基于RADIUS和TACACS的用户身份验证和授权,适用于带ISE的vEdge和控制器

下载选项

  • PDF     (1.1 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (726.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 3 月 26 日
文档 ID:215349

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用身份服务引擎(ISE)为vEdge和控制器配置基于Radius和TACACS的用户身份验证和授权。

    先决条件

    要求

    本文档没有任何特定的要求。

    使用的组件

    为了进行演示,使用了ISE 2.6版。运行19.2.1的vEdge云和控制器

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    Viptela软件提供三个固定用户组名称:basicnetadminoperator。您必须将用户分配到至少一个组。默认TACACS/Radius用户会自动放置在基本组中。

    基于RADIUS的vEdge和控制器用户身份验证和授权

    步骤1.为ISE创建Viptela半径字典。为此,请创建包含以下内容的文本文件:

    # -*- text -*-
#
#  dictionary.viptela
#
#
# Version:      $Id$
#
 
VENDOR          Viptela                         41916
 
BEGIN-VENDOR    Viptela
 
ATTRIBUTE       Viptela-Group-Name              1    string

    步骤2.将词典上传到ISE。为此,请导航至策略>策略元素>字典。从词典列表,现在导航到Radius > Radius Vendors,然后单击Import,如图所示。

    现在上传您在第1步创建的文件。

    步骤3.创建授权配置文件。在此步骤中,Radius授权配置文件将网络管理员权限级别分配给经过身份验证的用户。为此,请导航至策略>Policy元素>授权配置文件并指定两个高级属性,如图所示。

    步骤4.根据实际设置,策略集的外观可能会有所不同。为了在本文中演示,将创建名为“终端访问”的策略条目,如图所示。

    单击>,屏幕将显示如图所示。

    此策略基于用户组lab_admin进行匹配,并分配在步骤3中创建的授权配置文件。

    步骤5.定义NAS(vEdge路由器或控制器),如图所示。

    步骤6.配置vEdge/Controller。

    system
 aaa
  auth-order       radius local
  radius
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    步骤7.验证。登录vEdge并确保为远程用户分配netadmin组。

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    基于TACACS的vEdge和控制器用户身份验证和授权

    步骤1.创建TACACS配置文件。在此步骤中,将创建的TACACS配置文件分配给经过身份验证的用户,例如netadmin权限级别。

    • 从“自定义属性”部分选择“必需”,将属性添加为:

    类型

    名称

    价值

    必需

    Viptela-Group-Name

    netadmin

    步骤2.为SD-WAN创建设备组。

    步骤3.配置设备并将其分配给SD-WAN设备组:

    步骤4.定义设备管理策略。

    根据实际设置,策略集可能会有所不同。为了在本文档中进行演示,创建了策略。

    单击>,屏幕将显示如下图所示。此策略根据名为SD-WAN的设备类型进行匹配,并分配在步骤1中创建的Shell配置文件。

    步骤5.配置vEdge:

    system
 aaa
  auth-order tacacs local
 !
 tacacs
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    步骤6.验证。登录vEdge并确保为远程用户分配netadmin组:

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    相关信息

    TAC Authored

    由思科工程师提供

    • Eugene Khabarov
      Cisco TAC Engineer
    • Vijeth Kumar
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品