Cisco ISE

Nuevo marroncito rondando mi cabeza, Cisco ISE para reemplazar dos maquinas viejas que estan corriendo ACS. Post al canto para compartir la información.

De momento el manual.

https://www.cisco.com/c/en/us/td/docs/security/ise/2-2/admin_guide/b_ise_admin_guide_22.pdf

show application status ise -> Para ver el estado del demonio, sobre todo cuando se reinicia
sh logging system ade/ADE.log tail -> Log del sistema

La cuenta de admin se bloquea cada 45 dias (salvo que lo deshabilites).
Para desbloquearla haces login al cli, cuando entras te pide cambiar la contraseña.
Una vez que tienes acceso al shell:
application reset-password ise admin (admin es la cuenta que creaste de usuario, que no tiene porque ser admin).

Configuración para switches con ios.

aaa new-model
!
!
aaa group server tacacs+ ISE-TACACS
server name XXXXX
server name YYYYY
!
aaa authentication login default group ISE-TACACS local
aaa authentication login ISE-VTY group ISE-TACACS local
aaa authentication enable default group ISE-TACACS enable none
aaa authorization console
aaa authorization config-commands
aaa authorization exec ISE-EXEC group ISE-TACACS local none
aaa authorization commands 0 default group ISE-TACACS local none
aaa authorization commands 1 default group ISE-TACACS local none
aaa authorization commands 7 default group ISE-TACACS local none
aaa authorization commands 15 default group ISE-TACACS local none
aaa accounting exec default start-stop group ISE-TACACS
aaa accounting commands 0 default start-stop group ISE-TACACS
aaa accounting commands 1 default start-stop group ISE-TACACS
aaa accounting commands 7 default start-stop group ISE-TACACS
aaa accounting commands 15 default start-stop group ISE-TACACS

tacacs-server timeout 1
tacacs server XXXXX
address ipv4 xx.xx.xx.xx
key 7 XXXXXXXXXXXXX
tacacs server YYYYY
address ipv4 yy.yy.yy.yy
key 7 YYYYYYYYYYYYY

La lista de comandos que se pueden usar desde el gui
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/content/en/us/td/docs/security/ise/2-1/cli_ref_guide/b_ise_CLIReferenceGuide_21/b_ise_CLIReferenceGuide_21_chapter_010.html.xml

show uptime
show application status ise

Para reiniciar un nodo
write memory
application stop ise (tarda un huevo)

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.