TACACS+ 设备管理
思科 ISE 支持设备管理通过使用终端访问控制器访问控制系统 (TACACS+) 安全协议控制,来控制和审计网络设备的配置。网络设备可以配置为向思科 ISE 查询对设备管理员操作所进行的身份验证和授权,并发送思科 ISE 的记账信息以记录操作。它可以促进对谁可以访问哪个网络及更改关联网络设置进行精细控制。思科 ISE 管理员可以创建策略集,允许在设备管理访问服务的授权策略规则中选择 TACACS 结果(如命令集和外壳配置文件)。思科 ISE 监控节点可提供与设备管理相关的增强型报告。“工作中心”(Work Center) 菜单中包含所有设备管理页面,可作为 ISE 管理员的单一入手点。
思科 ISE 需要设备管理许可证才能使用 TACACS+。
设备管理中存在两种类型的管理员
-
设备管理员
-
思科 ISE 管理员
设备管理员是指登录到交换机、无线接入点、路由器和网关(一般通过 SSH)等网络设备以执行对所管理设备进行配置和维护的用户。思科 ISE 管理员可登录思科 ISE,配置并协调设备管理员所登录的设备。
思科 ISE 管理员是本文档的目标读者 ,他们可登录思科 ISE 以配置相应的设置,控制设备管理员的操作。思科 ISE 管理员使用设备管理功能(工作中心 (Work Centers) > 设备管理 (Device Administration))来控制和审核网络设备的配置。设备可配置为使用终端访问控制器访问控制系统 (TACACS) 安全协议来查询思科 ISE 服务器。思科 ISE 监控节点可提供与设备管理相关的增强型报告。思科 ISE 管理员可以执行以下任务:
-
配置带有 TACACS+ 详细信息(共享密钥)的网络设备。
-
添加设备管理员为内部用户,并根据需要为其设置启用密码。
-
创建策略集,这些策略集可使得 TACACS 结果(例如,命令集和 shell 配置文件)被选中到设备管理访问服务中的的授权策略规则中。
-
在思科 ISE 中配置 TACACS 服务器,允许设备管理员基于策略集来访问设备。
设备管理员负责设置设备以与思科 ISE 服务器进行通信。当设备管理员登录到设备时,设备将查询思科 ISE 服务器,后者进而查询内部或外部身份存储区,以验证设备管理员的详细信息。当思科 ISE 服务器完成验证后,设备将通知思科 ISE 服务器每个会话或用于记账和审核的命令授权操作的最终结果。
思科 ISE 管理员可以使用 TACACS 和思科 ISE 2.0 及更高版本来进行设备管理。与设备管理相关的配置也可以从思科安全访问控制系统 (ACS) 服务器5.5、5.6、5.7 和 5.8 中迁移。更早期的版本需在迁移之前升级到版本 5.5 或 5.6。
注 |
您应勾选以下页面中的启用设备管理服务 (Enable Device Admin Service) 复选框来启用 TACACS+ 操作:管理 (Administration) > 系统 (System) > 发展 (Deployment) > 通用设置 (General Settings)。确保部署中每个 PSN 都启用了此选项。 |
注 |
思科 ISE 需要设备管理许可证才能在现有的 Base 或 Mobility 许可证之上使用 TACACS+ 服务。设备管理许可证是一种永久许可证。当从较早版本升级到思科 ISE 版本 2.0 及更高版本,并且要启用 TACACS+ 服务时,必须订购设备管理许可证作为单独的附加许可证。设备管理许可证的数量必须与部署中的设备管理节点数量相同。 |
有关设备管理属性的信息,请参阅 ISE 设备管理属性。 有关无线局域网控制器、IOS 网络设备、思科 NX-OS 网络设备和网络设备的 TACACS+ 配置信息,请参阅 ISE 设备管理 (TACACS +)。 |