在DNA中心和ISE 3.1上配置RADIUS外部身份驗證

簡介

本文檔介紹如何使用運行3.1版的Cisco ISE伺服器在Cisco DNA Center上配置RADIUS外部身份驗證。 

必要條件

需求

思科建議您瞭解以下主題：

• Cisco DNA Center和Cisco ISE已經整合，並且整合處於活動狀態。 

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco DNA Center 2.3.5.x版本。
• Cisco ISE 3.1版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

步驟1。登入Cisco DNA Center GUI，然後導覽至System > Settings > Authentication and Policy Servers。

驗證RADIUS通訊協定是否已設定，以及ISE型別伺服器的ISE狀態是否為Active。 

附註：RADIUS_TACACS通訊協定型別適用於此檔案。

警告：如果ISE伺服器未處於Active Status，您必須首先修復整合。

步驟2.在ISE伺服器導航到管理>網路資源>網路裝置，點選過濾器圖示，寫入Cisco DNA中心IP地址，並確認是否存在條目。如果是，請繼續執行步驟3。

如果缺少條目，您必須看到無可用資料消息。

在這種情況下，您必須為Cisco DNA Center建立網路裝置，然後按一下Add按鈕。   

從Cisco DNA Center配置Name、Description和IP Address（或Addresses），所有其他設定均設定為Default（預設值），因此本文檔不需要這些設定。 

向下滾動並啟用RADIUS Authentication Settings(通過按一下其覈取方塊並配置共享金鑰)。 

提示：以後將需要此共用金鑰，請將其儲存到其他位置。

然後，按一下Submit。 

步驟3.在ISE伺服器上，導航到Policy > Policy Elements > Results，以建立授權配置檔案。

確保您位於Authorization > Authorization Profiles下，然後選擇Add選項。 

配置Name，新增Description以保留新配置檔案的記錄，並確保Access Type設定為ACCESS_ACCEPT。

向下滾動並配置Advanced Attributes Settings。

在左列中搜尋cisco-av-pair選項，然後選擇它。

在右列手動鍵入Role=SUPER-ADMIN-ROLE。 

一旦它看起來像下面的影象，請按一下Submit。

步驟4.在ISE伺服器上，導航至工作中心>分析器>策略集，以配置身份驗證和授權策略。

確定Default策略，然後按一下藍色箭頭進行配置。

在Default Policy Set內，展開Authentication Policy，然後在Default部分下展開Options，並確保它們與下面的配置匹配。 

提示：在3個選項上配置的REJECT也有效

在Default Policy Set內，展開Authorization Policy，然後選擇Add圖示以建立新的Authorization Condition。 

配置Rule Name，然後按一下Add圖示配置Condition。

作為條件的一部分，將其與步驟2中配置的網路裝置IP地址相關聯。

按一下Save。 

將其另存為新的庫條件，並根據需要為其命名，在本例中將其命名為DNAC。

最後，配置在步驟3中建立的Profile。

 

按一下Save。

步驟5.登入Cisco DNA Center GUI，然後導覽至System > Users & Roles > External Authentication。

按一下Enable External User選項，並將AAA Attribute設定為Cisco-AVPair。

 

附註：ISE伺服器在後端使用Cisco-AVPair屬性，因此第3步上的配置有效。

向下滾動檢視AAA伺服器配置部分。在步驟1中配置ISE伺服器的IP地址，並在步驟3中配置共用金鑰。

然後按一下View Advanced Settings。 

 

確認已選擇RADIUS選項，並在兩個伺服器上按一下「Update（更新）」按鈕。

 

您必須看到每條消息的「成功」消息。 

現在，您可以使用在ISE選單>管理>身份管理>身份>使用者下建立的任何ISE身份登入。

如果您沒有建立任何網路，請登入到ISE，導航到上面的路徑，然後新增新的網路訪問使用者。

驗證

載入Cisco DNA Center GUI並從ISE身份使用使用者登入。 

DNA Center登入

附註：ISE標識上的任何使用者現在都可以登入。您可以在ISE伺服器上的身份驗證規則中新增更精細的粒度。

登入成功後，Cisco DNA Center GUI上顯示使用者名稱

歡迎螢幕

更多角色  

您可以對Cisco DNA Center上的每個角色重複以下步驟（預設情況下我們有）：SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE和OBSERVER-ROLE。

在本文檔中，我們使用SUPER-ADMIN-ROLE角色示例，但是，您可以為Cisco DNA Center上的每個角色在ISE上配置一個授權配置檔案，唯一的考慮事項是在步驟3上配置的角色需要完全匹配（區分大小寫）Cisco DNA Center上的角色名稱。