PDF de programación - Configure el 2.1 ISE con MS SQL usando el ODBC

Configure el 2.1 ISE con MS SQL usando el
ODBC

Contenido

Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Configurar
Paso 1. Configuración básica MS SQL
Paso 2. Configuración básica ISE
Paso 3. Autenticación de usuario de la configuración
Paso 4. Extracción del grupo de la configuración
Paso 5. La configuración atribuye la extracción
Troubleshooting

Introducción

Este documento describe cómo configurar el Identity Services Engine (ISE) con el servidor
estándar del Lenguaje de consulta de Microsoft (SQL) para la autenticación ISE usando la
Conectividad abierta de base de datos (ODBC)

Note: La autenticación de la Conectividad abierta de base de datos (ODBC) requiere el ISE
poder traer una contraseña del usuario del sólo texto. La contraseña se puede cifrar en la
base de datos, pero tiene que ser desencriptada por el procedimiento almacenado.

Prerequisites

Requisitos

 Cisco recomienda que tenga conocimiento sobre estos temas:

Base de datos y conceptos ODBC
Microsoft SQL server

l

l

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y
hardware.

2.1 del Identity Services Engine
R2 del servidor 2008 MSSQL

l

l

Configurar

Paso 1. Configuración básica MS SQL

Los pasos para la configuración incluyen crear una base de datos y a un usuario para el ISE con
los permisos para acceder esa base de datos.

Note: El ISE soporta solamente la autenticación SQL, no la cuenta de Windows. Si usted
necesita cambiar al modo de autenticación, refiera por favor al modo de la autenticación de
servidor del cambio

1. Abra el SQL Server Management Studio (menú Inicio > el r2 2008 del Microsoft SQL server) y
cree una base de datos:

2. Deje las opciones predeterminadas o ajuste las configuraciones de la base de datos tal y como
se muestra en de esta imagen:

  

3. Cree a un usuario y fije los permisos tal y como se muestra en de las imágenes abajo:

Paso 2. Configuración básica ISE

Cree una fuente de la identidad ODBC en la administración > fuente externa de la identidad >
ODBC y conexión de prueba:

Paso 3. Autenticación de usuario de la configuración

La autenticación ISE al ODBC utiliza los procedimientos almacenados. El procedimiento
almacenado para la autenticación vuelve el resultset con este sintaxis:

Tipo
Valor
Entero
Resultado
Grupo (para la compatibilidad
Número entero o varchar(255)
con ACS 4.2 solamente)
Información de la cuenta
varchar(255)
Secuencia de comandos de error varchar(255)

Para otros procedimientos, refiera a la guía de administración del 2.1 del Cisco Identity Services
Engine

Tip: Es posible volver los parámetros Nombrados en vez del resultset. Es apenas un tipo
diferente de salida, las funciones es lo mismo.

1. Navegue a las opciones y desmarque evitan el guardar del cambio que requieren la casilla de
verificación de la reconstrucción de la tabla (opcional):

2. Cree la tabla. Aseegurese le fijan las configuraciones de la identidad en la Clave primaria. Para
fijar el user_id como Clave primaria, haga clic con el botón derecho del ratón el nombre de
columna:

  

SQL final:

  

CREATE TABLE [dbo].[ISE_Users](
[user_id] [int] IDENTITY(1,1) NOT NULL,
[username] [varchar](max) NOT NULL,
[password] [varchar](max) NOT NULL,

CONSTRAINT [PK_ISE_Users] PRIMARY KEY CLUSTERED
(
[user_id] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS =
ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY]
3. Funcione con esta interrogación para insertar a un usuario:

  

insert into ISE_Users(username,password) values('odbcuser1','odbcpass');
4. Cree un procedimiento para la autenticación de contraseña del sólo texto (usada para el
método interno PAP, EAP-GTC, TACACS):

  

CREATE PROCEDURE [dbo].[ISEAuthUserPlainReturnsRecordset]
@username varchar(255), @password varchar(255)
AS
BEGIN
IF EXISTS( SELECT username
FROM ISE_Users
WHERE username = @username
AND password = @password )
SELECT 0,11,'This is a very good user, give him all access','No Error'
FROM ISE_Users
WHERE username = @username
ELSE
SELECT 3,0,'odbc','ODBC Authen Error'
END
  

5. Cree un procedimiento para la recogida de la contraseña del sólo texto (usada para la GRIETA,
MSCHAPv1/v2, EAP-MD5, SALTO, método interno del EAP MSCHAPv2, TACACS):

  

CREATE PROCEDURE [dbo].[ISEFetchPasswordReturnsRecordset]
@username varchar(255)
AS
BEGIN
IF EXISTS( SELECT username
FROM ISE_Users
WHERE username = @username)
SELECT 0,11,'This is a very good user, give him all access','No Error',password
FROM ISE_Users
WHERE username = @username
ELSE
SELECT 3,0,'odbc','ODBC Authen Error'
END
6. Cree un procedimiento para el nombre de usuario del control o la máquina existe (utilizado
para el MAB, rápido vuelva a conectar del PEAP, del EAP-FAST y del EAP-TTLS):

CREATE PROCEDURE [dbo].[ISEUserLookupReturnsRecordset]
@username varchar(255)

AS
BEGIN
IF EXISTS( SELECT username
FROM ISE_Users
WHERE username = @username)
SELECT 0,11,'This is a very good user, give him all access','No Error'
FROM ISE_Users
WHERE username = @username
ELSE
SELECT 3,0,'odbc','ODBC Authen Error'
END
7. Pruebe los procedimientos creados:

  

Pruebe otros procedimientos de la misma manera.

8. Configure los procedimientos en el ISE y sálvelos:

9. Cree una regla de la autenticación simple usando el ODBC y pruébela:

b3560#test aaa group ISE236 odbcuser1 odbcpass legacy
Attempting authentication test to server-group ISE236 using radius
User was successfully authenticated.

Paso 4. Extracción del grupo de la configuración

1. Cree las tablas que contienen a los grupos de usuarios y otras usadas para la asignación
múltiple:

CREATE TABLE [dbo].[Groups](
[Group_ID] [int] IDENTITY(1,1) NOT NULL,
[Group_Name] [varchar](max) NOT NULL,
[Group_Desc] [text] NOT NULL,
CONSTRAINT [PK_Groups] PRIMARY KEY CLUSTERED
(
[Group_ID] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS =
ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY] TEXTIMAGE_ON [PRIMAR
  

CREATE TABLE [dbo].[User_Groups_Mapping](
[user_id] [int] NOT NULL,
[group_id] [int] NOT NULL
) ON [PRIMARY]

ALTER TABLE dbo.User_Groups_Mapping ADD CONSTRAINT
FK_User_Groups_Mapping_Groups FOREIGN KEY
(
group_id
) REFERENCES dbo.Groups
(
Group_ID
) ON UPDATE CASCADE
ON DELETE CASCADE

GO
ALTER TABLE dbo.User_Groups_Mapping ADD CONSTRAINT
FK_User_Groups_Mapping_ISE_Users FOREIGN KEY
(

user_id
) REFERENCES dbo.ISE_Users
(
user_id
) ON UPDATE CASCADE
ON DELETE CASCADE
2. Agregue los grupos y las asignaciones, de modo que ODBCUSER1 pertenezca a ambos
grupos:

INSERT [dbo].[Groups] ([Group_ID], [Group_Name], [Group_Desc]) VALUES (1, N'ODBCGroup1', N'My
Nice Group1')
INSERT [dbo].[User_Groups_Mapping] ([user_id], [group_id]) VALUES (1, 1)
INSERT [dbo].[Groups] ([Group_ID], [Group_Name], [Group_Desc]) VALUES (2, N'ODBCGroup2', N'My
Nice Group2')
INSERT [dbo].[User_Groups_Mapping] ([user_id], [group_id]) VALUES (1, 2)
3. Cree el procedimiento de la extracción del grupo:

CREATE PROCEDURE [dbo].[ISEGroupsRetrieval]
@username varchar(255), @result int output
AS
BEGIN
if exists (select * from ISE_Users where username = @username)
begin
set @result = 0
select Group_Name from Groups where group_id in (select group_ID from User_Groups_Mapping where
User_Groups_Mapping.USER_ID IN (select USER_ID from ISE_Users where username=@username ) )
end
else
set @result = 1
END
4. Asocíelo para traer a los grupos:

5. Traiga a los grupos y agreguelos en la fuente de la identidad ODBC:

6. Agregue a otro usuario que no pertenezca a cualquier grupo:

insert into ISE_Users(username,password) values('odbcuser2','odbcpass');
7. Cree el conjunto específico de la directiva y pruebe:

b3560#test aaa group ISE236 odbcuser2 odbcpass legacy
Attempting authentication test to server-group ISE236 using radius
User authentication request was rejected by server.

b3560#test aaa group ISE236 odbcuser1 odbcpass legacy
Attempting authentication test to server-group ISE236 using radius
User was successfully authenticated.

Paso 5. La configuración atribuye la extracción

1. Para simplificar este ejemplo, una tabla plana se utiliza para los atributos:

CREATE TABLE [dbo].[User_Attributes](
[user_id] [int] NOT NULL,
[Attribute_Name] [varchar](max) NOT NULL,
[Attribute_Value] [varchar](max) NOT NULL
) ON [PRIMARY]

GO

ALTER TABLE [dbo].[User_Attributes] WITH CHECK ADD CONSTRAINT [FK_User_Attributes_ISE_Users]
FOREIGN KEY([user_id])
REFERENCES [dbo].[ISE_Users] ([user_id])
ON UPDATE CASCADE
ON DELETE CASCADE
GO
2. Cree un atributo para uno de los usuarios:

INSERT [dbo].[User_Attributes] ([user_id], [Attribute_Name], [Attribute_Value]) VALUES (2,
N'AwsomenessLevel', N'100')
INSERT [dbo].[User_Attributes] ([user_id], [Attribute_Name], [Attribute_Value]) VALUES (2,
N'UserType', N'admin')
3. Cree el procedimiento almacenado:

CREATE PROCEDURE [dbo].[ISEAttrsRetrieval]
@username varchar(255), @result int output
AS
BEGIN
if exists (select * from ISE_Users where username = @username)
begin

set @result = 0
select attribute_name , attribute_value from user_attributes where USER_ID in(SELECT USER_ID
from ISE_Users where username = @username)
end
else
set @result = 1
END
4. Asocíelo para traer los atributos:

5. Traiga los atributos:

6. Ajuste las reglas ISE:

Troubleshooting

Si la conexión no es acertada, registro de acontecimientos de las ventanas de control. En la cola
de prrt-management.log de la aplicación del comando show logging del uso ISE mientras que
intenta conectar.

Ejemplo del modo de la autentificación que resultó mal:

bise236/admin# sh logg app prrt-management.log tail
2016-06-08 09:03:59,822 WARN [admin-http-pool177][]
cisco.cpm.odbcidstore.impl.MSSQLServerDbAccess -:bastien::- Connection to ODBC DB failed.
Exception: com.microsoft.sqlserver.jdbc.S
QLServerException: Login failed for user 'babaland\administrator'. ClientConnectionId:c74ade15-
4f34-415a-9a94-4c54c58c0f