在DNA中心和ISE 3.1上配置RADIUS外部身份验证

下载选项

  • PDF     (1.6 MB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2024 年 6 月 20 日
文档 ID:220666

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用运行3.1版本的Cisco ISE服务器在Cisco DNA Center上配置RADIUS外部身份验证。 

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • Cisco DNA Center和Cisco ISE已集成,并且集成处于活动状态。 

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Cisco DNA Center 2.3.5.x版本。
    • Cisco ISE 3.1版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    步骤1.登录Cisco DNA Center GUI,然后导航到System > Settings > Authentication and Policy Servers

    验证ISE Type服务器是否配置了RADIUS协议,且ISE状态为Active。 

    Authentication & Policy Servers 1

    note-icon

    注意:RADIUS_TACACS协议类型适用于此文档。

    warning-icon

    警告:如果ISE服务器未处于Active Status,则必须首先修复集成。

    第2步:在ISE服务器上,导航到管理>网络资源>网络设备,点击过滤器图标,写入Cisco DNA Center IP地址,并确认条目是否存在。如果是,请继续执行步骤3。

    如果缺少该条目,则必须看到无数据可用消息。

    Network Devices 1

    在这种情况下,您必须为Cisco DNA Center创建网络设备,然后单击Add按钮。   

    Network Devices 2

    从Cisco DNA Center配置Name、Description和IP Address(或Addresses),所有其他设置均设置为Default(默认值),本文档不需要这些设置。 

    Network Device Group

    向下滚动并点击RADIUS Authentication Settings复选框以启用RADIUS Authentication Settings,并配置共享密钥。 

    RADIUS Authentication Settings

    tip-icon

    提示:稍后将需要此共享密钥,请将其保存到其他位置。

    然后,单击Submit。 

    第3步:在ISE服务器上,导航到Policy > Policy Elements > Results,以创建授权配置文件。

    确保您位于Authorization > Authorization Profiles下,然后选择Add选项。 

    Authentication & Policy Servers 2

    配置Name,添加Description以保存新配置文件的记录,并确保Access Type设置为ACCESSES_ACCEPT。

    Select Option

    向下滚动并配置高级属性设置。

    左列中搜索cisco-av-pair选项并将其选中。

    列上手动键入Role=SUPER-ADMIN-ROLE。 

    一旦它看起来像下面的图像,请点击Submit

    cisco-av-pair attribute

    第4步:在ISE服务器上,导航到工作中心>分析器>策略集,以配置身份验证和授权策略。

    确定Default策略并点击蓝色箭头进行配置。

    Review Options

    Default Policy Set内,展开Authentication Policy,在Default部分下,展开Options,并确保其符合以下配置。 

    Default Policy Sets

    tip-icon

    提示:3个选项上配置的REJECT也有效

    Default Policy Set内,展开Authorization Policy,然后选择Add图标以创建新的Authorization Condition。 

    Configure Rule Name

    配置Rule Name,然后单击Add图标以配置Condition

    Conditions

    作为条件的一部分,请将其与步骤2中配置的网络设备IP地址关联。

    Library Condition

    单击Save。 

    将其另存为新的库条件,并根据需要为其命名,在本例中将其命名为DNAC

    Create Policy from Step 3

    最后,配置在第3步中创建的Profile

    External Authenticatio

    单击Save

    步骤5.登录到Cisco DNA Center GUI,然后导航到System > Users & Roles > External Authentication

    单击Enable External User选项并将AAA Attribute设置为Cisco-AVPair。

    AAA Servers

    note-icon

    注意:ISE服务器在后端使用Cisco-AVPair属性,因此第3步上的配置有效。

    向下滚动以查看AAA服务器配置部分。在步骤1中配置来自ISE服务器的IP地址,并在步骤3中配置共享密钥。

    然后单击View Advanced Settings。 

    Verify RADIUS Option

    确认已选中RADIUS选项,并在两台服务器上单击Update按钮。

    Selection

    您必须看到每个的成功消息。 

    Success Messages

    现在您可以使用在ISE菜单>管理>身份管理>身份>用户下创建的任何ISE身份登录。

    如果您没有创建任何内容,请登录ISE,导航到上面的路径,然后添加新的网络访问用户。

    Add user

    验证

    加载思科DNA中心GUI并使用来自ISE身份的用户登录。 

    Cisco DNA Center Log InDNA中心登录

    note-icon

    注意:ISE身份上的任何用户现在都可以登录。您可以为ISE服务器上的身份验证规则添加更精细度。

    登录成功后,用户名显示在Cisco DNA Center GUI上

    Welcome Screen欢迎屏幕

    更多角色  

    您可以对Cisco DNA Center上的每个角色重复这些步骤,默认情况下我们有:SUPER-ADMIN-ROLENETWORK-ADMIN-ROLEOBSERVER-ROLE。

    More Roles

    在本文档中,我们使用SUPER-ADMIN-ROLE角色示例,但是,您可以在ISE上为思科DNA中心上的每个角色配置一个授权配置文件,唯一的考虑事项是在步骤3中配置的角色需要完全匹配(区分大小写)思科DNA中心上的角色名称。 

    修订历史记录

    版本 发布日期 备注
    3.0
    20-Jun-2024
    修复属性问题并添加创建用户的步骤
    2.0
    16-Nov-2023
    首次公开发布
    1.0
    28-Jul-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 迭戈·格拉纳多斯
      客户交付工程技术主管
    • 费尔南多·桑蒂兰
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品