Configurer ISE en tant qu'authentification externe pour l'interface utilisateur graphique SD-WAN de Catalyst

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:23 septembre 2025
ID du document:224982

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer Cisco Identity Services Engine(ISE) en tant qu'authentification externe pour l'administration de l'interface utilisateur graphique Cisco Catalyst SD-WAN.

    Conditions préalables

    Exigences

    Cisco vous recommande d'avoir connaissance des sujets suivants :

    • protocole TACACS+
    • Administration des périphériques Cisco ISE
    • Administration SD-WAN de Cisco Catalyst
    • Évaluation de la politique Cisco ISE

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Correctif2 de Cisco Identity Services Engine (ISE) version 3.4
    • Cisco Catalyst SD-WAN version 20.15.3

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Avant de commencer

    À partir de la version 20.9.1 de Cisco vManage, de nouvelles balises sont utilisées dans l'authentification :

    • Viptela-User-Group : pour les définitions de groupes d'utilisateurs au lieu de Viptela-Group-Name.
    • Viptela-Resource-Group : pour les définitions de groupes de ressources.

    Configuration - Utilisation de TACACS+

    Configuration du SD-WAN Catalyst à l'aide de TACACS+

    Procédure 

    Étape 1. (Facultatif) Définissez des rôles personnalisés.

    Configurez vos rôles personnalisés en fonction de vos besoins. Vous pouvez utiliser les rôles d'utilisateurs par défaut. Vous pouvez effectuer cette opération à partir de l'onglet Catalyst SD-WAN : Administration > Utilisateurs et accès > Rôles.

    Créez deux rôles personnalisés :

    1. Rôle Admin : super-administrateur
    2. Rôle en lecture seule : en lecture seule

    Vous pouvez effectuer cette opération à partir de l'onglet Catalyst SD-WAN : Administration > Utilisateurs et accès > Rôles > Cliquez sur > Ajouter un rôle.

    Admin Role (super-admin)Rôle admin (super-admin)Read-Only Role (readonly)Rôle en lecture seule (lecture seule)

    Étape 2 : configuration de l’authentification externe à l’aide de TACACS+ (CLI)

    vManger CLI - TACACS+ ConfigurationCLI vManager - Configuration de TACACS+

    Configurer ISE pour TACACS+

    Étape 1 : activation du service d’administration des périphériques
    Pour ce faire, accédez à l'onglet Administration > System > Deployment > Edit (ISE PSN Node)>Check Enable Device Admin Service.

    Enable Device Admin ServiceActiver le service d'administration des périphériques

    Étape 2. Ajout du SD-WAN Catalyst en tant que périphérique réseau sur ISE

    Pour ce faire, accédez à l'onglet Administration > Network Resources > Network Devices.

    Procédure

    a. Définissez le nom et l'IP du périphérique réseau (Catalyst SD-WAN).
    b. (Facultatif) Classez le type de périphérique pour la condition Jeu de stratégies.
    c. Activez les paramètres d'authentification TACACS+.
    d. Définissez le secret partagé TACACS+.

    ISE Network Device (Catalyst SD-WAN) for TACACS+Périphérique réseau ISE (Catalyst SD-WAN) pour TACACS+

    Étape 3 : création du profil TACACS+ pour chaque rôle SD-WAN Catalyst

    Créer des profils TACACS+ :

    1. Catalyst_SDWAN_Admin : Pour les super administrateurs.
    2. Catalyst_SDWAN_ReadOnly : Pour les utilisateurs en lecture seule.

    Pour ce faire, accédez à l'onglet Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles > Add.

    TACACS+ Profile - (Catalyst_SDWAN_Admin)Profil TACACS+ - (Catalyst_SDWAN_Admin)TACACS+ Profile - (Catalyst_SDWAN_ReadOnly)Profil TACACS+ - (Catalyst_SDWAN_ReadOnly)

    Étape 4. Créer un groupe d'utilisateurs ajouter des utilisateurs locaux en tant que membre

    Pour ce faire, accédez à l'onglet Work Centers > Device Administration > User Identity Groups.

    Créez deux groupes d'identités utilisateur :

    1. Groupe_Admin_Supérieur
    2. Groupe_LectureSeule

    User Identity Group - (Super_Admin_Group)Groupe d'identités utilisateur - (Super_Admin_Group)User Identity Group - (ReadOnly_Group)Groupe d'identités utilisateur - (ReadOnly_Group)

    Étape 5. (Facultatif) Ajouter un jeu de stratégies TACACS+.

    Pour ce faire, accédez à l'onglet Work Centers > Device Administration > Device Admin Policy Sets.

    Procédure

    a. Cliquez sur Actions et choisissez (Insérer une nouvelle ligne ci-dessus).

    b. Définissez le nom du jeu de stratégies.

    c. Définissez la condition du jeu de stratégies sur Sélectionner le type de périphérique précédemment créé (Étape 2 > b).

    d. Définissez les protocoles autorisés.

    e. Cliquez sur Save.

    f. Cliquez sur (>) Policy Set View pour configurer les règles d'authentification et d'autorisation.

    ISE Policy SetEnsemble de stratégies ISE

    Étape 6 : configuration de la stratégie d’authentification TACACS+

    Pour ce faire, accédez à l'onglet Work Centers > Device Administration > Device Admin Policy Sets > Cliquez sur (>).

    Procédure

    a. Cliquez sur Actions et choisissez (Insérer une nouvelle ligne ci-dessus).

    b. Définissez le nom de la stratégie d'authentification.

    c. Définissez la condition de stratégie d'authentification et sélectionnez le type de périphérique que vous avez créé précédemment (Étape 2 > b).

    d. Définissez l'option Authentication Policy Use for Identity source.

    e. Cliquez sur Save.

    Authentication Policy OptionsStratégie d'authentification

    Étape 7 : configuration de la stratégie d’autorisation TACACS+

    Pour ce faire, accédez à l'onglet Work Centers > Device Administration > Device Admin Policy Sets > Cliquez sur (>).

    Cette étape de création d'une politique d'autorisation pour chaque rôle SD-WAN Catalyst :

    • Catalyst SD-WAN Authz (super-admin) : super-administrateur
    • Catalyst SD-WAN Authz (lecture seule) : en lecture seule

    Procédure

    a. Cliquez sur Actions et choisissez (Insérer une nouvelle ligne ci-dessus).

    b. Définissez le nom de la stratégie d'autorisation.

    c. Définissez la condition de stratégie d'autorisation et sélectionnez le groupe d'utilisateurs que vous avez créé à l' (étape 4).

    d. Définissez les profils PolicyShell d'autorisation et sélectionnez le profil TACACS que vous avez créé à l' (étape 3).

    e. Cliquez sur Save.

    Authorization PolicyPolitique d'autorisation

    Vérification de la configuration TACACS+

    1- Afficher les sessions utilisateur Catalyst SD-WAS Catalyst SD-WAN : Administration > Users and Access > User Sessions.

    Vous pouvez afficher la liste des utilisateurs externes qui se sont connectés via RADIUS pour la première fois. Les informations affichées incluent leurs noms d'utilisateur et leurs rôles.

    Catalyst SD-WAS User SessionsSessions utilisateur Catalyst SD-WAS

    2- ISE - Opérations TACACS Live-Logs > TACACS > Live-Logs.

    Live-LogsJournaux en direct

    Detailed Live-Logs - (readonly)Journaux en direct détaillés - (lecture seule)Detailed Live-Logs - (super-admin)Journaux en direct détaillés - (super-admin)

    Dépannage

    Aucune information de diagnostic spécifique n'est actuellement disponible pour cette configuration.

    Références

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    23-Sep-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Khaled Douma
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits