Inleiding
In dit document wordt de procedure beschreven voor de integratie van APIC met ISE voor de verificatie van beheerdersgebruikers met het TACACS+-protocol.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Application Policy Infrastructure Controller (APIC)
- Identity Services Engine (ISE)
- TACACS-protocol
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- APIC versie 4.2(7u)
- ISE versie 3.2 Patch 1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram
integratiediagram
authenticatieprocedure
Stap 1.Meld u aan bij de APIC-toepassing met gebruikersreferenties voor beheerders.
Stap 2. Het verificatieproces activeert en valideert de referenties lokaal of via Active Directory.
Stap 3. Zodra de verificatie succesvol is, verzendt ISE een vergunningspakket om toegang tot de APIC te autoriseren.
Stap 4. ISE toont een succesvol live-verificatielogboek.
Opmerking: APIC repliceert de TACACS+-configuratie naar switches die deel uitmaken van de structuur.
APIC-configuratie
Stap 1. Navigeer naarAdmin > AAA > Authentication > AAA
en kies een+
pictogram om een nieuw aanmeldingsdomein te maken.
APIC-aanmeldingsbeheerdersconfiguratie
Stap 2. Definieer een naam en domein voor het nieuwe aanmeldingsdomein en klik+
onder Providers om een nieuwe provider te maken.
APIC-aanmeldingsbeheerder
APIC TACACS-provider
Stap 3. Definieer het ISE IP-adres of de hostnaam, definieer een gedeeld geheim en kies de beheergroep voor het eindpuntbeleid (EPG). KlikSubmit
om TACACS+ Provider toe te voegen aan login admin.
APIC TACACS Provider-instellingen

TACACS-providerweergave
ISE-configuratie
Stap 1. Ga naar ☰>
Beheer > Netwerkbronnen > Netwerkapparaatgroepen. Maak een netwerkapparaatgroep onder Alle apparaattypen.
ISE-netwerkapparaatgroepen
Stap 2. Navigeer naarAdministration > Network Resources > Network Devices
Europa. KiesAdd
APIC-naam en IP-adres definiëren, kies APIC onder Apparaattype en TACACS + selectievakje en definieer het wachtwoord dat wordt gebruikt voor de APIC TACACS + Provider-configuratie. Klik op de knop .Submit

Herhaal stap 1. en stap 2. voor switches.
Stap 3. Gebruik de instructies op deze link om ISE te integreren met Active Directory;
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html.
Opmerking: dit document bevat zowel interne gebruikers als AD Administrator-groepen als identiteitsbronnen, maar de test wordt uitgevoerd met de identiteitsbron van de interne gebruikers. Het resultaat is hetzelfde voor AD-groepen.
Stap 4. (Optioneel) Navigeer naar ☰>
Administration > Identity Management > Groups
. KiesUser Identity Groups
en klik Add
op. Maak één groep voor alleen-lezen gebruikers en gebruikers van beheer.
Identiteitsgroep
Stap 5. (Optioneel) Navigeer naar ☰>
KlikAdministration > Identity Management > Identity.
opAdd
en maak éénRead Only Admin
gebruiker enAdmin
gebruiker. Wijs elke gebruiker toe aan elke groep die is gemaakt in stap 4.

Stap 6. Navigeer naar ☰>
Administration > Identity Management > Identity Source Sequence
. KiesAdd
, definieer een naam en kiesAD Join Points
enInternal Users
Identiteitsbron uit de lijst. KiesTreat as if the user was not found and proceed to the next store in the sequence
onderAdvanced Search List Settings
en klikSave
op.
identiteitsbronsequentie
7. Navigeer naar ☰>
SelecteerWork Centers > Device Administration > Policy Elements > Results > Allowed Protocols
.
Toevoegen, definieer een naam en schakel CHAP toestaan en MS-CHAPv1 toestaan uit de lijst met verificatieprotocollen uit. Selecteer Opslaan.
TACACS Allow Protocol
8. Navigeer naar ☰>
Work Centers > Device Administration > Policy Elements > Results > TACACS Profile
. Klikadd
en maak twee profielen op basis van de kenmerken in de lijst onderRaw View
. Klik op de knop .Save
- Admin-gebruiker:
cisco-av-pair=shell:domains=all/admin/
- Alleen-lezen beheerdersgebruiker:
cisco-av-pair=shell:domains=all//read-all
Opmerking: in het geval van spatie of extra tekens mislukt de autorisatiefase.
TACACS-profiel
TACACS-beheerdersprofielen en alleen-lezen beheerdersprofielen
Stap 9. Navigeer naar ☰>
Work Centers > Device Administration > Device Admin Policy Set
. Maak een nieuwe beleidsset, definieer een naam en kies het apparaattype dat isAPIC
gemaakt in stap 1. Kies aangemaaktTACACS Protocol
in stap 7. zoals toegestaan Protocol, en klik opSave
.
TACACS-beleidsset
Stap 10. Klik onder NieuwPolicy Set
op de rechterpijl>
en maak een verificatiebeleid. Definieer een naam en kies het IP-adres van het apparaat als voorwaarde. Kies vervolgens de Identity Source Sequence die is gemaakt in stap 6.
Authenticatiebeleid
Opmerking: locatie of andere kenmerken kunnen worden gebruikt als een verificatievoorwaarde.
Stap 11. Maak een Autorisatieprofiel voor elk type Admin-gebruiker, definieer een naam en kies een interne gebruiker en/of een AD-gebruikersgroep als voorwaarde. Aanvullende voorwaarden zoals APIC kunnen worden gebruikt. Kies het juiste shell-profiel voor elk autorisatiebeleid en klik opSave
.
TACACS-autorisatieprofiel
Verifiëren
Stap 1. Log in op de APIC UI met gebruikersbeheerdersreferenties. Kies de TACACS-optie uit de lijst.
APIC-aanmelding
Stap 2. Controleer de toegang op de APIC UI en het juiste beleid wordt toegepast op TACACS Live-logs.
APIC-welkomstbericht
Herhaal stap 1 en 2 voor alleen-lezen beheerdersgebruikers.
TACACS+ Live Logs
Problemen oplossen
Stap 1. Navigeer naar ☰>
Operations > Troubleshoot > Debug Wizard
. KiesTACACS
en klik Debug Nodes
op.
Foutopsporingsprofielconfiguratie
Stap 2. Kies het knooppunt dat het verkeer ontvangt en klikSave
.
Selectie foutopsporingsknooppunten
Stap 3. Voer een nieuwe test uit en download de logs onderOperations > Troubleshoot > Download logs
zoals weergegeven:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
In het geval dat foutopsporing geen authenticatie- en autorisatiegegevens toont, valideer dit:
- De service Apparaatbeheer is ingeschakeld op de ISE-node.
- Het juiste ISE IP-adres is toegevoegd aan de APIC-configuratie.
- Als er een firewall in het midden is, controleert u of poort 49 (TACACS) is toegestaan.