Introduction
Ce document décrit la configuration d'une liste de contrôle d'accès dynamique (dACL) par utilisateur pour les utilisateurs présents dans le magasin d'identité interne ISE ou un magasin d'identité externe.
Conditions préalables
Conditions requises
Cisco recommande que vous connaissiez la configuration des stratégies sur Identity Services Engine (ISE).
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Identity Services Engine 3.0
- Microsoft Windows Active Directory 2016
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
La liste de contrôle d'accès par utilisateur peut être configurée pour n'importe quel utilisateur du magasin interne à l'aide d'un attribut utilisateur personnalisé. Pour un utilisateur dans Active Directory (AD), tout attribut de type chaîne peut être utilisé pour obtenir le même résultat. Cette section fournit les informations requises pour configurer les attributs à la fois sur ISE et AD, ainsi que la configuration requise sur ISE pour que cette fonctionnalité fonctionne.
Configurer un nouvel attribut utilisateur personnalisé sur ISE
Accédez à Administration > Identity Management > Settings > User Custom Attributes. Cliquez sur le bouton +, comme illustré dans l'image, pour ajouter un nouvel attribut et enregistrer les modifications. Dans cet exemple, le nom de l'attribut personnalisé est ACL.

Configurer dACL
Afin de configurer des listes de contrôle d'accès téléchargeables, accédez à Policy > Policy Elements > Results > Authorization > Downloadable ACL. Cliquez sur Add. Indiquez un nom, un contenu de la liste de contrôle d’accès et enregistrez les modifications. Comme l'illustre l'image, le nom de la liste de contrôle d'accès est NotManyAccess.

Configurer un compte d'utilisateur interne avec l'attribut personnalisé
Accédez à Administration > Identity Management > Identities > Users > Add. Créez un utilisateur et configurez la valeur d'attribut personnalisé avec le nom de la liste de contrôle d'accès que l'utilisateur doit obtenir lorsqu'il est autorisé. Dans cet exemple, le nom de la liste de contrôle d'accès est NotManyAccess.

Configurer un compte d'utilisateur AD
Dans Active Directory, accédez aux propriétés du compte d'utilisateur, puis à l'onglet Éditeur d'attributs. Comme l'illustre l'image, aCSPolicyName est l'attribut utilisé pour spécifier le nom dACL. Cependant, comme mentionné précédemment, tout attribut qui peut accepter une valeur de chaîne peut également être utilisé.

Importer l'attribut d'AD vers ISE
Pour utiliser l'attribut configuré sur AD, ISE doit l'importer. Pour importer l'attribut, accédez à Administration > Identity Management > External Identity Sources > Active Directory > [Join point configure] > Attributes tab. Cliquez sur Ajouter, puis sélectionnez Attributs dans le répertoire. Fournissez le nom du compte d'utilisateur dans la zone AD, puis cliquez sur Récupérer les attributs. Sélectionnez l'attribut configuré pour la liste de contrôle d'accès, cliquez sur OK, puis sur Enregistrer. Comme l'illustre l'image, aCSPolicyName est l'attribut.


Configurer les profils d'autorisation pour les utilisateurs internes et externes
Afin de configurer les profils d'autorisation, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles. Cliquez sur Add. Fournissez un nom et choisissez le nom dACL InternalUser:<nom de l'attribut personnalisé créé> pour l'utilisateur interne. Comme l'illustre l'image, pour l'utilisateur interne, le profil InternalUserAttributeTest est configuré avec la liste de contrôle d'accès configurée en tant que InternalUser:ACL.

Pour l'utilisateur externe, utilisez <Nom du point de jointure>:<attribut configuré sur AD> comme nom de liste de contrôle d'accès. Dans cet exemple, le profil ExternalUserAttributeTest est configuré avec la dACL configurée en tant que RiniAD : aCSPolicyName où RiniAD est le nom du point de jointure.

Configurer les stratégies d'autorisation
Les stratégies d'autorisation peuvent être configurées dans Policy > Policy Sets en fonction des groupes dans lesquels l'utilisateur externe est présent sur la AD et également en fonction du nom d'utilisateur dans la banque d'identités interne ISE. Dans cet exemple, testuserexternal est un utilisateur présent dans le groupe rinsantr.lab/Users/Test Group et testuserinternal est un utilisateur présent dans le magasin d'identités interne ISE.

Vérification
Utilisez cette section pour vérifier si la configuration fonctionne.
Vérifiez les journaux en direct RADIUS pour vérifier les authentifications utilisateur.
Utilisateur interne :

Utilisateur externe :

Cliquez sur l'icône en forme de loupe sur les authentifications réussies des utilisateurs pour vérifier si les demandes atteignent les stratégies correctes dans la section Vue d'ensemble des journaux en direct détaillés.
Utilisateur interne :

Utilisateur externe :

Consultez la section Autres attributs des journaux en direct détaillés pour vérifier si les attributs utilisateur ont été récupérés.
Utilisateur interne :

Utilisateur externe :

Vérifiez la section Résultat des journaux en direct détaillés pour vérifier si l'attribut dACL est envoyé dans le cadre d'Access-Accept.

Vérifiez également les journaux en direct RADIUS pour vérifier si la dACL est téléchargée après l'authentification de l'utilisateur.

Cliquez sur l'icône en forme de loupe du journal de téléchargement de la liste de contrôle dACL et vérifiez la section Vue d'ensemble pour confirmer le téléchargement de la liste de contrôle dACL.

Consultez la section Résultat de ce rapport détaillé pour vérifier le contenu de la liste de contrôle d’accès.

Dépannage
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.