تكوين TACACS للمصادقة الخارجية ل Catalyst مع ISE

خيارات التنزيل

  • PDF     (1.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٣ سبتمبر ٢٠٢٥
معرّف المستند:224986

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند الخطوات المطلوبة لدمج محرك خدمات الهوية من Cisco مع مركز Catalyst لتمكين مصادقة TACACS+.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • وصول المسؤول إلى كل من Cisco ISE وCisco Catalyst Center.

    • الفهم الأساسي لمفاهيم المصادقة والتفويض والمحاسبة (AAA) (المصادقة والتفويض والمحاسبة).

    • معرفة العمل ببروتوكول TACACS+.

    • اتصال الشبكة بين مركز Catalyst وخادم ISE.

    المكونات المستخدمة

    أسست المعلومة في هذا وثيقة على هذا جهاز وبرمجية صيغة:

    • Cisco Catalyst Center، الإصدار 2.3.7.x

    • Cisco Identity Services Engine (ISE)، الإصدار 3.x (أو إصدار أحدث)

    • بروتوكول TACACS+ لمصادقة المستخدم الخارجي

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يسمح هذا التكامل للمستخدمين الخارجيين بتسجيل الدخول إلى Catalyst Center للوصول الإداري والإدارة.

    التكوين

    محرك خدمات الهوية من Cisco (ISE)

    ترخيص خدمات TACACS+ وتمكينها

    قبل البدء بتكوين TACACS+ في ISE، يجب عليك التأكد من تثبيت الترخيص الصحيح وتمكين الميزة.

    1. دققت أن أنت تتلقى ال PID ترخيص L-ISE-TACACS-ND= في ال cisco برمجية إدارة أو cisco ترخيص Cisco License Central مدخل.

    قم بتمكين إدارة الأجهزة في مدخل ترخيص ISE.

    • ترخيص مسؤول الجهاز (PID: L-ISE-TACACS-ND=) يمكن خدمات TACACS+ على عقدة خدمة السياسة (PSN).

    • انتقل إلى:

            الإدارة > النظام > الترخيص

    • حدد المربع لمسؤول الجهاز ضمن خيارات الطبقة.

    Device AdminDevice Admin

    License Device AdminLicense Device Admin

    3. قم بتمكين خدمة إدارة الأجهزة على عقدة ISE التي تشغل خدمة TACACS+.

    • انتقل إلى:

            الإدارة > النظام > النشر > تحديد العقدة

    • حدد الخيار تمكين خدمة إدارة الأجهزة.

    Enable Device Admin Serviceتمكين خدمة إدارة الجهاز

    إنشاء مستخدم مسؤول وإضافة جهاز شبكة

    1. قم بإنشاء مستخدم المسؤول.

    • يتم إستخدام حساب المستخدم هذا لتسجيل الدخول إلى واجهة مستخدم Catalyst Center من خلال مصادقة ISE.

    • انتقل إلى:

            مراكز العمل > الوصول إلى الشبكة > الهويات > مستخدم الوصول إلى الشبكة

    • إضافة مستخدم جديد (على سبيل المثال، catc-user).

    • إذا كان المستخدم موجودا بالفعل، فقم بالمتابعة إلى الخطوة التالية.

    2. إنشاء جهاز الشبكة.

    • انتقل إلى:

            مراكز العمل > الوصول إلى الشبكة > الهويات > موارد الشبكة

    • أضفت العنوان من مادة حفازة مركز، أو عينت الشبكة الفرعية حيث المادة حفازة مركز ip يكون.

    • إذا كان الجهاز موجودا بالفعل، فتحقق من أنه يحتوي على المعلمات:

      • تم تمكين إعدادات مصادقة TACACS.

      • تم تكوين سر المشاركة ومعروف (حفظ هذه القيمة، كما هو مطلوب لاحقا في مركز Catalyst).

    TACACS Authentication Settingsإعدادات مصادقة TACACS

    تكوين ملف تعريف TACACS+

    1. إنشاء ملف تعريف TACACS+ جديد.

    • انتقل إلى:

            مراكز العمل > إدارة الأجهزة > عناصر السياسة > النتائج > ملفات تعريف TACACS

    • إضافة اسم ملف تعريف.

    • إضافة سمة مخصصة كما يلي:

      • النوع: إلزامي

      • الاسم: زوج-av من Cisco

      • القيمة: Role=super-admin-role

    • احفظ التوصيف.

    TACACS+ Profileملف تعريف TACACS+

    note-icon

    ملاحظة: يدعم مركز Cisco Catalyst خوادم المصادقة والتفويض والمحاسبة (AAA) الخارجية للتحكم في الوصول. إذا كنت تستخدم خادما خارجيا للمصادقة وتفويض المستخدمين الخارجيين، فيمكنك تمكين المصادقة الخارجية في مركز Cisco Catalyst. يتطابق إعداد سمة AAA الافتراضي مع سمة ملف تعريف المستخدم الافتراضية.

    قيمة سمة AAA الافتراضية لبروتوكول TACACS هي زوج Cisco-AV.

    قيمة سمة AAA الافتراضية لبروتوكول RADIUS هي Cisco-AVPair.

    لا يكون التغيير مطلوبا إلا إذا كان لخادم AAA الخاص بك برنامج جذب مخصص في ملف تعريف المستخدم. على خادم AAA، يكون تنسيق قيمة سمة AAA هو Role=role1. في خادم Cisco Identity Services Engine (Cisco ISE)، أثناء تكوين ملف تعريف RADIUS أو TACACS، يمكن للمستخدم تحديد زوج Cisco AAA أو إدخاله كسمة AAA.

    على سبيل المثال، يمكنك تحديد سمة AAA وتكوينها يدويا على أنها Cisco-av-pair=Role=super-admin-role أو Cisco-AVPair=Role=super-admin-role.

    2. إنشاء مجموعة أوامر TACACS+.

    • انتقل إلى:

            مراكز العمل > إدارة الأجهزة > عناصر السياسة > النتائج > مجموعات أوامر TACACS

    • إضافة اسم.

    • حدد الخيار السماح بأي أمر غير مدرج أدناه.

    • قم بحفظ مجموعة الأوامر.

    TACACS Command Setsمجموعات أوامر TACACS

    تكوين سياسات TACACS+

    1. إنشاء مجموعة سياسات جديدة ل TACACS+.

    • انتقل إلى:

           مراكز العمل > إدارة الجهاز > مجموعة نهج إدارة الأجهزة

    • إضافة اسم لمجموعة النهج.

    • شكلت الشرط.

      • في هذا مثال، يطابق الشرط المادة حفازة مركز عنوان.

    Catalyst Center IP Addressعنوان IP لمركز Catalyst

    1.3 في البروتوكولات المسموح بها / تسلسل الخادم، حدد مسؤول الجهاز الافتراضي.

    Select Default Device Adminتحديد مسؤول الجهاز الافتراضي

    2. تكوين مجموعة النهج.

    • انقر فوق السهم ( > ) على اليمين لتوسيع مجموعة النهج وتكوينها.

    • أضف قاعدة جديدة ضمن نهج التخويل.

    • قم بتكوين القاعدة الجديدة كما يلي:

      • الاسم: أدخل اسم قاعدة وصفية.

      • الشرط: لهذا المثال، طابق الشرط جميع أنواع الأجهزة.

    All Device Typesكافة أنواع الأجهزة

    • مجموعة الأوامر: حدد مجموعة أوامر TACACS+ التي تم إنشاؤها مسبقا.

    • ملف تعريف Shell: حدد ملف تعريف TACACS+ الذي تم إنشاؤه سابقا.

    TACACS+ Command Setمجموعة أوامر TACACS+

    مركز Catalyst من Cisco

    تكوين خادم ISE / AAA

    1. سجل الدخول إلى واجهة ويب Catalyst Center.

    • انتقل إلى:

    القائمة الرئيسية > النظام > الإعدادات > الخدمات الخارجية > خوادم المصادقة والسياسة

    2. إضافة خادم جديد. يمكنك تحديد إما ISE أو AAA.

    • لهذا العرض التوضيحي، يتم إستخدام خيار خادم AAA.
    note-icon

    ملاحظة: يمكن أن يحتوي نظام المجموعة Catalyst Center على مجموعة ISE واحدة فقط تم تكوينها.

    3. قم بتكوين هذه الخيارات ثم احفظ:

    • أدخل عنوان IP لخادم AAA.

    • إضافة السر المشترك (نفس السر يشكل في مورد شبكة Cisco ISE).

    • تبديل الإعدادات المتقدمة إلى تشغيل.

    • حدد خيار TACACS.

    Authentication and Policy Serversخوادم المصادقة والنهج

    Advanced Settingsإعدادات متقدمة

    قم بتمكين المصادقة الخارجية وتكوينها.

    1. انتقل إلى صفحة المصادقة الخارجية:

            القائمة الرئيسية > النظام > المستخدم والدور > المصادقة الخارجية

    2. أضف سمة AAA زوج Cisco-AV وانقر فوق تحديث لحفظ التغييرات.

    note-icon

    ملاحظة: وهذه الخطوة ليست إلزامية نظرا لأن السمة الافتراضية ل TACACS+ هي بالفعل زوج Cisco-AV، ولكن يعتبر ذلك أفضل ممارسة لتكوينها بشكل صريح.

    3. تحت خادم AAA الأساسي، حدد خادم AAA الذي تم تكوينه سابقا.

    • انقر على عرض الإعدادات المتقدمة لعرض خيارات إضافية.

    • حدد خيار TACACS+.

    • أدخل السر المشترك الذي تم تكوينه في مورد شبكة Cisco ISE.

    • انقر فوق تحديث لحفظ التغييرات.

    4. قم بتمكين خانة إختيار المستخدم الخارجي.

    • يحفظ هذا الإجراء التكوين تلقائيا.

    External Authenticationالمصادقة الخارجية

    التحقق من الصحة

    1. افتح جلسة مستعرض جديدة أو أستخدم وضع Incognito وسجل الدخول إلى صفحة ويب Catalyst Center باستخدام حساب المستخدم الذي تم تكوينه في Cisco ISE.

    2. من مركز Catalyst، تأكد من نجاح تسجيل الدخول.

    Log In Configure Catalyst Center External Authentication TACACS with ISEتسجيل الدخول إلى تكوين TACACS للمصادقة الخارجية لمركز Catalyst مع ISE

    1. من Cisco ISE، تحقق من السجلات:

            العمليات > TACACS > السجلات المباشرة

    • حالة المصادقة: تمرير

    • حالة التفويض: تمرير

    Live Logsالسجلات المباشرة

    1. في تفاصيل التفويض، قارن مع الإخراج التالي :

      • نص الرسالة: إدارة الجهاز: نجح تفويض جلسة العمل

      • جميع سمات الاستجابة: Cisco-av-pair=Role=super-admin-role

    cisco-av-pair=Role=SUPER-ADMIN-ROLECisco-av-pair=Role=super-admin-role

    استكشاف الأخطاء وإصلاحها

    فيما يلي بعض القضايا المشتركة التي يمكنك مواجهتها أثناء الدمج وكيفية التعرف عليها:

    1. تكوين السمة غير صحيح

    عرض في مركز مادة حفازة: بيانات اعتماد تسجيل دخول غير صحيحة

    Attribute Misconfiguration - Invalid Log In Credentialsتكوين غير صحيح للسمة

    • العرض في Cisco ISE (سجلات TACACS):

      • المصادقة: تمرير

      • الاعتماد: تمرير

    Attribute Misconfiguration - Symptom in Cisco ISE (TACACS Logs)تكوين غير صحيح للسمة

    • الأسباب المحتملة:

      • توجد مساحة في قيمة السمة.

    مثال:

    Attribute Misconfiguration - Possible Causesتكوين غير صحيح للسمة

    • تم تكوين السمة بشكل غير صحيح، تم فقد الكلمة الأساسية role=.

      مثال:

    Attribute Misconfigurationتكوين غير صحيح للسمة

    2. عدم تطابق السر المشترك

    • العرض: يفشل حزم المصادقة بين Catalyst Center و Cisco ISE.

    • السبب المحتمل: لا يتطابق Shared Secret الذي تم تكوينه في موارد شبكة ISE مع الذي تم تكوينه في مركز Catalyst > صفحة المصادقة الخارجية.

    كيفية التحقق من:

    • تحقق من تكوين موارد الشبكة في ISE.

    • قارن السر المشترك مع التشكيل تحت مادة حفازة مركز > مصادقة خارجية.

    مثال:

    Shared Secret Mismatchعدم تطابق سري مشترك

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    23-Sep-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • إدواردو أولاغ سالاس
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات