TACACS local none
aaa authorization commands 15 default group ISE-TACACS local none
aaa accounting exec default start-stop group ISE-TACACS
aaa accounting commands 0 default start-stop group ISE-TACACS
aaa accounting commands 1 default start-stop group ISE-TACACS
aaa accounting commands 7 default start-stop group ISE-TACACS
aaa accounting commands 15 default start-stop group ISE-TACACS
tacacs-server timeout 1
tacacs server XXXXX
address ipv4 xx.xx.xx.xx
key 7 XXXXXXXXXXXXX
tacacs server YYYYY
address ipv4 yy.yy.yy.yy
key 7 YYYYYYYYYYYYY
La lista de comandos que se pueden usar desde el gui
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/content/en/us/td/docs/security/ise/2-1/cli_ref_guide/b_ise_CLIReferenceGuide_21/b_ise_CLIReferenceGuide_21_chapter_010.html.xml
show uptime
show application status ise
Para reiniciar un nodo
write memory
application stop ise (tarda un huevo)