Seguridad : Cisco Identity Services Engine

Acceso porta administrativo ISE con el ejemplo de configuración de las credenciales AD

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe un ejemplo de configuración para el uso del Microsoft Active Directory (AD) como almacén externo de la identidad para el acceso administrativo a la Administración GUI del Cisco Identity Services Engine (ISE).

Contribuido por Jatin Katyal, ingeniero de Cisco TAC.

Prerrequisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración versiones de 1.1.x de Cisco ISE o de más adelante
  • Microsoft AD

Componenets utilizó

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 1.1.x de Cisco ISE
  • Versión 2 del Servidor Windows 2008

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Utilice esta sección para configurar para el uso de Microsoft AD como almacén externo de la identidad para el acceso administrativo a la Administración GUI de Cisco ISE.

Únase al ISE al AD

  1. Navegue a la administración > a la Administración de la identidad > las fuentes > Active Directory externos de la identidad.
  2. Ingrese el nombre del almacén del Domain Name y de la identidad AD, y el tecleo se une a.
  3. Ingrese las credenciales de la cuenta AD que puede agregar y realizar los cambios a los objetos del ordenador, y haga clic la configuración de la salvaguardia.

     

Seleccione los grupos del directorio

  1. Navegue a la administración > a la Administración de la identidad > las fuentes > Active Directory externos de la identidad > Groups > Add > directorio selecto de la forma de los grupos
  2. Importe por lo menos a un grupo AD a quien su administrador pertenezca.

     

Habilite el acceso administrativo para el AD

Complete estos pasos para habilitar la autenticación basada en la contraseña para el AD:

  1. Navegue a la administración > al sistema > al acceso > a la autenticación Admin.
  2. De la lengueta del método de autentificación, seleccione la contraseña basada opción.
  3. Seleccione el AD del menú desplegable de la fuente de la identidad.
  4. Haga clic los cambios de la salvaguardia.

Configure el admin group a la asignación del grupo AD

Defina un admin group de Cisco ISE y asocíelo a un grupo AD. Esto permite la autorización de determinar los permisos basados papel del control de acceso (RBAC) para el administrador basado en la calidad de miembro de grupo en el AD. 

  1. Navegue a la administración > al sistema > al acceso Admin > a los administradores > a los grupos Admin.
  2. El tecleo agrega en la encabezado de la tabla para ver el nuevo cristal de la configuración del admin group.
  3. Ingrese el nombre para el nuevo admin group.
  4. En el campo del tipo, marque la casilla de verificación externa.
  5. Del menú desplegable de los grupos externos, seleccione al grupo AD a quien usted quisiera que este admin group asociara, según lo definido en el directorio selecto agrupa la sección.
  6. Haga clic los cambios de la salvaguardia.

     

Fije los permisos RBAC para el admin group

Complete estos pasos para asignar los permisos RBAC a los grupos Admin creados en la sección anterior:

  1. Navegue a la administración > al sistema > al acceso > a la autorización > a la directiva Admin.
  2. Del menú desplegable de las acciones en la nueva directiva del separador de millares derecho, selecto abajo para agregar una nueva directiva.
  3. Cree una nueva regla llamada ISE_administration_AD, asocíela con el admin group definido en el acceso administrativo del permiso para la sección AD, y asígnele los permisos.

    Nota: En este ejemplo, el admin group llamado Super Admin se asigna, que es equivalente a la cuenta de administración estándar.

  4. La salvaguardia del tecleo cambia, y la confirmación de los cambios guardados se visualiza en la esquina inferior derecha del GUI.

     

Acceso ISE con las credenciales AD

Complete estos pasos para acceder el ISE con las credenciales AD:

  1. Logout del GUI administrativo.
  2. Seleccione AD1 del menú desplegable de la fuente de la identidad.
  3. Ingrese el nombre de usuario y contraseña de la base de datos AD, y del login.

Nota: Los valores por defecto ISE al almacén del usuario interno en caso que el AD sea inalcanzable, o las credenciales de la cuenta usadas no existen en el AD. Esto facilita el login rápido si usted utiliza el almacén interno mientras que el AD se configura para el acceso administrativo.

Verificación

Para confirmar que su configuración trabaja correctamente, verifique el nombre de usuario autenticado en la esquina superior derecha del ISE GUI.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116503