Configuración ISE 2.0: IOS autenticación de TACACS+ y comando authorization basado en la membresía del grupo AD
Contenido
Introducción
Este documento describe cómo configurar autenticación de TACACS+ y comando authorization basado en la membresía del grupo del Microsoft Active Directory (AD) de un usuario con el motor del servicio de la identidad (ISE) 2.0 y posterior. El ISE utiliza el AD como almacén externo de la identidad para salvar los recursos tales como usuarios, máquinas, grupos, y atributos.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- El router IOS es completamente - operativo
- Conectividad entre el router y el ISE.
- El servidor ISE se ata con correa y tiene Conectividad a Microsoft AD
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Motor 2.0 del servicio de la identidad de Cisco
- Versión 15.4(3)M3 del Cisco IOS ® Software
- R2 del Microsoft Windows server 2012
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
Configurar
El objetivo de la configuración está a:
- Autentique al usuario telnet vía el AD
- Autorice al usuario telnet así que se coloca en el modo EXEC privilegiado después del login
- Marque y envíe cada comando ejecutado al ISE para la verificación
Diagrama de la red
Configuraciones
Configuración ISE para la autenticación y autorización
Únase a ISE 2.0 al Active Directory
1. Navegue a la administración > a la Administración de la identidad > identidad externa salva > Active Directory > Add. Proporcione el nombre de la punta del unido, dominio de Active Directory y el tecleo somete.
2. Cuando se le pregunte para unirse a todos los Nodos ISE a este dominio de Active Directory, haga clic sí.
3. Proporcione el Nombre de usuario y la contraseña AD, AUTORIZACIÓN del tecleo.
La cuenta AD requerida para el acceso del dominio en el ISE debe tener cualquiera de éstos:
- Agregue los puestos de trabajo a la derecha de Domain User en el dominio correspondiente
- Cree los objetos de la Computadora o borre el permiso de los objetos de la Computadora en el envase correspondiente de los ordenadores donde la cuenta de máquina ISE se crea antes de unirse a la máquina ISE al dominio
4. Revise el estado de la operación, estado de nodo debe aparecer según lo completado, cierre del tecleo.
5. El estatus del AD debe ser operativo.
6. Navegue a los grupos > Add > los grupos selectos del directorio > extraen a los grupos. Seleccione el checkboxes del grupo de Admins AD de la red y del grupo del equipo AD del mantenimiento de red, tal y como se muestra en de esta imagen.
7. La salvaguardia del tecleo a salvar extrajo a los grupos AD.
Agregue el dispositivo de red
Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > los recursos de red > los dispositivos de red. Haga clic en Add (Agregar). Proporcione el nombre, dirección IP, seleccione autenticación de TACACS+ la casilla de verificación Settings (Configuración) y proporcione la clave secreta compartida.
Habilite el servicio Admin del dispositivo
Navegue a la administración > al sistema > al despliegue. Select requirió el nodo. Seleccione el checkbox del servicio Admin del dispositivo del permiso y haga clic la salvaguardia.
Configurar los conjuntos del comando tacacs
Configuran a dos comandos estableces. Primer PermitAllCommands para el administrador de usuario que permiten los comandos all en el dispositivo. En segundo lugar PermitShowCommands para el usuario del usuario que permitirá solamente los comandos show.
1. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los conjuntos del comando tacacs. Haga clic en Add (Agregar). Proporcione el nombre PermitAllCommands, checkbox selecto del comando permit any que no es abajo mencionado y el tecleo somete.
2. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los conjuntos del comando tacacs. Haga clic en Add (Agregar). Proporcione el nombre PermitShowCommands, el tecleo agrega y permite la demostración y los comandos exit. Por abandono si los argumentos se dejan en blanco, todos los argumentos son sean incluidos. Haga clic en Submit (Enviar).
Configurar el perfil TACACS
Se configura el solo perfil TACACS. El perfil TACACS es el mismo concepto que el perfil del shell en el ACS. La aplicación real del comando se hace vía los comandos estableces. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los perfiles TACACS. Haga clic en Add (Agregar). Proporcione el nombre ShellProfile, seleccione el checkbox del privilegio predeterminado y ingrese el valor de 15. Haga clic en Submit (Enviar).
Configurar la directiva de la autorización TACACS
La política de autenticación por abandono señala a All_User_ID_Stores, que incluye el AD, así que se deja sin cambios.
Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > los conjuntos de la directiva > directiva del valor por defecto > de la autorización > editan > nueva regla del separador de millares arriba.
Se configuran dos reglas de la autorización, la primera regla asigna el perfil ShellProfile TACACS y el comando set PermitAllCommands basado en la membresía del grupo de Admins AD de la red. La segunda regla asigna el perfil ShellProfile TACACS y el comando set PermitShowCommands basado en la membresía del grupo del equipo AD del mantenimiento de red.
Configure el router para autentificación y la autorización del Cisco IOS
Complete estos pasos para configurar el router para autentificación y la autorización del Cisco IOS.
1. Cree a un usuario local con el privilegio completo para el retraso con el comando username como se muestra aquí.
username cisco privilege 15 password cisco
2. Habilite el aaa de modelo nuevo. Defina al servidor TACACS ISE, y coloqúelo en el grupo ISE_GROUP.
aaa new-model
tacacs server ISE
address ipv4 10.48.17.88
key cisco
aaa group server tacacs+ ISE_GROUP
server name ISE
3. Pruebe el accesibilidad del servidor TACACS con el comando aaa de la prueba como se muestra.
Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
La salida del comando anterior muestra que el servidor TACACS es accesible y han autenticado al usuario con éxito.
4. Configure el login y habilite las autenticaciones y después utilice el ejecutivo y las autorizaciones de comando como se muestra.
aaa authentication login AAA group ISE_GROUP local
aaa authentication enable default group ISE_GROUP enable
aaa authorization exec AAA group ISE_GROUP local
aaa authorization commands 0 AAA group ISE_GROUP local
aaa authorization commands 1 AAA group ISE_GROUP local
aaa authorization commands 15 AAA group ISE_GROUP local
aaa authorization config-commands
5. Asigne las listas de métodos al line vty 0 4.
line vty 0 4
authorization commands 0 AAA
authorization commands 1 AAA
authorization commands 15 AAA
authorization exec AAA
login authentication AAA
Verificación
Verificación del router del Cisco IOS
1. Telnet al router del Cisco IOS como admin que pertenece al grupo de total acceso en el AD. El grupo de Admins de la red es el grupo en el AD que se asocia a ShellProfile y al comando set de PermitAllCommands en el ISE. Intente funcionar con el comando any de asegurar el acceso total.
Username:admin
Password:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption aes
Router(config-isakmp)#exit
Router(config)#exit
Router#
2. Telnet al router del Cisco IOS como usuario que pertenece al grupo de acceso limitado en el AD. El grupo del equipo del mantenimiento de red es el grupo en el AD que se asocia a ShellProfile y al comando set de PermitShowCommands en el ISE. Intente funcionar con el comando any de asegurarse de que solamente los comandos show pueden ser publicados.
Username:user
Password:
Router#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 10.48.66.32 YES NVRAM up up
Router#ping 8.8.8.8
Command authorization failed.
Router#configure terminal
Command authorization failed.
Router#show running-config | include hostname
hostname Router
Router#
Verificación ISE 2.0
1. Navegue a las operaciones > a TACACS Livelog. Asegúrese de que las tentativas hechas arriba estén consideradas.
2. Haga clic los detalles de uno de los informes rojos, anterior ejecutada comando fallada puede ser visto.
Troubleshooting
Error: El comando 13025 no pudo hacer juego una regla del permiso
Marque los atributos de SelectedCommandSet para verificar que los conjuntos del comando expected fueron seleccionados por la directiva de la autorización.
Información Relacionada
Soporte Técnico y Documentación - Cisco Systems
Guía de instalación del hardware ISE 2.0
ACS a la guía de la herramienta de la migración ISE
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)