在DNA中心和ISE 3.1上配置RADIUS外部身份验证

简介

本文档介绍如何使用运行3.1版本的Cisco ISE服务器在Cisco DNA Center上配置RADIUS外部身份验证。 

先决条件

要求

Cisco 建议您了解以下主题：

• Cisco DNA Center和Cisco ISE已集成，并且集成处于活动状态。 

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco DNA Center 2.3.5.x版本。
• Cisco ISE 3.1版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

步骤1: 登录Cisco DNA Center GUI，然后导航到System > Settings > Authentication and Policy Servers。

验证ISE Type服务器是否配置了RADIUS协议，且ISE状态为Active。 

 

第二步：在ISE服务器上，导航到管理>网络资源>网络设备，点击过滤器图标，写入Cisco DNA Center IP地址，并确认条目是否存在。如果是，请继续执行步骤3。

如果缺少该条目，则必须看到无数据可用消息。

在这种情况下，您必须为Cisco DNA Center创建网络设备，然后单击Add按钮。   

从Cisco DNA Center配置Name、Description和IP Address（或Addresses），所有其他设置均设置为Default（默认值），本文档不需要这些设置。 

 

向下滚动并点击RADIUS Authentication Settings复选框以启用RADIUS Authentication Settings，并配置共享密钥。 

然后，单击Submit。 

第三步：在ISE服务器上，导航到Policy > Policy Elements > Results，以创建授权配置文件。

确保您位于Authorization > Authorization Profiles下，然后选择Add选项。 

 

配置Name，添加Description以保存新配置文件的记录，并确保Access Type设置为ACCESSES_ACCEPT。

 

向下滚动并配置高级属性设置。

在左列中搜索cisco-av-pair选项并将其选中。

在右列上手动键入Role=SUPER-ADMIN-ROLE。 

一旦它看起来像下面的图像，请点击Submit。

第四步：在ISE服务器上，导航到工作中心>分析器>策略集，以配置身份验证和授权策略。

确定Default策略并点击蓝色箭头进行配置。

在Default Policy Set内，展开Authentication Policy，在Default部分下，展开Options，并确保其符合以下配置。 

在Default Policy Set内，展开Authorization Policy，然后选择Add图标以创建新的Authorization Condition。 

 

验证

加载Cisco DNA Center GUI 并使用来自ISE身份的用户登录。 

DNA中心登录

登录成功后，用户名显示在Cisco DNA Center GUI上

 

欢迎屏幕

更多角色  

您可以对Cisco DNA Center上的每个角色重复这些步骤，默认情况下我们有：SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE和OBSERVER-ROLE。

 

在本文档中，我们使用SUPER-ADMIN-ROLE角色示例，但是，您可以在ISE上为思科DNA中心上的每个角色配置一个授权配置文件，唯一的考虑事项是在步骤3中配置的角色需要完全匹配（区分大小写）思科DNA中心上的角色名称。