PDF(2.3 MB) Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:30. September 2025
Dokument-ID:225097
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird ein Beispiel für TACACS+ über TLS mit Cisco Identity Services Engine (ISE) als Server und einem Cisco IOS® XE-Gerät als Client beschrieben.
Überblick
Das Terminal Access Controller Access-Control System Plus (TACACS+) Protocol [RFC8907] ermöglicht die zentrale Geräteverwaltung für Router, Netzwerkzugriffsserver und andere Netzwerkgeräte über einen oder mehrere TACACS+ Server. Es bietet AAA-Services (Authentication, Authorization und Accounting), die speziell auf Anwendungsfälle der Geräteadministration zugeschnitten sind.
TACACS+ über TLS 1.3 [RFC8446] erweitert das Protokoll durch die Einführung einer sicheren Transportschicht, die hochsensible Daten schützt. Diese Integration gewährleistet Vertraulichkeit, Integrität und Authentifizierung für die Verbindung und den Netzwerkverkehr zwischen TACACS+-Clients und -Servern.
Verwendung dieses Handbuchs
In diesem Leitfaden werden die Aktivitäten in zwei Teile unterteilt, damit die ISE den administrativen Zugriff für Cisco IOS XE-basierte Netzwerkgeräte verwalten kann. ・ Teil 1: Konfigurieren der ISE für den Geräteadministrator ・ Teil 2: Konfigurieren von Cisco IOS XE für TACACS+ über TLS
Voraussetzungen
Anforderungen
Voraussetzungen für die Konfiguration von TACACS+ über TLS:
Eine Zertifizierungsstelle (Certificate Authority, CA) zum Signieren des Zertifikats, das von TACACS+ über TLS zum Signieren der Zertifikate von ISE- und Netzwerkgeräten verwendet wird.
Das Stammzertifikat der Zertifizierungsstelle.
Netzwerkgeräte und die ISE sind über DNS erreichbar und können Hostnamen auflösen.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
ISE Virtuelle VMware-Appliance, Version 3.4 Patch 2
Cisco IOS XE Software, Version 17.15+
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Lizenzierung
Mit einer Device Administration-Lizenz können Sie TACACS+-Dienste auf einem Policy Service-Knoten verwenden. In einer Standalone-Bereitstellung mit hoher Verfügbarkeit (HA) ermöglicht eine Device Administration-Lizenz die Verwendung von TACACS+-Services auf einem einzelnen Policy Service-Knoten im HA-Paar.
Teil 1: Konfigurieren der ISE für die Geräteverwaltung
Zertifikatsignierungsanforderung für TACACS+-Serverauthentifizierung generieren
Schritt 1: Melden Sie sich mit einem der unterstützten Browser beim ISE-Admin-Webportal an.
Standardmäßig verwendet die ISE ein selbstsigniertes Zertifikat für alle Dienste. Der erste Schritt besteht darin, eine CSR-Anfrage (Certificate Signing Request) zu erstellen, damit sie von unserer Zertifizierungsstelle (Certificate Authority, CA) signiert wird.
Schritt 2:Navigieren Sie zu Administration > System > Certificates.
Schritt 3: Klicken Sie unter Zertifikatsignierungsanforderungen auf Zertifikatsignierungsanforderung generieren.
Schritt 4:Wählen Sie TACACS inUsage.
Schritt 5:Wählen Sie die PSNs aus, für die TACACS+ aktiviert ist.
Schritt 6. Füllen Sie die Felder Betreff mit den entsprechenden Informationen aus.
Schritt 7: Fügen Sie den DNS-Namen und die IP-Adresse unter Alternativer Antragstellername (SAN) hinzu.
Schritt 8: Klicken Sie auf Generieren und dann auf Exportieren.
Jetzt können Sie das Zertifikat (CRT) von Ihrer Zertifizierungsstelle (Certificate Authority, CA) signieren lassen.
Hochladen des Zertifikats der Stammzertifizierungsstelle für die TACACS+-Serverauthentifizierung
Schritt 1: Navigieren Sie zu Administration > System > Certificates. Klicken Sie unter Vertrauenswürdige Zertifikate auf Importieren.
Schritt 2: Wählen Sie das Zertifikat aus, das von der Zertifizierungsstelle ausgestellt wurde, die Ihre TACACS-Zertifikatsignierungsanfrage (Certificate Signing Request, CSR) signiert hat. Stellen Sie sicher, dass ist aktiviert.
Schritt 3: Klicken Sie auf Senden. Das Zertifikat muss jetzt unter Vertrauenswürdige Zertifikate angezeigt werden.
Signierte Zertifikatsanforderung (CSR) an ISE binden
Sobald die CSR-Anforderung (Certificate Signing Request) signiert ist, können Sie das signierte Zertifikat auf der ISE installieren.
Schritt 1:Navigieren Sie zu Administration > System > Certificates. Wählen Sie unter Zertifikatsignierungsanforderungen die im vorherigen Schritt generierte TACACS-CSR aus, und klicken Sie auf Zertifikat binden.
Schritt 2:Wählen Sie das signierte Zertifikat aus, und stellen Sie sicher, dass das Kontrollkästchen TACACS unter Usage (Verwendung) aktiviert bleibt.
Schritt 3: Klicken Sie auf Senden. Wenn Sie eine Warnung bezüglich des Ersetzens des vorhandenen Zertifikats erhalten, klicken Sie auf Ja, um fortzufahren.
Das Zertifikat muss nun korrekt installiert sein. Sie können dies unter Systemzertifikate überprüfen.
TLS 1.3 aktivieren
TLS 1.3 ist in ISE 3.4.x nicht standardmäßig aktiviert. Sie muss manuell aktiviert werden.
Schritt 1:Navigieren Sie zu Administration > System > Settings.
Schritt 2.Klicken Sie auf Sicherheitseinstellungen, aktivieren Sie das Kontrollkästchen neben TLS1.3 unter TLS-Versionseinstellungen, und klicken Sie dann auf Speichern.
Warnung: Wenn Sie die TLS-Version ändern, wird der Cisco ISE-Anwendungsserver auf allen Cisco ISE-Bereitstellungssystemen neu gestartet.
Geräteadministration auf ISE aktivieren
Der Device Administration Service (TACACS+) ist auf einem ISE-Knoten nicht standardmäßig aktiviert. Aktivieren Sie TACACS+ auf einem PSN-Knoten.
Schritt 1:Navigieren Sie zu Administration > System > Deployment. Aktivieren Sie das Kontrollkästchen neben dem ISE-Knoten, und klicken Sie auf Edit.
Schritt 2: Blättern Sie unter General Settings nach unten, und aktivieren Sie das Kontrollkästchen neben Enable Device Admin Service.
Schritt 3: Speichern der Konfiguration Der Geräteverwaltungsdienst ist jetzt auf der ISE aktiviert.
Aktivieren von TACACS über TLS
Schritt 1:Navigieren Sie zu Work Centers > Device Administration > Overview.
Schritt 2: Klicken Sie auf Bereitstellung. Wählen Sie die PSN-Knoten aus, bei denen TACACS über TLS aktiviert werden soll.
Schritt 3:Behalten Sie den Standardport 6049 bei, oder geben Sie einen anderen TCP-Port für TACACS über TLS an, und klicken Sie dann auf Save.
Netzwerkgeräte- und Netzwerkgerätegruppen erstellen
Die ISE ermöglicht eine leistungsstarke Gruppierung von Geräten mit mehreren Hierarchien von Gerätegruppen. Jede Hierarchie stellt eine eigene und unabhängige Klassifizierung von Netzwerkgeräten dar.
Schritt 1: Navigieren Sie zu Work Centers > Device Administration > Network Resources.Klicken Sie auf Network Device Groups (Netzwerkgerätegruppen), und erstellen Sie eine Gruppe mit dem Namen IOS XE.
Tipp: Alle Gerätetypen und alle Standorte sind die von der ISE bereitgestellten Standardhierarchien. Sie können Ihre eigenen Hierarchien hinzufügen und die verschiedenen Komponenten bei der Identifizierung eines Netzwerkgeräts definieren, das später in der Richtlinienbedingung verwendet werden kann.
Schritt 2:Fügen Sie jetzt ein Cisco IOS XE-Gerät als Netzwerkgerät hinzu. Navigieren Sie zu Work Centers > Device Administration > Network Resources > Network Devices. Klicken Sie auf Hinzufügen, um ein neues Netzwerkgerät hinzuzufügen. Für diesen Test wäre dies SVS_BRPASR1K.
Schritt 3:Geben Sie die IP-Adresse des Geräts ein, und stellen Sie sicher, dass Standort und Gerätetyp (IOS XE) für das Gerät zugeordnet sind. Aktivieren Sie abschließend die TACACS+ über TLS-Authentifizierungseinstellungen.
Tipp: Es wird empfohlen, den Single-Connect-Modus zu aktivieren, um zu vermeiden, dass die TCP-Sitzung jedes Mal neu gestartet wird, wenn ein Befehl an das Gerät gesendet wird.
KonfigurierenIdentitätsspeicher
In diesem Abschnitt wird ein Identitätsspeicher für die Geräteadministratoren definiert. Dabei kann es sich um die internen ISE-Benutzer und alle unterstützten externen Identitätsquellen handeln. Verwendet Active Directory (AD), eine externe Identitätsquelle.
Schritt 1: Navigieren Sie zu Administration > Identity Management > External Identity Stores > Active Directory. Klicken Sie auf Hinzufügen, um einen neuen AD-Gelenkpunkt zu definieren.
Schritt 2: Geben Sie den Namen des Verbindungspunkts und den AD-Domänennamen an, und klicken Sie auf Senden.
Schritt 3. Klicken Sie auf Ja, wenn Sie dazu aufgefordert werden Möchten Sie allen ISE-Knoten in dieser Active Directory-Domäne beitreten?
Schritt 4: Geben Sie die Anmeldeinformationen mit AD-Join-Berechtigungen ein, und treten Sie ISE bei AD bei. Überprüfen Sie den Status, um sicherzustellen, dass er betriebsbereit ist.
Schritt 5: Navigieren Sie zur Registerkarte Gruppen, und klicken Sie auf Hinzufügen, um alle erforderlichen Gruppen abzurufen, basierend auf denen die Benutzer für den Gerätezugriff autorisiert sind. Dieses Beispiel zeigt die Gruppen, die in der Autorisierungsrichtlinie in diesem Leitfaden verwendet werden.
Konfigurieren von TACACS+-Profilen
Sie ordnen die TACACS+-Profile den beiden Hauptbenutzerrollen auf den Cisco IOS XE-Geräten zu:
Root-Systemadministrator: Dies ist die Rolle mit den höchsten Berechtigungen auf dem Gerät. Der Benutzer mit der Root-Systemadministratorrolle hat vollständigen Administratorzugriff auf alle Systembefehle und Konfigurationsfunktionen.
Operator - Diese Rolle ist für Benutzer vorgesehen, die schreibgeschützten Zugriff auf das System benötigen, um das System zu überwachen und Fehler zu beheben.
Diese werden als zwei TACACS+-Profile definiert: IOS XE_RW und IOSXR_RO.
IOS XE_RW - Administratorprofil
Schritt 1 Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles. Fügen Sie ein neues TACACS-Profil hinzu, und nennen Sie es IOS XE_RW.
Schritt 2: Aktivieren Sie das Kontrollkästchen und setzen Sie die Standardberechtigungen und die Höchstberechtigungen auf 15.
Schritt 3:Bestätigen Sie die Konfiguration und speichern Sie.
IOS XE_RO - Betreiberprofil
Schritt 1 Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles. Fügen Sie ein neues TACACS-Profil hinzu, und nennen Sie es IOS XE_RO.
Schritt 2: Aktivieren Sie Default Privilege (Standardberechtigung) und Maximum Privilege (Maximale Berechtigung), und legen Sie als 1 fest.
Schritt 3:Bestätigen Sie die Konfiguration und speichern Sie.
Konfigurieren von TACACS+-Befehlssätzen
Diese werden als zwei TACACS+-Befehlssätze definiert: CISCO_IOS XE_RW und CISCO_IOS XE_RO.
CISCO_IOS XE_RW - Administrator-Befehlssatz
Schritt 1: Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Command Sets. Fügen Sie einen neuen TACACS Command Set hinzu, und nennen Sie ihn CISCO_IOS XE_RW.
Schritt 2. Aktivieren Sie das Kontrollkästchen Befehle zulassen, die unten nicht aufgeführt sind (dies ermöglicht beliebige Befehle für die Administratorrolle), und klicken Sie auf Speichern.
CISCO_IOS XE_RO - Befehlssatz für Bediener
Schritt 1 Navigieren Sie in der ISE-Benutzeroberfläche zu Work Centers > Device Administration > Policy Elements > Results > TACACS Command Sets. Fügen Sie einen neuen TACACS-Befehlssatz hinzu, und nennen Sie ihn CISCO_IOS XE_RO.
Schritt 2. Fügen Sie im Abschnitt "Befehle" einen neuen Befehl hinzu.
Schritt 3. Wählen Sie Zulassen aus der Dropdown-Liste für Grant Spalte und geben show auf der Command Spalte; und klicke auf den Pfeil zum Markieren.
Schritt 4: Bestätigen Sie die Daten, und klicken Sie auf Speichern.
KonfigurierenGeräte-Admin-Richtliniensätze
Richtliniensätze sind standardmäßig für die Geräteadministration aktiviert. Richtliniensätze können Richtlinien basierend auf den Gerätetypen aufteilen, um die Anwendung von TACACS-Profilen zu vereinfachen.
Schritt 1:Navigieren Sie zu Work Centers > Device Administration > Device Admin Policy Sets. Hinzufügen eines neuen Richtliniensatzes für IOS XE-Geräte. Geben Sie unter Bedingung DEVICE:Device Type EQUALS All Device Types#IOS XE an. Wählen Sie unter Zugelassene Protokolle die Option Standardgeräteadministrator aus.
Schritt 2: Klicken Sie auf Speichern und dann auf den Pfeil nach rechts, um diesen Richtliniensatz zu konfigurieren.
Schritt 3:Erstellen der Authentifizierungsrichtlinie. Für die Authentifizierung verwenden Sie das AD als ID-Speicher. Behalten Sie die Standardoptionen unter Wenn Auth fehlschlägt, Wenn Benutzer nicht gefunden und Wenn Prozess fehlschlägt bei.
Schritt 4: Definieren der Autorisierungsrichtlinie
Erstellen Sie die Autorisierungsrichtlinie basierend auf Benutzergruppen in Active Directory (AD).
Beispiele:
・ Benutzern der AD-Gruppe Device RO werden der CISCO_IOSXR_RO-Befehlssatz und das IOSXR_RO-Shell-Profil zugewiesen.
・ Benutzern der AD-Gruppe Device Admin werden der CISCO_IOSXR_RW-Befehlssatz und das IOSXR_RW-Shell-Profil zugewiesen.
Teil 2: Konfigurieren von Cisco IOS XE für TACACS+ über TLS 1.3
Vorsicht: Stellen Sie sicher, dass die Konsolenverbindung erreichbar ist und ordnungsgemäß funktioniert.
Tipp: Es wird empfohlen, einen temporären Benutzer zu konfigurieren und die AAA-Authentifizierungs- und Autorisierungsmethoden so zu ändern, dass bei Konfigurationsänderungen lokale Anmeldeinformationen anstelle von TACACS verwendet werden, um ein Sperren des Geräts zu vermeiden.
Konfigurationsmethode 1 - Vom Gerät generiertes Schlüsselpaar
Konfiguration des TACACS+-Servers
Schritt 1Konfigurieren Sie den Domänennamen, und generieren Sie ein Schlüsselpaar für den Router-Vertrauenspunkt.
% The subject name in the certificate will include: C=US,ST=NC,L=RTP,O=Cisco,OU=SVS,CN=cat9k.svs.lab % The subject name in the certificate will include: cat9k.svs.lab Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows:
Schritt 1: Erstellen Sie TACACSS-Server und AAA-Gruppen, und ordnen Sie den Client (Router)-Vertrauenspunkt zu.
tacacs server svs_tacacs address ipv4 10.225.253.209 single-connection tls port 6049 tls idle-timeout 60 tls connection-timeout 60 tls trustpoint client svs_cat9k tls ip tacacs source-interface GigabitEthernet0/0 tls ip vrf forwarding Mgmt-vrf ! aaa group server tacacs+ svs_tls server name svs_tacacs ip vrf forwarding Mgmt-vrf ! tacacs-server directed-request
Schritt 2: Konfigurieren von AAA-Methoden
aaa authentication login default group svs_tls local enable aaa authentication login console local enable aaa authentication enable default group svs_tls enable aaa authorization config-commands aaa authorization exec default group svs_tls local if-authenticated aaa authorization commands 1 default group svs_tls local if-authenticated aaa authorization commands 15 default group svs_tls aaa accounting exec default start-stop group svs_tls aaa accounting commands 1 default start-stop group svs_tls aaa accounting commands 15 default start-stop group svs_tls aaa session-id common
Konfigurationsmethode 2 - Von CA generiertes Schlüsselpaar
Wenn Sie die Schlüssel sowie Geräte- und Zertifizierungsstellenzertifikate direkt im PKCS#12-Format anstelle der CSR-Methode importieren, können Sie diese Methode verwenden.
Schritt 1: Erstellen eines Client-Vertrauenspunkts.
! Below debugs will be needed only if there is any issue with SSL Handshake debug ip tcp transactions debug ip tcp packet debug crypto pki transactions debug crypto pki API debug crypto pki messages debug crypto pki server debug ssl openssl errors debug ssl openssl msg debug ssl openssl states clear logging