Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la caractéristique pour utiliser le serveur externe TACACS+ dans un déploiement utilisant la gestion d'identité Engine(ISE) comme proxy.
Note: N'importe quelle référence à ACS dans ce document peut interpretted pour être une référence à n'importe quel serveur externe TACACS+. Cependant, la configuration sur l'ACS et la configuration sur n'importe quel autre serveur TACACS peuvent varier.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle modification de configuration.
Cette section aide à configurer ISE aux demandes du proxy TACACS+ à ACS.
Le secret partagé fourni dans cette section doit être le même secret utilisé dans l'ACS.
En plus de l'ordre de serveur, deux autres options ont été fournies. Se connecter le contrôle et éliminer de nom d'utilisateur.
Se connecter le contrôle donne à une option au log les demandes de comptabilité localement sur ISE ou se connecte les demandes de comptabilité au serveur externe qui manipule l'authentification aussi bien.
Éliminer de nom d'utilisateur est utilisé pour éliminer le préfixe ou le suffixe par sepcifying un délimiteur avant d'expédier la demande à un serveur TACACS externe.
Pour l'ACS, ISE est juste un autre périphérique de réseau qui enverra une demande TACACS. Afin de configurer ISE comme périphérique de réseau dans ACS, naviguez vers des ressources de réseau > des périphériques de réseau et des clients d'AAA. Le clic créent et complètent les coordonnées du serveur ISE utilisant la même chose secret partagé que configuré sur l'ISE.
Configurez les paramètres de gestion de périphérique sur ACS qui sont, les profils de shell et les positionnements de commande. Afin de configurer des profils de shell, naviguez des profils vers des éléments de stratégie > l'autorisation et des autorisations > de périphérique gestion > shell. Cliquez sur créent et configurent le nom, les fonctionnalités usuelles et les attributs personnalisés selon la condition requise.
Les positionnements de commande de conofigure, naviguent vers des éléments de stratégie > l'autorisation et les autorisations > la gestion > la commande de périphérique place. Le clic créent et complètent les détails selon la condition requise.
Configurez le service d'accès sélectionné dans la règle de sélection de service selon la condition requise. Afin de configurer des règles de service d'accès, naviguez admin > identité de périphérique pour accéder à de stratégies > de services d'accès >Default où la mémoire d'identité qui doit être utilisée peut être sélectionnée pour l'authentification. Les règles d'autorisation peuvent être configurées en naviguant admin > autorisation de périphérique pour accéder à de stratégies > de services d'accès >Default.
Note: La configuration des stratégies d'autorisation et des profles de shell pour des appareils spécifiques peut varier et c'est hors de portée de ce document.
Employez cette section pour confirmer que la configuration fonctionne correctement.
La vérification peut être faite sur l'ISE et l'ACS. N'importe quelle erreur dans la configuration de l'ISE ou de l'ACS aura comme conséquence un échec d'authentification. ACS est le serveur primaire qui traitera l'authentification et les demandes d'autorisation, ISE porte la responsabilité à et du serveur ACS et agit en tant que proxy pour les demandes. Puisque le paquet traverse par les les deux les serveurs, la vérification de l'authentification ou de la demande d'autorisation peut être faite sur les les deux les serveurs.
Des périphériques de réseau ne sont configurés avec ISE comme serveur TACACS et pas ACS. Par conséquent la demande atteint ISE d'abord et basé sur les règles configurées, ISE décide si la demande doit être expédiée à un serveur externe. Ceci peut être vérifié dans le TACACS vivant ouvre une session l'ISE.
Afin de visualiser le vivant ouvre une session l'ISE, naviguent vers des exécutions > TACACS > vivent des logs. Des états vivants peuvent être vus à cette page et les détails d'une demande particulière peuvent être vérifiés en cliquant sur l'icône de loupe concernant cette demande spécifique qui est d'intérêt.
Afin de visualiser les états d'authentification sur l'ACS, naviguez vers la surveillance et les états > la surveillance de lancement et la visionneuse de rapports > la surveillance et les états > les états > le protocole AAA > l'authentification TACACS. Comme ISE, les détails d'une demande particulière peuvent être vérifiés en cliquant sur l'icône de loupe concernant cette demande spécifique qui est d'intérêt
Cette section fournit des informations que vous pouvez employer pour dépanner votre configuration
1. Si les détails de l'état sur ISE affichent le message d'erreur représenté sur la figure, alors elle indique un secret partagé non valide configuré sur l'ISE ou le périphérique de Netowrk (NAD).
2. S'il n'y a aucun état d'authentification pour une demande sur l'ISE mais l'accès est refusé à l'utilisateur final à un périphérique de réseau, ceci indique habituellement plusieurs choses.
3. Si les états peuvent être vus sur ISE mais pas sur l'ACS, il pourrait l'un ou l'autre de moyen que la demande n'a pas atteint l'ACS en raison d'une mauvaise configuration des positionnements de stratégie sur ISE qui peut être dépanné a basé sur le rapport détaillé sur ISE ou en raison d'un problème de réseau qui peut être identifié par une capture de paquet sur l'ACS.
4. Si les états sont vus sur ISE et l'ACS mais utilisateur est refusés toujours l'accès, alors c'est plus souvent une question dans la configuration de stratégies d'Access sur ACS qui peut être dépanné a basé sur le rapport détaillé sur l'ACS. En outre, on doit permettre le trafic de retour de l'ISE au périphérique de Netowork.