Konfigurieren der ISE als externe Authentifizierung für die grafische Benutzeroberfläche von DNAC

Download-Optionen

  • PDF     (2.9 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.7 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. Januar 2025
Dokument-ID:222706

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die Cisco Identity Services Engine (ISE) als externe Authentifizierung für die GUI-Verwaltung des Cisco DNA Center konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

    • TACACS+- und RADIUS-Protokolle.
    • Cisco ISE-Integration mit Cisco DNA Center.
    • Evaluierung der Cisco ISE-Richtlinien

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Identity Services Engine (ISE) Version 3.4 Patch 1.
    • Cisco DNA Center Version 2.3.5.5

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Vorbereitungen

    • Stellen Sie sicher, dass mindestens ein RADIUS-Authentifizierungsserver auf System > Settings > External Services > Authentication and Policy Servers konfiguriert ist.
    • Nur ein Benutzer mit SUPER-ADMIN-ROLE-Berechtigungen für DNAC kann dieses Verfahren ausführen.
    • Externes Authentifizierungsfallback aktivieren.

    Vorsicht: Wenn in Versionen vor 2.1.x die externe Authentifizierung aktiviert ist, greift Cisco DNA Center auf lokale Benutzer zurück, wenn der AAA-Server nicht erreichbar ist oder der AAA-Server einen unbekannten Benutzernamen zurückweist. In der aktuellen Version fällt Cisco DNA Center nicht auf lokale Benutzer zurück, wenn der AAA-Server nicht erreichbar ist oder der AAA-Server einen unbekannten Benutzernamen ablehnt. Wenn ein externes Fallback für die Authentifizierung aktiviert ist, können sich externe Benutzer und lokale Administratoren beim Cisco DNA Center anmelden.

    Um ein externes Authentifizierungs-Fallback zu aktivieren, senden Sie eine SSH-Anfrage an die Cisco DNA Center-Instanz, und geben Sie den folgenden CLI-Befehl ein (magctl rbac external_auth_fallback enable).

    Konfigurieren

    (Option 1) Konfigurieren der externen DNAC-Authentifizierung mithilfe von RADIUS


    Schritt 1: Definieren Sie optional benutzerdefinierte Rollen.
    Konfigurieren Sie die benutzerdefinierten Rollen, die Ihren Anforderungen entsprechen. Stattdessen können Sie die Standardbenutzerrollen verwenden. Dies kann über die Registerkarte System > Users & Roles > Role Based Access Control erfolgen.

    Vorgehensweise

    antwort: Erstellen einer neuen Rolle

    DevOps Role NameDevOps-Rollenname

    b. Definieren Sie den Zugriff.

    DevOps Role AccessDevOps-Rollenzugriff

    c. Erstellen Sie die neue Rolle.

    DevOps Role SummaryDevOps-Rollenübersicht

    Review and Create DevOps RoleÜberprüfung und Erstellung der DevOps-Rolle

    Schritt 2: Konfigurieren der externen Authentifizierung mithilfe von RADIUS
    Sie können dies über die Registerkarte System > Users & Roles > External Authentication tun.

    Vorgehensweise

    antwort: Um die externe Authentifizierung in Cisco DNA Center zu aktivieren, aktivieren Sie das Kontrollkästchen Externen Benutzer aktivieren.

    b. Legen Sie die AAA-Attribute fest.

    Geben Sie Cisco-AVPair in das Feld AAA-Attribute ein.

    c. (Optional) Konfigurieren Sie den primären und sekundären AAA-Server.

    Stellen Sie sicher, dass das RADIUS-Protokoll mindestens auf dem primären AAA-Server oder sowohl auf dem primären als auch auf dem sekundären Server aktiviert ist.

    (RADIUS) External Authentication Configuration StepsKonfigurationsschritte für die externe Authentifizierung (RADIUS)

    (Option 1) Konfigurieren der ISE für RADIUS

    Schritt 1: Hinzufügen des DNAC-Servers als Netzwerkgerät auf der ISE.

    Dies kann über die Registerkarte Administration > Network Resources > Network Devices (Verwaltung > Netzwerkressourcen > Netzwerkgeräte) erfolgen.

    Vorgehensweise

    antwort: Definieren Sie den Namen und die IP des Netzwerkgeräts (DNAC).
    b. (Optional) Klassifizieren Sie den Gerätetyp für den Zustand "Policy Set".
    c. Aktivieren Sie die RADIUS-Authentifizierungseinstellungen.
    d. Legen Sie den gemeinsamen RADIUS-Schlüssel fest.

    ISE Network Device (DNAC) for RADIUSISE-Netzwerkgerät (DNAC) für RADIUS

    Schritt 2: Erstellen von RADIUS-Autorisierungsprofilen

    Dies kann über die Registerkarte Richtlinie > Richtlinienelemente > Ergebnisse > AutorisierungAutorisierungsprofile.

    Anmerkung: Erstellen Sie drei RADIUS-Autorisierungsprofile, eines für jede Benutzerrolle.

    Vorgehensweise
    a. Klicken Sie auf Hinzufügen, und definieren Sie den RADIUS-Autorisierungsprofilnamen.

    b. Geben Sie Cisco:cisco-av-pair in die Einstellungen für erweiterte Attribute ein, und übernehmen Sie die richtige Benutzerrolle.

    • Geben Sie für die Benutzerrolle (DecOps-Role) ROLE=DevOps-Role ein.
    • Geben Sie für die Benutzerrolle (NETWORK-ADMIN-ROLE) ROLE=NETWORK-ADMIN-ROLE ein.
    • Geben Sie für die Benutzerrolle (SUPER-ADMIN-ROLE) ROLE=SUPER-ADMIN-ROLE ein.

    c. Überprüfen Sie die Attributdetails.
    d. Klicken Sie auf Speichern.

    Create Authorization ProfileErstellen des Autorisierungsprofils

    Schritt 3: Erstellen einer Benutzergruppe

    Dies kann über die Registerkarte Administration > Identity Management > Groups > User Identity Groups erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Hinzufügen, und definieren Sie den Namen der Identitätsgruppe.

    b. (Optional) Definieren Sie die Beschreibung.

    c. Klicken Sie auf Senden.

    Create User Identity GroupBenutzeridentitätsgruppe erstellen

    Schritt 4: Erstellen eines lokalen Benutzers

    Dies kann über die Registerkarte Administration > Identity Management > Identities > Users erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Hinzufügen, und definieren Sie den Benutzernamen.

    b. Legen Sie das Anmeldekennwort fest.

    c. Fügen Sie den Benutzer zur entsprechenden Benutzergruppe hinzu.

    d. Klicken Sie auf Senden.

    Create Local User 1-2Lokalen Benutzer erstellen 1-2

    Create Local User 2-2Lokalen Benutzer erstellen 2-2

    Schritt 5: (Optional) RADIUS-Richtliniensatz hinzufügen

    Dies kann über die Registerkarte Policy (Richtlinie) > Policy Sets (Richtliniensätze) erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen des Policy Sets.

    c. Setzen Sie die Policy Set Condition auf Select Device Type (Gerätetyp auswählen), den Sie zuvor erstellt haben (Schritt 1 > b).

    d. Festlegen der zulässigen Protokolle

    e. Klicken Sie auf Speichern.

    f. Klicken Sie auf (>) Policy Set View (Richtlinienansicht), um Authentifizierungs- und Autorisierungsregeln zu konfigurieren.

    Add RADIUS Policy SetRADIUS-Richtliniensatz hinzufügen

    Schritt 6: Konfigurieren der RADIUS-Authentifizierungsrichtlinie

    Dies kann über die Registerkarte Richtlinie > Richtliniensätze > Klicken Sie auf (>) erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen der Authentifizierungsrichtlinie.

    c. Legen Sie die Authentifizierungsrichtlinienbedingung fest und wählen Sie den Gerätetyp aus, den Sie zuvor erstellt haben (Schritt 1 > b).

    d. Legen Sie die Authentifizierungsrichtlinie Use for Identity source fest.

    e. Klicken Sie auf Speichern.

    Add RADIUS Authentication PolicyRADIUS-Authentifizierungsrichtlinie hinzufügen

    Schritt 7: Konfigurieren der RADIUS-Autorisierungsrichtlinie

    Dies kann über die Registerkarte Policy (Richtlinie) > Policy Sets (Richtliniensätze) > Click (Klicken) (>) erfolgen.

    In diesem Schritt werden Autorisierungsrichtlinien für jede Benutzerrolle erstellt:

    • SUPER-ADMIN-ROLLE
    • NETZWERK-ADMINISTRATORROLLE
    • DevOps-Rolle

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen der Autorisierungsrichtlinie.

    c. Legen Sie die Autorisierungsrichtlinienbedingung fest und wählen Sie die Benutzergruppe aus, die Sie in (Schritt 3) erstellt haben.

    d. Legen Sie die Ergebnisse/Profile der Autorisierungsrichtlinie fest, und wählen Sie das in erstellte Autorisierungsprofil aus (Schritt 2).

    e. Klicken Sie auf Speichern.

    Add Authorization PolicyAutorisierungsrichtlinie hinzufügen

    (Option 2) Konfigurieren der externen DNAC-Authentifizierung mithilfe von TACACS+

    Schritt 1: Definieren Sie optional benutzerdefinierte Rollen.
    Konfigurieren Sie die benutzerdefinierten Rollen, die Ihren Anforderungen entsprechen. Stattdessen können Sie die Standardbenutzerrollen verwenden. Dies kann über die Registerkarte System > Users & Roles > Role Based Access Control erfolgen.

    Vorgehensweise

    antwort: Erstellen einer neuen Rolle

    SecOps Role NameSecOps-Rollenname

    b. Definieren Sie den Zugriff.

    SecOps Role AccessRollenzugriff für Sicherheitsbeauftragte

    c. Erstellen Sie die neue Rolle.

    SecOps Role SummarySecOps-Rollenübersicht

    Review and Create SecOps RoleSicherheitsbeauftragte überprüfen und erstellen

    Schritt 2: Konfigurieren der externen Authentifizierung mit TACACS+
    Sie können dies über die Registerkarte System > Users & Roles > External Authentication tun.

    antwort: Um die externe Authentifizierung in Cisco DNA Center zu aktivieren, aktivieren Sie das Kontrollkästchen Externen Benutzer aktivieren.

    b. Legen Sie die AAA-Attribute fest.

    Geben Sie Cisco-AVPair in das Feld AAA-Attribute ein.

    c. (Optional) Konfigurieren Sie den primären und sekundären AAA-Server.

    Stellen Sie sicher, dass das TACACS+-Protokoll mindestens auf dem primären AAA-Server oder auf dem primären und sekundären Server aktiviert ist.

    (TACACS+) External Authentication Configuration Steps(TACACS+) Konfigurationsschritte für die externe Authentifizierung

    (Option 2) Konfigurieren der ISE für TACACS+

    Schritt 1: Aktivieren Sie den Geräteverwaltungsdienst.
    Dies kann über die Registerkarte Administration > System > Deployment > Edit (ISE PSN Node) > Check Enable Device Admin Service erfolgen.

    Enable Device Admin ServiceGeräteverwaltungsdienst aktivieren

    Schritt 2: Hinzufügen des DNAC-Servers als Netzwerkgerät auf der ISE.

    Dies kann über die Registerkarte Administration > Network Resources > Network Devices (Verwaltung > Netzwerkressourcen > Netzwerkgeräte) erfolgen.

    Vorgehensweise

    antwort: Definieren Sie den Namen und die IP des Netzwerkgeräts (DNAC).
    b. (Optional) Klassifizieren Sie den Gerätetyp für den Zustand "Policy Set".
    c. Aktivieren Sie die TACACS+-Authentifizierungseinstellungen.
    d. Festlegen des gemeinsamen geheimen TACACS+-Schlüssels

    ISE Network Device (DNAC) for TACACS+ISE-Netzwerkgerät (DNAC) für TACACS+

    Schritt 3: Erstellen Sie TACACS+-Profile für jede DNAC-Rolle.

    Dies kann über die Registerkarte Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles erfolgen.

    Anmerkung: Erstellen Sie drei TACACS+-Profile, eines für jede Benutzerrolle.

    Vorgehensweise

    antwort: Klicken Sie auf Add (Hinzufügen), und definieren Sie den TACACS-Profilnamen.

    b. Klicken Sie auf die Registerkarte Rohansicht.

    c. Geben Sie Cisco-AVPair=ROLE= ein, und füllen Sie die entsprechende Benutzerrolle aus.

    • Geben Sie für die Benutzerrolle (SecOps-Role) Cisco-AVPair=ROLE=SecOps-Role ein.
    • Geben Sie für die Benutzerrolle (NETWORK-ADMIN-ROLE) Cisco-AVPair=ROLE=NETWORK-ADMIN-ROLE ein.
    • Geben Sie für die Benutzerrolle (SUPER-ADMIN-ROLE) Cisco-AVPair=ROLE=SUPER-ADMIN-ROLE ein.

    Anmerkung: Denken Sie daran, dass der Wert von AVPair (Cisco-AVPair=ROLE=) zwischen Groß- und Kleinschreibung unterscheidet, und stellen Sie sicher, dass er mit der DNAC-Benutzerrolle übereinstimmt.

    d. Klicken Sie auf Speichern.

    Create TACACS Profile (SecOps_Role)Erstellen eines TACACS-Profils (SecOps_Role)

    Schritt 4: Erstellen einer Benutzergruppe

    Dies kann über die Registerkarte Work Centers > Device Administration > User Identity Groups (Arbeitszentren > Geräteverwaltung > Benutzeridentitätsgruppen) erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Hinzufügen, und definieren Sie den Namen der Identitätsgruppe.

    b. (Optional) Definieren Sie die Beschreibung.

    c. Klicken Sie auf Senden.

    Create User Identity GroupBenutzeridentitätsgruppe erstellen

    Schritt 5: Erstellen eines lokalen Benutzers

    Dies kann über die Registerkarte Work Centers > Device Administration > Identities > Users durchgeführt werden.

    Vorgehensweise

    antwort: Klicken Sie auf Hinzufügen, und definieren Sie den Benutzernamen.

    b. Legen Sie das Anmeldekennwort fest.

    c. Fügen Sie den Benutzer zur entsprechenden Benutzergruppe hinzu.

    d. Klicken Sie auf Senden.

    Create Local User 1-2Lokalen Benutzer erstellen 1-2

    Create Local User 2-2Lokalen Benutzer erstellen 2-2

    Schritt 6: (Optional) TACACS+-Richtliniensatz hinzufügen

    Dies kann über die Registerkarte Work Centers > Device Administration > Device Admin Policy Sets erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen des Policy Sets.

    c. Setzen Sie die Policy Set Condition auf Select Device Type (Gerätetyp auswählen), den Sie zuvor erstellt haben (Schritt 2 > b).

    d. Festlegen der zulässigen Protokolle

    e. Klicken Sie auf Speichern.

    f. Klicken Sie auf (>) Policy Set View (Richtlinienansicht), um Authentifizierungs- und Autorisierungsregeln zu konfigurieren.

    Add TACACS+ Policy SetTACACS+-Richtliniensatz hinzufügen

    Schritt 7: Konfigurieren der TACACS+-Authentifizierungsrichtlinie

    Dies kann über die Registerkarte Work Centers > Device Administration > Device Admin Policy Sets > Click (>) (Work Centers > Geräteverwaltung > Gerätemanagement-Richtliniensätze) erfolgen.

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen der Authentifizierungsrichtlinie.

    c. Legen Sie die Authentifizierungsrichtlinienbedingung fest und wählen Sie den Gerätetyp aus, den Sie zuvor erstellt haben (Schritt 2 > b).

    d. Legen Sie die Authentifizierungsrichtlinie Use for Identity source fest.

    e. Klicken Sie auf Speichern.

    Add TACACS+ Authentication PolicyTACACS+-Authentifizierungsrichtlinie hinzufügen

    Schritt 8: Konfigurieren der TACACS+-Autorisierungsrichtlinie

    Dies kann über die Registerkarte Work Centers > Device Administration > Device Admin Policy Sets > Click (>) (Work Center > Geräteverwaltung > Device Admin Policy Sets > Klicken Sie auf (>) erfolgen.

    In diesem Schritt werden Autorisierungsrichtlinien für jede Benutzerrolle erstellt:

    • SUPER-ADMIN-ROLLE
    • NETZWERK-ADMINISTRATORROLLE
    • Sicherheitsbeauftragte

    Vorgehensweise

    antwort: Klicken Sie auf Aktionen, und wählen Sie (Neue Zeile oben einfügen).

    b. Definieren Sie den Namen der Autorisierungsrichtlinie.

    c. Legen Sie die Autorisierungsrichtlinienbedingung fest und wählen Sie die Benutzergruppe aus, die Sie in (Schritt 4) erstellt haben.

    d. Legen Sie die Autorisierungsrichtlinien-Shell-Profile fest, und wählen Sie das TACACS-Profil aus, das Sie in (Schritt 3) erstellt haben.

    e. Klicken Sie auf Speichern.

    Add Authorization PolicyAutorisierungsrichtlinie hinzufügen

    Überprüfung

    RADIUS-Konfiguration überprüfen

    1- DNAC - Externe Benutzer anzeigen System > Benutzer und Rollen > Externe Authentifizierung > Externe Benutzer.
    Sie können die Liste der externen Benutzer anzeigen, die sich zum ersten Mal über RADIUS angemeldet haben. Zu den angezeigten Informationen gehören die Benutzernamen und Rollen.

    External UsersExterne Benutzer

    2. DNAC - Benutzerzugriff bestätigen.

    Limited User AccessEingeschränkter Benutzerzugriff

    3.a ISE - RADIUS Live-Logs Operations > RADIUS > Live-Logs.

    RADIUS Live-LogsRADIUS-Live-Protokolle

    3.b ISE - RADIUS Live-Logs Operations > RADIUS > Live-Logs > Click (Details) (Details) (Autorisierungsprotokoll).

    RADIUS Detailed Live-Logs 1-2Detaillierte RADIUS-Live-Protokolle 1-2

    RADIUS Detailed Live-Logs 2-2Detaillierte RADIUS-Live-Protokolle 2-2

    Überprüfen der TACACS+-Konfiguration

    1- DNAC - Externe Benutzer anzeigen System > Benutzer und Rollen > Externe Authentifizierung > Externe Benutzer.
    Sie können die Liste der externen Benutzer anzeigen, die sich zum ersten Mal über TACACS+ angemeldet haben. Zu den angezeigten Informationen gehören die Benutzernamen und Rollen.

    External UsersExterne Benutzer

    2. DNAC - Benutzerzugriff bestätigen.

    Limited User AccessEingeschränkter Benutzerzugriff

    3.a ISE - TACACS+ Live-Logs Work Centers > Device Administration > Overview > TACACS Livelog.

    TACACS Live-LogsTACACS-Live-Protokolle

    3.b ISE - detaillierte TACACS+ Live-Protokolle Work Centers > Device Administration > Overview > TACACS Livelog > Click (Details) for Authorization log (Details).

    TACACS+ Detailed Live-Logs 1-2Detaillierte Live-Protokolle zu TACACS+ 1-2

    TACACS+ Detailed Live-Logs 2-2Detaillierte Live-Protokolle zu TACACS+ 2-2

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Diagnoseinformationen verfügbar.

    Referenzen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    25-Jan-2025
    Erstveröffentlichung
    1.0
    21-Jan-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Khaled Douma
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.