El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe las características de ISE para administrar el acceso administrativo en Identity Services Engine (ISE).
Cisco recomienda que tenga conocimiento de estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Los usuarios administradores deben autenticarse para acceder a cualquier información de ISE. La identidad de los usuarios administradores se puede verificar mediante ISE Internal Identity Store o un External Identity Store. La autenticidad puede verificarse mediante una contraseña o un certificado. Para configurar estos parámetros, navegue hasta Administration > System> Admin Access > Authentication. Seleccione el tipo de autenticación requerido en la ficha Método de autenticación.
Nota: La autenticación basada en contraseña está activada de forma predeterminada. Si esto se cambia a Autenticación basada en certificado de cliente, provoca el reinicio de un servidor de aplicaciones en todos los nodos de implementación.
Identity Services Engine no permite configurar la política de contraseña para la interfaz de línea de comandos (CLI) desde la CLI. La política de contraseñas tanto para la interfaz gráfica de usuario (GUI) como para la CLI sólo se puede configurar mediante la GUI de ISE. Para configurar esto, navegue hasta Administration > System > Admin Access > Authentication y navegue a la Política de Contraseña.
ISE tiene una provisión para inhabilitar un usuario administrador inactivo. Para configurar esto, navegue hasta Administration > System > Admin Access > Authentication y navegue hasta la pestaña Account Disable Policy.
ISE también proporciona la posibilidad de bloquear o suspender una cuenta de usuario administrador en función del número de intentos fallidos de inicio de sesión. Para configurar esto, navegue a Administration > System > Admin Access > Authentication y navegue a la pestaña Lock/Suspend Settings.
Para gestionar el acceso administrativo, es necesario que los grupos administrativos, los usuarios y diversas políticas/reglas controlen y administren sus privilegios.
Navegue hasta Administración > Sistema > Acceso de administrador > Administradores > Grupos de administradores para configurar grupos de administradores. Hay pocos grupos integrados de forma predeterminada y que no se pueden eliminar.
Una vez creado el grupo, selecciónelo y haga clic en editar para agregar usuarios administrativos a dicho grupo. Hay una disposición para asignar grupos de identidad externos a los grupos de administración en ISE de modo que un usuario de administración externo obtenga los permisos necesarios. Para configurar esto, seleccione el tipo como Externo mientras agrega el usuario.
Para configurar Usuarios de administración, navegue hasta Administración > Sistema > Acceso de administrador > Administradores > Usuarios de administración.
Haga clic en Add (Agregar). Hay dos opciones para elegir. Una es agregar un usuario nuevo por completo. La otra es hacer de un usuario de acceso a la red (es decir, un usuario configurado como usuario interno para acceder a la red o los dispositivos) un administrador de ISE.
Después de seleccionar una opción, se deben proporcionar los detalles necesarios y seleccionar el grupo de usuarios en función de los permisos y privilegios que se concedan al usuario.
Hay dos tipos de permisos que se pueden configurar para un grupo de usuarios:
Menu Access controla la visibilidad de navegación en ISE. Hay dos opciones para cada ficha, Mostrar u Ocultar, que se pueden configurar. Se puede configurar una regla de acceso a menú para mostrar u ocultar las fichas seleccionadas.
Data Access controla la capacidad de leer/acceder/modificar los datos de identidad en ISE. El permiso de acceso sólo se puede configurar para grupos de administración, grupos de identidad de usuario, grupos de identidad de terminales y grupos de dispositivos de red. Existen tres opciones para estas entidades en ISE que se pueden configurar. Son de acceso completo, acceso de sólo lectura y sin acceso. Se puede configurar una regla de acceso a datos para elegir una de estas tres opciones para cada ficha de ISE.
Se deben crear las políticas de acceso a los menús y de acceso a los datos antes de que se puedan aplicar a cualquier grupo de administradores. Hay algunas políticas integradas de forma predeterminada, pero siempre se pueden personalizar o se puede crear una nueva.
Para configurar una política de acceso a menú, navegue hasta Administración > Sistema > Acceso de administrador > Autorización > Permisos > Acceso a menú.
Haga clic en Add (Agregar). Cada opción de navegación de ISE se puede configurar para que se muestre/oculte en una política.
Para configurar la política de acceso a datos, navegue hasta Administración > Sistema > Acceso de administrador > Autorización > Permisos > Acceso a datos.
Haga clic en Agregar para crear una nueva política y configurar permisos para acceder a Admin/User Identity/Endpoint Identity/Network Groups.
RBAC significa Control de acceso basado en roles. La función (grupo de administradores) a la que pertenece un usuario se puede configurar para utilizar las políticas de acceso a datos y menús deseadas. Puede haber varias políticas RBAC configuradas para una sola función O se pueden configurar varias funciones en una sola política para acceder a Menú o Datos. Todas estas políticas aplicables se evalúan cuando un usuario administrador intenta realizar una acción. La decisión final es la suma de todas las políticas aplicables a esa función. Si hay reglas contradictorias que permiten y niegan al mismo tiempo, la regla permit invalida la regla deny. Para configurar estas políticas, navegue hasta Administration > System > Admin Access > Authorization > RBAC Policy.
Haga clic en Acciones para duplicar/insertar/eliminar una directiva.
Nota: Las políticas creadas por el sistema y las predeterminadas no se pueden actualizar y las políticas predeterminadas no se pueden eliminar.
Nota: No se pueden configurar varios permisos de acceso a datos/menú en una sola regla.
Además de las políticas RBAC, hay algunos ajustes que se pueden configurar que son comunes a todos los usuarios administradores.
Para configurar el número de Sesiones Máximas Permitidas, Pre-login y Banners Post-login para GUI y CLI, navegue hasta Administration > System > Admin Access > Settings > Access. Configure estos en la pestaña Sesión.
Para configurar la lista de direcciones IP desde la que se puede acceder a la GUI y a la CLI, navegue hasta Administration > System > Admin Access > Settings > Access y navegue hasta la pestaña IP Access.
Para configurar una lista de nodos desde los que los administradores pueden acceder a la sección MnT en Cisco ISE, navegue hasta Administración > Sistema > Acceso de administrador > Configuración > Acceso y navegue hasta la pestaña Acceso MnT.
Para permitir que los nodos o entidades dentro o fuera de la implementación envíen syslogs a MnT, haga clic en el botón de radio Allow any IP address to connect to MNT . Para permitir que sólo los nodos o entidades dentro de la implementación envíen registros de sistema a MnT, haga clic en el botón de opción Permitir que sólo los nodos de la implementación se conecten al MNT.
Nota: Para ISE 2.6 parche 2 y posterior, el uso del "servicio de mensajería ISE" para la entrega de registros del sistema UDP a MnT está activado de forma predeterminada, lo que no permite que los registros del sistema provengan de otras entidades fuera de la implementación.
Para configurar un valor de tiempo de espera debido a la inactividad de una sesión, navegue hasta Administration > System > Admin Access > Settings > Session. Establezca este valor en la pestaña Tiempo de espera de sesión.
Para ver/invalidar las sesiones activas actuales, navegue hasta Administration > Admin Access > Settings > Session y haga clic en la pestaña Session Info.
Para unirse a ISE a un dominio externo, navegue hasta Administration > Identity Management > External Identity Sources > Active Directory. Introduzca el nuevo nombre del punto de unión y el dominio de directorio activo. Ingrese las credenciales de la cuenta AD que pueden agregar y realizar cambios en los objetos del equipo, y haga clic en Aceptar.
Vaya a Administration > Identity Management > External Identity Sources > Active Directory. Haga clic en el nombre del punto de unión deseado y desplácese a la pestaña Grupos. Haga clic en Agregar > Seleccionar grupos del directorio > Recuperar grupos. Importe al menos un grupo de AD al que pertenece su administrador y haga clic en Aceptar y, a continuación, haga clic en Guardar.
Para habilitar la autenticación basada en contraseña de ISE usando AD, navegue hasta Administration> System > Admin Access > Authentication. En la ficha Authentication Method, seleccione la opción Password-Based. Seleccione AD en el menú desplegable Origen de identidad y haga clic en Guardar.
Esto permite que la autorización determine los permisos de control de acceso basado en funciones (RBAC) para el administrador en función de la pertenencia al grupo en AD. Para definir un grupo de administradores de Cisco ISE y asignarlo a un grupo de AD, navegue hasta Administración > Sistema > Acceso de administrador > Administradores > Grupos de administradores. Haga clic en Agregar e ingrese un nombre para el nuevo grupo Admin. En el campo Tipo, marque la casilla de verificación Externa. En el menú desplegable Grupos externos, seleccione el grupo AD al que se va a asignar este grupo de administradores (como se define en la sección Select Directory Groups (Grupos de Directorios) de arriba). Envíe los cambios.
Para asignar permisos RBAC al grupo de administración creado en la sección anterior, navegue hasta Administration > System > Admin Access > Authorization > RBAC Policy. En el menú desplegable Acciones de la derecha, seleccione Insertar nueva política. Cree una nueva regla, asígnela con el grupo de administración definido en la sección anterior y asígnela con los permisos de acceso a los datos y a los menús deseados y, a continuación, haga clic en Guardar.
Cierre la sesión de la GUI administrativa. Seleccione el nombre del punto de unión en el menú desplegable Origen de identidad. Introduzca el nombre de usuario y la contraseña de la base de datos de AD e inicie sesión.
Para confirmar que la configuración funciona correctamente, verifique el nombre de usuario autenticado desde el icono Settings en la esquina superior derecha de la GUI de ISE. Navegue hasta Información del servidor y verifique el Nombre de usuario.
Vaya a Administration > Identity Management > External Identity Sources > Active Directory > LDAP. Bajo la ficha General, ingrese un nombre para el LDAP y elija el esquema como Active Directory.
A continuación, para configurar el tipo de conexión, vaya a la ficha Connection. Aquí, establezca el nombre de host/IP del servidor LDAP principal junto con el puerto 389(LDAP)/636 (LDAP-Secure). Introduzca la ruta del nombre distinguido de administrador (DN) con la contraseña de administrador del servidor LDAP.
A continuación, navegue hasta la pestaña Organización de directorios y haga clic en Naming Contexts para elegir el grupo de organización correcto del usuario en función de la jerarquía de usuarios almacenados en el servidor LDAP.
Haga clic en Test Bind to Server en la pestaña Connection para probar el alcance del servidor LDAP desde ISE.
Ahora navegue a la ficha Grupos y haga clic en Agregar > Seleccionar grupos desde el directorio > Recuperar grupos. Importe al menos un grupo al que pertenece el administrador y haga clic en Aceptar y, a continuación, haga clic en Guardar.
Para habilitar la autenticación basada en contraseña de ISE usando LDAP, navegue a Administration> System > Admin Access > Authentication. En la ficha Authentication Method, seleccione la opción Password-Based. Seleccione LDAP en el menú desplegable Identity Source y haga clic en Guardar.
Esto permite al usuario configurado obtener acceso de administrador en función de la autorización de las políticas RBAC, que a su vez se basa en la pertenencia al grupo LDAP del usuario. Para definir un grupo de administración de Cisco ISE y asignarlo a un grupo LDAP, navegue hasta Administration > System > Admin Access > Administradores > Grupos de administradores. Haga clic en Agregar e ingrese un nombre para el nuevo grupo Admin. En el campo Tipo, marque la casilla de verificación Externa. En el menú desplegable Grupos externos, seleccione el grupo LDAP al que se asigna este grupo de administración (como se recuperó y definió anteriormente). Envíe los cambios.
Para asignar permisos RBAC al grupo de administración creado en la sección anterior, navegue hasta Administration > System > Admin Access > Authorization > RBAC Policy. En el menú desplegable Acciones de la derecha, seleccione Insertar nueva política. Cree una nueva regla, asígnela con el grupo de administración definido en la sección anterior y asígnela con los permisos de acceso a los datos y a los menús deseados y, a continuación, haga clic en Guardar.
Cierre la sesión de la GUI administrativa. Seleccione el nombre LDAP en el menú desplegable Origen de identidad. Ingrese el nombre de usuario y la contraseña de la base de datos LDAP y conéctese.
Para confirmar que la configuración funciona correctamente, verifique el nombre de usuario autenticado desde el icono Settings en la esquina superior derecha de la GUI de ISE. Navegue hasta Información del servidor y verifique el Nombre de usuario.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
15-Dec-2016 |
Versión inicial |