Configurar a autenticação externa RADIUS no DNA Center e no ISE 3.1

Atualizado:16 de novembro de 2023
ID do documento:220666

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a Autenticação externa RADIUS no Cisco DNA Center usando um servidor Cisco ISE executando a versão 3.1. 

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • O Cisco DNA Center e o Cisco ISE já estão integrados e a integração está no status Ativo. 

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Versão do Cisco DNA Center 2.3.5.x.
    • Cisco ISE versão 3.1.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Etapa 1. Faça login na GUI do Cisco DNA Center e navegue até System > Settings > Authentication and Policy Servers.

    Verifique se o protocolo RADIUS está configurado e se o status do ISE é Ativo para o servidorTipo de ISE

    Authentication & Policy Servers 1

    note-icon

    Observação: o tipo de protocolo RADIUS_TACACS funciona para este documento.

    warning-icon

    Aviso: caso o servidor ISE não esteja com status Ativo, é necessário corrigir a integração primeiro.

    Etapa 2. No ISE Server, navegue para Administration > Network Resources > Network Devices, clique no ícone Filter, escreva o Cisco DNA Center IP Address e confirme se existe uma entrada. Se isso acontecer, vá para a Etapa 3.

    Se a entrada estiver ausente, você deverá ver a mensagem No data available.

    Network Devices 1

    Nesse caso, você deve criar um dispositivo de rede para o Cisco DNA Center, então clique no botão Adicionar.   

    Network Devices 2

    Configure o Nome, a Descrição e o Endereço IP (ou Endereços) do Cisco DNA Center; todas as outras configurações são definidas como Valores padrão e não são necessárias para a finalidade deste documento. 

    Network Device Group

    Role para baixo e ative as Configurações de autenticação RADIUS clicando em sua caixa de seleção e configure um segredo compartilhado. 

    RADIUS Authentication Settings

    tip-icon

    Dica: esse segredo compartilhado será necessário posteriormente, portanto, salve-o em outro lugar.

    Somente então, clique em Submit

    Etapa 3. No ISE Server, navegue para Policy > Policy Elements > Results, para criar o Authorization Profile.

    Verifique se você está em Authorization > Authorization Profiles e selecione a opção Add

    Authentication & Policy Servers 2

    Configure Name, adicione uma Description apenas para manter um registro do novo Perfil e certifique-se de que o Tipo de acesso esteja definido como ACCES_ACCEPT.

    Select Option

    Role para baixo e configure as Configurações avançadas de atributos.

    Na coluna esquerda, procure a opção cisco-av-pair e selecione-a.

    Na coluna da direita manualmente, digite Role=SUPER-ADMIN-ROLE. 

    Quando a imagem abaixo estiver parecida, clique em Submit.

    Configure A&A Policy

    Etapa 4. No ISE Server, navegue para Work Centers > Profiler > Policy Sets, para configurar a Authentication & Authorization Policy.

    Identifique a política Default e clique na seta azul para configurá-la.

    Review Options

    Dentro do Default Policy Set, expanda a Authentication Policy e, na seção Default, expanda as Options e certifique-se de que elas correspondam à configuração abaixo. 

    Default Policy Sets

    tip-icon

    Dica: REJECT configurado nas 3 opções também funciona

    Dentro do Default Policy Set, expanda a Authorization Policy e selecione o ícone Add para criar uma nova Authorization Condition

    Configure Rule Name

    Configure um Nome da Regra e clique no ícone Adicionar para configurar a Condição.

    Conditions

    Como parte da condição, associe-a ao endereço IP do dispositivo de rede configurado na etapa 2.

    Library Condition

    Clique em Salvar. 

    Salve-a como uma nova condição de biblioteca e a nomeie como desejar; nesse caso, ela será nomeada como DNAC.

    Create Policy from Step 3

    Por fim, configure o Perfil criado na Etapa 3.

    External Authenticatio

    Clique em Save.

    Etapa 5. Faça login na GUI do Cisco DNA Center e navegue paraSistema > Usuários e funções > Autenticação externa.

    Clique na opção Enable External User e defina o AAA Attribute como Cisco-AVPair.

    AAA Servers

    note-icon

    Observação: o ISE Server usa o atributo Cisco-AVPair no back-end, portanto, a configuração na Etapa 3 é válida.

    Role para baixo para ver a seção de configuração de servidor(es) AAA. Configure o endereço IP do servidor ISE na etapa 1 e o segredo compartilhado configurado na etapa 3.

    Em seguida, clique em View Advanced Settings (Exibir configurações avançadas). 

    Verify RADIUS Option

    Verifique se a opção RADIUS está selecionada e clique no botão Update em ambos os servidores.

    Selection

    Você deve ver uma mensagem de êxito para cada um. 

    Success Messages

    Verificar

    Carregar a GUI do Cisco DNA Center e faça login com um usuário das identidades do ISE. 

    DNA Center Log InLogon do DNA Center

    note-icon

    Observação: qualquer usuário em identidades do ISE pode fazer login agora. Você pode adicionar mais granularidade às regras de autenticação no ISE Server.

    Após o login bem-sucedido, o nome de usuário é exibido na GUI do Cisco DNA Center

    Welcome ScreenTela de boas-vindas

    Mais Funções  

    Você pode repetir essas etapas para cada função no Cisco DNA Center, como padrão temos: SUPER-ADMIN-ROLE, NETWORK-ADMIN-ROLE e OBSERVER-ROLE.

    More Roles

    Neste documento, usamos o exemplo de função SUPER-ADMIN-ROLE; no entanto, você pode configurar um perfil de autorização no ISE para cada função no Cisco DNA Center. A única consideração é que a função configurada na Etapa 3 precisa corresponder exatamente (diferencia maiúsculas de minúsculas) ao nome da função no Cisco DNA Center. 

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    16-Nov-2023
    Versão inicial
    1.0
    28-Jul-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Diego Granados
      Líder técnico de engenharia de entrega ao cliente
    • Fernando Santillan
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos