Inleiding
Dit document beschrijft hoe u op Radius en TACACS gebaseerde gebruikersverificatie en -autorisatie voor vEdge en controllers met Identity Services Engine (ISE) kunt configureren.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Voor de demonstratie werd ISE versie 2.6 gebruikt. vEdge-cloud en controllers die lopen 19.2.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configureren
De Viptela-software biedt drie vaste gebruikersgroepnamen: basis, netadmin en operator. U moet de gebruiker aan ten minste één groep toewijzen. De standaardgebruiker TACACS/Straal wordt automatisch in de basisgroep geplaatst.
Radius-gebaseerde gebruikersverificatie en -autorisatie voor vEdge en controllers
Stap 1. Maak een Straalwoordenboek van Viptela voor ISE. U maakt daarom een tekstbestand met de inhoud:
# -*- text -*-
#
# dictionary.viptela
#
#
# Version: $Id$
#
VENDOR Viptela 41916
BEGIN-VENDOR Viptela
ATTRIBUTE Viptela-Group-Name 1 string
Stap 2. Upload woordenboek op ISE. navigeren in dit geval naar Beleidselementen > Beleidselementen > Woordenboeken. In de lijst met woordenboeken navigeren we nu naar Straal > Straal verkopers en vervolgens klikt u op Importeren, zoals in de afbeelding.
Upload nu het bestand dat u op stap 1 hebt gemaakt.
Stap 3. Maak een vergunningsprofiel. In deze stap wijst het Radius autorisatieprofiel bijvoorbeeld het niveau van de netadmin-bevoorrechte rechten toe aan een geauthentiseerde gebruiker. Blader hiervoor naar Beleidselementen > Gegevens over autorisatie en specificeer twee geavanceerde eigenschappen zoals in de afbeelding.
Stap 4. Afhankelijk van uw eigenlijke instellingen kan uw beleidsset er anders uitzien. Ten behoeve van de demonstratie in dit artikel wordt het beleidsonderdeel Terminaltoegang gecreëerd zoals in de afbeelding.
Klik op > en het volgende scherm verschijnt zoals in de afbeelding.
Dit beleid komt overeen op basis van gebruikersgroep lab_admin en wijst een autorisatieprofiel toe dat in Stap 3 werd gemaakt.
Stap 5. Defineer NAS (vEdge-router of controller) zoals in de afbeelding.
Stap 6. Configureer vEdge/controller.
system
aaa
auth-order radius local
radius
server 10.48.87.210
vpn 512
key cisco
exit
!
!
Stap 7. Verificatie. Meld u aan bij vEdge en controleer of er een netwerkbeheergroep is toegewezen aan de externe gebruiker.
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
Op TACACS gebaseerde gebruikersverificatie en -autorisatie voor vEdge en controllers
Stap 1. Maak een TACACS-profiel. In deze stap wordt het TACACS-profiel dat is gemaakt, bijvoorbeeld een netadmin-voorkeursniveau toegewezen aan een geauthentiseerde gebruiker.
- Selecteer Verplicht uit het gedeelte Aangepaste eigenschap om de eigenschap toe te voegen als:
Type |
Name |
Waarde |
Verplicht |
Viptela-groepsnaam |
netbeheerder |
Stap 2. Maak een apparaatgroep voor SD-WAN.
Stap 3. Configureer het apparaat en verdeel het aan het SD-WAN apparaatgroep:
Stap 4. Bepaal het beleid voor apparaatbeheer.
Afhankelijk van uw eigenlijke instelling kan uw beleidsset er anders uitzien. Met het oog op de demonstratie in dit document wordt het beleid opgericht.
Klik op > en het volgende scherm verschijnt zoals in deze afbeelding. Dit beleid past op apparaat type aan dat SD-WAN heet en wijst het Shell profiel toe dat in stap 1 wordt gemaakt.
Stap 5. Configuratie vEdge:
system
aaa
auth-order tacacs local
!
tacacs
server 10.48.87.210
vpn 512
key cisco
exit
!
!
Stap 6. Verificatie. Meld u aan bij vEdge en controleer of er een netwerkbeheergroep is toegewezen aan een externe gebruiker:
vEdgeCloud1# show users
AUTH
SESSION USER CONTEXT FROM PROTO GROUP LOGIN TIME
---------------------------------------------------------------------------------------
33472 ekhabaro cli 10.149.4.155 ssh netadmin 2020-03-09T18:39:40+00:00
Stap 5. Configuratie vEdge:
Stap 5. Configuratie vEdge:
Stap 5. Configuratie vEdge:
Gerelateerde informatie