Vous avez un compte ?
  •   Contenu personnalisé
  •   Vos produits et votre assistance

Besoin d'un compte ?

Créer un compte

Configurez les listes de contrôle d'accès dynamiques de Par-utilisateur dans ISE

Download Options

  • PDF     (1.1 MB)
    View with Adobe Reader on a variety of devices
  • ePub     (1.2 MB)
    View in various apps on iPhone, iPad, Android, Sony Reader, or Windows Phone
  • Mobi (Kindle)     (761.1 KB)
    View on Kindle device or Kindle app on multiple devices
Mise à jour:6 novembre 2017
Document ID:212419
About Translation

About This Translation

Cisco has translated this document using a combination of machine and human technologies to offer our users around the world Support content in their own language.Please note that even the best machine translation will not be as accurate as that provided by a professional translator.Cisco Systems, Inc. assumes no liability for the accuracy of these translations and recommends that the original English document (link provided) is always consulted.

    Introduction

     Ce document décrit la configuration d'une liste de contrôle d'accès dynamique de par-utilisateur (dACL) pour des utilisateurs présents dans la mémoire interne d'identité ou une mémoire externe d'identité. 

    Conditions préalables

    Conditions requises

    Cisco recommande que vous ayez la connaissance de la configuration de politique sur le Cisco Identity Services Engine (ISE).

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    •  Version 2.2 de Cisco Identity Services Engine
    •  Répertoire actif 2012 R2 de Microsoft Windows 

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.

    Configurez

    le dACL de Par-utilisateur peut être configuré pour n'importe quel utilisateur dans la mémoire interne utilisant un attribut fait sur commande d'utilisateur. Pour un utilisateur dans le Répertoire actif (AD), n'importe quel attribut de chaîne de type peut être utilisé pour réaliser la même chose. Cette section fournit les informations requises à configuré pour configurer les attributs sur l'ISE et l'AD avec la configuration exigée sur l'ISE pour que cette caractéristique fonctionne. 

    Configurez un nouvel attribut fait sur commande d'utilisateur sur ISE

    Naviguez vers la gestion > la Gestion de l'identité > les configurations > les attributs personnalisés d'utilisateur. Cliquez sur le vert + bouton, suivant les indications de l'image, pour ajouter un nouvel attribut et pour sauvegarder les modifications. Dans cet exemple, le nom de l'attribut personnalisé est ACL.

    Configurez le dACL


    Afin de configurer ACLs téléchargeable, naviguez vers la stratégie > les éléments > les résultats > l'autorisation de stratégie > ACLs téléchargeable. Cliquez sur Add. Fournissez un nom, contenu du dACL et sauvegardez les modifications. Suivant les indications de l'image, le nom du dACL est NotMuchAccess

    Configurez un compte d'utilisateur interne avec l'attribut personnalisé

    Naviguez vers la gestion > la Gestion de l'identité > les identités > ajoutent. Créez un utilisateur et configurez la valeur d'attribut personnalisé avec le nom du dACL ce les besoins de l'utilisateur d'obtenir une fois autorisé. Dans cet exemple, le nom du dACL est NotMuchAccess

      

    Configurez un compte utilisateur d'AD 

    Sur le Répertoire actif, naviguez vers les propriétés de compte utilisateur et puis en fonction vers l'éditeur d'attribut. Suivant les indications de l'image, l'aCSPolicyName est l'attribut utilisé pour spécifier le nom de dACL. Cependant, comme cité précédemment, n'importe quel attribut qui peut recevoir une valeur de chaîne peut être aussi bien utilisé.

    Importez l'attribut de l'AD à ISE 

    Pour utiliser l'attribut configuré sur l'AD, ISE doit l'importer. Afin d'importer l'attribut, naviguez vers la gestion > la Gestion de l'identité > les sources extérieures > le Répertoire actif d'identité > [joignez le point configuré] > des attributs. Cliquez sur Add et puis sélectionnez les attributs à partir du répertoire. Fournissez le nom de compte utilisateur sur l'AD et puis cliquez sur récupèrent des attributs. Sélectionnez l'attribut configuré pour le dACL, cliquez sur OK et puis cliquez sur la sauvegarde. Suivant les indications de l'image, l'aCSPolicyName est l'attribut.

    Configurez les profils d'autorisation pour interne et des utilisateurs externes

    Afin de configurer des profils d'autorisation, naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation. Cliquez sur Add. Fournissez un nom et choisissez le nom de dACL comme IntenalUser : <name de created> d'attribut personnalisé pour l'utilisateur interne. Suivant les indications de l'image, pour l'utilisateur interne, le profil InternalUserAttributeTest est configuré avec le dACL configuré comme InternalUser : ACL.

    Pour l'utilisateur externe, name> de point de <Join d'utilisation : <attribute configuré sur AD> comme nom de dACL. Dans cet exemple, le profil ExternalUserAttributeTest est configuré avec le dACL configuré en tant que TEST : aCSPolicyName où le TEST est le nom de point de joindre.

      

    Configurez les stratégies d'autorisation

    Des stratégies d'autorisation peuvent être configurées à la stratégie > à l'autorisation basées sur les groupes dans lesquels l'utilisateur externe est présent sur l'AD et également basées sur le nom d'utilisateur dans la mémoire interne d'identité. Dans cet exemple, le testuserexternal est un utilisateur présent dans le groupe gce.iselab.local /Builtin/Users et le testuserinternal est un utilisateur présent dans la mémoire interne d'identité.

    Vérifiez

    Employez cette section pour vérifier si la configuration fonctionne.

    Vérifiez les livelogs pour vérifier les authentifications de l'utilisateur.

      

    Cliquez sur l'icône de loupe sur les authentifications de l'utilisateur suceesful pour vérifier si frappé les stratégies correctes dans la vue d'ensemble de l'état.

    Vérifiez l'autre section d'attributs des livelogs pour vérifier si les attributs d'utilisateur ont été récupérés.

    Vérifiez la section de résultat pour vérifier si l'attribut de dACL est envoyé comme partie Access-Recevoir.

    Vérifiez le Livelogs pour vérifier si le dACL est téléchargé après l'authentification de l'utilisateur.

    Cliquez sur l'icône de loupe sur le log suceesful de téléchargement de dACL et vérifiez la vue d'ensemble pour confirmer le téléchargement de dACL.

      

    Vérifiez la section de résultat de l'état pour vérifier le contenu du dACL.

    Dépannez

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    TAC Authored

    Contributed by Cisco Engineers

    • Surendra Reddy
      Ingénieur TAC Cisco

    Was this Document Helpful?

    FeedbackCommentaires

    Avez-vous besoin d'aide ?

    Related Support Community Discussions

    This Document Applies to These Products

    À PROPOS DE NOUS
    COMMUNIQUER AVEC NOUS
    TRAVAILLER AVEC NOUS