Exemple de configuration d'accès au portail d'administration ISE avec identifiants AD

Options de téléchargement

  • PDF     (239.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (73.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:30 septembre 2013
ID du document:116503

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit un exemple de configuration pour l'utilisation de Microsoft Active Directory (AD) comme magasin d'identités externe pour l'accès administratif à l'interface utilisateur graphique de gestion de Cisco Identity Services Engine (ISE).

Conditions préalables

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Configuration de Cisco ISE versions 1.1.x ou ultérieures
  • Microsoft AD

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco ISE version 1.1.x
  • Windows Server 2008 version 2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurer

Utilisez cette section afin de configurer l'utilisation de Microsoft AD comme magasin d'identités externe pour l'accès administratif à l'interface utilisateur graphique de gestion Cisco ISE.

Rejoindre ISE à AD

  1. Accédez à Administration > Identity Management > External Identity Sources > Active Directory.
  2. Entrez le nom de domaine AD et le nom de magasin d'identités, puis cliquez sur Joindre.
  3. Entrez les informations d'identification du compte AD qui peut ajouter et modifier des objets ordinateur, puis cliquez sur Enregistrer la configuration.

     

Sélectionner des groupes de répertoires

  1. Accédez à Administration > Identity Management > External Identity Sources > Active Directory > Groups > Add > Select groups from Directory
  2. Importez au moins un groupe AD auquel votre administrateur appartient.

     

Activer l'accès administratif pour AD

Complétez ces étapes afin d'activer l'authentification par mot de passe pour AD :

  1. Accédez à Administration > System > Admin Access > Authentication.
  2. Dans l'onglet Authentication Method, sélectionnez l'option Password Based.
  3. Sélectionnez AD dans le menu déroulant Identity Source.
  4. Cliquez sur Enregistrer les modifications.

Configurer le mappage du groupe Admin au groupe AD

Définissez un groupe d'administrateurs Cisco ISE et mappez-le à un groupe AD. Cela permet de déterminer les autorisations RBAC (Role Based Access Control) pour l'administrateur en fonction de l'appartenance à un groupe dans Active Directory. 

  1. Accédez à Administration > System > Admin Access > Administrators > Admin Groups.
  2. Cliquez sur Add dans l'en-tête du tableau afin d'afficher le nouveau volet de configuration du groupe Admin.
  3. Entrez le nom du nouveau groupe Admin.
  4. Dans le champ Type, cochez la case Externe.
  5. Dans le menu déroulant External Groups, sélectionnez le groupe AD auquel vous souhaitez mapper ce groupe d'administration, tel que défini dans la section Select Directory Groups.
  6. Cliquez sur Enregistrer les modifications.

     

Définir les autorisations RBAC pour le groupe Admin

Complétez ces étapes afin d'attribuer des autorisations RBAC aux groupes d'administration créés dans la section précédente :

  1. Accédez à Administration > System > Admin Access > Authorization > Policy.
  2. Dans le menu déroulant Actions à droite, sélectionnez Insert New Policy Below afin d'ajouter une nouvelle stratégie.
  3. Créez une nouvelle règle appelée ISE_administration_AD, mappez-la avec le groupe Admin défini dans la section Activer l'accès administratif pour AD, et attribuez-lui des autorisations.

    Remarque : dans cet exemple, le groupe Admin appelé Super Admin est attribué, ce qui équivaut au compte d'administrateur standard.

  4. Cliquez sur Save Changes, et la confirmation des modifications enregistrées s'affiche dans le coin inférieur droit de l'interface utilisateur graphique.

     

Accès à ISE avec identifiants AD

Complétez ces étapes afin d'accéder à ISE avec les informations d'identification AD :

  1. Déconnectez-vous de la GUI d'administration.
  2. Sélectionnez AD1 dans le menu déroulant Identity Source.
  3. Entrez le nom d'utilisateur et le mot de passe de la base de données AD, puis connectez-vous.

Remarque : ISE utilise par défaut le magasin d'utilisateurs interne dans le cas où AD est inaccessible, ou les informations d'identification de compte utilisées n'existent pas dans AD. Cela facilite la connexion rapide si vous utilisez le magasin interne alors qu'AD est configuré pour l'accès administratif.

Vérifier

Afin de confirmer que votre configuration fonctionne correctement, vérifiez le nom d'utilisateur authentifié dans le coin supérieur droit de l'interface utilisateur graphique ISE.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
09-Sep-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Jatin Katyal
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco