RADIUS-externe verificatie op DNA-centrum en ISE 3.1 configureren

Bijgewerkt:16 november 2023
Document-id:220666

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u RADIUS externe verificatie kunt configureren op Cisco DNA Center met behulp van een Cisco ISE-server waarop 3.1 release wordt uitgevoerd. 

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco DNA Center en Cisco ISE zijn al geïntegreerd en de integratie bevindt zich op Active Status. 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco DNA Center 2.3.5.x release.
    • Cisco ISE 3.1 release.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Stap 1. Log in op de Cisco DNA Center GUI en navigeer naar Systeem > Instellingen > Verificatie- en beleidsservers.

    Controleer of het RADIUS-protocol is geconfigureerd en of de ISE-status actief is voor de ISE Type-server

    Authentication & Policy Servers 1

    note-icon

    Opmerking: het protocoltype RADIUS_TACACS werkt voor dit document.

    warning-icon

    Waarschuwing: als de ISE-server niet actief is, moet u eerst de integratie oplossen.

    Stap 2. Op ISE-server navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten, klik op het pictogram Filter, schrijf het IP-adres van Cisco DNA Center en bevestig als een ingang bestaat. Als dit het geval is, gaat u verder naar Stap 3.

    Als het bericht ontbreekt, moet u het bericht Geen gegevens beschikbaar zien.

    Network Devices 1

    In dit geval moet u een netwerkapparaat maken voor Cisco DNA Center, dus klik op de knop Toevoegen.   

    Network Devices 2

    Configureer de naam, beschrijving en IP-adres (of adressen) vanuit Cisco DNA Center. Alle andere instellingen zijn ingesteld op standaardwaarden en zijn niet nodig voor het doel van dit document. 

    Network Device Group

    Scroll naar beneden en schakel de RADIUS-verificatie-instellingen in door op het aankruisvakje te klikken en een gedeeld geheim te configureren. 

    RADIUS Authentication Settings

    tip-icon

    Tip: dit gedeelde geheim is later nodig, dus sla het ergens anders op.

    Klik vervolgens op Verzenden

    Stap 3. Op ISE Server navigeer naar Policy > Policy Elements > Results, om het autorisatieprofiel te maken.

    Zorg ervoor dat u onder Autorisatie > Autorisatieprofielen staat en selecteer vervolgens de optie Toevoegen

    Authentication & Policy Servers 2

    Naam configureren, een beschrijving toevoegen alleen om een record van het nieuwe profiel bij te houden en ervoor te zorgen dat het toegangstype is ingesteld op ACCES_ACCEPTEREN.

    Select Option

    Blader naar beneden en configureer de geavanceerde instellingen voor kenmerken.

    Zoek in de linkerkolom naar de optie Cisco-av-paar en selecteer deze optie.

    Typ in de rechterkolom handmatig het type Role=SUPER-ADMIN-ROL. 

    Klik op Verzenden zodra de afbeelding hieronder lijkt.

    Configure A&A Policy

    Stap 4. Ga op ISE-server naar Workcenters > Profiler > Policy Sets, om het verificatie- en autorisatiebeleid te configureren.

    Identificeer het Standaardbeleid en klik op de blauwe pijl om het te configureren.

    Review Options

    Vouw in de Default Policy Set het verificatiebeleid uit en vouw onder de sectie Default de opties uit en zorg ervoor dat deze overeenkomen met de onderstaande configuratie. 

    Default Policy Sets

    tip-icon

    Tip: REJECT geconfigureerd op de 3 opties werkt ook

    In de Default Policy Set vouwt u het autorisatiebeleid uit en selecteert u het pictogram Add om een nieuwe autorisatievoorwaarde te maken. 

    Configure Rule Name

    Configureer een regelnaam en klik op het pictogram Add om de Conditie te configureren.

    Conditions

    Als deel van de voorwaarde, associeer het met het IP-adres van het netwerkapparaat dat in stap 2 is geconfigureerd.

    Library Condition

    Klik op Opslaan. 

    Sla het op als een nieuwe bibliotheekvoorwaarde, en noem het zoals u wilt, in deze case wordt het genoemd als DNAC.

    Create Policy from Step 3

    Configureer tot slot het profiel dat bij stap 3 is gemaakt.

    External Authenticatio

    Klik op Opslaan.

    Stap 5. Log in op de Cisco DNA Center GUI en navigeer naar Systeem > Gebruikers en rollen > Externe verificatie.

    Klik op de optie Externe gebruiker inschakelen en stel het AAA-kenmerk in als Cisco-AVPair.

    AAA Servers

    note-icon

    Opmerking: ISE Server gebruikt het kenmerk Cisco-AVPair op de backend, dus de configuratie op Stap 3 is geldig.

    Blader omlaag om de configuratiesectie van de AAA-server(s) te zien. Configureer het IP-adres vanaf ISE-server in stap 1 en stel het gedeelde geheim in als configuratie in stap 3.

    Klik vervolgens op Geavanceerde instellingen bekijken. 

    Verify RADIUS Option

    Controleer of de RADIUS-optie is geselecteerd en klik op de knop Bijwerken op beide servers.

    Selection

    U moet een Success-bericht zien voor elke sessie. 

    Success Messages

    Verifiëren

    De Cisco DNA Center GUI laden en Log in met een gebruiker van ISE-identiteiten. 

    DNA Center Log InDNA Center inloggen

    note-icon

    Opmerking: elke gebruiker van ISE-identiteiten kan nu inloggen. U kunt meer granulariteit toevoegen aan de verificatieregels op ISE-server.

    Nadat het inloggen is geslaagd, wordt de gebruikersnaam weergegeven op de Cisco DNA Center GUI

    Welcome ScreenWelkomstscherm

    Meer rollen  

    U kunt deze stappen voor elke rol op Cisco DNA Center herhalen, standaard hebben we: SUPER-ADMIN-ROL, NETWORK-ADMIN-ROL en OBSERVER-ROL.

    More Roles

    In dit document gebruiken we het voorbeeld SUPER-ADMIN-ROL, maar u kunt één autorisatieprofiel op ISE configureren voor elke rol in Cisco DNA Center. De enige overweging is dat de rol die op Stap 3 is geconfigureerd exact (hoofdlettergevoelig) moet overeenkomen met de Rol naam op Cisco DNA Center. 

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    16-Nov-2023
    Eerste vrijgave
    1.0
    28-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Diego Granados
      Technisch leider bij klantlevering
    • Fernando Santillan
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten