Autorisierungsablauf für passive ID-Sitzungen in ISE 3.2 konfigurieren

Download-Optionen

  • PDF     (594.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (334.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (394.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Februar 2023
Dokument-ID:220239

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Autorisierungsregeln für passive ID-Ereignisse konfiguriert werden, um den Sitzungen SGTs zuzuweisen.

    Hintergrundinformationen

    Passive Identitätsdienste (passive ID) authentifizieren Benutzer nicht direkt, sondern erfassen Benutzeridentitäten und IP-Adressen von externen Authentifizierungsservern wie Active Directory (AD), auch Anbieter genannt, und geben diese Informationen dann an Teilnehmer weiter.

    ISE 3.2 enthält eine neue Funktion, mit der Sie eine Autorisierungsrichtlinie konfigurieren können, um einem Benutzer ein Security Group Tag (SGT) auf Basis der Active Directory-Gruppenmitgliedschaft zuzuweisen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco ISE 3.x
    • Passive ID-Integration mit beliebigen Anbietern
    • Active Directory (AD)-Verwaltung
    • Segmentierung (TrustSec)
    • PxGrid (Platform Exchange Grid)

    Verwendete Komponenten

    • Identity Service Engine (ISE) Softwareversion 3.2
    • Microsoft Active Directory
    • Syslogs

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfiguration

    Schritt 1: Aktivieren Sie die ISE-Services.

    1. Navigieren Sie auf der ISE zu Administration > Deployment, wählen Sie den ISE-Knoten aus, und klicken Sie auf Edit, Enable Policy Service (Bearbeiten) und wählen Sie Enable Passive Identity Service (Passiven Identitätsdienst aktivieren) aus. Optional können Sie SXP und PxGrid aktivieren, wenn die passiven ID-Sitzungen über jede einzelne Sitzung veröffentlicht werden müssen. Klicken Sie auf Speichern.

    Warnung: SGT-Details der PassiveID-Anmeldebenutzer, die vom API-Anbieter authentifiziert wurden, können nicht in SXP veröffentlicht werden. Die SGT-Details dieser Benutzer können jedoch über pxGrid und pxGrid Cloud veröffentlicht werden.

    Dienste aktiviertDienste aktiviert

    Schritt 2: Konfigurieren Sie Active Directory.

    1. Navigieren Sie zu Administration > Identity Management > External Identity Sources, und wählen Sie Active Directory aus, und klicken Sie dann auf die Schaltfläche Add (Hinzufügen).
    2. Geben Sie den Namen des Verbindungspunkts und die Active Directory-Domäne ein. Klicken Sie auf Senden.

    Active Directory hinzufügenActive Directory hinzufügen

    3. Ein Popup-Fenster wird angezeigt, um der ISE beim AD beizutreten. Klicken Sie auf Ja. Geben Sie den Benutzernamen und das Kennwort ein. Klicken Sie auf OK.

    Weiter zur ISEWeiter zu ISE Active Directory beitretenJoin Active Directory

    4. AD-Gruppen abrufen. Navigieren Sie zu Gruppen, klicken Sie auf Hinzufügen, dann auf Gruppen abrufen, wählen Sie alle interessierten Gruppen aus, und klicken Sie auf OK.

    AD-Gruppen abrufenAD-Gruppen abrufen

    Abgerufene GruppenAbgerufene Gruppen

    5. Autorisierungsablauf aktivieren. Navigieren Sie zu Erweiterte Einstellungen, und aktivieren Sie im Abschnitt PassiveID-Einstellungen das Kontrollkästchen Autorisierungsablauf. Klicken Sie auf Speichern.

    Autorisierungsablauf aktivierenAutorisierungsablauf aktivieren

    Schritt 3: Konfigurieren Sie den Syslog-Anbieter.

    1. Navigieren Sie zu Work Centers > PassiveID > Providers, wählen Sie Syslog Providers aus, klicken Sie auf Add (Hinzufügen), und geben Sie die Informationen an. Klicken Sie auf Save (Speichern).

    Achtung: In diesem Fall empfängt die ISE die Syslog-Meldung einer erfolgreichen VPN-Verbindung in einer ASA, diese Konfiguration wird in diesem Dokument jedoch nicht beschrieben.

    Syslog-Anbieter konfigurierenSyslog-Anbieter konfigurieren

    1. Klicken Sie auf Benutzerdefinierter Header. Fügen Sie das Beispiel-Syslog ein, und suchen Sie mit einem Trennzeichen oder einer Registerkarte nach dem Hostnamen des Geräts. Wenn dies der Fall ist, wird der Hostname angezeigt. Klicken Sie auf Save (Speichern).

    Benutzerdefinierten Header konfigurierenBenutzerdefinierten Header konfigurieren

    Schritt 4: Konfiguration der Authentifizierungsregeln

    1. Navigieren Sie zu Policy > Policy Sets (Richtlinie > Richtliniensätze). In diesem Fall wird die Standardrichtlinie verwendet. Klicken Sie auf die Standard-Richtlinie. Fügen Sie in der Autorisierungsrichtlinie eine neue Regel hinzu. In den PassiveID-Richtlinien hat die ISE alle Anbieter. Sie können diese mit einer PassiveID-Gruppe kombinieren. Wählen Sie Zugriffsberechtigung als Profil aus, und wählen Sie in Sicherheitsgruppen die SGT-Anforderung aus.

    Konfiguration der AuthentifizierungsregelnKonfiguration der Authentifizierungsregeln

    Überprüfung

    Sobald die ISE das Syslog empfängt, können Sie die Radius Live Logs überprüfen, um den Autorisierungsfluss anzuzeigen. Navigieren Sie zu Operationen > Radius > Live-Protokolle.

    In den Protokollen wird das Authorization-Ereignis angezeigt. Dieser enthält den Benutzernamen, die Autorisierungsrichtlinie und das zugehörige Security Group Tag.

    Radius-Live-ProtokollRadius-Live-Protokoll

    Klicken Sie auf den Detailbericht, um weitere Details zu überprüfen. Hier sehen Sie den Nur-Autorisieren-Fluss, der die Richtlinien für die Zuweisung des SGT auswertet.

    Radius Live-ProtokollberichtRadius Live-Protokollbericht

    Fehlerbehebung

    In diesem Fall werden zwei Flows verwendet: die passiveID-Sitzung und der Autorisierungsfluss. Um das Debugging zu aktivieren, navigieren Sie zu Operations > Troubleshoot > Debug Wizard > Debug Log Configuration, und wählen Sie den ISE-Knoten aus.

    Aktivieren Sie für die PassiveID die nächsten Komponenten auf der DEBUG-Ebene:

    • PassiveID

    Um die Protokolle anhand des Anbieters der passiven ID, der Datei, die für dieses Szenario geprüft werden soll, zu überprüfen, müssen Sie die Datei passiveid-syslog.log für die anderen Anbieter überprüfen:

    • passiveid-agent.log
    • passiveid-api.log
    • passiveid-endpoint.log
    • passiveid-span.log
    • Passiveid-Wmilog

    Aktivieren Sie für den Autorisierungsablauf die nächsten Komponenten auf der DEBUG-Ebene:

    • Policy-Engine
    • Port-JNI

    Beispiel:

    Debugging aktiviertDebugging aktiviert

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Feb-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Ruben De La Vega
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.