ISE 분산 환경에서 pxGrid 구성 초안

Transcription

1 ISE 분산환경에서 pxgrid 구성 초안

2 목차 이문서정보... 4 소개... 5 pxgrid 페르소나로 ISE 분산구축소개... 6 pxgrid 페르소나컨피그레이션... 8 Microsoft CA 2008 R2 Enterprise pxgrid 템플릿구성... 8 pxgrid 액티브-스탠바이없이 pxgrid 노드컨피그레이션 CA 서명노드인증서생성 주 PAN 및 MnT 노드로 pxgrid 노드퍼블릭 / 프라이빗키내보내기 벌크세션다운로드 분산된환경의 ISE 노드등록 pxgrid 클라이언트관리 pxgrid 클라이언트컨피그레이션 pxgrid Java SDK 설치 pxgrid 클라이언트 SDK Java Keystore 소개 pxgrid 클라이언트인증서컨피그레이션 pxgrid 클라이언트액티브-스탠바이예 ISE 분산환경에서 pxgrid 클라이언트테스트 키저장소항목보기 pxgrid 액티브-스탠바이로 ISE 분산배포소개 분산환경 pxgrid 액티브-스탠바이에 ISE 노드등록 ISE 분산환경 pxgrid 액티브-스탠바이모드에서 pxgrid 클라이언트테스트 pxgrid 액티브-스탠바이테스트 기본작업 장애조치테스트 주노드로돌아가기 ISE 자체서명 ID 인증서 SDK의샘플인증서 pxgrid 클라이언트테스트 참조 부록 문제해결 페이지

3 Centos 6.5에서 Java 제거및 JDK 8.0 설치 이전버전의 Java 삭제 JDK 8.0 설치 페이지

4 이문서정보 이문서는제품용 Cisco ISE(Identity Services) 1.3 환경에서 pxgrid 를구축하는 Cisco 엔지니어, 파트너, 고객을대상으로합니다. 본문서를읽는사용자는 ISE 와 pxgrid 에대해잘알고있어야합니다. 이문서에서는 ISE 노드및 pxgrid 클라이언트용외부 CA 서명인증서배포를중점적으로다룹니다. 자체서명 ISE ID 인증서및 pxgrid 샘플인증서를비롯하여, 인증서배포시고려할그밖의사항은 Deploying Certificates with Cisco pxgrid 문서시리즈에자세히설명되어있습니다. CA(Certificate Authority, 인증기관 ) 서명 pxgrid ISE 노드및 CA 서명 pxgrid 클라이언트 CA 서명 pxgrid 클라이언트및자체서명 ISE pxgrid 노드인증서 ISE pxgrid 노드및 pxgrid 클라이언트가포함된자체서명인증서 테스트환경에서 pxgrid 를구성할경우다음자료를참조하십시오. Configure_and_Test_Integration_with_Cisco_pxGrid.pdf 이문서는분산된 ISE 환경에서의외부 ISE pxgrid 노드컨피그레이션및 pxgrid 액티브 - 스탠바이컨피그레이션에대해다룹니다. 이러한컨피그레이션테스트를위한 pxgrid 클라이언트는 OSX 및 pxgrid Java SDK 용 Oracle Java Development Kit(jdk-8u-20-macros-x64.dmg) 를실행중인 MacBook Pro 입니다. 기타버전의 Linux 를실행중인경우 Configure_and_Test_Integration_with_Cisco_pxGrid.pdf 를참조하십시오. 또한이문서에서는 POC 배포에서사용된자체서명인증서및샘플인증서로 pxgrid ISE 노드를구성하는방법에대해서도간략하게살펴봅니다. 그러나자세한내용은관련문서를참조하십시오. Microsoft Enterprise 2008 CA R2 Enterprise Server 가 CA(Certificate Authority) 에사용되었으며 pxgrid 클라이언트인증서, pxgrid 노드인증서및 ISE 노드인증서모두서명되었습니다.. 4 페이지

5 소개 Cisco pxgrid(platform Exchange Grid) 를사용하면보안모니터링및네트워크탐지시스템, 네트워크플랫폼, 자산및컨피그레이션관리, ID/ 액세스관리플랫폼및거의모든기타 IT 운영플랫폼을비롯하여 IT 인프라의각요소에걸쳐멀티벤더및교차플랫폼네트워크시스템협업을구현할수있습니다. 비즈니스또는운영요구사항이발생할경우, 에코시스템파트너는 pxgrid 를사용하면 pxgrid 를사용하는 Cisco 플랫폼및 pxgrid 를사용하는기타에코시스템을활용한방법의게시 / 구독을통해상황에맞는정보를교환할수있습니다. pxgrid 에는기본적으로 3 가지구성요소가있으며이는각각게시자, pxgrid 클라이언트그리고 pxgrid 컨트롤러인 Cisco ISE(Identity Services Engine) pxgrid 노드입니다. 정보항목의 pxgrid 게시자, pxgrid 클라이언트는 Cisco ISE(Identity Services Engine) 버전 1.3 을구독합니다. ISE 도호출되므로 ISE 는이러한정보또는기능의유일한게시자입니다. pxgrid 클라이언트는 Cisco Security 플랫폼, pxgrid 에코시스템파트너또는게시된정보를구독하는 pxgrid SDK 를실행중인 Linux 나 MAC 호스트에서지원가능합니다. pxgrid 컨트롤러 Cisco ISE(Identity Services Engine) pxgrid 노드는클라이언트등록 / 관리및항목 / 서브스크립션프로세스를제어합니다. ISE 는다음과같은정보항목을게시합니다. SessionDirectory - 인증된 802.1X 세션의세션속성 EndpointProtectionService - ANC(Adaptive Network Control) 격리 / 격리해제완화작업 TrustsecMetadataCapability - SGT(Security Group Tag) 정보 EndpointProfileMetadata - ISE 정책정보 IdentityGroup - 그룹및프로파일링정보 pxgrid 클라이언트는이러한항목을구독하고 ISE 상황정보를가져옵니다. ISE 는모든노드에별도의페르소나 [ 주 PAN(Policy Admin node, 정책관리노드, 주 MnT(Monitoring, 모니터링 ) 노드, PSN(Policy Service Node, 정책서비스노드 ) 가있는분산된환경에구축됩니다. pxgrid 노드는개별페르소나로도구축되며, CA 서명환경에서사용자지정된 pxgrid 템플릿이필요합니다. 이문서에서는 ISE pxgrid 노드및 ISE pxgrid 클라이언트모두에 CA 서명인증서를사용하여이러한 ISE 분산환경에서 pxgrid 를구성하는절차적인단계를다룹니다. 이문서는 pxgrid 액티브 - 스탠바이컨피그레이션에대해서도살펴봅니다. OSX 를실행중인 MAC 은이문서에서 pxgrid 클라이언트역할을수행합니다. Microsoft Enterprise CA 2008 R2 Server 는지정된 CA 서버입니다. 참고로, pxgrid 용사용자지정템플릿은클라이언트와서버인증에모두 EKU(Enhanced KeyUsage) 가수반됩니다. EKU 는인증서의용도를정의하며, 이는 ISO 정의 OID(Object Identifier) 에의해정의됩니다. 이사용사례의경우하나는클라이언트인증 ( ) 에사용되고다른하나는서버인증 ( ) 에사용됩니다. 5 페이지

6 pxgrid 페르소나로 ISE 분산구축소개 Windows 2008 R2 Enterprise CA Server 는 CA 인증기관으로사용되었습니다. CA 루트인증서는각 ISE 노드의신뢰할수있는시스템인증서저장소로가져왔습니다. CSR 노드요청은 pxgrid 노드를제외한 ISE 노드에정의된웹서버템플릿및관리자 " 사용 " 인증서를사용하는 CA 에의해지원됩니다. pxgrid 노드는클라이언트와서버인증시모두 EKU 가포함된맞춤형템플릿을사용합니다. 참고 : pxgrid 템플릿은 Windows 2003 형식을사용하는사용자템플릿의복제본이될수있으며, 클라이언트인증및서버인증이모두추가된경우를위한 EKU 가포함된사용자템플릿의복제본이될수있습니다. pxgrid 작업을올바르게완료하려면 pxgrid 노드의퍼블릭 / 프라이빗키쌍을각각의주 PAN( 관리자 ) 및주 MnT( 모니터링 ) 모드의시스템인증서저장소에복사해야합니다. 참고 : 액티브 - 스탠바이 pxgrid 구성의경우, 첫번째 pxgrid 노드 ( 주 pxgrid 노드 ) 의퍼블릭 / 프라이빗키쌍은주 PAN 및주 MnT 노드로내보내기됩니다. 두번째 pxgrid 노드 ( 보조 pxgrid 노드 ) 의퍼블릭 / 프라이빗키쌍은보조 PAN 또는보조 MnT 노드로내보내기됩니다. 아래다이어그램에는다양한 ISE 노드의인증서생성과관련된일반적인 ISE 분산환경이나와있습니다. 모든 ISE 노드의 CSR 요청생성을위한관리자 " 사용 " 인증서는 pxgrid 노드를제외한것입니다. CA 서버는 " 웹서버 " 템플릿을사용하여이러한요청을지원하게됩니다. pxgrid 노드 CSR 요청의 pxgrid " 사용 " 인증서는맞춤형 pxgrid 템플릿에서지원됩니다. 아래다이어그램에는분산된 ISE 환경에서의 pxgrid 노드컨피그레이션이나와있습니다. pxgrid 노드는모든프로덕션환경에서외부에있습니다. 6 페이지

7 pxgrid 노드의퍼블릭 / 프라이빗키는 pxgrid 컨트롤러를활성화하기전에주 PAN 및주 MnT 모두에사용되는시스템인증서저장소에복사됩니다. 7 페이지

8 pxgrid 페르소나컨피그레이션 Microsoft CA 2008 R2 Enterprise pxgrid 템플릿구성 이섹션에서는 pxgrid 인증서템플릿컨피그레이션에대해다룹니다. pxgrid 템플릿에는클라이언트인증및서버인증을위한 EKU 가모두포함되어야합니다. pxgrid 템플릿은다음단계에따라생성됩니다. 1단계 Administrative Tools -> Certificate Authority -> CA 서버옆의 "+" 드롭다운선택-> 마우스오른쪽버튼으로 Certificate Templates -> Manage 클릭 2 단계마우스오른쪽버튼으로 Duplicate User template 클릭 -> Windows 2003 Enterprise -> OK 클릭 참고 : Windows Server 2003 Enterprise 를선택하면템플릿 CA 창의드롭다운메뉴에표시됩니다. 8 페이지

9 3 단계인증서템플릿의이름을입력한다음, "Publish certificate in Active Directory" 선택란을취소하고유효기간및갱신기간을입력합니다. 4 단계 Extensions -> Add -> Server Authentication -> OK -> Apply 클릭 9 페이지

10 pxgrid 액티브 - 스탠바이없이 pxgrid 노드컨피그레이션 이섹션에서는 ISE 노드를정의하고, CSR 요청을생성하며, CA 인증기관에서인증서를가져오는단계를설명합니다. 이러한프로세스는모든 ISE 분산구축의일반적인방식입니다. 이러한작업은주관리자노드에서노드를결합하기전에독립형방식으로이루어집니다. pxgrid 노드는최초 CSR 요청에 ISE pxgrid 사용인증서를사용하며, 이노드는이전에정의된대로 MS CA "pxgrid" 템플릿에의해지원됩니다. 반환된인증서는최초 pxgrid CSR 요청에바인딩됩니다. 퍼블릭 / 프라이빗키쌍을 pxgrid 노드에서내보낸다음주 PAN 및주 MnT 노드로가져옵니다. 참고 : pxgrid 액티브 - 스탠바이컨피그레이션의경우, 두번째또는보조 pxgrid 노드의퍼블릭 / 프라이빗키쌍은보조 PAN 및보조 MnT 노드로가져오기됩니다. Microsoft CA 루트인증서는각 ISE 노드의신뢰할수있는시스템인증서저장소로다운로드및가져오기되며 "ISE 내에서인증신뢰 " 를위해활성화됩니다. CA 서명노드인증서생성 다음단계에서는 CA 루트인증서를다운로드하고, ISE 노드 CSR 요청을생성하며, 인증서를 CSR 요청에바인딩하는절차를간략하게알아봅니다. 참고 : CA 루트인증서및기타지원되는인증서요청은기본 64 형식으로다운로드해야합니다. 1 단계 CA 루트를기본 64 형식으로다운로드합니다. 10 페이지

11 2 단계신뢰할수있는인증서저장소로가져옵니다. Administration -> System -> Certificates -> Trusted Certificates 3 단계원하는관리자, MnT, 노드, 독립형환경에사용할 CSR 을생성합니다. Administration-System -> Certificates -> Certificate Signing Requests-"admin" 인증서사용 11 페이지

12 4 단계 MS CA "Web Server" 템플릿을사용하여관리자, MnT, PSN 노드에대한인증서요청을지원합니다. 5 단계기본 64 인코딩형식으로다운로드합니다. 6 단계각 ISE 노드에대한 CSR 요청에인증서를각각따로바인딩합니다 ( 예 : 관리자, MnT, PSN). Administration-System -> Certificates -> Certificate Signing Requests -> 인증서를선택하고 Bind 메뉴선택 12 페이지

13 7 단계각 ISE 노드에대한노드인증서를각각따로가져온다음제출합니다. 8 단계 pxgrid 노드에대한 CSR 을생성합니다. Administration -> System -> Certificates -> Certificate Signing Requests-"pxGrid" 인증서사용 13 페이지

14 9 단계 MS CA "pxgrid" 템플릿요청을제출하여 pxgrid 노드에대한인증서요청을지원합니다. 10 단계 pxgrid 인증서를 pxgrid 노드 CSR 요청에바인딩합니다. Administration-System -> Certificates -> Certificate Signing Requests -> pxgrid 노드및 bind certificate 선택 14 페이지

15 주 PAN 및 MnT 노드로 pxgrid 노드퍼블릭 / 프라이빗키내보내기 pxgrid 클라이언트노드의퍼블릭 / 프라이빗키쌍은주 PAN 및 MnT 노드에복사해야합니다. 이단계는아래에설명되어있습니다. 1 단계 pxgrid 노드의시스템인증서저장소에서퍼블릭및프라이빗키를내보낸다음, 독립형모드의새설치환경에서원하는주관리자노드및 MnT 노드를위한시스템저장소로가져옵니다. 참고 : 기존 ISE 1.3 구축이있고외부 pxgrid 페르소나를추가할경우, 주 PAN 의시스템인증서저장소에서 pxgrid 노드에대한퍼블릭 / 프라이빗키쌍을내보낸다음주 PAN 및주 MnT 로가져올수있습니다. Administration -> System -> Certificates -> System Certificates 를차례로누른다음인증서를선택하고인증서및프라이빗키를내보냅니다. 프라이빗키의이름을제공해야합니다 ( 예 : cisco123). 이는 PEM 및 PVK( 퍼블릭 / 프라이빗키쌍 ) 를모두포함하는압축된파일로저장됩니다. 15 페이지

16 2 단계원하는주관리자노드에서프라이빗및퍼블릭키를모두시스템인증서저장소로가져온다음제출합니다. Administration -> System -> Certificates -> System Certificates 를차례로누른다음 pxgrid PEM 및 PVK 인증서를모두가져옵니다. 3 단계원하는주 MnT 노드에서퍼블릭및프라이빗키를모두시스템인증서저장소로가져온다음제출합니다. Administration -> System -> Certificates -> System Certificates 를차례로누른다음 pxgrid PEM 및 PVK 인증서를모두가져옵니다. 16 페이지

17 4 단계주 PAN 및주 MnT 노드의시스템인증서저장소에 pxgrid 퍼블릭 / 프라이빗키가표시됩니다. 벌크세션다운로드 벌크세션다운로드는 pxgrid session_download 스크립트를사용하여 ISE MnT 노드의액티브세션다운로드쿼리를제공합니다. 이렇게하면사용가능한 ISE 상황별정보에대한인증된 802.1X 인증세션의사용가능한세션속성이제공됩니다. MnT 노드의 PEM(Public Key, 퍼블릭키 ) 은 pxgrid 클라이언트로복사된다음, DER 로변환되고 truststorefilename 키저장소로가져오기됩니다. 나중에이내용에대해서도다루겠지만, 지금은아래설명된대로 MnT 노드인증서를내보내는방법을살펴보겠습니다. 참고 : pxgrid 액티브스탠바이컨피그레이션의경우, 주 MnT 노드및보조 MnT 노드인증서는 pxgrid 클라이언트로가져와야합니다. 이러한인증서중하나가없을경우, 클라이언트등록시문제가발생하며 pxgrid 노드에연결되지않습니다. 1 단계원하는 MnT 노드에서퍼블릭인증서키만내보냅니다. 이는벌크세션다운로드를위한 pxgrid 클라이언트에서사용합니다. Administration -> Certificates -> Certificate Management -> System Certificates 를차례로누른다음 MnT ID 인증서를선택하고퍼블릭인증서를내보냅니다. 17 페이지

18 분산된환경의 ISE 노드등록 주 PAN, 주 MnT, PSN, pxgrid에대한원하는독립형 ISE 노드는주관리자 (PAN) 노드를통해등록됩니다. 이러한단계는아래와같이정의됩니다. 1단계주관리및주 MnT 페르소나를처음에포함하도록원하는관리노드를설정합니다. 2 단계주 MnT 가될원하는 MnT 노드를등록합니다. 참고 : 주 PAN 은자동으로보조 MnT 페르소나가됩니다. 보조 MnT 페르소나를비활성화합니다. 18 페이지

19 3 단계 PSN 노드를등록합니다. 4 단계 pxgrid 노드를등록합니다. 5 단계 pxgrid 서비스가시작되었고게시된 ISE 기능을보유하고있는지확인합니다. Administration -> pxgrid Services 를누르고 Auto Registration 도활성화합니다. 19 페이지

20 pxgrid 클라이언트관리 pxgrid Serivce 메뉴에서는클라이언트관리, 클라이언트등록 / 삭제, Auto-Registration 이비활성화된경우클라이언트의 " 보류 " 요청권한을제공합니다. 또한이메뉴에서는클라이언트의등록된기능또는정보항목에대한로그기록뷰를제공합니다. Enable Auto-Registration - 자동등록을활성화하며, 최초 pxgrid 클라이언트인증이완료된후 pxgrid 클라이언트를자동으로등록합니다. Disable Auto-Registration - 자동등록을비활성화하며, 관리자가 pxgrid 클라이언트를적절한 " 세션 " 또는 "EPS" 그룹으로이동하기전까지해당클라이언트는 " 보류 " 상태로유지됩니다. Client Groups - 클라이언트그룹이기본적으로 pxgrid 작업의 " 세션 " 그룹에등록됩니다. Administrator - ISE 에대해예약됩니다. Session - 세션속성정보에액세스합니다. EPS - " 세션 " 그룹의상위집합으로, ANC(Adaptive Network Control) 완화에사용됩니다. Live Log - 클라이언트등록및항목설명에대한기록이표시됩니다. 20 페이지

21 21 페이지

22 pxgrid 클라이언트컨피그레이션 이섹션에서는 pxgrid 샘플스크립트테스트를위한 pxgrid Java SDK 설치에대해다룹니다. Register.sh 는연결을수행하고 pxgrid 컨트롤러와의연결을설정하기위해실행됩니다. Session_download.sh 는 ISE 에서액티브세션레코드를다운로드하기위해실행됩니다. 이러한스크립트는작동중인 pxgrid 클라이언트와 ISE 간의연결및커뮤니케이션을확인하기위한기본테스트에사용됩니다. 이전에는엔드포인트보호서비스 (EPS) 로알려진 ANC(Adaptive Network Control) 완화작업을비롯한모든셸스크립트를테스트하려는경우다음 ( Configure_and_Test_Integration_with_Cisco_pxGrid.pdf) 을참조하십시오. pxgrid Java SDK 설치 pxgrid Java SDK 라이브러리를가져오려면 Cisco 어카운트팀에문의하십시오. 해당 Linux 운영체제에맞는 Oracle Java Development Kit 다운로드 : Oracle Java Development Kit 를설치하려면시스템에있는이전버전의 Java 를제거해야합니다. 참고 : 테스트에 MAC 을사용할경우 Java 제거시 을참조하십시오.Centos 6.5 를사용할경우, 부록의 Centos 6.5 에서 Java 제거및 JDK 8.0 설치를참조하십시오. 폴더의 tar 를해제합니다. tar -zxf pxgrid-sdk-x.x.x-dist.tar.gz 다음이표시됩니다. Lib - 모든 GCL 라이브러리가포함됩니다. Samples - bin, certs, conf, lib, src 디렉토리가포함됩니다. Bin - 모든샘플스크립트가포함됩니다. Certs - 모든샘플 pxgrid ID 및 rootsample 인증서가포함됩니다. Src - 모든 Java 소스파일이포함됩니다. pxgrid 샘플스크립트를실행하려면 "JAVA_HOME=" 환경변수에 jre 경로를포함합니다. MAC 의예는아래에나와있습니다. jre 경로의위치를보려면다음을실행합니다. 참고 : sudo 를실행할경우루트권한이필요합니다. sudo find / -name java Password: /Applications/pxGridsdk/pxgrid-sdk-1.0.0/samples/src/java find: /dev/fd/3: Not a directory find: /dev/fd/4: Not a directory /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/bin/java /Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/bin/java /Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre/bin/java 22 페이지

23 "Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre" 경로를 JAVA_HOME 에추가합니다. export JAVA_HOME=/Library/Java/JavaVirtualMachines/jdk1.8.0_25.jdk/Contents/Home/jre Centos 64 같은다른버전의 Linux 를사용할경우, 경로에 "keytool" 이포함되었는지확인합니다. Append the "../jdk1.7._51/bin" to PATH export PATH=/usr/lib64/qt3.3/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/jeppich/bin:/usr /java/jdk1.7.0_51/bin pxgrid 클라이언트 SDK Java Keystore 소개 Java keystore 에는 CA 루트인증서, 호스트 ID 또는 pxgrid 클라이언트인증서, 자체서명인증서같은인증서의퍼블릭 / 프라이빗키쌍이포함되어있습니다. Java Keystore 자체는 PKCS #12 형식 (.JKS) 입니다. 인증서자체는 PEM 또는 CER 형식이며, DER 로변환되고 Java Keystore 로가져오기됩니다. 이문서에서는 CA 서명 pxgrid 클라이언트인증서및 CA 서명 ISE 인증서를사용합니다. pxgrid 의경우 pxgrid 클라이언트 ID 인증서가포함된 keystorefilename 및 CA 루트인증서, MnT 노드인증서를나타내는 truststorefilename 키저장소가있습니다. 키저장소에인증서를가져올경우이러한키저장소값외에도관련비밀번호, keystorepassword 및 truststorepassword 가포함됩니다. keystorefilename, keystorepassword, truststorefilename, truststorepassword 는 SASL 인증및 pxgrid SDK 페르소나에연결하기위한용도로 pxgrid SDK 스크립트에서사용중입니다. 아래에설명된예에서, pxgrid 클라이언트가등록되고 pxgrid 컨트롤러에연결됩니다../register.sh -keystorefilename pxgridclient.jks -keystorefilename cisco123 -truststorefilename root3.jks - truststorepassword cisco123 -group Session -description test -username macbook-pro -hostname properties version=1.0.0 hostnames= username=macbook-pro descriptipon=test keystorefilename=pxgridclient.jks keystorepassword=cisco123 truststorefilename=root3.jks truststorepassword=cisco registering... connecting... account enabled connected. done registering. connection closed 23 페이지

24 아래에설명된예에서, pxgrid 는클라이언트는 MnT 노드에서액티브세션레코드를다운로드합니다../session_download.sh -keystorefilename pxgridclient.jks -keystorefilename cisco123 -truststorefilename root3.jks -truststorepassword cisco123 -username macbook-pro -hostname properties version=1.0.0 hostnames= username=macbook-pro keystorefilename=pxgridclient.jks keystorepassword=cisco123 truststorefilename=root3.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Wed Dec 10 18:44:49 EST session (ip= , Audit Session Id=0A B006E1086, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:d1:8d:90, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Dec 10 16:41:48 EST 2014 )... ending at: Wed Dec 10 18:44:49 EST downloaded 1 sessions in 26 milliseconds connection closed pxgrid 클라이언트인증서컨피그레이션 다음절차에서는 pxgrid 클라이언트에대한키를생성하고, CSR 요청을생성하고, 인증서를가져와 DER 로변환하여키저장소에추가하는단계를설명합니다. 참고 : pxgrid 클라이언트컨피그레이션에서는 CA 서명 pxgrid 클라이언트및 CA 서명 pxgrid 노드인증서를보유하게됩니다. 인증서배포에대한기타고려사항은참조자료를살펴보십시오. 해당프로세스는아래에설명되어있습니다. 프라이빗키는 pxgrid 클라이언트에생성됩니다. CSR(Certificate Signing Request) 은프라이빗키에서생성됩니다. 챌린지키는나중에키저장소관리에사용됩니다. CA 인증기관에서는이전에정의된대로유효한 pxgrid 템플릿으로 CSR 요청을서명합니다. PKCS#12 파일은퍼블릭 / 프라이빗키쌍및루트인증서에서생성됩니다. 이는 keystorefilename(jks) 및 truststorefilename(jks) 의키저장소생성에사용됩니다. keystorefilename(jks) 가생성됩니다. truststorefilename(jks) 가생성됩니다. 24 페이지

25 액티브세션레코드또는벌크다운로드세션에사용된 ISE MnT 주노드및 ISE MnT 보조노드에서 ISE ID 인증서를가져옵니다. ISE ID 인증서 PEM 파일을 DER 형식으로변환하고 CA 루트인증서와함께 truststorefilename 키저장소에추가합니다. pxgrid 클라이언트인증서를 keystorefilename(jks) 로가져옵니다. CA 루트인증서를 tuststorefilename(jks) 로가져옵니다. 두파일을모두 pxgrid "../samples/bin/.. " 폴더에복사하고스크립트를실행합니다. 1 단계프라이빗키생성 pxgrid 클라이언트의프라이빗키 ( 예 : mac.key) 를생성합니다. 참고 : 이러한.key 이름은어떠한이름이든가능하나, 여기에서는 mac.key 로명명합니다. openssl genrsa -out mac.key 4096 Generating RSA private key, 4096 bit long modulus e is (0x10001) 1 단계 CSR 요청생성 CA 인증기관에대한 CSR 요청 ( 예 : mac.csr) 을생성합니다. 챌린지비밀번호 ( 예 : cisco123) 를제공합니다. 참고 :.csr 은어떠한이름이든가능하나, 여기에서는통일성을위해 mac.csr 로명명합니다. 챌린지비밀번호또한어떠한이름이든가능합니다. openssl req -new -key mac.key -out mac.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [AU: State or Province Name (full name) [Some-State: Locality Name (eg, city) [: Organization Name (eg, company) [Internet Widgits Pty Ltd: Organizational Unit Name (eg, section) [: Common Name (e.g. server FQDN or YOUR name) [: Address [: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password [:cisco123 An optional company name [:Eppich, Inc the same password throughout this documnent, easier to maintain, and cut down on errors 25 페이지

26 2 단계 CA 인증기관이 pxgrid CSR 요청에서명 CA 인증기관은클라이언트인증및서버인증을위한 EKU 가모두포함된 pxgrid 템플릿을사용하여사용자인증서를지원해야합니다. 참고 : Windows 2003 의 CA 템플릿이선택되었으므로, 이는드롭다운목록에표시됩니다. 사용자템플릿은클라이언트및서버인증을위한 EKU 를모두포함하여이중화되었습니다. 3 단계 PKCS12 파일생성 pxgrid 클라이언트인증서 ( 예 : mac.cer) 의프라이빗키에서 pxgrid 클라이언트 pkcs12 파일 (mac.p12) 을생성합니다. 이는키저장소관리에사용되며확장자가.p12 인임의의파일이름일수있습니다. CA 루트파일 ( 예 : root2a) 을포함합니다. openssl pkcs12 -export -out mac.p12 -inkey mac.key -in mac.cer -chain -CAfile root2a.cer Enter Export Password: cisco123 Verifying - Enter Export Password: cisco123 4 단계 pxgrid 클라이언트의 keystorefilename 생성 pxgrid 클라이언트 ID 키저장소 ( 예 : mac.jks) 를생성합니다. 이는 pxgrid 클라이언트 ID 키저장소가됩니다. 이는확장자가.jks 인임의의파일이름일수있습니다. 이는 pxgrid 스크립트예에서 keystorefilename 및관련 keystorepassword 역할을수행합니다. keytool -importkeystore -srckeystore mac.p12 -destkeystore mac.jks -srcstoretype PKCS12 Enter destination keystore password: cisco123 Re-enter new password: cisco123 Enter source keystore password: Entry for alias 1 successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled 26 페이지

27 5 단계 ISE MnT 주노드및 ISE MnT 보조노드에서퍼블릭 ISE ID 인증서내보내기퍼블릭 ISE ID 인증서만 pxgrid 클라이언트로내보내며, 이는.pem 형식으로이루어집니다. 확장자가.pem 인파일의이름을더읽기쉽게변경할수있습니다. 이예에서파일의이름은 mnt1.pem 로변경되었습니다. 참고 : pxgrid 액티브 - 스탠바이가구성된경우, ISE pxgrid 클라이언트에는 MnT 주노드및 ISE MnT 보조노드가모두필요합니다. 6 단계 ISE ID MnT 노드의 PEM 형식을 DER 형식으로변환 openssl x509 -outform der -in mnt1.pem -out mnt1.der 7 단계 ISE MnT DER 파일을 truststorefilename 에추가 ISE ID 인증서를신뢰키저장소 ( 예 : caroot1.jks) 에추가하면이는신뢰할수있는키저장소가됩니다. 이는확장자가.jks 인임의의파일이름일수있습니다. 이는 pxgrid 스크립트에사용된 truststorefilename 및 truststorepassword 가됩니다. keytool -import -alias isemnt -keystore caroot1.jks -file mnt1.der Enter keystore password: cisco123 Re-enter new password: cisco123 Owner: CN=ise.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61262d d Valid from: Wed Dec 10 16:39:24 EST 2014 until: Sat Dec 10 16:49:24 EST 2016 Certificate fingerprints: MD5: 2B:3D:24:04:D3:FF:1F:1E:7E:57:8E:44:4A:AF:6D:51 SHA1: BD:18:C0:DD:4D:DD:43:80:CA:CA:3B:F6:DC:1E:6E:46:93:59:FE:B7 SHA256: F9:11:FC:EC:BC:0F:0F:84:36:F1:26:BC:5A:09:B7:2B:3C:D1:1B:AC:FC:1A:F1:AB:6D:00:8D:11:F8:26:93:FF Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B 페이지

28 0020: C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystroke 28 페이지

29 8 단계 pxgrid 클라이언트를 keystorefilename 로가져오기 pxgrid 클라이언트인증서를 ID 키저장소로가져옵니다. Johns-MacBook-Pro:pxGridsdk jeppich$ keytool -import -alias pxgridmac -keystore mac.jks -file mac.cer Enter keystore password: cisco123 Certificate already exists in keystore under alias <1> Do you still want to add it? [no: yes Certificate was added to keystore Note: If you receive the following message the certficate was already added to a pre-existing keystore, you can say "no" and still be okay. I selected "yes" so we can verify thay the certificate was added later on. 9 단계 CA 루트인증서를 truststorefilename 에추가 CA 루트인증서를신뢰할수있는키저장소에추가합니다. CA 루트인증서도신뢰할수있어야합니다. keytool -import -alias ca_root1 -keystore caroot1.jks -file root2a.cer Enter keystore password: cisco123 Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, 29 페이지

30 Trust this certificate? [no: yes Certificate was added to keystore 10 단계 ID 키저장소 (mac.jks) 및신뢰키저장소 (caroot1.jks) 를 pxgrid "../samples/bin/.." 폴더에복사합니다. pxgrid 클라이언트액티브 - 스탠바이예 pxgrid 액티브 - 스탠바이의경우, 주 MnT 및보조 MnT 퍼블릭인증서 (PEM) 를모두 pxgrid 클라이언트로내보낸다음이를모두 DER 로변환해야합니다. 두인증서는모두 CA 루트인증서 (root2a.cer) 와함께 truststorefilename 키저장소에추가해야합니다. Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in mnt1.pem -out mnt1.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab1 -keystore caroot1.jks -file mnt1.der Enter keystore password: Re-enter new password: Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority 30 페이지

31 #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystore Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in mnt2.pem -out mnt2.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab1 -keystore caroot1.jks -file mnt2.der Enter keystore password: keytool error: java.lang.exception: Certificate not imported, alias <lab1> already exists Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab2 -keystore caroot1.jks -file mnt2.der Enter keystore password: Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 2017 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 31 페이지

32 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D Trust this certificate? [no: yes Certificate was added to keystore Johns-Macbook-Pro:mntnodes jeppich$ keytool -list -v -keystore caroot1.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN 32 페이지

33 Your keystore contains 2 entries Alias name: lab2 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 2017 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 33 페이지

34 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D ******************************************* ******************************************* Alias name: lab1 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ 34 페이지

35 [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D ******************************************* ******************************************* Johns-Macbook-Pro:mntnodes jeppich$ openssl x509 -outform der -in root2a.cer -out root2a.der Johns-Macbook-Pro:mntnodes jeppich$ keytool -import -alias lab3 -keystore caroot1.jks -file root2a.der Enter keystore password: Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: 페이지

36 #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, Trust this certificate? [no: yes Certificate was added to keystore 36 페이지

37 ISE 분산환경에서 pxgrid 클라이언트테스트 pxgrid 스크립트인 register.sh 및 session download.sh 는 pxgrid 클라이언트연결및 pxgrid 등록을확인하기위해실행됩니다. 세션다운로드는 ISE MNT 인증서및 pxgrid 클라이언트에문제가없는지확인합니다. 1 단계 pxgrid 클라이언트등록 Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac1 -group Session properties version=1.0.0 hostnames= username=mac1 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$ pxgrid 클라이언트가 pxgrid 컨트롤러에등록되었는지확인합니다. Administration -> pxgrid Services 2 단계세션다운로드실행 Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac properties version=1.0.0 hostnames= username=mac1 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco 페이지

38 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 21:45:49 EST session (ip= , Audit Session Id=0A D02D814C0, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Thu Mar 05 21:33:02 EST 2015 ) session (ip=null, Audit Session Id=0A C C, User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Thu Mar 05 21:33:44 EST 2015 )... ending at: Thu Mar 05 21:45:49 EST downloaded 2 sessions in 35 milliseconds connection closed 키저장소항목보기 키저장소항목을확인하여 keystorefilename 및 truststorefilename 키저장소의신뢰할수있는인증서항목을볼수있습니다. 1 단계 truststorefilename 키저장소인 caroot1.jks 를확인합니다. Johns-Macbook-Pro:bin jeppich$ keytool -list -v -keystore caroot1.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 3 entries Alias name: lab3 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: 38 페이지

39 #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, ******************************************* ******************************************* Alias name: lab2 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt2.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: ec Valid from: Wed Mar 04 18:11:54 EST 2015 until: Fri Mar 03 18:11:54 EST 2017 Certificate fingerprints: MD5: 1E:96:5E:35:A1:3E:FA:CD:16:32:A7:01:2C:5A:E6:12 SHA1: 8F:0D:8A:58:DD:80:82:D3:56:F1:CE:26:E4:A3:C3:3F:F8:F6:D1:28 SHA256: 3A:70:F0:E6:43:93:E8:10:11:C5:FE:61:24:66:A2:C8:2A:FA:AC:04:38:4A:B5:B6:20:2C:E6:3C:21:D5:45:C3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: 1E W.e.b.S.e.r.v 0010: e.r #2: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #3: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, 39 페이지

40 #4: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #5: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth #6: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #7: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt2.lab6.com #8: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D ******************************************* ******************************************* Alias name: lab1 Creation date: Mar 4, 2015 Entry type: trustedcertentry Owner: CN=mnt1.lab6.com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 61326a Valid from: Tue Jan 20 20:08:40 EST 2015 until: Fri Jan 20 20:18:40 EST 2017 Certificate fingerprints: MD5: D7:EC:5C:10:37:8D:6A:64:4C:51:BE:0B:7E:46:A4:36 SHA1: 6A:CF:48:0D:55:34:41:AA:D8:68:2C:06:86:6E:85:1A:80:7A:8E:BE SHA256: 66:7C:74:C3:D8:50:D0:09:A2:AA:60:5C:9D:97:09:D9:75:30:DD:3D:4B:56:47:77:91:47:84:DF:46:57:53:6F Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B 페이지

41 0030: 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectAlternativeName [ DNSName: mnt1.lab6.com #11: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: DA 39 A3 EE 5E 6B 4B 0D BF EF ^kK.2U...` : AF D 페이지

42 ******************************************* ******************************************* Johns-Macbook-Pro:bin jeppich$ 2 단계 keystorefilename 키저장소인 mac.jks 를확인합니다. Johns-Macbook-Pro:bin jeppich$ keytool -list -v -keystore mac.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 2 entries Alias name: 1 Creation date: Jan 28, 2015 Entry type: PrivateKeyEntry Certificate chain length: 2 Certificate[1: Owner: O=Internet Widgits Pty Ltd, ST=Some-State, C=AU Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 6118d Valid from: Wed Jan 28 14:35:54 EST 2015 until: Sat Jan 28 14:45:54 EST 2017 Certificate fingerprints: MD5: 93:E4:D9:1B:00:5B:48:75:C1:9F:36:BC:B7:5C:27:73 SHA1: 33:79:37:44:81:EA:68:B8:EC:A3:26:75:18:70:AA:11:E4:58:B2:AF SHA256: DA:6C:BA:E3:E8:76:DD:8A:30:BA:EE:0B:46:3B:78:BF:F9:CE:B4:68:2C:5D:CE:8A:9D:FB:66:A8:1F:97:BE:4A Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority 42 페이지

43 #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: E D2 5A A8 70.R..."C.^...Z.p 0010: CF DB... Certificate[2: Owner: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 448a6d6486c91cb14c6888c127d16c4e Valid from: Thu Nov 13 20:47:06 EST 2014 until: Wed Nov 13 20:57:06 EST 2019 Certificate fingerprints: MD5: 41:10:8A:F5:36:76:79:9C:2C:00:03:47:55:F8:CF:7B SHA1: 9D:DA:06:AF:06:3F:8F:5E:84:C7:F4:58:50:95:03:22:64:48:96:9F SHA256: DB:28:50:D6:47:CA:C0:6A:E9:7B:87:B4:0E:9C:3A:C1:A2:61:EA:D1:29:8B:45:B4:76:4B:DA:2A:F1:D8:E0:A3 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: #2: ObjectId: Criticality=true BasicConstraints:[ CA:true PathLen: #3: ObjectId: Criticality=false KeyUsage [ 43 페이지

44 DigitalSignature Key_CertSign Crl_Sign #4: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& : 6A C8 79 2C j.y, ******************************************* ******************************************* Alias name: macstore Creation date: Jan 28, 2015 Entry type: trustedcertentry Owner: O=Internet Widgits Pty Ltd, ST=Some-State, C=AU Issuer: CN=lab6-WIN-BG7GPQ053ID-CA, DC=lab6, DC=com Serial number: 6118d Valid from: Wed Jan 28 14:35:54 EST 2015 until: Sat Jan 28 14:45:54 EST 2017 Certificate fingerprints: MD5: 93:E4:D9:1B:00:5B:48:75:C1:9F:36:BC:B7:5C:27:73 SHA1: 33:79:37:44:81:EA:68:B8:EC:A3:26:75:18:70:AA:11:E4:58:B2:AF SHA256: DA:6C:BA:E3:E8:76:DD:8A:30:BA:EE:0B:46:3B:78:BF:F9:CE:B4:68:2C:5D:CE:8A:9D:FB:66:A8:1F:97:BE:4A Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: Criticality=false 0000: E A F7 0D *.H : E A F7 0D *.H : B 0E A A * 0030: F7 0D H... #2: ObjectId: Criticality=false 0000: A B A : B A B : C 06 0A 2B : 37 0A #3: ObjectId: Criticality=false 0000: 30 2D B DC FD 1A 0-.% : 87 CB EB D 2D 86 E6 FC A y S : 5E 86 D1 B FC EF ^...#...@..d... #4: ObjectId: Criticality=false AuthorityInfoAccess [ [ accessmethod: caissuers accesslocation: URIName: ldap:///cn=lab6-win-bg7gpq053id- CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?cACertificate?base?objectCla ss=certificationauthority #5: ObjectId: Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: A9 C7 8E 26 9C F5 37 0A E6 5A D4 A &..7..Z.6& 페이지

45 0010: 6A C8 79 2C j.y, #6: ObjectId: Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///cn=lab6-win-bg7gpq053id-ca,cn=win- BG7GPQ053ID,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lab6,DC=com?certificateRevocati onlist?base?objectclass=crldistributionpoint #7: ObjectId: Criticality=false CertificatePolicies [ [CertificatePolicyId: [ [ #8: ObjectId: Criticality=false ExtendedKeyUsages [ serverauth clientauth protection #9: ObjectId: Criticality=true KeyUsage [ DigitalSignature Key_Encipherment #10: ObjectId: Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: E D2 5A A8 70.R..."C.^...Z.p 0010: CF DB... ******************************************* ******************************************* Johns-Macbook-Pro:bin jeppich$ 45 페이지

46 pxgrid 액티브 - 스탠바이로 ISE 분산배포소개 이섹션에서는 pxgrid 액티브 - 스탠바이에대해다룹니다. ISE 분산배포의경우, 2 가지 pxgrid 전용노드가가능합니다. 하나는 pxgrid 클라이언트연결을처리하여 pxgrid 서비스를제어하기위한것이고, 다른하나는장애조치용입니다. pxgrid 노드는한번에하나씩액티브상태가될수있습니다. pxgrid 액티브 - 스탠바이가포함된 ISE 분산배포는주관리노드, 보조관리노드, 주 MnT 노드, 보조 MnT 노드, PSN 두개, 별도의 pxgrid 페르소나 2 개로구성됩니다. 여기에서는보조관리노드, 보조 MnT 노드, 보조 pxgrid 노드를추가하여 pxgrid 액티브 - 스탠바이컨피그레이션을생성합니다. 퍼블릭 / 프라이빗키를첫번째또는주 pxgrid 페르소나에서주관리및주 MnT 노드시스템인증서저장소로내보냅니다. 참고 : 이는최초 ISE 분산배포의한부분으로이미구성되었습니다. 퍼블릭 / 프라이빗키를두번째또는보조 pxgrid 페르소나에서보조관리및보조 MnT 노드시스템인증서저장소로내보냅니다. 벌크액티브세션다운로드를위해주및보조 MnT ID 인증서를 pxgrid 클라이언트로내보냅니다. 이러한인증서중하나가없는경우, pxgrid 클라이언트레지스터가표시되지않을수있습니다. 등록된클라이언트어카운트, 서브스크립션, 항목등이 PAN 을통해 pxgrid 서버간에액티브 - 액티브동기화됩니다. 주및보조 pxgrid 노드는액티브 - 스탠바이입니다. pxgrid 클라이언트는주 PxGrid 노드에연결됩니다. 주 pxgrid 노드가중단된경우, 클라이언트는보조 pxgrid 노드에연결되며모든등록된클라이언트및트랜잭션은그대로유지됩니다. 이에대한내용은본문서에서설명합니다. 46 페이지

47 분산환경 pxgrid 액티브 - 스탠바이에 ISE 노드등록 지금부터는보조노드를등록합니다. 1 단계보조 pxgrid 노드의퍼블릭 / 프라이빗키쌍을보조 PAN 으로가져옵니다. Administration -> System -> Certificate -> Certificate Management -> System Certificates 를차례로누른다음보조 pxgrid 노드의퍼블릭 / 프라이빗키를가져옵니다. 참고 : 이러한작업은모든노드가독립형일때완료할수있습니다. 또한이는주 PAN 에서직접수행할수도있습니다. 이과정에서는보조 pxgrid 노드에서퍼블릭 / 프라이빗키쌍을가져온것으로가정합니다. 2 단계보조 pxgrid 노드의퍼블릭 / 프라이빗키쌍을보조 PAN 으로가져옵니다. Administration -> System -> Certificate -> Certificate Management -> System Certificates 를차례로누른다음보조 pxgrid 노드의퍼블릭 / 프라이빗키를가져옵니다. 47 페이지

48 3 단계퍼블릭 / 프라이빗키쌍을 ISE 보조 PAN 및 ISE 보조 MnT 노드에올바르게가져와야합니다. Administration -> System -> Certificates -> Certificate Management -> System Certificates 4 단계주관리노드를통해보조주관리노드를등록합니다. Administration -> System -> Deployment 를차례로누른다음 ISE 노드를보조관리노드로등록합니다. 48 페이지

49 5 단계주관리노드를통해보조모니터링노드를등록합니다. Administration -> System -> Deployment 를차례로누른다음 ISE 노드를보조모니터링노드로등록합니다. 참고 : 보조 MnT 노드가도메인에결합되지않은경우, pxgrid 노드에연결되지않으므로보조 MnT 가도메인에결합되었는지확인하고외부 ID 서비스를점검합니다. 49 페이지

50 6 단계보조 pxgrid 노드를추가합니다. Administration -> System -> Deployment 를차례로누른다음 ISE 노드를보조 pxgrid 노드로등록합니다. 7 단계 pxgrid 서비스가시작되었고게시된 ISE 노드가표시되는지확인합니다. Administration -> pxgrid Services 50 페이지

51 ISE 분산환경 pxgrid 액티브 - 스탠바이모드에서 pxgrid 클라이언트테스트 이섹션에서는보조 PAN, 보조 MnT, 보조 pxgrid 노드를추가하여 pxgrid- 스탠바이컨피그레이션에대해설명합니다. 또한다음을통해컨피그레이션을테스트합니다. 기본작업 : pxgrid 클라이언트를주 pxgrid 노드에추가 참고 : pxgrid 액티브 - 스탠바이컨피그레이션의경우, 주 pxgrid 노드만액티브상태가될수있으며, 보조 pxgrid 노드는 pxgrid 보조노드에 "sh application status ise" 로표시된것처럼 " 실행되지않습니다 ". MnT 주노드에서액티브세션레코드다운로드 ISE 의등록된 pxgrid 클라이언트상태보기 배포노드상태를확인하여 pxgrid 노드상태표시 보조 pxgrid 노드에대한 pxgrid 노드장애조치테스트 주 pxgrid 노드의 "application stop ise" 로중단된 pxgrid 노드시뮬레이션 보조 pxgrid 노드의 "application stp ise" 로보조 pxgrid 노드시작 MnT 주노드의액티브세션을다운로드하여세션비교. 세션은서로동일해야함 pxgrid 클라이언트를보조 pxgrid 노드에등록 ISE 의등록된 pxgrid 클라이언트보기 배포노드상태를확인하여 pxgrid 노드상태표시 pxgrid 주노드로돌아가기 보조 pxgrid 노드의 "application stop ise" 주 pxgrid 노드의 "application stop ise" MnT 주노드의액티브세션을다운로드하여세션비교. 세션은서로동일해야함 주 pxgrid 노드에 pxgrid 클라이언트등록 ISE 의등록된 pxgrid 클라이언트보기 배포노드상태를확인하여 pxgrid 노드상태표시 51 페이지

52 pxgrid 액티브 - 스탠바이테스트 기본작업 이단계에서는 pxgrid 액티브 - 스탠바이컨피그레이션과정에서첫번째 pxgrid 노드또는주 pxgrid 노드에 pxgrid 클라이언트를등록합니다. 기본작업 : pxgrid 클라이언트를주 pxgrid 노드에추가 참고 : pxgrid 액티브 - 스탠바이컨피그레이션의경우, 주 pxgrid 노드만액티브상태가될수있으며, 보조 pxgrid 노드는 pxgrid 보조노드에 "sh application status ise" 로표시된것처럼 " 실행되지않습니다 ". MnT 주노드에서액티브세션레코드다운로드 ISE 의등록된 pxgrid 클라이언트상태보기 배포노드상태를확인하여 pxgrid 노드상태표시 아래그림에는액티브상태인모든노드가나와있습니다. 1 단계모든노드가액티브상태인지확인합니다. Administration -> System -> Deployment 를차례로누르면모든노드가표시됩니다. 52 페이지

53 2 단계 pxgrid 서비스가가동중이고 ISE 주 PAN, ISE 보조 PAN, ISE 주 MnT, ISE 보조 MnT 노드가등록된클라이언트인지확인합니다. Administration -> pxgrid Services 3 단계 pxgrid 클라이언트를등록하고 pxgrid 레지스터및 session_download 셸스크립트를사용하여액티브세션레코드를다운로드합니다. pxgrid 노드의주및보조 IP 주소의 IP 주소는 hostname 용입니다. 참고 : 프로덕션환경의경우보조 pxgrid 노드를지정하는 GUI 가있을수있습니다. Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering15 -group Session properties version=1.0.0 hostnames= , username=mac_engineering15 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= , username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null 페이지

54 connecting... connected. starting at Thu Mar 05 00:54:43 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 00:54:43 EST downloaded 2 sessions in 12 milliseconds 단계등록된클라이언트인 mac_engineering15 가표시됩니다. Administration -> pxgrid Services 54 페이지

55 장애조치테스트 보조 pxgrid 노드에대한 pxgrid 노드장애조치테스트 주 pxgrid 노드의 "application stop ise" 로중단된 pxgrid 노드시뮬레이션 보조 pxgrid 노드의 "application stp ise" 로보조 pxgrid 노드시작 MnT 주노드의액티브세션을다운로드하여세션비교. 세션은서로동일해야함 pxgrid 클라이언트를보조 pxgrid 노드에등록 ISE의등록된 pxgrid 클라이언트보기 배포노드상태를확인하여 pxgrid 노드상태표시 주 pxgrid 노드의 "application stop ise" 로중단된 pxgrid 노드시뮬레이션 보조 pxgrid 노드의 "application stp ise" 로보조 pxgrid 노드시작 MnT 주노드의액티브세션을다운로드하여세션비교. 세션은서로동일해야함 1 단계주 pxgrid 노드또는 pxgrid 1 이중단되었는지확인합니다. Administration -> System -> Deployment 55 페이지

56 2 단계레지스터및세션다운로드명령을실행하여보조 pxgrid 노드에연결되어있는지확인합니다. Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 01:32:40 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 01:32:40 EST downloaded 2 sessions in 12 milliseconds connection closed Johns-Macbook-Pro:bin jeppich$ 3 단계 pxgrid 서비스가가동중이고게시된 ISE 노드가표시되는지확인합니다. Administration -> pxgrid Services 56 페이지

57 4 단계주 pxgrid 노드가중단된동안 pxgrid 클라이언트를등록하고 pxgrid 레지스터및 session_download 셸스크립트를사용하여액티브세션레코드를다운로드합니다. Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering20 - group Session properties version=1.0.0 hostnames= username=mac_engineering20 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed Johns-Macbook-Pro:bin jeppich$ 5 단계등록된 pxgrid 클라이언트인 mac_engineering20 이표시되는지확인합니다. Administration -> pxgrid Services 57 페이지

58 주노드로돌아가기 pxgrid 주노드로돌아가기 보조 pxgrid 노드의 "application stop ise" 주 pxgrid 노드의 "application stop ise" MnT 주노드의액티브세션을다운로드하여세션비교. 세션은서로동일해야함 주 pxgrid 노드에 pxgrid 클라이언트등록 ISE 의등록된 pxgrid 클라이언트보기 배포노드상태를확인하여 pxgrid 노드상태표시 1 단계주 pxgrid 노드가백업되었는지확인합니다. Administration -> System -> Deployment 를차례로누르면모든노드가표시됩니다. 2 단계 pxgrid 서비스가실행중이고게시된 ISE 노드가표시되는지확인합니다. Administration -> pxgrid Services 58 페이지

59 3 단계 session_download 를실행하여액티브세션을다운로드할수있도록계속연결되어있는지확인합니다. Dddd Johns-Macbook-Pro:bin jeppich$./session_download.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering properties version=1.0.0 hostnames= , username=mac_engineering15 keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco123 filter=null start=null end=null connecting... connected. starting at Thu Mar 05 01:57:14 EST session (ip= , Audit Session Id=0A E027B9538, User Name=jeppich, AD User DNS Domain=lab6.com, AD Host DNS Domain=null, AD User NetBIOS Name=LAB6, AD Host NETBIOS Name=null, Calling station id=00:0c:29:77:d6:85, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=VMWare-Device, NAS IP= , NAS Port=GigabitEthernet1/0/23, RADIUSAVPairs=[ Acct-Session- Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 20:06:47 EST 2015 ) session (ip= , Audit Session Id=0A C , User Name=68:EF:BD:F6:76:56, AD User DNS Domain=null, AD Host DNS Domain=null, AD User NetBIOS Name=null, AD Host NETBIOS Name=null, Calling station id=68:ef:bd:f6:76:56, Session state= STARTED, Epsstatus=null, Security Group=null, Endpoint Profile=Cisco- Device, NAS IP= , NAS Port=GigabitEthernet1/0/15, RADIUSAVPairs=[ Acct-Session-Id= , Posture Status=null, Posture Timestamp=, Session Last Update Time=Wed Mar 04 21:18:38 EST 2015 )... ending at: Thu Mar 05 01:57:14 EST downloaded 2 sessions in 12 milliseconds connection closed 4 단계 pxgrid 클라이언트를등록하여모두작동하는지확인합니다. Johns-Macbook-Pro:bin jeppich$./register.sh -keystorefilename mac.jks -keystorepassword cisco123 - truststorefilename caroot1.jks -truststorepassword cisco123 -hostname username mac_engineering50 -group Session properties version=1.0.0 hostnames= , username=mac_engineering50 descriptipon=null keystorefilename=mac.jks keystorepassword=cisco123 truststorefilename=caroot1.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed 59 페이지

60 5 단계 ISE pxgrid 컨트롤러에서 pxgrid 클라이언트인 mac_engineering50 을봅니다. Administration -> pxgrid Services 60 페이지

61 ISE 자체서명 ID 인증서 pxgrid 의 ISE 자체서명 ID 인증서는외부 CA 인증기관을사용할수없는경우, 그리고 pxgrid SDK 의샘플인증서를사용하지않고 pxgrid 및 ISE 구현을테스트하는경우사용할수있습니다. 기본적으로자체서명 ID 인증서에는서버인증 ( ) 및클라이언트인증 ( ) 의 EKU(Enhanced Key Usage) 가모두포함되며, 이는 ISE 시스템인증서저장소에있습니다. pxgrid 클라이언트는자체서명인증서를사용할수있으며다음을참조하십시오. pxgrid ISE 노드및 pxgrid 노드가포함된자체서명인증서사용 pxgrid 클라이언트는 CA 서명인증서도사용할수있으며다음을참조하십시오. pxgrid ISE 노드및 CA 서명 pxgrid 클라이언트가포함된자체서명인증서사용 1 단계 ISE 자체서명 ID 인증서에서 pxgrid 사용을활성화합니다. Administration -> System -> Certificates -> System Certificates 를차례로누른다음 ISE 자체서명인증서를편집하고 pxgrid 를선택한후 Save 를누릅니다. 61 페이지

62 2 단계 Trusted Certificates 아래에서퍼블릭 ISE ID 자체서명인증서를내보냅니다. Administration -> System -> Certificates 를차례로누른다음자체서명인증서를편집하고 "Export Certificate Only" 를누릅니다. 참고 : 이는 PEM 파일로저장됩니다. 62 페이지

63 3 단계 PEM 파일을신뢰할수있는인증서저장소로가져옵니다. Administration -> System -> Certificates -> Trusted Certificates 를차례로누른다음 PEM 인증서를선택하고 "Trust for authentication within ISE" 를활성화한다음제출합니다. 4 단계 pxgrid 페르소나를활성화합니다. Administration -> System -> Deployment 를차례로누른다음배포노드를편집하고 pxgrid 를활성화한다음 Save 를누릅니다. 63 페이지

64 5 단계 pxgrid 서비스를시작합니다. Administration -> pxgrid Services 참고 : pxgrid 노드에대한연결이표시되지않을경우, 잠시후에표시될수있습니다. 64 페이지

65 SDK 의샘플인증서 이예에서는 pxgrid SDK 의샘플인증서를사용하며, 이는프로덕션환경이아닌 POC 에만사용됩니다. 이단계에서는신뢰할수있는 CA 인증서의 rootsample.crt 를가져오고, isesample1.crt 및 isesample1.key 를가져옵니다. 이는클라이언트등록을위한 pxgrid 클라이언트의퍼블릭 / 프라이빗쌍역할을합니다. POC 배포, 샘플인증서및 pxgrid 샘플셸스크립트에대한보다자세한내용은다음 ( Configure_and_Test_Integration_with_Cisco_pxGrid.pdf) 을참조하십시오. 1 단계 rootsample.crt 를 ISE 의신뢰할수있는시스템인증서로가져옵니다. Administration -> System -> Certificates -> Trusted Certificate 를차례로누른다음 rootsample.crt 를가져온다음 Submit 을누릅니다. 65 페이지

66 2 단계 isesample1.crt 및 isesample1.key 를 ISE 의시스템인증서로가져옵니다. Administration -> System -> Certificates -> System Certificates -> Import 를차례로누른다음비밀번호에 cisco123 을사용하고 Submit 을누릅니다. 3 단계 pxgrid 페르소나를활성화합니다. Administration -> System -> Deployment 를차례로누른다음배포노드를편집하고 pxgrid 를활성화한다음 Save 를누릅니다. 66 페이지

67 4 단계 pxgrid 서비스를시작합니다. Administration -> pxgrid Services 참고 : pxgrid 노드에대한연결이표시되지않을경우, 잠시후에표시될수있습니다. 67 페이지

68 pxgrid 클라이언트테스트 MnT 노드에서 ISE 자체서명 ID 인증서를가져와야하며, pxgrid 클라이언트에대한독립형배포의경우벌크세션다운로드를지원하는지확인합니다 ( 벌크세션다운로드참조 ). 이단계에서는클라이언트등록및세션다운로드를확인합니다. 1 단계 register.sh 스크립트를사용하여다음을실행합니다../register.sh -keystorefilename isesample1.jks -keystorepassword cisco123 -truststorefilename rootsample.jks -truststorepassword cisco123 -group Session -username isesample -hostname group Session properties version=1.0.0 hostnames= username=isesample descriptipon=null keystorefilename=isesample1.jks keystorepassword=cisco123 truststorefilename=rootsample.jks truststorepassword=cisco registering... connecting... connected. done registering. connection closed pxgrid 클라이언트 isesample 이 pxgrid Services 아래에등록된클라이언트로표시되는지확인합니다. 68 페이지