Externe RADIUS-verificatie configureren op DNA Center en ISE 3.1
Inleiding
In dit document wordt beschreven hoe u RADIUS External Authentication configureert in het Cisco DNA Center met een Cisco ISE-server waarop versie 3.1 wordt uitgevoerd.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco DNA Center en Cisco ISE zijn al geïntegreerd en de integratie is op Active Status.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco DNA Center 2.3.5.x release.
- Cisco ISE 3.1-release.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Stap 1. Meld u aan bij de Cisco DNA Center GUI en navigeer Verificatie- en beleidsservers.
Controleer of het RADIUS-protocol is geconfigureerd en of de ISE-status actief is voor de ISE Type-server.
Opmerking: RADIUS_TACACS-protocoltype werkt voor dit document.
Waarschuwing: Als de ISE-server niet actief is, moet u eerst de integratie herstellen.
Stap 2. Navigeer op ISE Server naar Beheer > Netwerkbronnen > Netwerkapparaten, klik op het pictogram Filter, schrijf het IP-adres van Cisco DNA Center en bevestig of er een vermelding bestaat. Als dit het geval is, gaat u verder met stap 3.
Als het item ontbreekt, moet u het bericht Geen gegevens beschikbaar zien.
In dit geval moet u een netwerkapparaat maken voor Cisco DNA Center, dus klik op de knop Toevoegen.
Configureer de naam, beschrijving en IP-adres (of adressen) vanuit Cisco DNA Center. Alle andere instellingen zijn ingesteld op Standaardwaarden en zijn niet nodig voor dit document.
Blader omlaag en schakel de RADIUS-verificatieinstellingen in door op het selectievakje te klikken en een gedeeld geheim te configureren.
Tip: dit gedeelde geheim is later nodig, dus sla het ergens anders op.
Klik vervolgens op Indienen.
Stap 3. Navigeer op ISE Server naar Beleid > Beleidselementen > Resultaten, om het Autorisatieprofiel te maken.
Zorg ervoor dat u onder Autorisatie > Autorisatieprofielen staat en selecteer vervolgens de optie Toevoegen.
Configureer de naam, voeg een beschrijving toe om het nieuwe profiel bij te houden en zorg ervoor dat het toegangstype is ingesteld op ACCES_ACCEPT.
Scroll naar beneden en configureer de instellingen voor Geavanceerde kenmerken.
Zoek in de linkerkolom naar de optie cisco-av-pair en selecteer deze.
Typ in de rechter kolom handmatig role=super-admin-role.
Zodra het lijkt op de onderstaande afbeelding, klikt u op Indienen.
Stap 4. Navigeer op ISE Server naar Werkcentra > Profiler > Beleidsreeksen, om het verificatie- en autorisatiebeleid te configureren.
Identificeer het standaardbeleid en klik op de blauwe pijl om het te configureren.
Vouw in de standaardbeleidsset het verificatiebeleid uit en vouw onder de standaardsectie de opties uit en zorg ervoor dat deze overeenkomen met de onderstaande configuratie.
Tip: AFWIJZEN geconfigureerd op de 3 opties werkt ook
Vouw in de standaardbeleidsset het machtigingsbeleid uit en selecteer het pictogram Toevoegen om een nieuwe machtigingsvoorwaarde te maken.
Configureer een regelnaam en klik op het pictogram Toevoegen om de voorwaarde te configureren.
Als onderdeel van de voorwaarde, koppelt u deze aan het IP-adres van het netwerkapparaat dat is geconfigureerd in stap 2.
Klik op Opslaan.
Sla het op als een nieuwe bibliotheekvoorwaarde en noem het zoals u wilt, in dit geval wordt het genoemd alsDNACbibliotheek.
Configureer ten slotte het profiel dat u bij stap 3 hebt gemaakt.
Klik op Opslaan.
Stap 5. Meld u aan bij de Cisco DNA Center GUI en navigeer Externe verificatie.
Klik op de optie Externe gebruiker inschakelen en stel het AAA-kenmerk in als Cisco-AVPair.
Opmerking: ISE Server gebruikt het kenmerk Cisco-AVPair op de back-end, zodat de configuratie in stap 3 geldig is.
Scroll naar beneden om het gedeelte AAA Server(s) configuratie te zien. Configureer het IP-adres van ISE Server in stap 1 en het gedeelde geheim in stap 3.
Klik vervolgens op Geavanceerde instellingen bekijken.
Controleer of de optie RADIUS is geselecteerd en klik op de knop Bijwerken op beide servers.
Je moet voor elk een succesboodschap zien.
Nu kunt u zich aanmelden met elke ISE-identiteit die is gemaakt onder het menu ISE > Beheer > Identiteitsbeheer > Identiteiten > Gebruikers.
In het geval dat u geen account hebt gemaakt, meldt u zich aan bij ISE, navigeert u naar het bovenstaande pad en voegt u een nieuwe gebruiker voor netwerktoegang toe.
Verifiëren
Laad de Cisco DNA Center GUI en log in met een gebruiker van ISE identiteiten.
Inloggen bij DNA-centrum
Opmerking: elke gebruiker op ISE-identiteiten kan nu inloggen. U kunt meer granulariteit toevoegen aan de verificatieregels op ISE Server.
Nadat de aanmelding is voltooid, wordt de gebruikersnaam weergegeven op de Cisco DNA Center GUI
Welkomstscherm
Meer rollen
U kunt deze stappen herhalen voor elke rol op Cisco DNA Center, zoals standaard hebben we: SUPER-ADMIN-ROL, NETWORK-ADMIN-ROL en OBSERVER-ROL.
In dit document gebruiken we het voorbeeld SUPER-ADMIN-ROL, maar u kunt één Autorisatieprofiel op ISE configureren voor elke rol in Cisco DNA Center. De enige overweging is dat de rol die is geconfigureerd in stap 3 exact (hoofdlettergevoelig) moet overeenkomen met de naam van de rol in Cisco DNA Center.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
20-Jun-2024
|
Probleem met attributen oplossen en een stap toevoegen om een gebruiker te maken |
2.0 |
16-Nov-2023
|
Eerste vrijgave |
1.0 |
28-Jul-2023
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)