はじめに
このドキュメントでは、3.1リリースを実行するCisco ISEサーバを使用して、Cisco DNA CenterでRADIUS外部認証を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco DNA CenterとCisco ISEはすでに統合されており、統合はアクティブステータスになっています。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco DNA Center 2.3.5.xリリース
- Cisco ISE 3.1リリース。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ステップ 1: Cisco DNA CenterのGUIにログインし、 > > の順に選択します。
RADIUSプロトコルが設定されており、ISE TypeサーバのISEステータスがActiveであることを確認します。
注:このドキュメントでは、RADIUS_TACACSプロトコルタイプが機能します。
警告:ISEサーバがアクティブステータスでない場合は、最初に統合を修正する必要があります。
ステップ 2:ISEサーバで、Administration > Network Resources > Network Devicesの順に移動し、Filterアイコンをクリックして、Cisco DNA Center IP Addressと入力し、エントリが存在するかどうかを確認します。存在する場合は、ステップ3に進みます。
エントリが見つからない場合は、「No data available」というメッセージが表示されます。
この場合、Cisco DNA Center用のネットワークデバイスを作成する必要があるため、Addボタンをクリックします。
Cisco DNA Centerから名前、説明、およびIPアドレス(またはアドレス)を設定します。その他の設定はすべてデフォルト値に設定され、このドキュメントの目的では必要ありません。
下にスクロールし、RADIUS Authentication Settingsのチェックボックスをクリックして有効にし、共有秘密を設定します。
ヒント:この共有秘密は後で必要になるので、他の場所に保存してください。
その後で、Submitをクリックします。
ステップ 3:ISEサーバで、Policy > Policy Elements > Resultsの順に移動し、認証プロファイルを作成します。
Authorization > Authorization Profilesの順に選択し、Addオプションを選択します。
Nameを設定し、Descriptionを追加して新しいプロファイルの記録を保存し、Access TypeがACCES_ACCEPTに設定されていることを確認します。
下にスクロールして、Advanced Attributes Settingsを設定します。
左側の列でcisco-av-pairオプションを検索して選択します。
右側の列の手動でRole=SUPER-ADMIN-ROLEと入力します。
次の図のように表示されたら、Submitをクリックします。
ステップ 4:ISEサーバで、Work Centers > Profiler > Policy Setsの順に移動し、認証および認可ポリシーを設定します。
Defaultポリシーを特定し、青い矢印をクリックして設定します。
Default Policy Set内でAuthentication Policyを展開し、Defaultセクションの下でOptionsを展開して、これらが次の設定に一致していることを確認します。
ヒント:3つのオプションで設定されたREJECTも機能します
Default Policy Set内で、Authorization Policyを展開し、Addアイコンを選択して、新しいAuthorization Conditionを作成します。
Rule Nameを設定し、AddアイコンをクリックしてConditionを設定します。
条件の一部として、ステップ2で設定したネットワークデバイスのIPアドレスに関連付けます。
[Save] をクリックします。
新しいLibrary Conditionとして保存し、必要に応じて名前を付けます。この場合は、という名前になります DNAC
を参照。
最後に、ステップ3で作成したプロファイルを設定します。
[Save] をクリックします。
ステップ 5: Cisco DNA CenterのGUIにログインし、System > > の順に選択します。
Enable External Userオプションをクリックして、AAA AttributeをCisco-AVPairに設定します。
注:ISEサーバはバックエンドで属性Cisco-AVPairを使用するため、ステップ3の設定は有効です。
下にスクロールして、「AAAサーバ」設定セクションを表示します。手順1でISEサーバからIPアドレスを設定し、手順3で共有秘密を設定します。
次に、View Advanced Settingsをクリックします。
RADIUSオプションが選択されていることを確認し、両方のサーバでUpdateボタンをクリックします。
それぞれに成功メッセージが表示される必要があります。
確認
Cisco DNA Center GUIのロード ISE IDからユーザでログインします。
DNA Centerログイン
注:ISE IDの任意のユーザがログインできるようになりました。ISEサーバの認証ルールをより細かく設定できます。
ログインが成功すると、Cisco DNA CenterのGUIにユーザ名が表示されます
ウェルカム画面
その他のロール
Cisco DNA Centerのすべてのロールに対して、デフォルトでSUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE、およびOBSERVER-ROLEの手順を繰り返すことができます。
このドキュメントでは、SUPER-ADMIN-ROLEロールの例を使用しますが、Cisco DNA Centerのすべてのロールに対してISEで1つの認可プロファイルを設定できます。唯一の考慮事項は、ステップ3で設定したロールがCisco DNA Centerのロール名と正確に(大文字と小文字を区別して)一致する必要があることです。