简介
本文档介绍如何使用身份服务引擎(ISE)为vEdge和控制器配置基于Radius和TACACS的用户身份验证和授权。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
为了进行演示,使用了ISE 2.6版。运行19.2.1的vEdge云和控制器
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
Viptela软件提供三个固定用户组名称:basic、netadmin和operator。您必须将用户分配到至少一个组。默认TACACS/Radius用户会自动放置在基本组中。
基于RADIUS的vEdge和控制器用户身份验证和授权
步骤1.为ISE创建Viptela半径字典。为此,请创建包含以下内容的文本文件:
# -*- text -*-
#
# dictionary.viptela
#
#
# Version: $Id$
#
VENDOR Viptela 41916
BEGIN-VENDOR Viptela
ATTRIBUTE Viptela-Group-Name 1 string
步骤2.将词典上传到ISE。为此,请导航至策略>策略元素>字典。从词典列表,现在导航到Radius > Radius Vendors,然后单击Import,如图所示。
现在上传您在第1步创建的文件。
步骤3.创建授权配置文件。在此步骤中,Radius授权配置文件将网络管理员权限级别分配给经过身份验证的用户。为此,请导航至策略>Policy元素>授权配置文件并指定两个高级属性,如图所示。
步骤4.根据实际设置,策略集的外观可能会有所不同。为了在本文中演示,将创建名为“终端访问”的策略条目,如图所示。
单击>,屏幕将显示如图所示。
此策略基于用户组lab_admin进行匹配,并分配在步骤3中创建的授权配置文件。
步骤5.定义NAS(vEdge路由器或控制器),如图所示。
步骤6.配置vEdge/Controller。
system
aaa
auth-order radius local
radius
server 10.48.87.210
vpn 512
key cisco
exit
!
!
步骤7.验证。登录vEdge并确保为远程用户分配netadmin组。
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
基于TACACS的vEdge和控制器用户身份验证和授权
步骤1.创建TACACS配置文件。在此步骤中,将创建的TACACS配置文件分配给经过身份验证的用户,例如netadmin权限级别。
类型 |
名称 |
价值 |
必需 |
Viptela-Group-Name |
netadmin |
步骤2.为SD-WAN创建设备组。
步骤3.配置设备并将其分配给SD-WAN设备组:
步骤4.定义设备管理策略。
根据实际设置,策略集可能会有所不同。为了在本文档中进行演示,创建了策略。
单击>,屏幕将显示如下图所示。此策略根据名为SD-WAN的设备类型进行匹配,并分配在步骤1中创建的Shell配置文件。
步骤5.配置vEdge:
system
aaa
auth-order tacacs local
!
tacacs
server 10.48.87.210
vpn 512
key cisco
exit
!
!
步骤6.验证。登录vEdge并确保为远程用户分配netadmin组:
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
步骤5.配置vEdge:
步骤5.配置vEdge:
步骤5.配置vEdge:
相关信息