简介
本文档介绍如何使用运行3.1版本的Cisco ISE服务器在Cisco DNA Center上配置RADIUS外部身份验证。
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco DNA Center和Cisco ISE已集成,并且集成处于活动状态。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco DNA Center 2.3.5.x版本。
- Cisco ISE 3.1版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1: 登录Cisco DNA Center GUI,然后导航到 > > Authentication and Policy Servers。
验证ISE Type服务器是否配置了RADIUS协议,且ISE状态为Active。
注意:RADIUS_TACACS协议类型适用于此文档。
警告:如果ISE服务器未处于活动状态,您必须首先修复集成。
第二步:在ISE服务器上,导航到管理>网络资源>网络设备,点击过滤器图标,写入Cisco DNA Center IP地址,并确认条目是否存在。如果是,请继续执行步骤3。
如果缺少该条目,则必须看到无数据可用消息。
在这种情况下,您必须为Cisco DNA Center创建网络设备,然后单击Add按钮。
从Cisco DNA Center配置Name、Description和IP Address(或Addresses),所有其他设置均设置为Default(默认值),本文档不需要这些设置。
向下滚动并点击RADIUS Authentication Settings复选框以启用RADIUS Authentication Settings,并配置共享密钥。
提示:此共享密码稍后将需要使用,请将其保存到其他位置。
然后,单击Submit。
第三步:在ISE服务器上,导航到Policy > Policy Elements > Results,以创建授权配置文件。
确保您位于Authorization > Authorization Profiles下,然后选择Add选项。
配置Name,添加Description以保存新配置文件的记录,并确保Access Type设置为ACCESSES_ACCEPT。
向下滚动并配置高级属性设置。
在左列中搜索cisco-av-pair选项并将其选中。
在右列上手动键入Role=SUPER-ADMIN-ROLE。
一旦它看起来像下面的图像,请点击Submit。
第四步:在ISE服务器上,导航到工作中心>分析器>策略集,以配置身份验证和授权策略。
确定Default策略并点击蓝色箭头进行配置。
在Default Policy Set内,展开Authentication Policy,在Default部分下,展开Options,并确保其符合以下配置。
在Default Policy Set内,展开Authorization Policy,然后选择Add图标以创建新的Authorization Condition。
配置Rule Name,然后单击Add图标以配置Condition。
作为条件的一部分,请将其与步骤2中配置的网络设备IP地址关联。
单击Save。
将其另存为新的Library Condition,并根据需要为其命名,在本例中将其命名为 DNAC
.
最后,配置在第3步中创建的Profile。
单击Save。
第五步: 登录到Cisco DNA Center GUI,然后导航到 > > External Authentication。
单击Enable External User选项并将AAA Attribute设置为Cisco-AVPair。
注意:ISE服务器在后端使用属性Cisco-AVPair,因此第3步的配置有效。
向下滚动以查看AAA服务器配置部分。在步骤1中配置来自ISE服务器的IP地址,并在步骤3中配置共享密钥。
然后单击View Advanced Settings。
确认已选中RADIUS选项,并在两台服务器上单击Update按钮。
您必须看到每个的成功消息。
验证
加载Cisco DNA Center GUI 并使用来自ISE身份的用户登录。
DNA中心登录
注:ISE身份上的任何用户现在都可以登录。您可以为ISE服务器上的身份验证规则添加更精细度。
登录成功后,用户名显示在Cisco DNA Center GUI上
欢迎屏幕
更多角色
您可以对Cisco DNA Center上的每个角色重复这些步骤,默认情况下我们有:SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE和OBSERVER-ROLE。
在本文档中,我们使用SUPER-ADMIN-ROLE角色示例,但是,您可以在ISE上为思科DNA中心上的每个角色配置一个授权配置文件,唯一的考虑事项是在步骤3中配置的角色需要完全匹配(区分大小写)思科DNA中心上的角色名称。