Konfigurieren der Prime 3.1-TACACS-Authentifizierung gegenüber ISE 2.x

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Oktober 2017
Dokument-ID:212201

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung


    In diesem Dokument wird beschrieben, wie die Prime-Infrastruktur für die Authentifizierung über TACACS mit ISE 2.x konfiguriert wird.

    Anforderungen

    Cisco empfiehlt, dass Sie über Grundkenntnisse in den folgenden Themen verfügen:

    • Identity Services Engine (ISE)
    • Prime-Infrastruktur

    Konfigurieren

    Cisco Prime Network Control System 3.1

    Cisco Identity Service Engine 2.0 oder höher

    (Hinweis: Die ISE unterstützt TACACS erst ab Version 2.0. Es ist jedoch möglich, Prime mit Radius zu konfigurieren. Prime enthält neben TACACS auch eine Liste der Radius-Attribute, falls Sie Radius verwenden möchten, sowie eine ältere Version der ISE oder eine Lösung von einem Drittanbieter.)

    Prime-Konfiguration

    Navigieren Sie zum folgenden Bildschirm: Administration / Users/ Users, Roles & AAA (siehe unten).

    Wählen Sie dort die Registerkarte TACACS+-Server aus, wählen Sie dann in der rechten oberen Ecke die Option TACACS+-Server hinzufügen aus, und wählen Sie Los.

    Auf dem nächsten Bildschirm steht die Konfiguration des TACACS-Servereintrags zur Verfügung (dies muss für jeden einzelnen TACACS-Server durchgeführt werden).

    212201-Configure-Prime-3-1-TACACS-authenticatio-00.png

    Hier müssen Sie entweder die IP-Adresse oder die DNS-Adresse des Servers sowie den gemeinsamen geheimen Schlüssel eingeben. Beachten Sie auch die IP-Adresse der lokalen Schnittstelle, die Sie verwenden möchten, da diese IP-Adresse später für den AAA-Client in der ISE verwendet werden muss.

    Um die Konfiguration auf Prime abzuschließen. Sie müssen TACACS auf der Registerkarte für die AAA-Moduseinstellungen unter Administration/Benutzer/Benutzer, Rollen und AAA aktivieren.

    (Hinweis: Es wird empfohlen, die Option Enable fallback to Local (Fallback auf Lokal aktivieren) zu aktivieren. Verwenden Sie dabei entweder die Option ONLY on no server response (NUR bei Serverantwort) oder die Option On no response (Keine Antwort oder Fehler), insbesondere während Sie die Konfiguration testen.)

    212201-Configure-Prime-3-1-TACACS-authenticatio-01.png

    ISE-Konfiguration

    Konfigurieren von Prime als AAA-Client auf der ISE in Work Centern/Geräteverwaltung/Netzwerkressourcen/Netzwerkgeräten/Hinzufügen

    212201-Configure-Prime-3-1-TACACS-authenticatio-02.png

    Geben Sie die Informationen für den Prime-Server ein. Die erforderlichen Attribute, die Sie einschließen müssen, sind Name, IP-Adresse, und wählen Sie die Option für TACACS und den gemeinsamen geheimen Schlüssel aus. Sie können außerdem einen Gerätetyp speziell für Prime hinzufügen, um ihn später als Bedingung für die Autorisierungsregel oder andere Informationen zu verwenden. Dies ist jedoch optional.

    212201-Configure-Prime-3-1-TACACS-authenticatio-03.jpeg

    Erstellen Sie dann ein TACACS-Profilergebnis, um die erforderlichen Attribute von der ISE an Prime zu senden und die richtige Zugriffsebene bereitzustellen. Navigieren Sie zu Work Centers / Policy Results / Tacacs Profiles, und wählen Sie die Option Add (Hinzufügen) aus.

    212201-Configure-Prime-3-1-TACACS-authenticatio-04.png

    Konfigurieren Sie den Namen, und verwenden Sie die Option Rohansicht, um die Attribute unter dem Feld Profilattribute einzugeben. Die Attribute werden vom Primer-Server selbst bereitgestellt.

    212201-Configure-Prime-3-1-TACACS-authenticatio-05.jpeg

    Rufen Sie die Attribute im Bildschirm "Administration / Users/ Users, Roles & AAA" ab, und wählen Sie die Registerkarte User Groups aus. Wählen Sie hier die gewünschte Zugriffsebene für die Gruppe aus. In diesem Beispiel erhalten Sie Administratorzugriff, indem Sie auf der linken Seite die entsprechende Aufgabenliste auswählen. 

    212201-Configure-Prime-3-1-TACACS-authenticatio-06.jpeg

    Kopieren aller benutzerdefinierten TACACS-Attribute

    212201-Configure-Prime-3-1-TACACS-authenticatio-07.png

    Fügen Sie sie dann im Abschnitt Rohansicht des Profils auf der ISE ein.

    212201-Configure-Prime-3-1-TACACS-authenticatio-08.jpeg

    Benutzerdefinierte Attribute für virtuelle Domänen sind erforderlich. Informationen zur Root-Domäne finden Sie unter Prime Administration -> Virtual Domains (Prime-Administration -> Virtuelle Domänen).

    212201-Configure-Prime-3-1-TACACS-authenticatio-09.jpeg

    Der Name der virtuellen Prime-Domäne muss als Attribut "virtual-domain0="virtual domain name" hinzugefügt werden.

    212201-Configure-Prime-3-1-TACACS-authenticatio-10.jpeg

    Anschließend müssen Sie nur noch eine Regel zum Zuweisen des im vorherigen Schritt erstellten Shell-Profils unter Work Centers/Device Administration/Device Admin Policy Sets (Work Center/Geräteverwaltung/Gerätemanagement-Richtliniensätze) erstellen.

    (Hinweis: Die "Bedingungen" variieren je nach Bereitstellung. Sie können "Gerätetyp" jedoch speziell für Prime oder einen anderen Filtertyp wie die IP-Adresse von Prime als eine der "Bedingungen" verwenden, damit Anfragen durch diese Regel ordnungsgemäß gefiltert werden.)

    212201-Configure-Prime-3-1-TACACS-authenticatio-11.png

    An diesem Punkt sollte die Konfiguration abgeschlossen sein.

    Fehlerbehebung


    Wenn diese Konfiguration nicht erfolgreich ist und die lokale Rückfalloption auf Prime aktiviert wurde, können Sie ein Failover von der ISE erzwingen, indem Sie die IP-Adresse von Prime entfernen. Dies führt dazu, dass die ISE nicht reagiert und die Verwendung lokaler Anmeldedaten erzwingt. Wenn der lokale Fallback so konfiguriert ist, dass er bei einer Ablehnung ausgeführt wird, funktionieren die lokalen Konten weiterhin und bieten dem Kunden Zugriff.

    Wenn die ISE eine erfolgreiche Authentifizierung anzeigt und mit der richtigen Regel übereinstimmt, Prime jedoch die Anforderung immer noch ablehnt, können Sie überprüfen, ob die Attribute im Profil richtig konfiguriert sind und keine weiteren Attribute gesendet werden.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    08-Oct-2017
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • William Patrick Soler Webster
      Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.