Autenticação e autorização de usuário baseada em Radius e TACACS para vEdge e controladores com ISE

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (738.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de março de 2020
ID do documento:215349

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a autenticação de usuário baseada em Radius e TACACS e a autorização para vEdge e controladores com o Identity Service Engine (ISE).

    Prerequisites

    Requirements

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    Para a demonstração, foi usada a versão 2.6 do ISE. Nuvem vEdge e controladores executando 19.2.1

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    O software Viptela oferece três nomes de grupo de usuários fixos: basic, netadmin e operator. Você deve atribuir o usuário a pelo menos um grupo. O usuário padrão TACACS/Radius é colocado automaticamente no grupo básico.

    Autenticação e autorização de usuário baseada em RADIUS para vEdge e controladores

    Etapa 1. Crie um dicionário de raio Viptela para ISE. Para fazer isso, crie um arquivo de texto com o conteúdo:

    # -*- text -*-
#
#  dictionary.viptela
#
#
# Version:      $Id$
#
 
VENDOR          Viptela                         41916
 
BEGIN-VENDOR    Viptela
 
ATTRIBUTE       Viptela-Group-Name              1    string

    Etapa 2. Carregar dicionário no ISE. Para isso, navegue para Política > Elementos de política > Dicionários. Na lista de Dicionários, navegue para Radius > Radius Vendors e clique em Import, como mostrado na imagem.

    Carregue o arquivo criado na etapa 1.

    Etapa 3. Crie um perfil de autorização. Nesta etapa, o perfil de autorização de RADIUS atribui, por exemplo, o nível de privilégio de netadmin a um usuário autenticado. Para isso, navegue para Policy > Policy Elements > Authorization Profiles e especifique dois atributos avançados como mostrado na imagem.

    Etapa 4. Dependendo da sua configuração real, seu conjunto de políticas pode ter uma aparência diferente. Para a finalidade da demonstração neste artigo, a entrada Policy chamada Terminal Access é criada conforme mostrado na imagem.

    Clique em > e a próxima tela será exibida conforme mostrado na imagem.

    Essa política corresponde com base no grupo de usuários lab_admin e atribui um perfil de autorização criado na Etapa 3.

    Etapa 5. Defina NAS (roteador ou controlador vEdge) como mostrado na imagem.

    Etapa 6. Configurar vEdge/Controller.

    system
 aaa
  auth-order       radius local
  radius
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    Passo 7. Verificação. Faça login no vEdge e verifique se o grupo netadmin está atribuído ao usuário remoto.

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    Autenticação e autorização de usuário baseada em TACACS para vEdge e controladores

    Etapa 1. Crie um perfil TACACS. Nesta etapa, o perfil TACACS criado é atribuído, por exemplo, ao nível de privilégio netadmin a um usuário autenticado.

    • Selecione Obrigatório na seção Atributo personalizado para adicionar o atributo como:

    Tipo

    Nome

    Valor

    Obrigatório

    Viptela-Group-Name

    netadmin

    Etapa 2. Crie um grupo de dispositivos para SD-WAN.

    Etapa 3. Configure o dispositivo e atribua-o ao grupo de dispositivos SD-WAN:

    Etapa 4. Defina a Política de administração do dispositivo.

    Dependendo da sua configuração real, seu conjunto de políticas pode ter uma aparência diferente. Para os fins da demonstração neste documento, a Política é criada.

    Clique em > e a próxima tela será exibida conforme mostrado nesta imagem. Essa política corresponde com base no tipo de dispositivo chamado SD-WAN e atribui o perfil Shell criado na etapa 1.

    Etapa 5. Configurar vEdge:

    system
 aaa
  auth-order tacacs local
 !
 tacacs
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    Etapa 6. Verificação. Faça login no vEdge e verifique se o grupo netadmin está atribuído ao usuário remoto:

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Eugene Khabarov
      Cisco TAC Engineer
    • Vijeth Kumar
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos