Verstehen der Richtlinien für Administratorzugriff und RBAC auf der ISE

Download-Optionen

  • PDF     (4.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (4.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (3.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. August 2024
Dokument-ID:200891

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Funktionen der ISE zur Verwaltung des administrativen Zugriffs auf die Identity Services Engine (ISE) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

    • ISE
    • Active Directory
    • Lightweight Directory Access Protocol (LDAP)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ISE 3.0
    • Windows Server 2016

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Authentifizierungseinstellungen

    Administrator-Benutzer müssen sich authentifizieren, um auf alle Informationen auf der ISE zugreifen zu können. Die Identität von Admin-Benutzern kann mithilfe des internen ISE-Identitätsspeichers oder eines externen Identitätsspeichers überprüft werden. Die Authentizität kann entweder durch ein Kennwort oder ein Zertifikat überprüft werden. Um diese Einstellungen zu konfigurieren, navigieren Sie zuAdministration > System> Admin Access > Authentication. Wählen Sie auf der Registerkarte den erforderlichen Authentifizierungstyp ausAuthentication Method.

    Admin Authentication Methods

    Hinweis: Die kennwortbasierte Authentifizierung ist standardmäßig aktiviert. Wenn dies in eine Clientzertifikatbasierte Authentifizierung geändert wird, wird ein Anwendungsserver auf allen Bereitstellungsknoten neu gestartet.

    ISE ermöglicht die Konfiguration der CLI-Kennwortrichtlinie (Command Line Interface) über die CLI nicht. Die Kennwortrichtlinie für die grafische Benutzeroberfläche (GUI) und die CLI kann nur über die ISE-GUI konfiguriert werden. Navigieren Sie zurAdministration > System > Admin Access > AuthenticationRegisterkarte, und navigieren Sie zur entsprechendenPassword PolicyKonfiguration.

    Admin Password Policy

    Admin Password Policy 1

    Die ISE hat eine Bestimmung, um einen inaktiven Administrator-Benutzer zu deaktivieren. Um dies zu konfigurieren, navigieren Sie zu Administration > System > Admin Access > Authentication, und navigieren Sie zur RegisterkarteAccount Disable Policy.

    Admin Account Disable Policy

    Die ISE bietet außerdem die Möglichkeit, ein Administrator-Benutzerkonto abhängig von der Anzahl der fehlgeschlagenen Anmeldeversuche zu sperren oder auszusetzen. Um dies zu konfigurieren, navigieren Sie zuAdministration > System > Admin Access > Authenticationder Registerkarte, und navigieren Sie zu dieserLock/Suspend Settings.

    Admin Account Lock/Suspend Policy

    Zur Verwaltung des administrativen Zugriffs müssen administrative Gruppen, Benutzer und verschiedene Richtlinien/Regeln ihre Berechtigungen kontrollieren und verwalten.

    Admin-Gruppen konfigurieren

    Navigieren Sie zuAdministration > System > Admin Access > Administrators > Admin Groups, um Administratorgruppen zu konfigurieren. Es gibt einige Gruppen, die standardmäßig integriert sind und nicht gelöscht werden können.

    Admin Groups

    Nachdem eine Gruppe erstellt wurde, wählen Sie die Gruppe aus, und klicken Sie auf Bearbeiten, um dieser Gruppe administrative Benutzer hinzuzufügen. Es gibt eine Bestimmung, nach der externe Identitätsgruppen den Admin-Gruppen auf der ISE zugeordnet werden können, sodass ein externer Admin-Benutzer die erforderlichen Berechtigungen erhält. Wählen Sie beim Hinzufügen des Benutzers den TypExternalaus, um den Benutzer zu konfigurieren.

    Admin Group Configuration

    Administrator-Benutzer konfigurieren

    Um Admin-Benutzer zu konfigurieren, navigieren Sie zuAdministration > System > Admin Access > Administrators > Admin Users.

    Administrators

    Klicken Sie auf Hinzufügen. Es stehen zwei Optionen zur Auswahl. Eine besteht darin, einen neuen Benutzer hinzuzufügen. Die andere besteht darin, einen Netzwerkzugriffsbenutzer (d. h. einen Benutzer, der als interner Benutzer konfiguriert ist, um auf das Netzwerk bzw. die Geräte zuzugreifen) zu einem ISE-Administrator zu machen.

    Administrators 1

    Nachdem Sie eine Option ausgewählt haben, müssen die erforderlichen Details bereitgestellt werden, und die Benutzergruppe muss basierend auf den Berechtigungen und Berechtigungen ausgewählt werden, die dem Benutzer erteilt werden.

    Administrator Configuration

    Berechtigungen konfigurieren

    Es gibt zwei Arten von Berechtigungen, die für eine Benutzergruppe konfiguriert werden können:

    1. Menüzugriff
    2. Datenzugriff

    Der Menüzugriff steuert die Navigationstransparenz auf der ISE. Es gibt zwei Optionen für jede Registerkarte, Einblenden oder Ausblenden, die konfiguriert werden kann. Eine Menüzugriffsregel kann so konfiguriert werden, dass ausgewählte Registerkarten ein- oder ausgeblendet werden.

    Der Datenzugriff steuert die Möglichkeit, die Identitätsdaten auf der ISE zu lesen, darauf zuzugreifen und zu ändern. Zugriffsberechtigungen können nur für Admin-Gruppen, Benutzeridentitätsgruppen, Endpunkt-Identitätsgruppen und Netzwerkgerätegruppen konfiguriert werden. Für diese Einheiten auf der ISE stehen drei Optionen zur Verfügung, die konfiguriert werden können. Es handelt sich um Vollzugriff, schreibgeschützten Zugriff und keinen Zugriff. Eine Datenzugriffsregel kann konfiguriert werden, um eine dieser drei Optionen für jede Registerkarte der ISE auszuwählen.

    Richtlinien für den Menüzugriff und den Datenzugriff müssen erstellt werden, bevor sie auf eine Administratorgruppe angewendet werden können. Einige Richtlinien sind standardmäßig integriert, können jedoch jederzeit angepasst oder neu erstellt werden.

    Navigieren Sie zum Konfigurieren einer Menüzugriffsrichtlinie zuAdministration > System > Admin Access > Authorization > Permissions > Menu Access.

    Admin Menu Access

    Klicken Sie auf Hinzufügen. Jede Navigationsoption in der ISE kann so konfiguriert werden, dass sie in einer Richtlinie angezeigt/ausgeblendet wird.

    Admin Menu Access Configuration

    Navigieren Sie zum Konfigurieren der Datenzugriffsrichtlinie zuAdministation > System > Admin Access > Authorization > Permissions > Data Access.

    Admin Data Access

    Klicken Sie auf Add, um eine neue Richtlinie zu erstellen und Berechtigungen für den Zugriff auf Admin-/Benutzeridentität-/Endpunktidentität-/Netzwerkgruppen zu konfigurieren.

    Admin Data Access Configuration

    RBAC-Richtlinien konfigurieren

    RBAC steht für Role-Based Access Control (rollenbasierte Zugriffskontrolle). Die Rolle (Admin-Gruppe), der ein Benutzer angehört, kann für die Verwendung der gewünschten Menü- und Datenzugriffsrichtlinien konfiguriert werden. Es können mehrere RBAC-Richtlinien für eine einzelne Rolle oder mehrere Rollen für den Zugriff auf das Menü und/oder die Daten in einer einzigen Richtlinie konfiguriert werden. Alle diese anwendbaren Richtlinien werden ausgewertet, wenn ein Administrator versucht, eine Aktion auszuführen. Die endgültige Entscheidung ist die Summe aller für diese Rolle geltenden Policies. Wenn es widersprüchliche Regeln gibt, die gleichzeitig zulassen und verweigern, setzt sich die Genehmigungsregel über die Verweigerungsregel hinweg. Um diese Richtlinien zu konfigurieren, navigieren Sie zuAdministration > System > Admin Access > Authorization > RBAC Policy.

    Admin Authorization Policy

    Klicken SieActions auf eine Richtlinie duplizieren/einfügen/löschen.

    Hinweis: Vom System erstellte Richtlinien und Standardrichtlinien können nicht aktualisiert werden, und Standardrichtlinien können nicht gelöscht werden.

    Hinweis: Mehrere Menü-/Datenzugriffsberechtigungen können nicht in einer einzigen Regel konfiguriert werden.

    Einstellungen für Administratorzugriff konfigurieren

    Zusätzlich zu den RBAC-Richtlinien können einige Einstellungen konfiguriert werden, die allen Admin-Benutzern gemeinsam sind.

    Um die Anzahl der maximal zulässigen Sitzungen sowie die Banner für die Anmeldung vor und nach der Anmeldung für die GUI und die CLI zu konfigurieren, navigieren Sie zuAdministration > System > Admin Access > Settings > Access. Konfigurieren Sie diese auf der Registerkarte Sitzung.

    Admin Login GUI Sessions Settings

    Um die Liste der IP-Adressen zu konfigurieren, von denen aus auf die GUI und die CLI zugegriffen werden kann, navigieren Sie zur RegisterkarteAdministration > System > Admin Access > Settings > Accessund navigieren Sie zu dieserIP Access.

    Admin IP Access Restriction

    Um eine Liste der Knoten zu konfigurieren, von denen Administratoren auf den MnT-Abschnitt der Cisco ISE zugreifen können, navigieren Sie zuAdministration > System > Admin Access > Settings > Accessder Registerkarte, und navigieren Sie zu dieserMnT Access.

    Um Knoten oder Einheiten innerhalb oder außerhalb der Bereitstellung das Senden von Syslogs an MnT zu ermöglichen, klicken Sie auf dasAllow any IP address to connect to MNTOptionsfeld. Klicken Sie auf das Optionsfeld, um nur Knoten oder Einheiten innerhalb der Bereitstellung Syslogs an MnT senden zu lassenAllow only the nodes in the deployment to connect to MNT.

    Admin MnT Access Restrictions

    Hinweis: Für ISE 2.6 Patch 2 und höher ist der ISE Messaging Service standardmäßig für die Bereitstellung von UDP-Syslogs für MnT aktiviert. Diese Konfiguration schränkt die Annahme von Syslogs von externen Einheiten über die Bereitstellung hinaus ein.

    Um einen Timeoutwert aufgrund der Inaktivität einer Sitzung zu konfigurieren, navigieren Sie zuAdministration > System > Admin Access > Settings > Session. Legen Sie diesen Wert auf derSession TimeoutRegisterkarte fest.

    Admin Session Timeout

    Um die derzeit aktiven Sitzungen anzuzeigen/ungültig zu machen, navigieren Sie zuAdministration > Admin Access > Settings > Session, und klicken Sie auf dieSession InfoRegisterkarte.

    Admin Session Info

    Administratorportalzugriff mit AD-Anmeldeinformationen konfigurieren

    Der ISE zur AD beitreten

    Um der ISE zu einer externen Domäne beizutreten, navigieren Sie zuAdministration > Identity Management > External Identity Sources > Active Directory. Geben Sie den neuen Namen des Join-Points und die Active Directory-Domäne ein. Geben Sie die Anmeldeinformationen des AD-Kontos ein, das hinzugefügt werden kann, nehmen Sie Änderungen an Computerobjekten vor, und klicken Sie auf OK.

    AD Join

    AD Connection

    Verzeichnisgruppen auswählen

    Navigieren Sie zuAdministration > Identity Management > External Identity Sources > Active Directory. Klicken Sie auf den gewünschten Verknüpfungspunkt-Namen, und navigieren Sie zur Registerkarte Gruppen. Klicken Sie auf .Add > Select Groups from Directory > Retrieve Groups Importieren Sie mindestens eine AD-Gruppe, der Ihr Administrator angehört, klicken Sie auf OK, und klicken Sie dann auf Speichern.

    AD Groups Selection

    AD Groups import

    Administrator-Zugriff für AD aktivieren

    Um die kennwortbasierte Authentifizierung der ISE mithilfe von AD zu aktivieren, navigieren Sie zuAdministration> System > Admin Access > Authentication. Wählen Sie auf derAuthentication MethodRegisterkarte diePassword-BasedOption aus. Wählen Sie AD aus dem Dropdown-Menü ausIdentity Source, und klicken Sie auf Speichern.

    Admin Authentication Method AD

    ISE-Administratorgruppe für AD-Gruppenzuordnung konfigurieren

    Dies ermöglicht die Autorisierung zur Bestimmung der RBAC-Berechtigungen für den Administrator auf Basis der Gruppenmitgliedschaft in AD. Um eine Cisco ISE-Admin-Gruppe zu definieren und diese einer AD-Gruppe zuzuordnen, navigieren Sie zuAdministration > System > Admin Access > Administrators > Admin Groups. Klicken Sie auf Hinzufügen, und geben Sie einen Namen für die neue Admin-Gruppe ein. Aktivieren Sie im Feld Type (Typ) das Kontrollkästchen External. Wählen Sie aus dem Dropdown-Menü Externe Gruppen die AD-Gruppe aus, der diese Admin-Gruppe zugeordnet werden soll (wie im Abschnitt definiertSelect Directory Groups). Senden Sie die Änderungen.

    External Groups for Admin

    RBAC-Berechtigungen für die Admin-Gruppe festlegen

    Um der im vorherigen Abschnitt erstellten Admin-Gruppe RBAC-Berechtigungen zuzuweisen, navigieren Sie zuAdministration > System > Admin Access > Authorization > RBAC Policy. Wählen Sie im Dropdown-Menü "Aktionen" auf der rechten Seite die OptionInsert new policy. Erstellen Sie eine neue Regel, ordnen Sie sie der im vorherigen Abschnitt definierten Administratorgruppe zu, weisen Sie sie mit den gewünschten Daten- und Menüzugriffsberechtigungen zu, und klicken Sie dann auf Speichern.

    Policy Selection for Admin

    Zugriff auf ISE mit AD-Anmeldeinformationen und Überprüfung

    Melden Sie sich von der Administrations-GUI ab. Wählen Sie den Namen des Verbindungspunkts aus dem Dropdown-Menü ausIdentity Source. Geben Sie den Benutzernamen und das Kennwort aus der AD-Datenbank ein, und melden Sie sich an.

    Admin Login Page

    Um sicherzustellen, dass die Konfiguration ordnungsgemäß funktioniert, überprüfen Sie den authentifizierten Benutzernamen über das Symbol Settings (Einstellungen) oben rechts in der ISE-GUI. Navigieren Sie zu Serverinformationen, und überprüfen Sie den Benutzernamen.

    ISE General Information

    Administratorportalzugriff mit LDAP konfigurieren

    Beitritt der ISE zum LDAP

    Navigieren Sie zuAdministration > Identity Management > External Identity Sources > Active Directory > LDAP. Geben Sie auf derGeneralRegisterkarte einen Namen für das LDAP ein, und wählen Sie das Schema alsActive Directoryaus.

    External Identity Sources

    Navigieren Sie anschließend zur Registerkarte, um den Verbindungstyp zu konfigurierenConnection. Legen Sie hier den Hostnamen/die IP-Adresse des primären LDAP-Servers sowie den Port 389 (LDAP)/636 (LDAP-Secure) fest. Geben Sie den Pfad des Distinguished Name (DN) des Administrators mit dem Administratorkennwort des LDAP-Servers ein.

    LDAP Connection Settings

    Navigieren Sie anschließend zurDirectory OrganizationNaming ContextsRegisterkarte, und klicken Sie auf, um die richtige Benutzergruppe auszuwählen, die auf der im LDAP-Server gespeicherten Benutzerhierarchie basiert.

    LDAP Directory Organization

    Klicken SieTest Bind to Serverunter derConnectionRegisterkarte, um die Erreichbarkeit des LDAP-Servers von der ISE zu testen.

    LDAP Connection Test

    Navigieren Sie nun zur Registerkarte Gruppen, und klicken Sie aufAdd > Select Groups From Directory > Retrieve Groups. Importieren Sie mindestens eine Gruppe, der Ihr Administrator angehört, klicken Sie auf OK und dann auf Speichern.

    LDAP Groups Selection

    LDAP Groups Import

    Administrator-Zugriff für LDAP-Benutzer aktivieren

    Um die kennwortbasierte Authentifizierung der ISE mithilfe von LDAP zu aktivieren, navigieren Sie zuAdministration> System > Admin Access > Authentication. Wählen Sie auf derAuthentication MethodRegisterkarte diePassword-BasedOption aus. Wählen Sie LDAP aus dem Dropdown-MenüIdentity Sourceaus, und klicken Sie auf Speichern.

    Admin Authentication Method Selection

    ISE-Admin-Gruppe der LDAP-Gruppe zuordnen

    Dadurch erhält der konfigurierte Benutzer Administratorzugriff auf Grundlage der Autorisierung der RBAC-Richtlinien, die wiederum auf der LDAP-Gruppenmitgliedschaft des Benutzers basiert. Um eine Cisco ISE-Admin-Gruppe zu definieren und sie einer LDAP-Gruppe zuzuordnen, navigieren Sie zuAdministration > System > Admin Access > Administrators > Admin Groups. Klicken Sie auf Hinzufügen, und geben Sie einen Namen für die neue Admin-Gruppe ein. Aktivieren Sie im Feld Type (Typ) das Kontrollkästchen External. Wählen Sie aus dem Dropdown-Menü External Groups (Externe Gruppen) die LDAP-Gruppe aus, der diese Admin-Gruppe zugeordnet werden soll (wie zuvor abgerufen und definiert). Senden Sie die Änderungen.

    Admin External Groups LDAP

    RBAC-Berechtigungen für die Admin-Gruppe festlegen

    Um der im vorherigen Abschnitt erstellten Admin-Gruppe RBAC-Berechtigungen zuzuweisen, navigieren Sie zuAdministration > System > Admin Access > Authorization > RBAC Policy. Wählen Sie im Dropdown-Menü "Aktionen" auf der rechten Seite die OptionInsert new policy. Erstellen Sie eine neue Regel, ordnen Sie sie der im vorherigen Abschnitt definierten Administratorgruppe zu, weisen Sie sie mit den gewünschten Daten- und Menüzugriffsberechtigungen zu, und klicken Sie dann auf Speichern.

    Admin Policy

    Zugriff auf ISE mit LDAP-Anmeldeinformationen und Überprüfung

    Melden Sie sich von der Administrations-GUI ab. Wählen Sie den LDAP-Namen aus dem Dropdown-Menü Identitätsquelle aus. Geben Sie den Benutzernamen und das Kennwort aus der LDAP-Datenbank ein, und melden Sie sich an.

    Admin Login Page External Authentication

    Um sicherzustellen, dass die Konfiguration ordnungsgemäß funktioniert, überprüfen Sie den authentifizierten Benutzernamen über das Symbol Settings (Einstellungen) oben rechts in der ISE-GUI. Navigieren Sie zu Serverinformationen, und überprüfen Sie den Benutzernamen.

    ISE General Information 2

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    13-Aug-2024
    Erstveröffentlichung, Alternativtext, Rezertifizierung.
    1.0
    15-Dec-2016
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Surendra Reddy
      Customer Service and Support Representative
    • Rini Santra
      Solutions Architect

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.