TACACS+ 设备管理
Cisco ISE 支持设备管理通过使用终端访问控制器访问控制系统 (TACACS+) 安全协议控制,来控制和审计网络设备的配置。网络设备可以配置为向Cisco ISE 查询对设备管理员操作所进行的身份验证和授权,并发送Cisco ISE 的记账信息以记录操作。它可以促进对谁可以访问哪个网络及更改关联网络设置进行精细控制。Cisco ISE 管理员可以创建策略集,允许在设备管理访问服务的授权策略规则中选择 TACACS 结果(如命令集和外壳配置文件)。Cisco ISE 监控节点可提供与设备管理相关的增强型报告。“工作中心”(Work Center) 菜单中包含所有设备管理页面,可作为 ISE 管理员的单一入手点。
Cisco ISE 需要设备管理许可证才能使用 TACACS+。
设备管理中存在两种类型的管理员
-
设备管理员
-
Cisco ISE 管理员
设备管理员是指登录到交换机、无线接入点、路由器和网关(一般通过 SSH)等网络设备以执行对所管理设备进行配置和维护的用户。Cisco ISE 管理员可登录Cisco ISE,配置并协调设备管理员所登录的设备。
Cisco ISE 管理员是本文档的目标读者 ,他们可登录Cisco ISE 以配置相应的设置,控制设备管理员的操作。Cisco ISE 管理员使用设备管理功能(在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择工作中心 (Work Centers) > 设备管理 (Device Administration))来控制和审核网络设备的配置。设备可配置为使用终端访问控制器访问控制系统 (TACACS) 安全协议来查询Cisco ISE 服务器。Cisco ISE 监控节点可提供与设备管理相关的增强型报告。Cisco ISE 管理员可以执行以下任务:
-
配置带有 TACACS+ 详细信息(共享密钥)的网络设备。
-
添加设备管理员为内部用户,并根据需要为其设置启用密码。
-
创建策略集,这些策略集可使得 TACACS 结果(例如,命令集和 shell 配置文件)被选中到设备管理访问服务中的的授权策略规则中。
-
在Cisco ISE 中配置 TACACS 服务器,允许设备管理员基于策略集来访问设备。
设备管理员负责设置设备以与Cisco ISE 服务器进行通信。当设备管理员登录到设备时,设备将查询Cisco ISE 服务器,后者进而查询内部或外部身份存储区,以验证设备管理员的详细信息。当Cisco ISE 服务器完成验证后,设备将通知Cisco ISE 服务器每个会话或用于记账和审核的命令授权操作的最终结果。
Cisco ISE 管理员可以使用 TACACS 和Cisco ISE 2.0 及更高版本来进行设备管理。与设备管理相关的配置也可以从Cisco安全访问控制系统 (ACS) 服务器5.5、5.6、5.7 和 5.8 中迁移。更早期的版本需在迁移之前升级到版本 5.5 或 5.6。
注 |
您应选中管理 (Administration) > 系统 (System) > 部署 (Deployment) > 常规设置 (General Settings) 页面中的启用设备管理服务 (Enable Device Admin Service),以便启用 TACACS+ 操作。确保部署中每个 PSN 都启用了此选项。 由于已知会限制 TACACS+ 协议在交换机或路由器与思科 ISE 之间创建安全连接,因此,请确保在双方之间部署 IPsec 协议。 |
有关设备管理属性的信息,请参阅 ISE 设备管理属性。 有关无线局域网控制器、IOS 网络设备、Cisco NX-OS 网络设备和网络设备的 TACACS+ 配置信息,请参阅 ISE 设备管理 (TACACS +)。 |