APIC configureren voor apparaattoediening met ISE en TACACS+

Downloadopties

PDF (2.7 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (2.6 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.3 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:28 april 2023

Document-id:220433

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Configureren

Netwerkdiagram

authenticatieprocedure

Inleiding

In dit document wordt de procedure beschreven voor de integratie van APIC met ISE voor de verificatie van beheerdersgebruikers met het TACACS+-protocol.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Application Policy Infrastructure Controller (APIC)
Identity Services Engine (ISE)
TACACS-protocol

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

APIC versie 4.2(7u)
ISE versie 3.2 Patch 1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Netwerkdiagram

Integration Diagram integratiediagram

authenticatieprocedure

Stap 1.Meld u aan bij de APIC-toepassing met gebruikersreferenties voor beheerders.

Stap 2. Het verificatieproces activeert en valideert de referenties lokaal of via Active Directory.

Stap 3. Zodra de verificatie succesvol is, verzendt ISE een vergunningspakket om toegang tot de APIC te autoriseren.

Stap 4. ISE toont een succesvol live-verificatielogboek.

Opmerking: APIC repliceert de TACACS+-configuratie naar switches die deel uitmaken van de structuur.

APIC-configuratie

Stap 1. Navigeer naarAdmin > AAA > Authentication > AAAen kies een+pictogram om een nieuw aanmeldingsdomein te maken.

APIC Login Admin Configuration APIC-aanmeldingsbeheerdersconfiguratie

Stap 2. Definieer een naam en domein voor het nieuwe aanmeldingsdomein en klik+onder Providers om een nieuwe provider te maken.

APIC Login Admin APIC-aanmeldingsbeheerder

APIC TACACS Provider APIC TACACS-provider

Stap 3. Definieer het ISE IP-adres of de hostnaam, definieer een gedeeld geheim en kies de beheergroep voor het eindpuntbeleid (EPG). KlikSubmitom TACACS+ Provider toe te voegen aan login admin.

APIC TACACS Provider Settings APIC TACACS Provider-instellingen

Create Login Domain

TACACS Provider View TACACS-providerweergave

ISE-configuratie

Stap 1. Ga naar ☰>Beheer > Netwerkbronnen > Netwerkapparaatgroepen. Maak een netwerkapparaatgroep onder Alle apparaattypen.

ISE Network Device Groups ISE-netwerkapparaatgroepen

Stap 2. Navigeer naarAdministration > Network Resources > Network DevicesEuropa. KiesAddAPIC-naam en IP-adres definiëren, kies APIC onder Apparaattype en TACACS + selectievakje en definieer het wachtwoord dat wordt gebruikt voor de APIC TACACS + Provider-configuratie. Klik op de knop .Submit

ISE Network Devices

Herhaal stap 1. en stap 2. voor switches.

Stap 3. Gebruik de instructies op deze link om ISE te integreren met Active Directory;

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html.

Opmerking: dit document bevat zowel interne gebruikers als AD Administrator-groepen als identiteitsbronnen, maar de test wordt uitgevoerd met de identiteitsbron van de interne gebruikers. Het resultaat is hetzelfde voor AD-groepen.

Stap 4. (Optioneel) Navigeer naar ☰>Administration > Identity Management > Groups. KiesUser Identity Groups en klik Addop. Maak één groep voor alleen-lezen gebruikers en gebruikers van beheer.

Identity Group Identiteitsgroep

Stap 5. (Optioneel) Navigeer naar ☰>KlikAdministration > Identity Management > Identity.opAdden maak éénRead Only Admingebruiker enAdmingebruiker. Wijs elke gebruiker toe aan elke groep die is gemaakt in stap 4.

ISE Identity Management

Stap 6. Navigeer naar ☰>Administration > Identity Management > Identity Source Sequence. KiesAdd, definieer een naam en kiesAD Join PointsenInternal UsersIdentiteitsbron uit de lijst. KiesTreat as if the user was not found and proceed to the next store in the sequenceonderAdvanced Search List Settingsen klikSaveop.

identiteitsbronsequentie

7. Navigeer naar ☰>SelecteerWork Centers > Device Administration > Policy Elements > Results > Allowed Protocols. Toevoegen, definieer een naam en schakel CHAP toestaan en MS-CHAPv1 toestaan uit de lijst met verificatieprotocollen uit. Selecteer Opslaan.

TACACS Allow Protocol

8. Navigeer naar ☰>Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. Klikadden maak twee profielen op basis van de kenmerken in de lijst onderRaw View. Klik op de knop .Save

Admin-gebruiker: cisco-av-pair=shell:domains=all/admin/
Alleen-lezen beheerdersgebruiker: cisco-av-pair=shell:domains=all//read-all

Opmerking: in het geval van spatie of extra tekens mislukt de autorisatiefase.

TACACS Profile TACACS-profiel

TACACS Admin and Read Only Admin Profiles TACACS-beheerdersprofielen en alleen-lezen beheerdersprofielen

Stap 9. Navigeer naar ☰>Work Centers > Device Administration > Device Admin Policy Set. Maak een nieuwe beleidsset, definieer een naam en kies het apparaattype dat isAPICgemaakt in stap 1. Kies aangemaaktTACACS Protocolin stap 7. zoals toegestaan Protocol, en klik opSave.

TACACS-beleidsset

Stap 10. Klik onder NieuwPolicy Setop de rechterpijl>en maak een verificatiebeleid. Definieer een naam en kies het IP-adres van het apparaat als voorwaarde. Kies vervolgens de Identity Source Sequence die is gemaakt in stap 6.

Authentication Policy Authenticatiebeleid

Opmerking: locatie of andere kenmerken kunnen worden gebruikt als een verificatievoorwaarde.

Stap 11. Maak een Autorisatieprofiel voor elk type Admin-gebruiker, definieer een naam en kies een interne gebruiker en/of een AD-gebruikersgroep als voorwaarde. Aanvullende voorwaarden zoals APIC kunnen worden gebruikt. Kies het juiste shell-profiel voor elk autorisatiebeleid en klik opSave.

TACACS-autorisatieprofiel

Verifiëren

Stap 1. Log in op de APIC UI met gebruikersbeheerdersreferenties. Kies de TACACS-optie uit de lijst.

APIC Login APIC-aanmelding

Stap 2. Controleer de toegang op de APIC UI en het juiste beleid wordt toegepast op TACACS Live-logs.

APIC Welcome Message APIC-welkomstbericht

Herhaal stap 1 en 2 voor alleen-lezen beheerdersgebruikers.

TACACS+ Live Logs

Problemen oplossen

Stap 1. Navigeer naar ☰>Operations > Troubleshoot > Debug Wizard. KiesTACACSen klik Debug Nodesop.

Debug Profile Configuration Foutopsporingsprofielconfiguratie

Stap 2. Kies het knooppunt dat het verkeer ontvangt en klikSave.

Debug Nodes Selection Selectie foutopsporingsknooppunten

Stap 3. Voer een nieuwe test uit en download de logs onderOperations > Troubleshoot > Download logs zoals weergegeven:

AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

In het geval dat foutopsporing geen authenticatie- en autorisatiegegevens toont, valideer dit:

De service Apparaatbeheer is ingeschakeld op de ISE-node.
Het juiste ISE IP-adres is toegevoegd aan de APIC-configuratie.
Als er een firewall in het midden is, controleert u of poort 49 (TACACS) is toegestaan.