Guest

Configuración ISE 2.0: IOS autenticación de TACACS+ y comando authorization basado en la membresía del grupo AD

Opciones de descarga

  • PDF     (2.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:20 de enero de 2016
ID del documento:200208
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar autenticación de TACACS+ y comando authorization basado en la membresía del grupo del Microsoft Active Directory (AD) de un usuario con el motor del servicio de la identidad (ISE) 2.0 y posterior. El ISE utiliza el AD como almacén externo de la identidad para salvar los recursos tales como usuarios, máquinas, grupos, y atributos.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  •  El router IOS es completamente - operativo
  • Conectividad entre el router y el ISE.
  • El servidor ISE se ata con correa y tiene Conectividad a Microsoft AD

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Motor 2.0 del servicio de la identidad de Cisco
  • Software Release 15.4(3)M3 de® del Cisco IOS
  • R2 del Microsoft Windows server 2012

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. 

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

El objetivo de la configuración está a:

  • Autentique al usuario telnet vía el AD
  • Autorice al usuario telnet así que se coloca en el modo EXEC privilegiado después del login
  • Marque y envíe cada comando ejecutado al ISE para la verificación

Diagrama de la red

Configuraciones

Configuración ISE para la autenticación y autorización

Únase a ISE 2.0 al Active Directory

1. Navegue a la administración > a la Administración de la identidad > identidad externa salva > Active Directory > Add. Proporcione el nombre de la punta del unido, dominio de Active Directory y el tecleo somete.

2. Cuando se le pregunte para unirse a todos los Nodos ISE a este dominio de Active Directory, haga clic sí.

3. Proporcione el Nombre de usuario y la contraseña AD, AUTORIZACIÓN del tecleo.

La cuenta AD requerida para el acceso del dominio en el ISE debe tener cualquiera de éstos:

  • Agregue los puestos de trabajo a la derecha de Domain User en el dominio correspondiente
  • Cree los objetos de la Computadora o borre el permiso de los objetos de la Computadora en el envase correspondiente de los ordenadores donde la cuenta de máquina ISE se crea antes de unirse a la máquina ISE al dominio

Nota: Cisco recomienda inhabilitar la directiva del cierre para la cuenta ISE y configurar la infraestructura AD para enviar las alertas al admin si una contraseña incorrecta se utiliza para esa cuenta. Al ingresar la contraseña incorrecta, el ISE no crea ni modifica su cuenta de máquina cuando es necesario y por lo tanto para negar posiblemente todas las autenticaciones.

4. Revise el estado de la operación, estado de nodo debe aparecer según lo completado, cierre del tecleo.

5. El estatus del AD debe ser operativo.

6. Navegue a los grupos > Add > los grupos selectos del directorio > extraen a los grupos. Seleccione el checkboxes del grupo de Admins AD de la red y del grupo del equipo AD del mantenimiento de red, tal y como se muestra en de esta imagen.

Nota: El administrador de usuario es miembro del grupo de Admins AD de la red. Este usuario tendrá privilegios de total acceso. El usuario será miembro del grupo del equipo AD del mantenimiento de red. Este usuario puede ejecutar solamente los comandos show.

 7. La salvaguardia del tecleo a salvar extrajo a los grupos AD.

Agregue el dispositivo de red

Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > los recursos de red > los dispositivos de red. Haga clic en Add (Agregar). Proporcione el nombre, dirección IP, seleccione autenticación de TACACS+ la casilla de verificación Settings (Configuración) y proporcione la clave secreta compartida.

Habilite el servicio Admin del dispositivo

Navegue a la administración > al sistema > al despliegue. Select requirió el nodo. Seleccione el checkbox del servicio Admin del dispositivo del permiso y haga clic la salvaguardia.

Nota: Para el TACACS usted necesita hacer la licencia separada instalar.

Configurar los conjuntos del comando tacacs

Configuran a dos comandos estableces. Primer PermitAllCommands para el administrador de usuario que permiten los comandos all en el dispositivo. En segundo lugar PermitShowCommands para el usuario del usuario que permitirá solamente los comandos show.

1. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los conjuntos del comando tacacs. Haga clic en Add (Agregar). Proporcione el nombre PermitAllCommands, checkbox selecto del comando permit any que no es abajo mencionado y el tecleo somete.

 2. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los conjuntos del comando tacacs. Haga clic en Add (Agregar). Proporcione el nombre PermitShowCommands, el tecleo agrega y permite la demostración y los comandos exit. Por abandono si los argumentos se dejan en blanco, todos los argumentos son sean incluidos. Haga clic en Submit (Enviar). 

Configurar el perfil TACACS

Se configura el solo perfil TACACS. El perfil TACACS es el mismo concepto que el perfil del shell en el ACS. La aplicación real del comando se hace vía los comandos estableces. Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > directiva resulta > los perfiles TACACS. Haga clic en Add (Agregar). Proporcione el nombre ShellProfile, seleccione el checkbox del privilegio predeterminado y ingrese el valor de 15. Haga clic en Submit (Enviar).

Configurar la directiva de la autorización TACACS

La política de autenticación por abandono señala a All_User_ID_Stores, que incluye el AD, así que se deja sin cambios.

Navegue a los centros de trabajo > Device Administration (Administración del dispositivo) > los conjuntos de la directiva > directiva del valor por defecto > de la autorización > editan > nueva regla del separador de millares arriba.

 Se configuran dos reglas de la autorización, la primera regla asigna el perfil ShellProfile TACACS y el comando set PermitAllCommands basado en la membresía del grupo de Admins AD de la red. La segunda regla asigna el perfil ShellProfile TACACS y el comando set PermitShowCommands basado en la membresía del grupo del equipo AD del mantenimiento de red.

Configure el router para autentificación y la autorización del Cisco IOS

Complete estos pasos para configurar el router para autentificación y la autorización del Cisco IOS.

1. Cree a un usuario local con el privilegio completo para el retraso con el comando username como se muestra aquí.

username cisco privilege 15 password cisco

2. Habilite el aaa de modelo nuevo. Defina al servidor TACACS ISE, y coloqúelo en el grupo ISE_GROUP.

aaa new-model
tacacs server ISE
 address ipv4 10.48.17.88
 key cisco
aaa group server tacacs+ ISE_GROUP
 server name ISE

Nota: La clave del servidor debe hacer juego el define en el servidor ISE anterior.

3. Pruebe el accesibilidad del servidor TACACS con el comando aaa de la prueba como se muestra.

Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

La salida del comando anterior muestra que el servidor TACACS es accesible y han autenticado al usuario con éxito.

4. Configure el login y habilite las autenticaciones y después utilice el ejecutivo y las autorizaciones de comando como se muestra.

aaa authentication login AAA group ISE_GROUP local
aaa authentication enable default group ISE_GROUP enable
aaa authorization exec AAA group ISE_GROUP local 
aaa authorization commands 0 AAA group ISE_GROUP local 
aaa authorization commands 1 AAA group ISE_GROUP local 
aaa authorization commands 15 AAA group ISE_GROUP local
aaa authorization config-commands

Nota: La lista de métodos creada es nombrada el AAA, que será utilizado más adelante, asignándolo para alinear el vty.

5. Asigne las listas de métodos al line vty 0 4.

line vty 0 4
 authorization commands 0 AAA
 authorization commands 1 AAA
 authorization commands 15 AAA
 authorization exec AAA
 login authentication AAA

Verificación

Verificación del router del Cisco IOS

1. Telnet al router del Cisco IOS como admin que pertenece al grupo de total acceso en el AD. El grupo de Admins de la red es el grupo en el AD que se asocia a ShellProfile y al comando set de PermitAllCommands en el ISE. Intente funcionar con el comando any de asegurar el acceso total.

Username:admin
Password:

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption aes 
Router(config-isakmp)#exit
Router(config)#exit
Router#

2. Telnet al router del Cisco IOS como usuario que pertenece al grupo de acceso limitado en el AD. El grupo del equipo del mantenimiento de red es el grupo en el AD que se asocia a ShellProfile y al comando set de PermitShowCommands en el ISE. Intente funcionar con el comando any de asegurarse de que solamente los comandos show pueden ser publicados.

Username:user
Password:

Router#show ip interface brief | exclude unassigned
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         10.48.66.32     YES NVRAM  up                    up      

Router#ping 8.8.8.8
Command authorization failed.

Router#configure terminal
Command authorization failed.

Router#show running-config | include hostname
hostname Router
Router#

Verificación ISE 2.0

1. Navegue a las operaciones > a TACACS Livelog. Asegúrese de que las tentativas hechas arriba estén consideradas.

2. Haga clic los detalles de uno de los informes rojos, anterior ejecutada comando fallada puede ser visto.

Troubleshooting

Error: El comando 13025 no pudo hacer juego una regla del permiso

Marque los atributos de SelectedCommandSet para verificar que los conjuntos del comando expected fueron seleccionados por la directiva de la autorización.

Información Relacionada

Soporte Técnico y Documentación - Cisco Systems

Release Note ISE 2.0

Guía de instalación del hardware ISE 2.0

Guía de actualización ISE 2.0

ACS a la guía de la herramienta de la migración ISE

Guía de la integración de Active Directory ISE 2.0

Guía del administrador del motor ISE 2.0

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Eugene Korneychuk
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Déjenos ayudarlo

Debates relacionados con la comunidad de soporte

Este documento se aplica a estos productos