Op rollen gebaseerde toegangscontrole van ISE configureren met het lichtgewicht toegangsprotocol voor directory's

Downloadopties

  • PDF     (1.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (808.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 oktober 2020
Document-id:216135

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een configuratievoorbeeld voor het gebruik van het Lightweight Directory Access Protocol (LDAP) als een externe identiteitsopslag voor administratieve toegang tot de Cisco Identity Services Engine (ISE) management GUI.

    Voorwaarden

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Configuratie van Cisco ISE Versions 3.0
    • LDAP

    Vereisten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE versie 3.0
    • Windows Server 2016 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configuraties

    Gebruik de sectie om een op LDAP gebaseerde gebruiker te configureren voor beheerderstoegang/aangepaste toegang tot de ISE GUI. In de onderstaande configuratie worden de LDAP-protocolquery's gebruikt om de gebruiker uit de Active Directory op te halen om de verificatie uit te voeren.

    Doe mee met ISE naar LDAP

    1. Ga naar Beheer > Identiteitsbeheer > Externe identiteitsbronnen > Active Directory > LDAP.
    2. Voer op het tabblad Algemeen de naam van de LDAP in en kies het schema Active Directory.

    LDAP Configuration 1

    Verbindingstype en LDAP-configuratie configureren

    1. Ga naar ISE > Beheer > Identiteitsbeheer > Externe identiteitsbronnen > LDAP.

    2. Configureer de hostnaam van de primaire LDAP-server samen met poort 389(LDAP)/636 (LDAP-Secure).

    3. Voer het pad in voor de DN-naam (Admin Distinguished Name) met het beheerderswachtwoord voor de LDAP-server.

    4.Klik op Test Bind Server om de bereikbaarheid van LDAP-server van ISE te testen.

    LDAP Configuration 2

    De directoryorganisatie, -groepen en -kenmerken configureren

    1. Kies de juiste organisatiegroep van de gebruiker op basis van de hiërarchie van gebruikers die zijn opgeslagen op de LDAP-server.

    LDAP Configuration 3

    Administratieve toegang voor LDAP-gebruikers inschakelen

    Voer deze stappen uit om verificatie met een wachtwoord in te schakelen.

    1. Navigeer naar ISE > Beheer > Systeem > Beheerderstoegang > Authenticatie.
    2. Selecteer onder het tabblad Verificatiemethode de optie Wachtwoord gebruiken.
    3. Selecteer LDAP in het vervolgkeuzemenu Identiteitsbron.
    4. Klik op Wijzigingen opslaan.

    Authentication Source Configuration

    De beheerdersgroep toewijzen aan de LDAP-groep

    Configureer de beheergroep op de ISE en koppel deze aan de AD-groep. Hierdoor kan de geconfigureerde gebruiker toegang krijgen op basis van het autorisatiebeleid op basis van de geconfigureerde RBAC-machtigingen voor de beheerder op basis van het groepslidmaatschap.

    Admin Group Configuration

    Rechten instellen voor menutoegang 

    1. Navigeer naar ISE > Beheer > Systeem > Autorisatie > Rechten > Menutoegang

    2. Definieer de menutoegang voor de beheerdersgebruiker om toegang te krijgen tot de ISE GUI. U kunt de sub-entiteiten configureren die op de GUI worden weergegeven of verborgen voor aangepaste toegang voor een gebruiker om alleen een set bewerkingen uit te voeren als dat nodig is.

    3. Klik op Opslaan.

    Menu Access Permissions

    Rechten voor gegevenstoegang instellen 

    1. Navigeer naar ISE > Beheer > Systeem > Autorisatie > Rechten > Toegang tot gegevens.

    2. Definieer de toegang tot gegevens voor de beheerdergebruiker om volledige toegang of alleen-lezen toegang te hebben tot de identiteitsgroepen op de ISE GUI.

    3. Klik op Opslaan.

    Data Access Permissions

    RBAC-machtigingen instellen voor de beheerdersgroep

    1. Navigeer naar ISE > Beheer > Systeem > Admin Access > Autorisatie > Beleid.
    2. Selecteer in de vervolgkeuzelijst Acties aan de rechterkant de optie Nieuw beleid invoegen om een nieuw beleid toe te voegen.
    3. Maak een nieuwe regel met de naam LDAP_RBAC_policy en wijs deze toe met de beheergroep die is gedefinieerd in de sectie Beheertoegang voor AD inschakelen en geef deze rechten voor menutoegang en gegevenstoegang.
    4. Klik op Wijzigingen opslaan en de bevestiging van de opgeslagen wijzigingen wordt weergegeven in de rechterbenedenhoek van de gebruikersinterface.

    Admin Access Authorization Policies

    Opmerking: de gebruiker van super admin kan het standaard door het systeem gegenereerde RBAC-beleid en -machtigingen niet wijzigen. Om dit te doen, moet u nieuwe RBAC-beleidsregels maken met de nodige machtigingen op basis van uw behoeften en deze beleidsregels toewijzen aan een beheerdersgroep.

    Opmerking: alleen een beheerdersgebruiker uit de standaard Super Admin Group kan andere beheerdersgebruikers wijzigen of verwijderen. Zelfs een extern toegewezen gebruiker die deel uitmaakt van een beheerdersgroep die is gekloond met de menu- en gegevenstoegangsbevoegdheden van de Super Admin Group, kan een beheerdersgebruiker niet wijzigen of verwijderen.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Toegang tot ISE met AD-referenties

    Voer deze stappen uit om toegang te krijgen tot ISE met AD-referenties:

    1. Open ISE GUI om in te loggen met de LDAP-gebruiker.
    2. Selecteer LDAP_Server in het vervolgkeuzemenu Identiteitsbron.
    3. Voer de UPN en het wachtwoord in uit de LDAP-database en log in.

    ISE Login Page

    Controleer de aanmeldingsgegevens voor de aanmeldingen van de beheerder in Controleverslagen. Navigeer naar ISE > Bewerkingen > Rapporten > Audit > Aanmeldingen voor beheerders.

    Report

    Controleer de geverifieerde gebruikersnaam in de rechterbovenhoek van de ISE GUI om te bevestigen dat deze configuratie correct werkt. Definieer een aangepaste toegang met beperkte toegang tot het menu zoals hier wordt weergegeven:

    Limited Access

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Algemene informatie


    Om problemen met het RBAC-proces op te lossen, moeten deze ISE-componenten worden ingeschakeld voor foutopsporing op de ISE Admin-node:

    RBAC - Hiermee wordt het RBAC-gerelateerde bericht afgedrukt wanneer we proberen in te loggen (ise-psc.log)

    access-filter - Deze toegang tot het bronfilter wordt afgedrukt (ise-psc.log)

    runtime-AAA - Hiermee worden de logs voor aanmeldings- en LDAP-interactieberichten (prrt-server.log) afgedrukt

    pakketopname-analyse 

    LDAP Capture

    Analyse van logboeken 

    Controleer het prrt-server.log 

    PAPAuthenticator,2020-10-10 08:54:00,621,DEBUG,0x7f852bee3700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,validateEvent: Username is [admin2@anshsinh.local] bIsMachine is [0] isUtf8Valid is [1],PAPAuthenticator.cpp:86



IdentitySequence,2020-10-10 08:54:00,627,DEBUG,0x7f852c4e9700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,******* Authen IDStoreName:LDAP_Server,IdentitySequenceWorkflow.cpp:377



LDAPIDStore,2020-10-10 08:54:00,628,DEBUG,0x7f852c4e9700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,Send event to LDAP_Server_924OqzxSbv_199_Primary server,LDAPIDStore.h:205



Server,2020-10-10 08:54:00,634,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::onAcquireConnectionResponse: succeeded to acquire connection,LdapServer.cpp:724



Connection,2020-10-10 08:54:00,634,DEBUG,0x7f85293b8700,LdapConnectionContext::sendSearchRequest(id = 1221): base = dc=anshsinh,dc=local, filter = (&(objectclass=Person)(userPrincipalName=admin2@anshsinh.local)),LdapConnectionContext.cpp:516



Server,2020-10-10 08:54:00,635,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapSubjectSearchAssistant::processAttributes: found CN=admin2,CN=Users,DC=anshsinh,DC=local entry matching admin2@anshsinh.local subject,LdapSubjectSearchAssistant.cpp:268



Server,2020-10-10 08:54:00,635,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapSubjectSearchAssistant::processGroupAttr: attr = memberOf, value = CN=employee,CN=Users,DC=anshsinh,DC=local,LdapSubjectSearchAssistant.cpp:389



Server,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::onAcquireConnectionResponse: succeeded to acquire connection,LdapServer.cpp:724



Server,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::authenticate: user = admin2@anshsinh.local, dn = CN=admin2,CN=Users,DC=anshsinh,DC=local,LdapServer.cpp:352



Connection,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,LdapConnectionContext::sendBindRequest(id = 1223): dn = CN=admin2,CN=Users,DC=anshsinh,DC=local,LdapConnectionContext.cpp:490

Server,2020-10-10 08:54:00,640,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::handleAuthenticateSuccess: authentication of admin2@anshsinh.local user succeeded,LdapServer.cpp:474





LDAPIDStore,2020-10-10 08:54:00,641,DEBUG,0x7f852c6eb700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LDAPIDStore::onResponse: LdapOperationStatus=AuthenticationSucceeded -> AuthenticationResult=Passed,LDAPIDStore.cpp:336

    Controleer het ise-psc.log

    Vanuit deze logs kunt u het RBAC-beleid controleren dat wordt gebruikt voor de admin2-gebruiker wanneer deze probeert toegang te krijgen tot de bron van het netwerkapparaat.

    2020-10-10 08:54:24,474 DEBUG  [admin-http-pool51][] com.cisco.cpm.rbacfilter.AccessUtil -:admin2@anshsinh.local:::- For admin2@anshsinh.local on /NetworkDevicesLPInputAction.do -- ACCESS ALLOWED BY MATCHING administration_networkresources_devices

2020-10-10 08:54:24,524 INFO   [admin-http-pool51][] cpm.admin.ac.actions.NetworkDevicesLPInputAction -:admin2@anshsinh.local:::- In NetworkDevicesLPInputAction container method

2020-10-10 08:54:24,524 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getDataEntityDecision:::::: userName admin2@anshsinh.local     dataType   RBAC_NETWORK_DEVICE_GROUP   permission  ALL

2020-10-10 08:54:24,526 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- In DataPermissionEvaluator:hasPermission

2020-10-10 08:54:24,526 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- Data access being evaluated:LDAP_Data_Access

2020-10-10 08:54:24,528 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getDataEntityDecision:::::: permission retrieved  false

2020-10-10 08:54:24,528 INFO   [admin-http-pool51][] cpm.admin.ac.actions.NetworkDevicesLPInputAction -:admin2@anshsinh.local:::- Finished with rbac execution

2020-10-10 08:54:24,534 INFO   [admin-http-pool51][] cisco.cpm.admin.license.TrustSecLicensingUIFilter -:admin2@anshsinh.local:::- Should TrustSec be visible :true

2020-10-10 08:54:24,593 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getPermittedNDG:::::: userName admin2@anshsinh.local

2020-10-10 08:54:24,595 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- In DataPermissionEvaluator:getPermittedNDGMap

2020-10-10 08:54:24,597 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- processing data Access :LDAP_Data_Access

2020-10-10 08:54:24,604 INFO   [admin-http-pool51][] cisco.cpm.admin.license.TrustSecLicensingUIFilter -:admin2@anshsinh.local:::- Should TrustSec be visible :true

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Oct-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Anshu Sinha
      Cisco TAC Engineer
    • Priyaranjan Dalai
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten