ISEを使用したvEdgeおよびコントローラのRADIUSおよびTACACSベースのユーザ認証と許可

概要

このドキュメントでは、Identity Service Engine(ISE)を使用して、vEdgeおよびコントローラのRADIUSベースおよびTACACSベースのユーザ認証および許可を設定する方法について説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

デモンストレーションでは、ISEバージョン2.6を使用しました。19.2.1を実行するvEdge-cloudおよびコントローラ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

Viptelaソフトウェアには、3つの固定ユーザグループ名があります。basic、netadmin、およびoperator。ユーザを少なくとも1つのグループに割り当てる必要があります。デフォルトのTACACS/RADIUSユーザは、自動的に基本グループに配置されます。

vEdgeおよびコントローラのRADIUSベースのユーザ認証と許可

ステップ1:ISEのViptela radiusディクショナリを作成します。そのためには、次の内容のテキストファイルを作成します。

# -*- text -*-
#
#  dictionary.viptela
#
#
# Version:      $Id$
#
 
VENDOR          Viptela                         41916
 
BEGIN-VENDOR    Viptela
 
ATTRIBUTE       Viptela-Group-Name              1    string

ステップ2：ディクショナリをISEにアップロードします。これを行うには、[Policy] > [Policy Elements] > [Dictionaries]に移動します。辞書のリストから、[Radius] > [Radius Vendors]に移動し、次に示すように[Import]をクリックします。

ステップ1で作成したファイルをアップロードします。

ステップ3：許可プロファイルを作成します。この手順では、Radius認証プロファイルが、たとえばnetadmin特権レベルを認証されたユーザに割り当てます。そのためには、[Policy] > [Policy Elements] > [Authorization Profiles]に移動し、図に示すように2つの高度な属性を指定します。

ステップ4：実際の設定によって、ポリシーセットの外観が異なる場合があります。この記事のデモンストレーションを目的として、図に示すように、Terminal Accessと呼ばれるポリシー項目が作成されます。

> をクリックすると、次の画面が図のように表示されます。

このポリシーは、ユーザグループlab_adminに基づいて一致し、ステップ3で作成した認可プロファイルを割り当てます。

ステップ5：図に示すように、NAS（vEdgeルータまたはコントローラ）を定義します。

ステップ6:vEdge/コントローラを設定します。

system
 aaa
  auth-order       radius local
  radius
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

ステップ7：検証。vEdgeにログインし、リモートユーザにnetadminグループが割り当てられていることを確認します。

vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

vEdgeおよびコントローラのTACACSベースのユーザ認証と許可

ステップ1:TACACSプロファイルを作成します。このステップでは、作成されたTACACSプロファイルが、たとえばnetadmin特権レベルを認証されたユーザに割り当てられます。

• カスタム属性セクションから「必須」を選択し、属性を次のように追加します。

Type	[名前(Name)]	値
必須	Viptela-Group-Name	netadmin

ステップ2:SD-WANのデバイスグループを作成します。

ステップ3：デバイスを設定し、SD-WANデバイスグループに割り当てます。

ステップ4：デバイス管理ポリシーを定義します。

実際の設定によっては、ポリシーセットの外観が異なる場合があります。このドキュメントのデモンストレーションを目的として、ポリシーが作成されます。

> をクリックすると、次の画面が次の図のように表示されます。このポリシーは、SD-WANという名前のデバイスタイプに基づいて一致し、ステップ1で作成したシェルプロファイルを割り当てます。

ステップ5:vEdgeの設定：

system
 aaa
  auth-order tacacs local
 !
 tacacs
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

ステップ6：検証。vEdgeにログインし、リモートユーザにnetadminグループが割り当てられていることを確認します。

vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

関連情報

• Cisco ISE Device Administration Prescriptive Deployment Guide:https://community.cisco.com/t5/security-documents/cisco-ise-device-administration-prescriptive-deployment-guide/ta-p/3738365#toc-hId-298630973
• ユーザー・アクセスと認証の構成：https://sdwan-docs.cisco.com/Product_Documentation/Software_Features/Release_18.4/02System_and_Interfaces/03Configuring_User_Access_and_Authentication