配置ISE 2.0 TACACS+身份验证命令授权

下载选项

PDF (2.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.3 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (836.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2022 年 9 月 27 日

文档 ID:200208

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何基于Microsoft Active Directory(AD)组成员身份配置TACACS+身份验证和命令授权。

背景信息

要根据具有身份服务引擎(ISE)2.0及更高版本的用户的Microsoft Active Directory(AD)组成员身份配置TACACS+身份验证和命令授权，ISE使用AD作为外部身份库来存储资源，例如用户、计算机、组和属性。

先决条件

要求

Cisco 建议您了解以下主题：

Cisco IOS路由器完全正常运行
路由器和ISE之间的连接。
ISE服务器已引导并且与Microsoft AD连接

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科身份服务引擎2.0
思科IOS^®软件版本15.4(3)M3
Microsoft Windows Server 2012 R2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置

配置的目的是：

通过AD验证Telnet用户
授权telnet用户，使其在登录后进入特权执行模式
检查并将每个执行的命令发送到ISE进行验证

网络图

Network Diagram Configuration

配置

配置ISE进行身份验证和授权

加入ISE 2.0到Active Directory

1.导航到管理>身份管理>外部身份库> Active Directory >添加。提供加入点名称、Active Directory域并点击提交。

Join ISE 2.0 Active Directory

2.当提示将所有ISE节点加入此Active Directory域时，点击是。

Click Yes to Join All ISE Nodes to this Active Directory

3.提供AD用户名和密码，然后单击确定。

Provide AD User Name and Password

在ISE中访问域所需的AD帐户可以具有下列任一项：

将工作站添加到相应域中的域用户权限
在创建ISE计算机的帐户后将ISE计算机加入域之前，在相应计算机容器上创建计算机对象或删除计算机对象权限

注意：思科建议禁用ISE帐户的锁定策略，并配置AD基础设施，以便在为该帐户使用错误密码时向管理员发送警报。输入错误密码时，ISE不会在必要时创建或修改其计算机帐户，因此可能会拒绝所有身份验证。

4.复查工序状态。节点状态必须显示为已完成。单击 Close。

Review Operation Status - Must Show up as Completed

5. AD状态为运行。

Status of AD is Operational

6.定位至“组”>“添加”>“从目录选择组”>“检索组”。选中Network Admins AD Group和Network Maintenance Team AD Group复选框，如下图所示。

注意：用户admin是网络管理员AD组的成员。此用户具有完全访问权限。此用户是网络维护团队AD组的成员。此用户只能执行show命令。

Select Network Admins AD Group and Network Maintenance Team AD Group Checkboxes

7.单击保存以保存检索到的AD组。

添加网络设备

导航至工作中心(Work Centers)>设备管理(Device Administration)>网络资源(Network Resources)>网络设备(Network Devices)。单击 Add。提供名称、IP地址，选中TACACS+身份验证设置复选框并提供共享密钥。

Provide Name, IP Address and Select TACACS+ Authentication Settings

启用设备管理服务

导航到管理>系统>部署。选择所需的节点。选中Enable Device Admin Service复选框，然后单击Save。

Choose Enable Device Admin Service

注意：对于TACACS，您需要安装单独的许可证。

配置TACACS命令集

配置了两个命令集。用户admin的第一个PermitAllCommands，它允许设备上的所有命令。第二个PermitShowCommands用于仅允许show命令的用户用户。

1.导航到工作中心>设备管理>策略结果> TACACS命令集。单击 Add。提供名称PermitAllCommands，选中Permit any command复选框（未列出），然后单击Submit。

Configure TACACS Command Sets

2.导航到工作中心>设备管理>策略结果> TACACS命令集。单击 Add。提供名称PermitShowCommands，单击Add并允许show和exit命令。默认情况下，如果Arguments留空，则包括所有参数。单击“Submit”。

Provide the Name PermitShowCommands

配置TACACS配置文件

配置单个TACACS配置文件。TACACS配置文件与ACS上的外壳配置文件概念相同。实际的命令实施通过命令集完成。导航到工作中心(Work Centers)>设备管理(Device Administration)>策略结果(Policy Results)> TACACS配置文件(TACACS Profiles)。单击 Add。提供名称ShellProfile，选中Default Privilege复选框，然后输入值15。单击Submit。

Configure TACACS Profile

配置TACACS授权策略

默认情况下，“身份验证策略”(Authentication Policy)指向All_User_ID_Stores（包括AD），因此它保持不变。

导航至工作中心(Work Centers)>设备管理(Device Administration)>策略集(Policy Sets)>默认(Default)>授权策略(Authorization Policy)>编辑(Edit)>在上述位置插入新规则(Insert New Rule Above)。

Configure TACACS Authorization Policy

配置两个授权规则；第一条　规则根据Network Admins AD Group membership分配TACACS配置文件ShellProfile和命令Set PermitAllCommands。第二条　规则根据网络维护团队AD组成员资格分配TACACS配置文件ShellProfile和命令Set PermitShowCommands。

Two Authorization Rules are Configured: PermitAllCommands and PermitShowCommands

配置Cisco IOS路由器以进行身份验证和授权

完成以下步骤以配置Cisco IOS路由器以进行身份验证和授权。

1.使用username命令创建具有完全回退权限的本地用户，如下所示。

username cisco privilege 15 password cisco

2.启用aaa new-model。定义TACACS服务器ISE，并将其放置在ISE_GROUP组中。

aaa new-model

tacacs server ISE
 address ipv4 10.48.17.88
 key cisco
aaa group server tacacs+ ISE_GROUP
 server name ISE

注意：服务器密钥与之前在ISE服务器上定义的密钥匹配。

3.如图所示，使用test aaa命令测试TACACS服务器的可达性。

Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

上一个命令的输出显示TACACS服务器可访问，且用户已成功通过身份验证。

4.配置登录并启用身份验证，然后使用exec和命令授权，如下所示。

aaa authentication login AAA group ISE_GROUP local
aaa authentication enable default group ISE_GROUP enable
aaa authorization exec AAA group ISE_GROUP local 
aaa authorization commands 0 AAA group ISE_GROUP local 
aaa authorization commands 1 AAA group ISE_GROUP local 
aaa authorization commands 15 AAA group ISE_GROUP local
aaa authorization config-commands

注意：创建的方法列表名为AAA，稍后在将其分配至线路vty时使用。

5.将方法列表分配给行vty 0 4。

line vty 0 4
 authorization commands 0 AAA
 authorization commands 1 AAA
 authorization commands 15 AAA
 authorization exec AAA
 login authentication AAA

验证

Cisco IOS路由器验证

1. Telnet至Cisco IOS路由器，作为属于AD中完全访问组的管理员。Network Admins group是AD中映射到ISE上的ShellProfile和PermitAllCommands命令集的组。尝试运行任何命令以确保完全访问。

Username:admin
Password:

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption aes 
Router(config-isakmp)#exit
Router(config)#exit
Router#

2.以属于AD中有限访问组的用户Telnet至Cisco IOS路由器。网络维护团队组是AD中映射到ISE上设置的ShellProfile和PermitShowCommands命令的组。尝试运行任何命令以确保只能发出show命令。

Username:user
Password:

Router#show ip interface brief | exclude unassigned
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         10.48.66.32     YES NVRAM  up                    up      

Router#ping 8.8.8.8
Command authorization failed.

Router#configure terminal
Command authorization failed.

Router#show running-config | include hostname
hostname Router
Router#

ISE 2.0验证

1.导航到操作> TACACS实时日志。确保看到所做的尝试。

ISE 2.0 Verification

2.单击其中一个红色报表的详细信息。以前执行的失败命令可见。

Detailed Red Reports

故障排除

Error:13025命令无法匹配Permit规则

检查SelectedCommandSet属性以验证预期命令集是否已由授权策略选择。

版本	发布日期	备注
2.0	27-Sep-2022	软件维护于2020年3月17日结束。针对格式、机器翻译、标题和简介要求以及语法进行了更新。
1.0	23-Oct-2015	初始版本