PDF(2.3 MB) Visualice con Adobe Reader en una variedad de dispositivos
ePub(2.0 MB) Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle)(1.7 MB) Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:30 de septiembre de 2025
ID del documento:225097
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma.
Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional.
Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe un ejemplo de TACACS+ sobre TLS con Cisco Identity Services Engine (ISE) como servidor y un dispositivo Cisco IOS® XE como cliente.
Overview
El protocolo Terminal Access Controller Access-Control System Plus (TACACS+) Protocol [RFC8907] permite la administración centralizada de dispositivos para routers, servidores de acceso a la red y otros dispositivos conectados en red a través de uno o más servidores TACACS+. Proporciona servicios de autenticación, autorización y contabilidad (AAA), específicamente adaptados para casos prácticos de administración de dispositivos.
TACACS+ sobre TLS 1.3 [RFC8446] mejora el protocolo mediante la introducción de una capa de transporte segura, protegiendo los datos altamente confidenciales. Esta integración garantiza confidencialidad, integridad y autenticación para la conexión y el tráfico de red entre los clientes y servidores TACACS+.
Utilización de esta guía
Esta guía divide las actividades en dos partes para permitir que ISE gestione el acceso administrativo de los dispositivos de red basados en Cisco IOS XE. · Parte 1: Configuración de ISE para la administración de dispositivos · Parte 2 - Configuración de Cisco IOS XE para TACACS+ sobre TLS
Prerequisites
Requirements
Requisitos para configurar TACACS+ sobre TLS:
Una autoridad de certificación (CA) para firmar el certificado utilizado por TACACS+ sobre TLS para firmar los certificados de ISE y los dispositivos de red.
El certificado raíz de la autoridad de certificación (CA).
Los dispositivos de red e ISE tienen disponibilidad de DNS y pueden resolver nombres de host.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Dispositivo virtual ISE VMware, versión 3.4, parche 2
Software Cisco IOS XE, versión 17.15+
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Licencias
Una licencia Device Administration permite utilizar los servicios TACACS+ en un nodo de Policy Service. En una implementación independiente de alta disponibilidad (HA), una licencia Device Administration permite utilizar los servicios TACACS+ en un único nodo de servicio de políticas en el par HA.
Parte 1: Configuración de ISE para la administración de dispositivos
Generar solicitud de firma de certificado para autenticación de servidor TACACS+
Paso 1. Inicie sesión en el portal web de administración de ISE con uno de los navegadores compatibles.
De forma predeterminada, ISE utiliza un certificado autofirmado para todos los servicios. El primer paso es generar una Solicitud de firma de certificado (CSR) para que la firme nuestra Autoridad de certificación (CA).
Paso 2.Vaya a Administración > Sistema > Certificados.
Paso 3. En Solicitudes de firma de certificado, haga clic en Generar solicitud de firma de certificado.
Paso 4.Seleccione TACACS inUsage.
Paso 5.Seleccione los PSNs que tendrán TACACS+ habilitado.
Paso 6. Rellene los campos Asunto con la información correspondiente.
Paso 7.Agregue el nombre DNS y la dirección IP en Nombre alternativo del sujeto (SAN).
Paso 8.Haga clic en Generar y luego en Exportar.
Ahora, puede hacer que la autoridad de certificación (CA) firme el certificado (CRT).
Cargar certificado de CA raíz para autenticación de servidor TACACS+
Paso 1. Navegue hasta Administración > Sistema > Certificados. En Certificados de confianza, haga clic en Importar.
Paso 2. Seleccione el certificado emitido por la autoridad de certificación (CA) que firmó su solicitud de firma de certificado (CSR) TACACS. Asegúrese de que el está activada.
Paso 3. Haga clic en Enviar. El certificado debe aparecer ahora en Certificados Protegidos.
Enlazar la solicitud de firma de certificado (CSR) firmado a ISE
Una vez firmada la solicitud de firma de certificado (CSR), puede instalar el certificado firmado en ISE.
Paso 1.Vaya a Administración > Sistema > Certificados. En Solicitudes de firma de certificado, seleccione el TACACS CSR generado en el paso anterior y haga clic en Enlazar certificado.
Paso 2.Seleccione el certificado firmado y asegúrese de que la casilla de verificación TACACS bajo Uso permanezca seleccionada.
Paso 3.Haga clic en Submit. Si recibe una advertencia sobre la sustitución del certificado existente, haga clic en Sí para continuar.
El certificado debe estar instalado correctamente. Puede verificarlo en Certificados del sistema.
Habilitar TLS 1.3
TLS 1.3 no está habilitado de forma predeterminada en ISE 3.4.x. Debe activarse manualmente.
Paso 1.Vaya a Administración > Sistema > Configuración.
Paso 2.Haga clic en Security Settings, seleccione la casilla de verificación junto a TLS1.3 en TLS Version Settings, luego haga clic en Save.
Advertencia: Al cambiar la versión de TLS, el servidor de aplicaciones de Cisco ISE se reinicia en todos los equipos de implementación de Cisco ISE.
Habilitar Device Administration en ISE
El servicio Device Administration (TACACS+) no está habilitado de forma predeterminada en un nodo ISE. Habilite TACACS+ en un nodo PSN.
Paso 1.Vaya a Administration > System > Deployment. Active la casilla de verificación situada junto al nodo de ISE y haga clic en Editar.
Paso 2.En GeneralSettings, desplácese hacia abajo y seleccione la casilla de verificación junto a Enable Device Admin Service.
Paso 3. Guarde la configuración. El servicio Device Admin está ahora habilitado en ISE.
Habilitar TACACS sobre TLS
Paso 1.Vaya a Centros de trabajo > Administración de dispositivos > Descripción general.
Paso 2.Haga clic en Implementación. Seleccione los nodos PSN donde desea habilitar TACACS sobre TLS.
Paso 3.Mantenga el puerto predeterminado 6049 o especifique un puerto TCP diferente para TACACS sobre TLS, luego haga clic en Guardar.
Crear dispositivos de red y grupos de dispositivos de red
ISE proporciona una potente agrupación de dispositivos con varias jerarquías de grupos de dispositivos. Cada jerarquía representa una clasificación distinta e independiente de los dispositivos de red.
Paso 1. Navegue hasta Centros de trabajo > Administración de dispositivos > Recursos de red.Haga clic en Grupos de dispositivos de red y cree un grupo con el nombre IOS XE.
Consejo: Todos los tipos de dispositivos y todas las ubicaciones son jerarquías predeterminadas proporcionadas por ISE. Puede agregar sus propias jerarquías y definir los diversos componentes al identificar un dispositivo de red que se puede utilizar más adelante en la Condición de directiva
Paso 2.Ahora, agregue un dispositivo Cisco IOS XE como dispositivo de red. Vaya a Centros de trabajo > Administración de dispositivos > Recursos de red > Dispositivos de red. Haga clic en Agregar para agregar un nuevo dispositivo de red. Para esta prueba, sería SVS_BRPASR1K.
Paso 3.Introduzca la dirección IP del dispositivo y asegúrese de asignar la ubicación y el tipo de dispositivo (IOS XE) para el dispositivo. Finalmente, habilite la configuración de autenticación TACACS+ sobre TLS.
Consejo: Se recomienda habilitar el modo de conexión única para evitar reiniciar la sesión TCP cada vez que se envía un comando al dispositivo.
Configurar almacenes de identidad
En esta sección se define un almacén de identidades para los administradores de dispositivos, que pueden ser los usuarios internos de ISE y cualquier origen de identidad externo compatible. Aquí se utiliza Active Directory (AD), un origen de identidad externo.
Paso 1. Navegue hasta Administración > Administración de identidad > Almacenes de identidad externos > Active Directory. Haga clic en Agregar para definir un nuevo punto de unión AD.
Paso 2. Especifique el nombre del punto de unión y el nombre de dominio AD y haga clic en Enviar.
Paso 3. Haga clic en Yes cuando se le pregunte ¿Desea unir todos los nodos ISE a este dominio de Active Directory?
Paso 4. Introduzca las credenciales con privilegios de unión a AD y Unir ISE a AD. Compruebe el estado para verificar que funciona.
Paso 5. Navegue hasta la pestaña Groups y haga clic en Add para obtener todos los grupos necesarios según los cuales los usuarios están autorizados para el acceso del dispositivo. Este ejemplo muestra los grupos utilizados en la directiva de autorización de esta guía
Configurar perfiles TACACS+
Va a asignar los perfiles TACACS+ a las dos funciones de usuario principales en los dispositivos Cisco IOS XE:
Root System Administrator (Administrador del sistema raíz): función con más privilegios en el dispositivo. El usuario con la función de administrador del sistema raíz tiene acceso administrativo total a todos los comandos del sistema y funciones de configuración.
Operador: esta función está diseñada para usuarios que necesitan acceso de solo lectura al sistema con fines de supervisión y solución de problemas.
Estos se definen como dos perfiles TACACS+: IOS XE_RW e IOSXR_RO.
IOS XE_RW - Perfil del administrador
Paso 1 Navegue hasta Centros de Trabajo > Administración de Dispositivos > Elementos de Política > Resultados > Perfiles TACACS. Agregue un nuevo perfil TACACS y denomínelo IOS XE_RW.
Paso 2. Verifique y establezca el Privilegio por Defecto y el Privilegio Máximo como 15.
Paso 3.Confirme la configuración y guarde.
IOS XE_RO: perfil de operador
Paso 1 Navegue hasta Centros de Trabajo > Administración de Dispositivos > Elementos de Política > Resultados > Perfiles TACACS. Agregue un nuevo perfil TACACS y denomínelo IOS XE_RO.
Paso 2. Active y establezca el privilegio por defecto y el privilegio máximo como 1.
Paso 3.Confirme la configuración y guarde.
Conjuntos de comandos ConfigureTACACS+
estos se definen como dos conjuntos de comandos TACACS+: CISCO_IOS XE_RW y CISCO_IOS XE_RO.
CISCO_IOS XE_RW - Conjunto de comandos del administrador
Paso 1. Navegue hasta Centros de Trabajo > Administración de Dispositivos > Elementos de Política > Resultados > Conjuntos de Comandos TACACS. Agregue un nuevo Conjunto de Comandos TACACS y denomínelo CISCO_IOS XE_RW.
Paso 2. Marque la casilla de verificación Permitir cualquier comando que no aparezca en la lista siguiente (esto permite cualquier comando para el rol de administrador) y haga clic en Guardar.
CISCO_IOS XE_RO - Conjunto de comandos del operador
Paso 1 Desde la interfaz de usuario de ISE, navegue hasta Centros de trabajo > Administración de dispositivos > Elementos de política > Resultados > Conjuntos de comandos TACACS. Agregue un nuevo conjunto de comandos TACACS y denomínelo CISCO_IOS XE_RO.
Paso 2. En la sección Comandos, agregue un nuevo comando.
Paso 3. Seleccione Permiso de la lista desplegable para la columna Otorgar e ingrese show en la columna Comando ; y haga clic en la flecha de verificación.
Paso 4. Confirme los datos y haga clic en Guardar.
Configurar conjuntos de políticas de administración de dispositivos
Los conjuntos de directivas están habilitados de forma predeterminada para la administración de dispositivos. Los conjuntos de políticas pueden dividir las políticas según los tipos de dispositivos para facilitar la aplicación de perfiles TACACS.
Paso 1.Vaya a Centros de trabajo > Administración de dispositivos > Conjuntos de políticas de administración de dispositivos. Agregue un nuevo conjunto de políticas para dispositivos IOS XE. En la condición especifique DEVICE:Device Type EQUALS All Device Types#IOS XE. En Allowed Protocols, seleccione Default Device Admin.
Paso 2.Haga clic en Guardar y haga clic en la flecha derecha para configurar este conjunto de políticas.
Paso 3.Crear la política de autenticación. Para la autenticación, se utiliza AD como almacén de ID. Deje las opciones predeterminadas en If Auth fail, If User not found y If Process fail.
Paso 4. Defina la Política de Autorización.
Cree la directiva de autorización basada en grupos de usuarios de Active Directory (AD).
Por ejemplo:
· A los usuarios del grupo AD Device RO se les asigna el conjunto de comandos CISCO_IOSXR_RO y el perfil de shell IOSXR_RO.
· A los usuarios del grupo AD Device Admin se les asigna el conjunto de comandos CISCO_IOSXR_RW y el perfil de shell IOSXR_RW.
Parte 2 - Configuración de Cisco IOS XE para TACACS+ sobre TLS 1.3
Precaución: Asegúrese de que la conexión de la consola es accesible y funciona correctamente.
Consejo: Se recomienda configurar un usuario temporal y cambiar los métodos de autenticación y autorización AAA para utilizar las credenciales locales en lugar de TACACS mientras se realizan cambios de configuración, para evitar que se bloquee el dispositivo.
Método de configuración 1: par de claves generado por el dispositivo
Configuración del servidor TACACS+
Paso 1Configure el nombre de dominio y genere un par de claves utilizado para el punto de confianza del router.
% The subject name in the certificate will include: C=US,ST=NC,L=RTP,O=Cisco,OU=SVS,CN=cat9k.svs.lab % The subject name in the certificate will include: cat9k.svs.lab Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows:
Paso 1. Crear servidor TACACS y grupos AAA, asociar el punto de confianza del cliente (router).
tacacs server svs_tacacs address ipv4 10.225.253.209 single-connection tls port 6049 tls idle-timeout 60 tls connection-timeout 60 tls trustpoint client svs_cat9k tls ip tacacs source-interface GigabitEthernet0/0 tls ip vrf forwarding Mgmt-vrf ! aaa group server tacacs+ svs_tls server name svs_tacacs ip vrf forwarding Mgmt-vrf ! tacacs-server directed-request
Paso 2. Configure los métodos AAA.
aaa authentication login default group svs_tls local enable aaa authentication login console local enable aaa authentication enable default group svs_tls enable aaa authorization config-commands aaa authorization exec default group svs_tls local if-authenticated aaa authorization commands 1 default group svs_tls local if-authenticated aaa authorization commands 15 default group svs_tls aaa accounting exec default start-stop group svs_tls aaa accounting commands 1 default start-stop group svs_tls aaa accounting commands 15 default start-stop group svs_tls aaa session-id common
Método de configuración 2: par de claves generado por CA
Si va a importar las claves, así como los certificados de dispositivo y CA directamente en un formato PKCS#12 en lugar del método CSR, puede utilizar este método.
! Below debugs will be needed only if there is any issue with SSL Handshake debug ip tcp transactions debug ip tcp packet debug crypto pki transactions debug crypto pki API debug crypto pki messages debug crypto pki server debug ssl openssl errors debug ssl openssl msg debug ssl openssl states clear logging