annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Interview Redouane MEDDANE

Community Live Q&R - Microsoft Azure / AD : Intégration sans heurts avec Cisco ISE

559
Visites
0
Compliment
0
Commentaires
banner_fr_lp_WEB_900x150_jpujol_mar_2021_qna.png

Ci-dessous vous retrouverez les questions qui ont été répondues par nos experts durant le webcast.

Microsoft Azure / AD : Intégration sans heurts avec Cisco ISE

Nos experts : Jean François Pujol (Présentateur) et Polo Arroyo Folange (QM).
Pour plus d'informations, visitez la section de Sécurité.

see-details-french.png download-document-french.png watch-video-french.png join-discussion-french.png

Cliquez sur les boutons pour accéder aux contenus proposés


Sujets abordés lors de la présentation : ISE, information en général et produits associés.

Microsoft Azure / AD : Intégration sans heurts avec Cisco ISE

Q1 : Le thème de la présentation du jour concerne MS Azure... Est-il possible d'envisager qq chose de similaire dans AWS ? - Christophe

R1 - Jean Francois Pujol : Nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en œuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ... mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum. *Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Q2 : Est-il possible de déployer nativement le ISE dans le cloud sans la couche VMware ? - Emmanuel

R2 - Polo Arroyo : Selon la guide d’installation official, section « Support for Cisco ISE on VMware Cloud on Amazon Web Services and Azure VMware Solution », le processus pour installer ISE dans une Cloud est le même que si on le faisait dans une machine virtuelle : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30.pdf 
ISE 3.0 supporte VMWare, Linux KVM et Microsoft Hyper-V. Les spécifications sont dans la guide official d’installation du ISE 3.0 : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30/b_ise_InstallationGuide30_chapter_2.html 

Q3 : Bonjour, Est-ce que les versions ISE 2.x sont également validées sur Azure VMware? - Pierre

R3 - Polo Arroyo : Les capacités ne sont pas exactement les mêmes. ISE 3.0 rajoute des capabilités sur cloud networking, en revanche, ISE 2.x s’intègre avec Azure principalement avec les capabilités de MDM : https://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/ise-3-0-whats-new-aag.pdf 

Q4 : Et qu'en est-il avec PEAP(MS-CHAPv2)? - Benoît

R4 - Polo Arroyo : Bonjour Benoît. Pourriez-vous être plus précis avec votre question? Je ne comprends pas.

R4 - Jean Francois Pujol :  L'échange basé sur PEAP(MS-CHAPV2) consiste à construire un hash avec un jeton aléatoire et le mot de passe de l'utilisateur  : cela demande un échange spécifique entre le client et le serveur AD pour construire le jeton, et vérifier le résultat à l'arrivée; Azure AD dans le cloud ne supporte pas cet échange, donc on ne peut pas implémenter ce mécanisme dans l'état, malheureusement. *Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Q5 : Manual configuration de l'EAP-TTLS sur Windows 10, ça signifie qu'il n'est pas possible de configurer le client Wifi par GPO ? - Matthieu

R5 - Polo Arroyo : Dans ce cas on a fait une configuration sur un client Linux, pourtant on ne peut pas utiliser GPO, mais on devrait être capable d’envoyer ces configurations par GPO.

Q6 : À confirmer par Cisco, mais il me semble que PEAP/MSCHAPv2 n'est plus possible en annuaire Full Azure car la façon de stocker les mots de passe est incompatible. - Matthieu

R6 - Polo Arroyo : Cette question on la répondra par écrit à posteriori.

Q7 : Nous avons la volonté de délester nos datacenter physique et déporter nos resources vers Azure le plus possible. Sans considérer l'intégration Azure AD pour l'instant, est-ce que ce ISE 2.7 sur Azure VMWare sera supporté par le TAC? - Pierre

R7 - Polo Arroyo : Le support sur Azure VMWare commence dès la version 3.0 : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30.pdf 

Q8 : Est-ce que nous considérons ISE cloud sur AWS et Google cloud dans le futur ? - Sylvain

R8 - Jean Francois Pujol : Si la question concerne la possibilité de déployer ISE dans AWS aujourd'hui, c'est déjà possible sous forme d'une image VMware dans AWS (VMware cloud in Amazon Web Services ). Pour Google Cloud, ce n'est pas encore le cas, mais si la demande est là, je pense que les Product managers considérerons le besoin : n'hésite pas à faire part de ta remarque ici : http://cs.co/ise-feedback 

Concernant un autre sujet de séminaire, nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en œuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ... mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum.

* Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Q9 : Est-ce que ISE connecte sur ADFS pourrait permettre PEAP-MSCHAPv2 et le support du MFA fait par ADFS? - Danny

R9 - Jean Francois Pujol : Lorsque l'on fait un lien de ISE vers ADFS, c'est pour permettre une authentification de type SAML dans les portails web admin, WebAuth ou Guest d'ISE : dans ce cas, l'authentification n'utilise pas le mécanisme MS-CHAPv2; Par contre, la version 3.0 qui permet de faire du MFA avec Azure AD doit logiquement fonctionner aussi avec ADFS, bien que je n'ai pas vérifié ce point. Pour continuer à réaliser une authentification de type MS-CHAPv2, il faut un serveur AD dans le réseau, ce que Microsoft propose avec une synchronisation possible vers le cloud Azure. * Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Q10 : Est ce qu'il est possible d'utiliser le mode APIC? - Laurent

R10 - Jean Francois Pujol : ISE-PIC est un sous-ensemble de la plate-forme ISE qui permet de partager la relation (@IP - username) dans le réseau, en se référant à l'authentification qu'un utilisateur réalise dans l'Active Directory au moment du login sur son poste (ISE-PIC récupère le message de connexion depuis le contrôleur AD). 

 

Si l'utilisateur se connecte dans le cloud à travers Azure-AD, le processus devient plus complexe à suivre, et pour l'instant, ce processus n'est pas pris en compte par ISE-PIC, ni par ISE non plus. Il faudrait qu'Azure AD enregistre l'adresse privée du poste (c'est ce qui nous intéresse pour le suivi de l'utilisateur dans le réseau), et je ne suis pas sûr que ce soit possible, ou implémenté par Microsoft aujourd'hui. 

Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Q11 : Je voulais parler de l'ISE-PIC. - Laurent

R11  : Réponse ci-dessus ou dans le forum, suivez le lien: https://bit.ly/AMAd-mar21 

Créer
Reconnaître d'autres membres
Content for Community-Ad

Vidéo - Webcast Security de Juin 2019