PDF(2.3 MB) Ver no Adobe Reader em vários dispositivos
ePub(2.0 MB) Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle)(1.7 MB) Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de setembro de 2025
ID do documento:225097
Linguagem imparcial
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
Sobre esta tradução
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização.
Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional.
A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve um exemplo para TACACS+ sobre TLS com Cisco Identity Services Engine (ISE) como servidor e um dispositivo Cisco IOS® XE como cliente.
Overview
O protocolo TACACS+ (Terminal Access Controller Access-Control System Plus) [RFC8907] permite a administração centralizada de dispositivos para roteadores, servidores de acesso à rede e outros dispositivos em rede por meio de um ou mais servidores TACACS+. Ele fornece serviços de autenticação, autorização e auditoria (AAA - Authentication, Authorization, and Accounting), especificamente desenvolvidos para casos de uso de administração de dispositivos.
O TACACS+ sobre TLS 1.3 [RFC8446] melhora o protocolo introduzindo uma camada de transporte segura, protegendo dados altamente confidenciais. Essa integração garante confidencialidade, integridade e autenticação para a conexão e o tráfego de rede entre clientes e servidores TACACS+.
Usando este Guia
Este guia divide as atividades em duas partes para permitir que o ISE gerencie o acesso administrativo para dispositivos de rede baseados no Cisco IOS XE. · Parte 1 - Configurar o ISE para o administrador de dispositivos · Parte 2 - Configurar o Cisco IOS XE para TACACS+ sobre TLS
Pré-requisitos
Requisitos
Requisitos para configurar TACACS+ sobre TLS:
Uma Autoridade de Certificação (CA) para assinar o certificado usado pelo TACACS+ sobre TLS para assinar os certificados do ISE e dos dispositivos de rede.
O certificado raiz da Autoridade de Certificação (CA).
Os dispositivos de rede e o ISE têm acessibilidade de DNS e podem resolver nomes de host.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Dispositivo virtual ISE VMware, versão 3.4, patch 2
Software Cisco IOS XE, versão 17.15+
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Licenciamento
Uma licença de Administração de dispositivo permite que você use serviços TACACS+ em um nó de Serviço de política. Em uma implantação autônoma de alta disponibilidade (HA), uma licença de Administração de dispositivo permite que você use serviços TACACS+ em um único nó de Serviço de política no par HA.
Parte 1 - Configurar o ISE para a administração de dispositivos
Gerar solicitação de assinatura de certificado para autenticação de servidor TACACS+
Etapa 1. Faça login no portal da Web do administrador do ISE usando um dos navegadores compatíveis.
Por padrão, o ISE usa um certificado autoassinado para todos os serviços. A primeira etapa é gerar uma CSR (Certificate Signing Request, solicitação de assinatura de certificado) para que ela seja assinada por nossa CA (Certificate Authority, autoridade de certificação).
Etapa 2.Navegue até Administração > Sistema > Certificados.
Etapa 3. Em Certificate Signing Requests, clique em Generate Certificate Signing Request.
Etapa 4.Selecione TACACS em Uso.
Etapa 5.Selecione as PSNs que terão o TACACS+ habilitado.
Etapa 6. Preencha os campos Assunto com as informações apropriadas.
Etapa 7.Adicione o nome DNS e o endereço IP em Nome alternativo do assunto (SAN).
Etapa 8.Clique em Gerar e em Exportar.
Agora, você pode ter o certificado (CRT) assinado pela suaAutoridade de Certificação (CA).
Carregar certificado CA raiz para autenticação de servidor TACACS+
Etapa 1. Navegue até Administração > Sistema > Certificados. Em Certificados de Confiabilidade, clique em Importar.
Etapa 2. Selecione o certificado emitido pela Autoridade de Certificação (CA) que assinou sua CSR (Certificate Signing Request, Solicitação de Assinatura de Certificado) TACACS. Verifique se o comando está ativada.
Etapa 3. Clique em Enviar. O certificado deverá aparecer agora em Certificados de Confiabilidade.
Vincule a solicitação de assinatura de certificado (CSR) assinada ao ISE
Depois que a CSR (Certificate Signing Request, Solicitação de assinatura de certificado) for assinada, você poderá instalar o certificado assinado no ISE.
Etapa 1.Navegue até Administração > Sistema > Certificados. Em Certificate Signing Requests, selecione o TACACS CSR gerado na etapa anterior e clique em Bind Certificate.
Etapa 2.Selecione o certificado assinado e certifique-se de que a caixa de seleção TACACS em Usage permaneça selecionada.
Etapa 3.Clique em Submit. Se você receber um aviso sobre a substituição do certificado existente, clique em Sim para continuar.
O certificado deve agora estar instalado corretamente. Você pode verificar isso em Certificados do sistema.
Ativar TLS 1.3
O TLS 1.3 não é habilitado por padrão no ISE 3.4.x. Ele deve ser habilitado manualmente.
Etapa 1.Navegue até Administração > Sistema > Configurações.
Etapa 2.Clique em Configurações de segurança, marque a caixa de seleção ao lado de TLS1.3 em Configurações de versão de TLS e clique em Salvar.
aviso: Quando você altera a versão do TLS, o servidor de aplicativos do Cisco ISE é reiniciado em todas as máquinas de implantação do Cisco ISE.
Ativar a administração de dispositivos no ISE
O serviço de Administração de dispositivo (TACACS+) não é habilitado por padrão em um nó ISE. Ative TACACS+ em um nó PSN.
Etapa 1.Navegue até Administração > Sistema > Implantação. Marque a caixa de seleção ao lado do nó ISE e clique em Editar.
Etapa 2.Em GeneralSettings, role para baixo e selecione a caixa de seleção ao lado de Enable Device Admin Service.
Etapa 3. Salvar a configuração. O Device Admin Service agora está habilitado no ISE.
Habilitar TACACS sobre TLS
Etapa 1.Navegue até Centros de trabalho > Administração do dispositivo > Visão geral.
Etapa 2.Clique em Deployment. Selecione os nós PSN onde deseja habilitar TACACS sobre TLS.
Etapa 3.Mantenha a porta padrão 6049 ou especifique uma porta TCP diferente para TACACS sobre TLS e clique em Save.
Criar dispositivo de rede e grupos de dispositivo de rede
O ISE fornece um agrupamento eficiente de dispositivos com várias hierarquias de grupos de dispositivos. Cada hierarquia representa uma classificação distinta e independente dos dispositivos de rede.
Etapa 1. Navegue até Centros de trabalho > Administração de dispositivos > Recursos de rede.Clique em Grupos de dispositivos de rede e crie um grupo com o nome IOS XE.
Tip: Todos os tipos de dispositivos e todos os locais são hierarquias padrão fornecidas pelo ISE. Você pode adicionar suas próprias hierarquias e definir os vários componentes na identificação de um dispositivo de rede que pode ser usado posteriormente na condição de política
Etapa 2.Agora, adicione um dispositivo Cisco IOS XE como um dispositivo de rede. Navegue até Centros de trabalho > Administração de dispositivos > Recursos de rede > Dispositivos de rede. Clique em Add para adicionar um novo dispositivo de rede. Para este teste, seria SVS_BRPASR1K.
Etapa 3.Insira o endereço IP do dispositivo e certifique-se de mapear o local e o tipo de dispositivo (IOS XE) para o dispositivo. Por fim, habilite as Configurações de autenticação TACACS+ sobre TLS.
Tip: É recomendável ativar o modo de conexão única para evitar reiniciar a sessão TCP toda vez que um comando for enviado ao dispositivo.
ConfigurarRepositórios de Identidade
Esta seção define um Repositório de identidades para os administradores de dispositivos, que pode ser o ISE Internal Users e qualquer External Identity Sources com suporte. Aqui usa o Ative Diretory (AD), uma fonte de identidade externa.
Etapa 1. Navegue até Administração > Gerenciamento de identidades > Repositórios de identidades externos > Ative Diretory. Clique em Adicionar para definir um novo ponto conjunto do AD.
Etapa 2. Especifique o nome do ponto de junção e o nome de domínio do AD e clique em Enviar.
Etapa 3. Clique em Sim quando solicitado Deseja unir todos os nós do ISE a este domínio do Ative Diretory?
Etapa 4. Insira as credenciais com privilégios de ingresso no AD e Ingresse no ISE para o AD. Verifique o Status para verificar se ele está operacional.
Etapa 5. Navegue até a guia Grupos e clique em Adicionar para obter todos os grupos necessários com base nos quais os usuários estão autorizados para o acesso ao dispositivo. Este exemplo mostra os grupos usados na Diretiva de Autorização neste guia
Configurar perfis TACACS+
Você vai mapear os Perfis TACACS+ para as duas principais funções de usuário nos dispositivos Cisco IOS XE:
Administrador do sistema raiz - Essa é a função com maior privilégio no dispositivo. O usuário com a função de administrador do sistema raiz tem acesso administrativo total a todos os comandos do sistema e recursos de configuração.
Operador -Essa função destina-se a usuários que precisam de acesso somente leitura ao sistema para fins de monitoramento e solução de problemas.
Eles são definidos como dois perfis TACACS+: IOS XE_RW e IOSXR_RO.
IOS XE_RW - Perfil do administrador
Etapa 1 Navegue até Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Perfis TACACS. Adicione um novo Perfil TACACS e nomeie-o IOS XE_RW.
Etapa 2. Verifique e defina o Privilégio Padrão e o Privilégio Máximo como 15.
Etapa 3.Confirme a configuração e salve.
IOS XE_RO - Perfil do operador
Etapa 1 Navegue até Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Perfis TACACS. Adicione um novo Perfil TACACS e nomeie-o como IOS XE_RO.
Etapa 2. Verifique e defina o Privilégio Padrão e o Privilégio Máximo como 1.
Etapa 3.Confirme a configuração e salve.
Configurar conjuntos de comandos TACACS+
eles são definidos como dois conjuntos de comandos TACACS+: CISCO_IOS XE_RW e CISCO_IOS XE_RO.
CISCO_IOS XE_RW - Conjunto de comandos do administrador
Etapa 1. Navegue até Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Conjuntos de comandos TACACS. Adicione um novo Conjunto de comandos TACACS e nomeie-o como CISCO_IOS XE_RW.
Etapa 2. Marque a caixa de seleção Permitir qualquer comando que não esteja listado abaixo (isso permite qualquer comando para a função de administrador) e clique em Salvar.
CISCO_IOS XE_RO - Conjunto de comandos do operador
Etapa 1 Na interface do usuário do ISE, navegue até Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Conjuntos de comandos TACACS. Adicione um novo conjunto de comandos TACACS e nomeie-o CISCO_IOS XE_RO.
Etapa 2. Na seção Comandos, adicione um novo comando.
Etapa 3. Selecione Permit na lista suspensa da coluna Grant e digite show na coluna Command; e clique na seta verificar.
Etapa 4. Confirme os dados e clique em Salvar.
ConfigurarConjuntos de Políticas de Administração do Dispositivo
Os conjuntos de políticas são ativados por padrão para a Administração de dispositivos. Os conjuntos de políticas podem dividir as políticas com base nos tipos de dispositivo para facilitar a aplicação de perfis TACACS.
Etapa 1.Navegue até Centros de trabalho > Administração de dispositivos > Conjuntos de diretivas de administração de dispositivos. Adicione um novo Policy Set IOS XE Devices. Sob condição, especifique DEVICE:Device Type EQUALS All Device Types#IOS XE. Em Allowed Protocols, selecione Default Device Admin.
Etapa 2.Clique em Save e clique na seta para a direita para configurar esse Policy Set.
Etapa 3.Crie a política de autenticação. Para a autenticação, use o AD como o ID Store. Deixe as opções padrão em If Auth fail, If User not found e If Process fail.
Etapa 4. Definir a Política de Autorização.
Crie a política de autorização com base nos grupos de usuários no Ative Diretory (AD).
Por exemplo:
Os usuários do grupo AD Device RO recebem o conjunto de comandos CISCO_IOSXR_RO e o perfil do shell IOSXR_RO .
Os usuários do grupo AD Device Admin recebem o conjunto de comandos CISCO_IOSXR_RW e o perfil do shell IOSXR_RW .
Parte 2 - Configurar o Cisco IOS XE para TACACS+ sobre TLS 1.3
Caution: Verifique se a conexão do console pode ser alcançada e se está funcionando corretamente.
Tip: É recomendável configurar um usuário temporário e alterar os métodos de autenticação e autorização AAA para usar credenciais locais em vez de TACACS ao fazer alterações de configuração, para evitar ser bloqueado fora do dispositivo.
Método de configuração 1 - Par de chaves gerado pelo dispositivo
Configuração do servidor TACACS+
Etapa 1Configure o nome de domínio e gere um par de chaves usado para o ponto de confiança do roteador.
% The subject name in the certificate will include: C=US,ST=NC,L=RTP,O=Cisco,OU=SVS,CN=cat9k.svs.lab % The subject name in the certificate will include: cat9k.svs.lab Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows:
Etapa 1. Crie o servidor TACACS e grupos AAA, associe o ponto de confiança do cliente (roteador).
tacacs server svs_tacacs address ipv4 10.225.253.209 single-connection tls port 6049 tls idle-timeout 60 tls connection-timeout 60 tls trustpoint client svs_cat9k tls ip tacacs source-interface GigabitEthernet0/0 tls ip vrf forwarding Mgmt-vrf ! aaa group server tacacs+ svs_tls server name svs_tacacs ip vrf forwarding Mgmt-vrf ! tacacs-server directed-request
Etapa 2. Configurar métodos AAA.
aaa authentication login default group svs_tls local enable aaa authentication login console local enable aaa authentication enable default group svs_tls enable aaa authorization config-commands aaa authorization exec default group svs_tls local if-authenticated aaa authorization commands 1 default group svs_tls local if-authenticated aaa authorization commands 15 default group svs_tls aaa accounting exec default start-stop group svs_tls aaa accounting commands 1 default start-stop group svs_tls aaa accounting commands 15 default start-stop group svs_tls aaa session-id common
Método de configuração 2 - Par de chaves gerado pela CA
Se você estiver importando as chaves, bem como os certificados de dispositivo e CA diretamente em um formato PKCS#12 em vez do método CSR, poderá usar esse método.
! Below debugs will be needed only if there is any issue with SSL Handshake debug ip tcp transactions debug ip tcp packet debug crypto pki transactions debug crypto pki API debug crypto pki messages debug crypto pki server debug ssl openssl errors debug ssl openssl msg debug ssl openssl states clear logging