le 09-03-2021 01:40 AM - dernière modification le 25-03-2021 11:30 AM par Jimena Saez
Ci-dessous vous retrouverez les questions qui ont été répondues par nos experts durant le webcast.
Nos experts : Jean François Pujol (Présentateur) et Polo Arroyo Folange (QM).
Pour plus d'informations, visitez la section de Sécurité.
Cliquez sur les boutons pour accéder aux contenus proposés
Sujets abordés lors de la présentation : ISE, information en général et produits associés.
R1 - Jean Francois Pujol : Nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en œuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ... mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum. *Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
R2 - Polo Arroyo : Selon la guide d’installation official, section « Support for Cisco ISE on VMware Cloud on Amazon Web Services and Azure VMware Solution », le processus pour installer ISE dans une Cloud est le même que si on le faisait dans une machine virtuelle : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30.pdf
ISE 3.0 supporte VMWare, Linux KVM et Microsoft Hyper-V. Les spécifications sont dans la guide official d’installation du ISE 3.0 : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30/b_ise_InstallationGuide30_chapter_2.html
R3 - Polo Arroyo : Les capacités ne sont pas exactement les mêmes. ISE 3.0 rajoute des capabilités sur cloud networking, en revanche, ISE 2.x s’intègre avec Azure principalement avec les capabilités de MDM : https://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/ise-3-0-whats-new-aag.pdf
R4 - Polo Arroyo : Bonjour Benoît. Pourriez-vous être plus précis avec votre question? Je ne comprends pas.
R4 - Jean Francois Pujol : L'échange basé sur PEAP(MS-CHAPV2) consiste à construire un hash avec un jeton aléatoire et le mot de passe de l'utilisateur : cela demande un échange spécifique entre le client et le serveur AD pour construire le jeton, et vérifier le résultat à l'arrivée; Azure AD dans le cloud ne supporte pas cet échange, donc on ne peut pas implémenter ce mécanisme dans l'état, malheureusement. *Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
R5 - Polo Arroyo : Dans ce cas on a fait une configuration sur un client Linux, pourtant on ne peut pas utiliser GPO, mais on devrait être capable d’envoyer ces configurations par GPO.
R6 - Polo Arroyo : Cette question on la répondra par écrit à posteriori.
R7 - Polo Arroyo : Le support sur Azure VMWare commence dès la version 3.0 : https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_InstallationGuide30.pdf
R8 - Jean Francois Pujol : Si la question concerne la possibilité de déployer ISE dans AWS aujourd'hui, c'est déjà possible sous forme d'une image VMware dans AWS (VMware cloud in Amazon Web Services ). Pour Google Cloud, ce n'est pas encore le cas, mais si la demande est là, je pense que les Product managers considérerons le besoin : n'hésite pas à faire part de ta remarque ici : http://cs.co/ise-feedback
Concernant un autre sujet de séminaire, nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en œuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ... mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum.
* Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
R9 - Jean Francois Pujol : Lorsque l'on fait un lien de ISE vers ADFS, c'est pour permettre une authentification de type SAML dans les portails web admin, WebAuth ou Guest d'ISE : dans ce cas, l'authentification n'utilise pas le mécanisme MS-CHAPv2; Par contre, la version 3.0 qui permet de faire du MFA avec Azure AD doit logiquement fonctionner aussi avec ADFS, bien que je n'ai pas vérifié ce point. Pour continuer à réaliser une authentification de type MS-CHAPv2, il faut un serveur AD dans le réseau, ce que Microsoft propose avec une synchronisation possible vers le cloud Azure. * Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
R10 - Jean Francois Pujol : ISE-PIC est un sous-ensemble de la plate-forme ISE qui permet de partager la relation (@IP - username) dans le réseau, en se référant à l'authentification qu'un utilisateur réalise dans l'Active Directory au moment du login sur son poste (ISE-PIC récupère le message de connexion depuis le contrôleur AD).
Si l'utilisateur se connecte dans le cloud à travers Azure-AD, le processus devient plus complexe à suivre, et pour l'instant, ce processus n'est pas pris en compte par ISE-PIC, ni par ISE non plus. Il faudrait qu'Azure AD enregistre l'adresse privée du poste (c'est ce qui nous intéresse pour le suivi de l'utilisateur dans le réseau), et je ne suis pas sûr que ce soit possible, ou implémenté par Microsoft aujourd'hui.
Réponse dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
R11 : Réponse ci-dessus ou dans le forum, suivez le lien: https://bit.ly/AMAd-mar21
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français