Introducción
Este documento describe cómo configurar la autenticación de usuario basada en Radius y TACACS y la autorización para vEdge y controladores con Identity Service Engine (ISE).
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
Para el propósito de la demostración, se utilizó ISE versión 2.6. vEdge-cloud y controladores que ejecutan 19.2.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
El software Viptela proporciona tres nombres de grupo de usuarios fijos: básico, netadmin y operador. Debe asignar el usuario al menos a un grupo. El usuario predeterminado TACACS/Radius se coloca automáticamente en el grupo básico.
Autenticación y autorización de usuario basada en RADIUS para vEdge y controladores
Paso 1. Cree un diccionario de RADIUS de Viptela para ISE. Para ello, cree un archivo de texto con el contenido:
# -*- text -*-
#
# dictionary.viptela
#
#
# Version: $Id$
#
VENDOR Viptela 41916
BEGIN-VENDOR Viptela
ATTRIBUTE Viptela-Group-Name 1 string
Paso 2. Cargue el diccionario en ISE. Para ello, vaya a Política > Elementos de política > Diccionarios. Desde la lista de diccionarios, ahora navegue hasta Radius > Radius Vendors y luego haga clic en Importar, como se muestra en la imagen.
Ahora cargue el archivo que creó en el paso 1.
Paso 3. Cree un perfil de autorización. En este paso, el perfil de autorización de RADIUS asigna, por ejemplo, el nivel de privilegio netadmin a un usuario autenticado. Para ello, navegue hasta Policy > Policy Elements > Authorization Profiles y especifique dos atributos avanzados como se muestra en la imagen.
Paso 4. Según la configuración real, el conjunto de políticas puede tener un aspecto diferente. A los efectos de la demostración en este artículo, la entrada de política llamada Acceso a terminal se crea como se muestra en la imagen.
Haga clic > y aparecerá la siguiente pantalla como se muestra en la imagen.
Esta política coincide en función del grupo de usuarios lab_admin y asigna un perfil de autorización creado en el Paso 3.
Paso 5. Defina NAS (router o controlador vEdge) como se muestra en la imagen.
Paso 6. Configure vEdge/Controller.
system
aaa
auth-order radius local
radius
server 10.48.87.210
vpn 512
key cisco
exit
!
!
Paso 7. Verificación. Inicie sesión en vEdge y asegúrese de que el grupo netadmin esté asignado al usuario remoto.
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
Autenticación y autorización de usuario basada en TACACS para vEdge y controladores
Paso 1. Cree un perfil TACACS. En este paso, el perfil TACACS creado se asigna, por ejemplo, el nivel de privilegio netadmin a un usuario autenticado.
- Seleccione Obligatorio en la sección Atributo personalizado para agregar el atributo como:
Tipo |
Nombre |
Valor |
Obligatoria |
Viptela-Group-Name |
netadmin |
Paso 2. Cree un grupo de dispositivos para SD-WAN.
Paso 3. Configure el dispositivo y asígnelo al grupo de dispositivos SD-WAN:
Paso 4. Defina la política de administración de dispositivos.
Según la configuración real, el conjunto de políticas puede tener un aspecto diferente. A los efectos de la demostración en este documento, se crea la Política.
Haga clic > y aparecerá la siguiente pantalla como se muestra en esta imagen. Esta política coincide con el tipo de dispositivo denominado SD-WAN y asigna el perfil de shell creado en el paso 1.
Paso 5. Configurar vEdge:
system
aaa
auth-order tacacs local
!
tacacs
server 10.48.87.210
vpn 512
key cisco
exit
!
!
Paso 6. Verificación. Inicie sesión en vEdge y asegúrese de que el grupo netadmin asignado al usuario remoto:
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
Paso 5. Configurar vEdge:
Paso 5. Configurar vEdge:
Paso 5. Configurar vEdge:
Información Relacionada