Konfigurieren des APIC für die Geräteadministration mit ISE und TACACS+

Aktualisiert:28. April 2023
Dokument-ID:220433

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Verfahren zur Integration des APIC in die ISE für die Benutzerauthentifizierung durch den Administrator mit dem TACACS+-Protokoll beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Application Policy Infrastructure Controller (APIC)
    • Identity Services Engine (ISE)
    • TACACS-Protokoll

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • APIC Version 4.2(7u)
    • ISE Version 3.2 Patch 1

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Netzwerkdiagramm

    Integration DiagramIntegrationsdiagramm

    Authentifizierungsverfahren

    Schritt 1:Melden Sie sich mit Administratoranmeldeinformationen bei der APIC-Anwendung an.

    Schritt 2: Der Authentifizierungsprozess wird ausgelöst, und die ISE überprüft die Anmeldeinformationen lokal oder über Active Directory.

    Schritt 3: Nach erfolgreicher Authentifizierung sendet die ISE ein Erlaubnispaket, um den Zugriff auf den APIC zu autorisieren.

    Schritt 4: Die ISE zeigt ein erfolgreiches Authentifizierungs-Liveprotokoll an.

    Hinweis: Der APIC repliziert die TACACS+-Konfiguration auf Leaf-Switches, die Teil der Fabric sind.

    APIC-Konfiguration

    Schritt 1: Navigieren Sie zu  Admin > AAA > Authentication > AAA  und wählen  + um eine neue Anmelde-Domäne zu erstellen.

    APIC Login Admin ConfigurationAdministratorkonfiguration für APIC-Anmeldung

    Schritt 2: Definieren Sie einen Namen und einen Bereich für die neue Anmeldungsdomäne, und klicken Sie auf + um einen neuen Anbieter zu gründen.

    APIC Login AdminAPIC-Anmeldeadministrator

    APIC TACACS ProviderAPIC TACACS-Anbieter

    Schritt 3: Definieren Sie die ISE-IP-Adresse oder den Hostnamen, definieren Sie einen gemeinsamen geheimen Schlüssel, und wählen Sie die Endpoint Policy Group (EPG) für die Verwaltung aus. Klicken Sie auf   Submit   um den TACACS+-Anbieter zum Anmelden von admin hinzuzufügen.

    APIC TACACS Provider SettingsAPIC TACACS Provider-Einstellungen

    Create Login Domain

    TACACS Provider ViewTACACS-Anbieteransicht

    ISE-Konfiguration

    Schritt 1: Navigieren Sie zu > Administration > Netzwerkressourcen > Netzwerk-Gerätegruppen. Erstellen Sie unter "Alle Gerätetypen" eine Netzwerk-Gerätegruppe.

    ISE Network Device GroupsISE-Netzwerk-Gerätegruppen

    Schritt 2: Navigieren Sie zu  Administration > Network Resources > Network Devices. Auswählen Add Definieren Sie den APIC-Namen und die IP-Adresse, wählen Sie APIC unter Device Type (Gerätetyp) und TACACS+ (TACACS+) aus, und definieren Sie das Kennwort für die APIC TACACS+ Provider-Konfiguration. Klicken Sie auf   Submit.

    ISE Network Devices

    Wiederholen Sie die Schritte 1 und 2 für Leaf-Switches.

    Schritt 3: Verwenden Sie die Anweisungen auf diesem Link, um die ISE in Active Directory zu integrieren. 

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html

    note-icon

    Hinweis: Dieses Dokument enthält interne Benutzer und AD-Administratorgruppen als Identitätsquellen. Der Test wird jedoch mit der Identitätsquelle der internen Benutzer durchgeführt. Das Ergebnis ist für AD-Gruppen identisch.

    Schritt 4. (Optional) Navigieren Sie zu > Administration > Identity Management > Groups. Auswählen  User Identity Groups und klicke auf  Add. Erstellen Sie eine Gruppe für schreibgeschützte Admin-Benutzer und Admin-Benutzer.

    Identity GroupIdentitätsgruppe

    Schritt 5. (Optional) Navigieren Sie zu > Administration > Identity Management > Identity.  Klicken Sie auf Add  und eine erstellen  Read Only Admin  Benutzer und  Admin  Benutzer. Weisen Sie jeden Benutzer jeder in Schritt 4 erstellten Gruppe zu.

    ISE Identity Management

    Schritt 6: Navigieren Sie zu > Administration > Identity Management > Identity Source Sequence. Auswählen Add, definieren einen Namen und wählen Sie  AD Join Points  und  Internal Users  Identitätsquelle aus der Liste. Auswählen  Treat as if the user was not found and proceed to the next store in the sequence unter  Advanced Search List Settings und klicke auf  Save.

    Identity Source SequenceIdentitätsquellensequenz

    7. Navigieren Sie zu ☰ > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  Wählen Sie Hinzufügen, definieren Sie einen Namen, und deaktivieren Sie die Kontrollkästchen CHAP zulassen und MS-CHAPv1 zulassen aus der Liste der Authentifizierungsprotokolle. Wählen Sie Speichern aus.

    TACACS Allow ProtocolTACACS-Zulässigkeitsprotokoll

    8. Navigieren Sie zu > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. Klicken Sie auf   add  und erstellen Sie zwei Profile basierend auf den Attributen in der Liste unter  Raw View. Klicken Sie auf   Save.

    • Administrator: cisco-av-pair=shell:domains=all/admin/
    • Schreibgeschützter Administratorbenutzer: cisco-av-pair=shell:domains=all//read-all
    note-icon

    Hinweis: Bei Leerzeichen oder zusätzlichen Zeichen schlägt die Autorisierungsphase fehl.

    TACACS ProfileTACACS-Profil

    TACACS Admin and Read Only Admin ProfilesTACACS-Admin- und schreibgeschützte Admin-Profile

    Schritt 9. Navigieren Sie zu > Work Centers > Device Administration > Device Admin Policy Set . Erstellen eines neuen Richtliniensatzes, Definieren eines Namens und Auswählen des Gerätetyps APIC  die in Schritt 1 erstellt wurden. Auswählen TACACS Protocol  in Schritt 7 erstellt. Klicken Sie dann auf  Save.

    TACACS Policy SetTACACS-Richtliniensatz

    Schritt 10. Neuerungen Policy Set Klicken Sie auf den Pfeil nach rechts. > und eine Authentifizierungsrichtlinie erstellen. Definieren Sie einen Namen, und wählen Sie die IP-Adresse des Geräts als Bedingung aus. Wählen Sie dann die in Schritt 6 erstellte Identitätsquellensequenz aus.

    Authentication PolicyAuthentifizierungsrichtlinie

    note-icon

    Hinweis: Speicherort oder andere Attribute können als Authentifizierungsbedingung verwendet werden.

    Schritt 11. Erstellen Sie ein Autorisierungsprofil für jeden Admin-Benutzertyp, definieren Sie einen Namen, und wählen Sie einen internen Benutzer und/oder eine AD-Benutzergruppe als Bedingung aus. Es können zusätzliche Bedingungen wie der APIC verwendet werden. Wählen Sie für jede Autorisierungsrichtlinie das passende Shell-Profil aus, und klicken Sie auf  Save.

    TACACS Authorization ProfileTACACS-Autorisierungsprofil

    Überprüfung

    Schritt 1: Melden Sie sich über die APIC-Benutzeroberfläche mit den Anmeldeinformationen für den Benutzeradministrator an. Wählen Sie in der Liste die Option TACACS aus.

    APIC LoginAPIC-Anmeldung

    Schritt 2: Überprüfen Sie, ob der Zugriff auf die APIC-Benutzeroberfläche und die Anwendung der richtigen Richtlinien in den TACACS Live-Protokollen erfolgt.

    APIC Welcome MessageAPIC-Willkommensmeldung

    Wiederholen Sie die Schritte 1 und 2 für schreibgeschützte Administratorbenutzer.

    TACACS+ Live LogsTACACS+ Live-Protokolle

    Fehlerbehebung

    Schritt 1: Navigieren Sie zu > Operations > Troubleshoot > Debug Wizard. Auswählen TACACS  und klicke auf  Debug Nodes.

    Debug Profile ConfigurationKonfiguration des Debugprofils

    Schritt 2: Wählen Sie den Knoten aus, der den Datenverkehr empfängt, und klicken Sie auf Save.

    Debug Nodes SelectionAuswahl der Debug-Knoten

    Schritt 3: Führen Sie einen neuen Test durch, und laden Sie die Protokolle herunter unter  Operations > Troubleshoot > Download logs  wie dargestellt:

    AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

    Falls die Debugging-Informationen keine Authentifizierungs- und Autorisierungsinformationen enthalten, überprüfen Sie Folgendes:

    1. Der Geräteverwaltungsdienst ist auf dem ISE-Knoten aktiviert.
    2. Die richtige ISE-IP-Adresse wurde der APIC-Konfiguration hinzugefügt.
    3. Falls sich eine Firewall in der Mitte befindet, stellen Sie sicher, dass Port 49 (TACACS) zulässig ist.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    28-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Emmanuel Cano Gutierrez
      Cisco Security Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.