Guest

Configurez les listes de contrôle d'accès dynamiques de Par-utilisateur dans ISE

Options de téléchargement

  • PDF     (1.1 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (761.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 novembre 2017
ID du document:212419
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

     Ce document décrit la configuration d'une liste de contrôle d'accès dynamique de par-utilisateur (dACL) pour des utilisateurs présents dans la mémoire interne d'identité ou une mémoire externe d'identité. 

    Conditions préalables

    Conditions requises

    Cisco recommande que vous ayez la connaissance de la configuration de politique sur le Cisco Identity Services Engine (ISE).

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    •  Version 2.2 de Cisco Identity Services Engine
    •  Répertoire actif 2012 R2 de Microsoft Windows 

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.

    Configurez

    le dACL de Par-utilisateur peut être configuré pour n'importe quel utilisateur dans la mémoire interne utilisant un attribut fait sur commande d'utilisateur. Pour un utilisateur dans le Répertoire actif (AD), n'importe quel attribut de chaîne de type peut être utilisé pour réaliser la même chose. Cette section fournit les informations requises à configuré pour configurer les attributs sur l'ISE et l'AD avec la configuration exigée sur l'ISE pour que cette caractéristique fonctionne. 

    Configurez un nouvel attribut fait sur commande d'utilisateur sur ISE

    Naviguez vers la gestion > la Gestion de l'identité > les configurations > les attributs personnalisés d'utilisateur. Cliquez sur le vert + bouton, suivant les indications de l'image, pour ajouter un nouvel attribut et pour sauvegarder les modifications. Dans cet exemple, le nom de l'attribut personnalisé est ACL.

    Configurez le dACL


    Afin de configurer ACLs téléchargeable, naviguez vers la stratégie > les éléments > les résultats > l'autorisation de stratégie > ACLs téléchargeable. Cliquez sur Add. Fournissez un nom, contenu du dACL et sauvegardez les modifications. Suivant les indications de l'image, le nom du dACL est NotMuchAccess

    Configurez un compte d'utilisateur interne avec l'attribut personnalisé

    Naviguez vers la gestion > la Gestion de l'identité > les identités > ajoutent. Créez un utilisateur et configurez la valeur d'attribut personnalisé avec le nom du dACL ce les besoins de l'utilisateur d'obtenir une fois autorisé. Dans cet exemple, le nom du dACL est NotMuchAccess

      

    Configurez un compte utilisateur d'AD 

    Sur le Répertoire actif, naviguez vers les propriétés de compte utilisateur et puis en fonction vers l'éditeur d'attribut. Suivant les indications de l'image, l'aCSPolicyName est l'attribut utilisé pour spécifier le nom de dACL. Cependant, comme cité précédemment, n'importe quel attribut qui peut recevoir une valeur de chaîne peut être aussi bien utilisé.

    Importez l'attribut de l'AD à ISE 

    Pour utiliser l'attribut configuré sur l'AD, ISE doit l'importer. Afin d'importer l'attribut, naviguez vers la gestion > la Gestion de l'identité > les sources extérieures > le Répertoire actif d'identité > [joignez le point configuré] > des attributs. Cliquez sur Add et puis sélectionnez les attributs à partir du répertoire. Fournissez le nom de compte utilisateur sur l'AD et puis cliquez sur récupèrent des attributs. Sélectionnez l'attribut configuré pour le dACL, cliquez sur OK et puis cliquez sur la sauvegarde. Suivant les indications de l'image, l'aCSPolicyName est l'attribut.

    Configurez les profils d'autorisation pour interne et des utilisateurs externes

    Afin de configurer des profils d'autorisation, naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation. Cliquez sur Add. Fournissez un nom et choisissez le nom de dACL comme IntenalUser : <name de created> d'attribut personnalisé pour l'utilisateur interne. Suivant les indications de l'image, pour l'utilisateur interne, le profil InternalUserAttributeTest est configuré avec le dACL configuré comme InternalUser : ACL.

    Pour l'utilisateur externe, name> de point de <Join d'utilisation : <attribute configuré sur AD> comme nom de dACL. Dans cet exemple, le profil ExternalUserAttributeTest est configuré avec le dACL configuré en tant que TEST : aCSPolicyName où le TEST est le nom de point de joindre.

      

    Configurez les stratégies d'autorisation

    Des stratégies d'autorisation peuvent être configurées à la stratégie > à l'autorisation basées sur les groupes dans lesquels l'utilisateur externe est présent sur l'AD et également basées sur le nom d'utilisateur dans la mémoire interne d'identité. Dans cet exemple, le testuserexternal est un utilisateur présent dans le groupe gce.iselab.local /Builtin/Users et le testuserinternal est un utilisateur présent dans la mémoire interne d'identité.

    Vérifiez

    Employez cette section pour vérifier si la configuration fonctionne.

    Vérifiez les livelogs pour vérifier les authentifications de l'utilisateur.

      

    Cliquez sur l'icône de loupe sur les authentifications de l'utilisateur suceesful pour vérifier si frappé les stratégies correctes dans la vue d'ensemble de l'état.

    Vérifiez l'autre section d'attributs des livelogs pour vérifier si les attributs d'utilisateur ont été récupérés.

    Vérifiez la section de résultat pour vérifier si l'attribut de dACL est envoyé comme partie Access-Recevoir.

    Vérifiez le Livelogs pour vérifier si le dACL est téléchargé après l'authentification de l'utilisateur.

    Cliquez sur l'icône de loupe sur le log suceesful de téléchargement de dACL et vérifiez la vue d'ensemble pour confirmer le téléchargement de dACL.

      

    Vérifiez la section de résultat de l'état pour vérifier le contenu du dACL.

    Dépannez

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    TAC Authored

    Contribution d’experts de Cisco

    • Surendra Reddy
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Laissez-nous vous aider

    Discussions connexes de communautés d’assistance

    Ce document s’applique à ces produits