使用外部身份库对思科 ISE 进行管理访问
在Cisco ISE 中,您可以通过外部身份库(例如,Active Directory、LDAP 或 RSA SecureID)对管理员进行身份验证。您可以使用两种模式,通过外部身份库提供身份验证:
-
外部身份验证和授权:没有在本地Cisco ISE 数据库中为管理员指定的凭证,授权仅基于外部身份库组成员身份。此模式用于 Active Directory 和 LDAP 身份验证。
-
外部身份验证和内部授权:管理员的身份验证凭证来自外部身份源,并使用本地Cisco ISE 数据库分配授权和管理员职责。此模式用于 RSA SecurID 身份验证。此方法要求您同时在外部身份库和本地Cisco ISE 数据库中配置相同的用户名。
在身份验证过程中,如果与外部身份库的通信尚未建立或失败,Cisco ISE 将“后退”,并尝试从内部身份数据库执行身份验证。此外,无论已为其设置外部身份验证的管理员何时启动浏览器和发起登录会话,该管理员都可以从登录对话中的身份存储区 (Identity Store) 下拉列表中选择内部 (Internal),请求通过Cisco ISE 本地数据库进行身份验证。
属于超级管理员组且配置为使用外部身份存储区进行身份验证和授权的管理员也可以使用外部身份存储区进行身份验证,以访问命令行界面 (CLI)。
注 |
您可以将此方法配置为仅通过 Admin 门户提供外部管理员身份验证。Cisco ISE CLI 不具备这些功能。 |
如果网络没有一个或多个现有外部身份库,请确保已安装必要的外部身份库,并已将Cisco ISE 配置为访问这些身份库。
外部身份验证和授权
默认情况下,Cisco ISE 提供内部管理员身份验证。要设置外部身份验证,您必须为您在外部身份库中定义的外部管理员帐户创建密码策略。然后,您可以将此策略应用于最终成为外部管理员 RBAC 策略一部分的外部管理员组。
除了通过外部身份库提供身份验证之外,您的网络还可能要求您使用通用访问卡 (CAC) 身份验证设备。
要配置外部身份验证,必须执行以下操作:
-
使用外部身份库,配置基于密码的身份验证。
-
创建外部管理员组。
-
为外部管理员组配置菜单访问和数据访问权限。
-
为外部管理员身份验证创建 RBAC 策略。
使用外部身份库配置基于密码的身份验证
必须先为使用外部身份库(例如 Active Directory 或 LDAP)进行身份验证的管理员配置基于密码的身份验证。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
在身份验证方式 (Authentication Method) 选项卡上,选择基于密码 (Password Based),然后选择您应已配置的外部身份源之一。例如,您已创建的 Active Directory 实例。 |
步骤 3 |
为使用外部身份库进行身份验证的管理员配置您所需的特定密码策略设置。 |
步骤 4 |
点击保存 (Save)。 |
创建外部管理员组
您需要创建一个外部 Active Directory 或 LDAP 管理员组。这可确保Cisco ISE 使用外部 Active Directory 或 LDAP 身份存储区中定义的用户名验证您登录时输入的管理员用户名和密码。
Cisco ISE 将从外部资源导出 Active Directory 或 LDAP 组信息并将其存储为字典属性。然后,在为此外部管理员身份验证方法配置 RBAC 策略时,您可以将该属性指定为策略元素之一。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 管理员 (Administrators) > 管理员组 (Admin Groups) 映射的外部组 (External Groups Mapped) 列显示映射到内部 RBAC 角色的外部组数量。您可以点击与管理员角色对应的数字以查看外部组(例如,如果点击超级管理员对应显示的 2,则系统将显示两个外部组的名称)。 |
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
输入名称和可选说明。 |
步骤 4 |
点击外部 (External)。 如果已连接并加入 Active Directory 域,则名称 (Name) 字段中会显示 Active Directory 实例名称。 |
步骤 5 |
从外部组 (External Groups) 下拉列表框中,选择要为此外部管理员组映射的 Active Directory 组。 点击“+”号以将更多 Active Directory 组映射至此外部管理员组。 |
步骤 6 |
点击保存 (Save)。 |
创建内部只读管理员
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
点击添加 (Add),然后选择创建管理员用户 (Create An Admin User)。 |
步骤 3 |
选中只读 (Read Only) 复选框以创建只读管理员。 |
将外部组映射至只读管理员组
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) 以配置外部身份验证源。 |
步骤 2 |
点击需要的外部身份源(例如 Active Directory 或 LDAP),然后从选定身份源检索组。 |
步骤 3 |
依次选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 身份验证 (Authentication),将管理员访问权限的身份验证方法映射到身份源。 |
步骤 4 |
依次选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 管理员 (Administrators) > 管理员组 (Admin Groups),然后选择只读管理员 (Read Only Admin) 组。 |
步骤 5 |
选中外部 (External) 复选框,并选择您想要为其提供只读权限的所需外部组。 |
步骤 6 |
点击保存 (Save)。 |
为外部管理员组配置菜单访问和数据访问权限
您必须配置可以分配给外部管理员组的菜单访问和数据访问权限。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
点击以下选项之一:
|
步骤 3 |
为外部管理员组指定菜单访问或数据访问权限。 |
步骤 4 |
点击保存 (Save)。 |
创建用于外部管理员身份验证的 RBAC 策略
必须配置新的 RBAC 策略, 以便使用外部身份存储区对管理员进行身份验证,并指定自定义菜单和数据访问权限。此策略必须拥有用于身份验证的外部管理员组以及Cisco ISE 菜单和数据访问权限以管理外部身份验证和授权。
注 |
您无法修改现有(系统预设)RBAC 策略以指定这些新外部属性。如果想要将某个现有策略用作模板,则必须复制该策略,为其重命名,然后分配新属性。 |
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
指定规则名称、外部管理员组和权限。 请记住,必须向正确的管理员用户 ID 分配相应的外部管理员组。确保管理员与正确的外部管理员组关联。 |
步骤 3 |
点击保存 (Save)。 如果您以管理员身份登录,而且Cisco ISE RBAC 策略无法验证您的管理员身份,则Cisco ISE 会显示“unauthenticated”消息,而且您无法访问 Admin 门户。 |
使用外部身份库配置管理员访问权限以使用内部授权进行身份验证
此方法要求您同时在外部身份库和本地Cisco ISE 数据库中配置相同的用户名。当您配置Cisco ISE 使用外部 RSA SecurID 身份库来提供管理员身份验证时,管理员凭证身份验证将由 RSA 身份库执行。但是,授权(策略应用)仍根据Cisco ISE 内部数据库进行。此外,还要记住两个与外部身份和授权不同的重要因素:
-
您不需要为管理员指定任何特定的外部管理员组。
-
您必须同时在外部身份库和本地Cisco ISE 数据库中配置相同的用户名。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
||
步骤 2 |
确保外部 RSA 身份库中的管理员用户名也存在于Cisco ISE 中。确保点击“密码”(Password) 下的 外部 (External) 选项。
|
||
步骤 3 |
点击保存 (Save)。 |
外部身份验证流程
当管理员登录时,登录会话会完成流程中的以下步骤:
-
管理员发送 RSA SecurID 质询。
-
RSA SecurID 返回质询响应。
-
管理员在Cisco ISE 登录对话框中输入用户名和 RSA SecurID 质询响应,就像输入用户 ID 和密码。
-
管理员确保指定的身份库为外部 RSA SecurID 资源。
-
管理员点击 Login。
登录之后,管理员仅可查看在 RBAC 策略中指定的菜单和数据访问项目。