簡介
本文檔介紹如何使用運行3.1版的Cisco ISE伺服器在Cisco DNA Center上配置RADIUS外部身份驗證。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco DNA Center和Cisco ISE已經整合,並且整合處於活動狀態。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco DNA Center 2.3.5.x版本。
- Cisco ISE 3.1版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
步驟 1. 登入Cisco DNA Center GUI,然後導覽至 > > Authentication and Policy Servers。
驗證RADIUS通訊協定是否已設定,以及ISE型別伺服器的ISE狀態是否為Active。
注意:RADIUS_TACACS通訊協定類型適用於此檔案。
警告:如果ISE伺服器未處於活動狀態,您必須首先修復整合。
步驟 2.在ISE伺服器上,導航到管理>網路資源>網路裝置,按一下Filter圖示,寫入Cisco DNA Center IP地址,並確認是否存在條目。如果是,請繼續執行步驟3。
如果缺少條目,您必須看到無可用資料消息。
在這種情況下,您必須為Cisco DNA Center建立網路裝置,然後按一下Add按鈕。
從Cisco DNA Center配置Name、Description和IP Address(或Addresses),所有其他設定均設定為Default(預設值),因此本文檔不需要這些設定。
向下滾動並啟用RADIUS Authentication Settings(通過按一下其覈取方塊並配置共享金鑰)。
提示:此共享密鑰稍後將需要使用,因此請將其儲存到其他位置。
然後,按一下Submit。
步驟 3.在ISE伺服器上,導航到Policy > Policy Elements > Results,以建立授權配置檔案。
確保您位於Authorization > Authorization Profiles下,然後選擇Add選項。
配置Name,新增Description以保留新配置檔案的記錄,並確保Access Type設定為ACCESS_ACCEPT。
向下滾動並配置Advanced Attributes Settings。
在左列中搜尋cisco-av-pair選項,然後選擇它。
在右列手動鍵入Role=SUPER-ADMIN-ROLE。
一旦它看起來像下面的影象,請按一下Submit。
步驟 4.在ISE伺服器上,導航到工作中心>分析器>策略集,以配置身份驗證和授權策略。
確定Default策略,然後按一下藍色箭頭進行配置。
在Default Policy Set內,展開Authentication Policy,然後在Default部分下展開Options,並確保它們與下面的配置匹配。
在Default Policy Set內,展開Authorization Policy,然後選擇Add圖示以建立新的Authorization Condition。
配置Rule Name,然後按一下Add圖示配置Condition。
作為條件的一部分,將其與步驟2中配置的網路裝置IP地址相關聯。
按一下Save。
將其另存為新的庫條件,並根據需要為其命名,在本例中將其命名為 DNAC
.
最後,配置在步驟3中建立的Profile。
按一下Save。
步驟 5. 登入Cisco DNA Center GUI,然後導覽至 > > External Authentication。
按一下Enable External User選項,並將AAA Attribute設定為Cisco-AVPair。
注意:ISE伺服器在後端使用屬性Cisco-AVPair,因此第3步的配置有效。
向下滾動檢視AAA伺服器配置部分。在步驟1中配置ISE伺服器的IP地址,並在步驟3中配置共用金鑰。
然後按一下View Advanced Settings。
確認已選擇RADIUS選項,並在兩個伺服器上按一下「Update(更新)」按鈕。
您必須看到每條消息的「成功」消息。
驗證
載入Cisco DNA Center GUI 並使用使用者從ISE身份登入。
DNA Center登入
注意:ISE標識上的任何使用者現在都可以登入。您可以在ISE伺服器上的身份驗證規則中新增更精細的粒度。
登入成功後,Cisco DNA Center GUI上顯示使用者名稱
歡迎螢幕
更多角色
您可以對Cisco DNA Center上的每個角色重複這些步驟,預設情況下我們有:SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE和OBSERVER-ROLE。
在本文檔中,我們使用SUPER-ADMIN-ROLE角色示例,但是,您可以為Cisco DNA Center上的每個角色在ISE上配置一個授權配置檔案,唯一的考慮事項是在步驟3上配置的角色需要完全匹配(區分大小寫)Cisco DNA Center上的角色名稱。