Konfigurationsbeispiel für ISE Administrative Portal Access mit AD-Anmeldeinformationen

Download-Optionen

  • PDF     (241.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:30. September 2013
Dokument-ID:116503

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird ein Konfigurationsbeispiel für die Verwendung von Microsoft Active Directory (AD) als externer Identitätsspeicher für den Administratorzugriff auf die Management-GUI der Cisco Identity Services Engine (ISE) beschrieben.

Voraussetzungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Konfiguration der Cisco ISE Version 1.1.x oder höher
  • Microsoft AD

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco ISE Version 1.1.x
  • Windows Server 2008 Version 2

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konfigurieren

In diesem Abschnitt können Sie festlegen, dass Microsoft AD als externer Identitätsspeicher für den Administratorzugriff auf die Cisco ISE-Verwaltungs-GUI verwendet werden soll.

Der ISE zur AD beitreten

  1. Navigieren Sie zu Administration > Identity Management > External Identity Sources > Active Directory.
  2. Geben Sie den AD-Domänennamen und den Namen des Identitätsspeichers ein, und klicken Sie auf Beitreten.
  3. Geben Sie die Anmeldeinformationen des AD-Kontos ein, das Computerobjekte hinzufügen und ändern kann, und klicken Sie auf Konfiguration speichern.

     

Verzeichnisgruppen auswählen

  1. Navigieren Sie zu Administration > Identity Management > External Identity Sources > Active Directory > Groups > Add > Select groups from Directory
  2. Importieren Sie mindestens eine AD-Gruppe, der Ihr Administrator angehört.

     

Administrator-Zugriff für AD aktivieren

Führen Sie die folgenden Schritte aus, um die kennwortbasierte Authentifizierung für AD zu aktivieren:

  1. Navigieren Sie zu Administration > System > Admin Access > Authentication.
  2. Wählen Sie auf der Registerkarte Authentifizierungsmethode die Option Passwortbasiert aus.
  3. Wählen Sie AD aus dem Dropdown-Menü Identitätsquelle aus.
  4. Klicken Sie auf Änderungen speichern.

Konfigurieren der Admin-Gruppe zur AD-Gruppenzuordnung

Definieren Sie eine Cisco ISE-Administratorgruppe, und ordnen Sie sie einer AD-Gruppe zu. Dies ermöglicht die Autorisierung zum Bestimmen der rollenbasierten Zugriffsberechtigungen (RBAC) für den Administrator auf Basis der Gruppenmitgliedschaft in AD. 

  1. Navigieren Sie zu Administration > System > Admin Access > Administrators > Admin Groups.
  2. Klicken Sie in der Tabellenüberschrift auf Hinzufügen, um den neuen Konfigurationsbereich für die Admin-Gruppe anzuzeigen.
  3. Geben Sie den Namen für die neue Admin-Gruppe ein.
  4. Aktivieren Sie im Feld Type (Typ) das Kontrollkästchen External.
  5. Wählen Sie aus dem Dropdown-Menü Externe Gruppen die AD-Gruppe aus, der diese Admin-Gruppe zugeordnet werden soll, wie im Abschnitt Verzeichnisgruppen auswählen definiert.
  6. Klicken Sie auf Änderungen speichern.

     

RBAC-Berechtigungen für die Admin-Gruppe festlegen

Gehen Sie wie folgt vor, um den im vorherigen Abschnitt erstellten Admin-Gruppen RBAC-Berechtigungen zuzuweisen:

  1. Navigieren Sie zu Administration > System > Admin Access > Authorization > Policy.
  2. Wählen Sie im Dropdown-Menü "Aktionen" auf der rechten Seite die Option Neue Richtlinie einfügen unten aus, um eine neue Richtlinie hinzuzufügen.
  3. Erstellen Sie eine neue Regel mit dem Namen ISE_administration_AD, ordnen Sie sie der im Abschnitt "Admin-Zugriff für AD aktivieren" definierten Admin-Gruppe zu, und weisen Sie ihr Berechtigungen zu.

    Hinweis: In diesem Beispiel wird die Admin-Gruppe mit dem Namen Super Admin zugewiesen. Dies entspricht dem Standard-Admin-Konto.

  4. Klicken Sie auf Save Changes (Änderungen speichern), um die Bestätigung der gespeicherten Änderungen in der unteren rechten Ecke der GUI anzuzeigen.

     

Zugriff auf die ISE mit AD-Anmeldeinformationen

Gehen Sie wie folgt vor, um mit AD-Anmeldeinformationen auf die ISE zuzugreifen:

  1. Melden Sie sich von der Administrations-GUI ab.
  2. Wählen Sie AD1 aus dem Dropdown-Menü Identitätsquelle aus.
  3. Geben Sie den Benutzernamen und das Kennwort aus der AD-Datenbank ein, und melden Sie sich an.

Hinweis: Die ISE verwendet standardmäßig den internen Benutzerspeicher, wenn AD nicht erreichbar ist oder die verwendeten Kontoanmeldeinformationen in AD nicht vorhanden sind. Dies erleichtert die schnelle Anmeldung, wenn Sie den internen Speicher verwenden, während AD für den Administratorzugriff konfiguriert ist.

Überprüfung

Um sicherzustellen, dass Ihre Konfiguration ordnungsgemäß funktioniert, überprüfen Sie den authentifizierten Benutzernamen oben rechts in der ISE-GUI.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
09-Sep-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jatin Katyal
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren