Configurar ISE 2.0: Autenticação TACACS+ ecomando authorization IO baseados namembrasia do clube AD Índice
IntroduçãoPré-requisitosRequisitosComponentes UtilizadosConfigurarDiagrama de RedeConfiguraçõesConfigurar o ISE para a authentication e autorizaçãoJunte-se a ISE 2.0 ao diretório ativoAdicionar o dispositivo de redePermita o serviço Admin do dispositivoConfigurando grupos do comando tacacsConfigurando o perfil TACACSConfigurando a política da autorização TACACSConfigurar o roteador para autenticação e a autorização do Cisco IOSVerificarVerificação do roteador do Cisco IOSVerificação ISE 2.0TroubleshootingInformações RelacionadasCisco relacionado apoia discussões da comunidade
Introdução
Este documento descreve como configurar a autenticação TACACS+ e o comando authorizationbaseados na membrasia do clube do microsoft ative directory (AD) de um usuário com o motor doserviço da identidade (ISE) 2.0 e mais atrasado. O ISE usa o AD como uma loja externo daidentidade para armazenar recursos tais como usuários, máquinas, grupos, e atributos.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
O IOS Router é plenamente operacional●
Conectividade entre o roteador e o ISE.●
O server ISE é amarrado e tem a Conectividade a Microsoft AD●
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Motor 2.0 do serviço da identidade de Cisco●
Liberação 15.4(3)M3 do Cisco IOS ® Software●
Microsoft Windows server 2012 R2●
As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobreconvenções de documentos.
Configurar
O alvo da configuração está a:
Autentique o usuário do telnet através do AD●
Autorize o usuário do telnet assim que é colocado no modo de exec privilegiado após o iníciode uma sessão
●
Verifique e envie cada comando executado ao ISE para a verificação●
Diagrama de Rede
Configurações
Configurar o ISE para a authentication e autorização
Junte-se a ISE 2.0 ao diretório ativo
1. Navegue à administração > ao Gerenciamento de identidades > identidade externa armazena >> Add do diretório ativo. Forneça o nome do ponto da junta, domínio do diretório ativo e o cliquesubmete-se.
2. Quando alertado para juntar-se a todos os Nós ISE a este domínio do diretório ativo, cliquesim.
3. Forneça o nome de usuário e a senha AD, APROVAÇÃO do clique.
A conta AD exigida para o acesso do domínio no ISE deve ter qualquer uma destes:
Adicionar estações de trabalho à direita de usuário de domínio no domínio correspondente●
Crie objetos do computador ou suprima da permissão dos objetos do computador norecipiente correspondente dos computadores onde a conta de máquina ISE é criada antes dese juntar a máquina ISE ao domínio
●
Note: Cisco recomenda desabilitar a política do fechamento para a conta ISE e configurar ainfraestrutura AD para enviar alertas ao admin se uma senha errada é usada para essaconta. Ao incorporar a senha errada, o ISE não cria nem altera sua conta de máquinaquando é necessário e consequentemente para negar possivelmente todas asautenticações.
4. Reveja o status de operação, status do nó deve aparecer como terminado, fim do clique.
5. O estado do AD deve ser operacional.
6. Navegue ao > Add dos grupos > grupos seletos do diretório > recuperam grupos. Selecionecaixas de seleção do grupo de Admins AD da rede e do grupo da equipe AD da manutenção derede, segundo as indicações desta imagem.
Note: O usuário admin é membro do grupo de Admins AD da rede. Este usuário teráprivilégios do acesso direto. O usuário será membro do grupo da equipe AD da manutençãode rede. Este usuário pode executar somente comandos show.
7. A salvaguarda do clique a salvar recuperou grupos AD.
Adicionar o dispositivo de rede
Navegue aos centros de trabalho > à administração > aos recursos de rede > aos dispositivos derede do dispositivo. Clique em Add. Forneça o nome, endereço IP de Um ou Mais ServidoresCisco ICM NT, selecione a caixa de seleção dos ajustes da autenticação TACACS+ e forneça achave secreta compartilhada.
Permita o serviço Admin do dispositivo
Navegue à administração > ao sistema > ao desenvolvimento. Select exigiu o nó. Seleto permitaa caixa de seleção do serviço Admin do dispositivo e clique a salvaguarda.
Note: Para o TACACS você precisa de ter a licença separada instalada.
Configurando grupos do comando tacacs
Dois conjuntos de comandos são configurados. Primeiro PermitAllCommands para o usuárioadmin que permitem comandos all no dispositivo. Em segundo PermitShowCommands para ousuário do usuário que permitirá somente comandos show.
1. Navegue aos centros de trabalho > à administração > à política do dispositivo resulta > gruposdo comando tacacs. Clique em Add. Forneça o nome PermitAllCommands, a caixa de seleçãoseleta do comando permit any que não é abaixo listado e o clique submete-se.
2. Navegue aos centros de trabalho > à administração > à política do dispositivo resulta > gruposdo comando tacacs. Clique em Add. Forneça o nome PermitShowCommands, o clique adiciona epermite a mostra e os comandos exit. À revelia se os argumentos são deixados vazio, todos osargumentos são sejam incluídos. Clique em Submit.
Configurando o perfil TACACS
O único perfil TACACS é configurado. O perfil TACACS é o mesmo conceito que descascamperfil no ACS. A aplicação real do comando é feita através dos conjuntos de comandos. Navegueaos centros de trabalho > à administração > à política do dispositivo resulta > perfis TACACS.Clique em Add. Forneça o nome ShellProfile, selecione a caixa de seleção do privilégio padrão eincorpore o valor de 15. Clique em Submit.
Configurando a política da autorização TACACS
A política de autenticação aponta à revelia a All_User_ID_Stores, que inclui o AD, assim que édeixado inalterado.
Navegue aos grupos dos centros de trabalho > da administração > da política do dispositivo > àpolítica do padrão > da autorização > editam > regra nova da inserção acima.
Duas regras da autorização são configuradas, a primeira regra atribui o perfil ShellProfileTACACS e o comando set PermitAllCommands baseado na membrasia do clube de Admins AD
da rede. A segunda regra atribui o perfil ShellProfile TACACS e o comando setPermitShowCommands baseado na membrasia do clube da equipe AD da manutenção de rede.
Configurar o roteador para autenticação e a autorização do Cisco IOS
Termine estas etapas a fim configurar o roteador para autenticação e a autorização do Cisco IOS.
1. Crie um usuário local com o privilégio completo para a reserva com o comando usernamecomo mostrado aqui.
username cisco privilege 15 password cisco
2. Permita o novo modelo aaa. Defina o servidor de TACACS ISE, e coloque-o no grupoISE_GROUP.
aaa new-model
tacacs server ISE
address ipv4 10.48.17.88
key cisco
aaa group server tacacs+ ISE_GROUP
server name ISE
Note: A chave de servidor deve combinar esse define no server ISE mais cedo.
3. Teste a alcançabilidade do servidor de TACACS com o comando aaa do teste como mostrado.
Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
A saída do comando precedente mostra que o servidor de TACACS é alcançável e o usuárioesteve autenticado com sucesso.
4. Configurar o início de uma sessão e permita autenticações e use então o executivo e asautorizações de comando como mostrado.
Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
Note: A lista de método criada é nomeada o AAA, que será usado mais tarde, atribuindo opara alinhar vty.
5. Atribua listas de método ao line vty 0 4.
Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
Verificar
Verificação do roteador do Cisco IOS
1. Telnet ao roteador do Cisco IOS como admin que pertence ao grupo do acesso direto no AD. Ogrupo de Admins da rede é o grupo no AD que é traçado a ShellProfile e a comando set dePermitAllCommands no ISE. Tente executar o comando any assegurar o acesso direto.
Username:admin
Password:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption aes
Router(config-isakmp)#exit
Router(config)#exit
Router#
2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado noAD. O grupo da equipe da manutenção de rede é o grupo no AD que é traçado a ShellProfile e acomando set de PermitShowCommands no ISE. Tente executar o comando any assegurar-se deque somente os comandos show possam ser emitidos.
Username:user
Password:
Router#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 10.48.66.32 YES NVRAM up up
Router#ping 8.8.8.8
Command authorization failed.
Router#configure terminal
Command authorization failed.
Router#show running-config | include hostname
hostname Router
Router#
Verificação ISE 2.0
1. Navegue às operações > ao TACACS Livelog. Assegure-se de que as tentativas feitas acimaestejam consideradas.
2. Clique os detalhes de um dos relatórios vermelhos, mais adiantado executado comandofalhado pode ser visto.
Troubleshooting
Erro: Comando 13025 não são combinados uma regra da licença
Verifique os atributos de SelectedCommandSet para verificar que os grupos do comandoexpected estiveram selecionados pela política da autorização.
Informações Relacionadas
Suporte Técnico e Documentação - Cisco Systems
Release Note ISE 2.0
Guia de instalação de hardware ISE 2.0
Guia da elevação ISE 2.0
ACS ao guia da ferramenta da migração ISE
Guia da integração do ative directory ISE 2.0
Guia do administrador do motor ISE 2.0