Radius- und TACACS-basierte Benutzerauthentifizierung und -autorisierung für vEdge und Controller mit ISE

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (738.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. März 2020
Dokument-ID:215349

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird beschrieben, wie RADIUS- und TACACS-basierte Benutzerauthentifizierung und -autorisierung für vEdge und Controller mit Identity Service Engine (ISE) konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Für dieses Dokument bestehen keine speziellen Anforderungen.

    Verwendete Komponenten

    Für die Demonstration wurde ISE Version 2.6 verwendet. vEdge-Cloud und Controller mit 19.2.1

    Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Konfigurieren

    Die Viptela-Software enthält drei feste Benutzergruppennamen: Basic, netadmin und operator. Sie müssen den Benutzer mindestens einer Gruppe zuweisen. Der Benutzer Default TACACS/Radius wird automatisch in die Grundgruppe eingefügt.

    Radius-Based User Authentication and Authorization for vEdge and Controllers

    Schritt 1: Erstellen Sie ein Viptela-Radius-Wörterbuch für die ISE. Erstellen Sie dazu eine Textdatei mit dem Inhalt:

    # -*- text -*-
#
#  dictionary.viptela
#
#
# Version:      $Id$
#
 
VENDOR          Viptela                         41916
 
BEGIN-VENDOR    Viptela
 
ATTRIBUTE       Viptela-Group-Name              1    string

    Schritt 2: Wörterbuch auf ISE hochladen Navigieren Sie zu Richtlinien > Richtlinienelemente > Wörterbücher. Navigieren Sie in der Liste der Wörterbücher zu Radius > Radius Vendors und klicken Sie dann auf Importieren, wie im Bild gezeigt.

    Laden Sie jetzt die Datei hoch, die Sie in Schritt 1 erstellt haben.

    Schritt 3: Erstellen eines Autorisierungsprofils In diesem Schritt weist das Radius-Autorisierungsprofil einem authentifizierten Benutzer beispielsweise die Ebene der Netadmin-Berechtigungen zu. Navigieren Sie hierzu zu Richtlinien > Richtlinienelemente > Autorisierungsprofile, und geben Sie zwei erweiterte Attribute an, wie im Bild gezeigt.

    Schritt 4: Abhängig von Ihrer tatsächlichen Einrichtung sieht Ihr Richtliniensatz möglicherweise anders aus. Für die Demonstration in diesem Artikel wird der Richtlinieneintrag "Terminalzugriff" wie im Bild gezeigt erstellt.

    Klicken Sie > und der nächste Bildschirm wird angezeigt, wie im Bild gezeigt.

    Diese Richtlinie stimmt mit der Benutzergruppe "lab_admin" überein und weist ein in Schritt 3 erstelltes Autorisierungsprofil zu.

    Schritt 5: Definieren Sie NAS (vEdge-Router oder Controller), wie im Image gezeigt.

    Schritt 6: Konfigurieren Sie vEdge/Controller.

    system
 aaa
  auth-order       radius local
  radius
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    Schritt 7: Überprüfung. Melden Sie sich bei vEdge an, und stellen Sie sicher, dass dem Remote-Benutzer die Netadmin-Gruppe zugewiesen ist.

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    TACACS-basierte Benutzerauthentifizierung und -autorisierung für vEdge und Controller

    Schritt 1: Erstellen Sie ein TACACS-Profil. In diesem Schritt wird das erstellte TACACS-Profil einem authentifizierten Benutzer zugewiesen, z. B. der Ebene der Netadmin-Berechtigungen.

    • Wählen Sie Obligatorisch im Custom-Attribut-Abschnitt aus, um das Attribut wie folgt hinzuzufügen:

    Typ

    Name

    Wert

    Obligatorisch

    Viptela-Gruppenname

    netadmin

    Schritt 2: Erstellen Sie eine Gerätegruppe für SD-WAN.

    Schritt 3: Konfigurieren Sie das Gerät, und weisen Sie es der SD-WAN-Gerätegruppe zu:

    Schritt 4: Definieren Sie die Gerätemanagement-Richtlinie.

    Abhängig von Ihrer tatsächlichen Einrichtung sieht Ihr Richtliniensatz möglicherweise anders aus. Für die Demonstration in diesem Dokument wird die Richtlinie erstellt.

    Klicken Sie auf > und der nächste Bildschirm wird angezeigt, wie in diesem Bild gezeigt. Diese Richtlinie stimmt mit dem Gerätetyp SD-WAN überein und weist dem in Schritt 1 erstellten Shell-Profil das entsprechende Shell-Profil zu.

    Schritt 5: Konfigurieren Sie vEdge:

    system
 aaa
  auth-order tacacs local
 !
 tacacs
  server 10.48.87.210
   vpn 512
   key cisco
  exit
 !
!

    Schritt 6: Überprüfung. Melden Sie sich bei vEdge an, und stellen Sie sicher, dass der Remote-Benutzer zugewiesene Netadmin-Gruppe:

    vEdgeCloud1# show users

                                                 AUTH
SESSION  USER      CONTEXT  FROM          PROTO  GROUP      LOGIN TIME
---------------------------------------------------------------------------------------
33472    ekhabaro  cli      10.149.4.155  ssh    netadmin   2020-03-09T18:39:40+00:00

    Zugehörige Informationen

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Eugene Khabarov
      Cisco TAC-Techniker
    • Vijeth Kumar
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.