Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez le certificat ou l'authentification basée par carte à puce pour la gestion ISE

Options de téléchargement

  • PDF     (1.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.8 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:4 mars 2020
ID du document:215308
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer l'authentification basée sur certificat de client pour l'accès de Gestion du Cisco Identity Services Engine (ISE). Dans cet exemple, l'administrateur ISE authentifie contre le certificat utilisateur pour gagner l'accès d'admin au GUI de Gestion du Logiciel Cisco Identity Services Engine (ISE).

    Conditions préalables

    Exigences

    Cisco recommande d'avoir la connaissance de ces thèmes :

    • Configuration ISE pour le mot de passe et l'authentification de certificat.
    • Microsoft Active Directory (AD)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Version 2.6 du Logiciel Cisco Identity Services Engine (ISE)
    • Version 2 active du serveur 2008 de répertoire de Windows (AD)
    • Certificat

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si le réseau est vivant, veillez à comprendre l'impact potentiel de n'importe quelle configuration.


    Configurer

    Employez cette section pour configurer le certificat client ou le Smart Card comme identité externe pour l'accès administratif au GUI de Gestion de Cisco ISE.

    Diagramme du réseau

    Joignez ISE au Répertoire actif

    1. Choisissez la gestion > la Gestion de l'identité > les sources extérieures > le Répertoire actif d'identité.

    2. Créez un exemple de Répertoire actif avec joignent le nom de point et le domaine d'AD à Cisco ISE.

    3. Cliquez sur Submit.



    4. Joignez tous les Noeuds avec le nom d'utilisateur et mot de passe approprié dans la demande.



    5. Cliquez sur Save.

    Groupes choisis de répertoire

    1. Créez un groupe externe d'administrateur et tracez-le au groupe actif de répertoire.

    2. Choisissez la Gestion de >Identity de gestion > les sources extérieures > le Répertoire actif > les groupes d'identité > les groupes choisis à partir du répertoire.

    3. Récupérez au moins un groupe d'AD auquel l'administrateur appartient.



    4. Cliquez sur Save.

    Authentification basée sur mot de passe de Répertoire actif d'enable pour l'accès administratif

    1. Activez l'exemple actif de répertoire en tant que méthode d'authentification basée sur mot de passe qui a joint ISE plus tôt.

    2. Choisissez la gestion > le système > l'accès > l'authentification d'admin, suivant les indications de l'image.



    3. Cliquez sur Save.

    Remarque: La configuration basée sur mot de passe d'authentification est exigée pour activer l'authentification basée sur certificat. Cette configuration devrait être retournée après une configuration réussie de l'authentification basée sur certificat.

    Groupes externes d'identité de carte aux groupes d'admin

    Dans cet exemple, le groupe externe d'AD est tracé au groupe par défaut d'admin.

    1. Choisissez les groupes de >Admin de >Administrators d'Access de >Admin de >System de gestion > admin superbe.

    2. Vérifiez le type en tant qu'externe et sélectionnez le groupe d'AD sous les groupes externes.



    3. Cliquez sur Save.

    4. Choisissez la gestion > le système > l'admin Access > administrateurs > groupes d'admin > seulement admin lu.

    5. Vérifiez le type en tant qu'externe et sélectionnez le groupe d'AD sous les groupes externes, suivant les indications de l'image.



    6. Cliquez sur Save.

    Certificat de confiance d'importation

    1. Importez le certificat de Certificate authority(CA) qui signe le certificat client.

    2. Choisissez l'administrateur > le système > les Certificats > certificat de confiance > importation.

    3. Cliquez sur parcourent et choisissent le certificat de CA.

    4. Vérifiez la confiance pour l'authentification client et la case à cocher de Syslog, suivant les indications de l'image.



    5. Cliquez sur Submit.

    Configurez le profil d'authentification de certificat

    1. Afin de créer le profil d'authentification de certificat pour l'authentification basée sur certificat de client, choisissez la Gestion de >Identity de gestion > des sources extérieures d'identité > profil d'authentification de certificat > ajoutent.

    2. Ajoutez le nom de profil.

    3. Sélectionnez l'attribut approprié qui contient le nom d'utilisateur d'administrateur dans l'attribut de certificat.

    4. Si l'enregistrement d'AD pour l'utilisateur contient le certificat de l'utilisateur, et veut comparer le certificat qui est reçu du navigateur contre le certificat dans l'AD, vérifiez exécutent toujours la case à cocher binaire de comparaison, et sélectionnent le nom d'exemple de Répertoire actif qui a été spécifié plus tôt.



    5. Cliquez sur Submit.

    Remarque: Le même profil d'authentification de certificat peut être consommé pour l'authentification basée sur identité de point final également. 

    Authentification basée sur certificat de client d'enable

    1. Choisissez la gestion > le système > l'admin Access > le certificat client d'authentification > de méthode d'authentification basé.



    2. Cliquez sur OK.

    3. Choisissez le profil d'authentification de certificat qui est configuré plus tôt.

    4. Sélectionnez le nom d'exemple de Répertoire actif.



    5. Cliquez sur Save.

    6. Services ISE sur tous les Noeuds dans les reprises de déploiement.

    Vérifiez

    Vérifiez l'accès au GUI ISE après que l'état du service de serveur d'applications change à s'exécuter.

    Utilisateur superbe d'admin : Vérifiez que l'utilisateur est incité à choisir un certificat pour ouvrir une session au GUI ISE et est donné des privilèges superbes d'admin si le certificat est d'une pièce d'utilisateur du groupe externe d'identité d'admin superbe.

    Utilisateur en lecture seule d'admin : Vérifiez que l'utilisateur est incité à choisir un certificat pour ouvrir une session au GUI ISE et est donné des privilèges en lecture seule d'admin si le certificat est d'une pièce d'utilisateur de groupe externe d'identité d'admin en lecture seule.

    Remarque: Si la carte d'accès commune (CAC) est en service, la carte à puce présente le certificat utilisateur à ISE après que l'utilisateur entre dans leur broche superbe valide.

    Dépanner

    1. Utilisez la commande sûre d'ise de début d'application de mettre sur pied Cisco ISE dans un mode sécurisé qui laisse désactiver le contrôle d'accès temporairement à l'admin portail et corriger la configuration et redémarrer les services d'ISE avec l'ise d'arrêt d'application de commande suivi de l'ise de début d'application.
    2. L'option sûre fournit des moyens de reprise si un administrateur verrouille par distraction l'accès au portail d'admin de Cisco ISE pour tous les utilisateurs. Cet événement peut se produire si l'administrateur configurait une liste d'accès IP incorrecte dans la page de gestion > d'admin Access > de configurations > d'Access. L'option sûre également saute l'authentification basée sur certificat et retourne à l'authentification par défaut de nom d'utilisateur et mot de passe pour se connecter dans le portail d'admin de Cisco ISE.

    Contribution de

    • Aravind Ravichandran
      Services avancés de Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous