Esempio di configurazione dell'accesso al portale di amministrazione ISE con credenziali AD

Opzioni per il download

  • PDF     (239.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (89.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:30 settembre 2013
ID documento:116503

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto un esempio di configurazione per l'utilizzo di Microsoft Active Directory (AD) come archivio identità esterno per l'accesso amministrativo all'interfaccia utente di gestione di Cisco Identity Services Engine (ISE).

Prerequisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Configurazione di Cisco ISE versione 1.1.x o successive
  • Microsoft AD

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco ISE versione 1.1.x
  • Windows Server 2008 release 2

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Utilizzare questa sezione per configurare l'uso di Microsoft AD come archivio identità esterno per l'accesso amministrativo all'interfaccia utente grafica di gestione di Cisco ISE.

Iscriviti ad ISE 2008

  1. Passare a Amministrazione > Gestione delle identità > Origini identità esterne > Active Directory.
  2. Immettere il nome del dominio Active Directory e il nome dell'archivio identità e fare clic su Partecipa.
  3. Immettere le credenziali dell'account AD che possono aggiungere e modificare gli oggetti computer e fare clic su Salva configurazione.

     

Seleziona gruppi di directory

  1. Passare a Amministrazione > Gestione delle identità > Origini identità esterne > Active Directory > Gruppi > Aggiungi > Seleziona gruppi dalla directory
  2. Importare almeno un gruppo AD a cui appartiene l'amministratore.

     

Abilita accesso amministrativo per AD

Completare questa procedura per abilitare l'autenticazione basata su password per AD:

  1. Selezionare Amministrazione > Sistema > Accesso amministratore > Autenticazione.
  2. Nella scheda Metodo di autenticazione selezionare l'opzione Basato su password.
  3. Selezionare AD dal menu a discesa Origine identità.
  4. Fare clic su Salva modifiche.

Configurare il mapping tra il gruppo di amministratori e il gruppo AD

Definire un gruppo Cisco ISE Admin Group e mapparlo a un gruppo AD. In questo modo viene concessa l'autorizzazione per determinare le autorizzazioni RBAC (Role Based Access Control) per l'amministratore in base all'appartenenza ai gruppi in Active Directory. 

  1. Passare a Amministrazione > Sistema > Accesso amministratore > Amministratori > Gruppi amministratori.
  2. Fare clic su Add nell'intestazione della tabella per visualizzare il nuovo riquadro di configurazione del gruppo di amministratori.
  3. Immettere il nome del nuovo gruppo Amministratore.
  4. Nel campo Tipo selezionare la casella di controllo Esterno.
  5. Dal menu a discesa Gruppi esterni, selezionare il gruppo AD a cui si desidera mappare questo gruppo amministrativo, come definito nella sezione Seleziona gruppi di directory.
  6. Fare clic su Salva modifiche.

     

Impostare le autorizzazioni RBAC per il gruppo Admin

Completare questi passaggi per assegnare le autorizzazioni RBAC ai gruppi amministrativi creati nella sezione precedente:

  1. Passare a Amministrazione > Sistema > Accesso amministratore > Autorizzazione > Criteri.
  2. Dal menu a discesa Azioni a destra, selezionare Inserisci nuovo criterio sotto per aggiungere un nuovo criterio.
  3. Creare una nuova regola denominata ISE_administration_AD, mapparla al gruppo Admin definito nella sezione Abilitare l'accesso amministrativo per AD e assegnarle le autorizzazioni.

    Nota: in questo esempio viene assegnato il gruppo amministrativo denominato Super Admin, che equivale all'account amministratore standard.

  4. Fare clic su Save Changes (Salva modifiche). Nell'angolo inferiore destro dell'interfaccia grafica viene visualizzata la conferma delle modifiche salvate.

     

Accesso ad ISE con credenziali AD

Per accedere ad ISE con le credenziali di AD, completare la procedura seguente:

  1. Uscire dalla GUI amministrativa.
  2. Selezionare AD1 dal menu a discesa Origine identità.
  3. Immettere il nome utente e la password del database di Active Directory ed eseguire l'accesso.

Nota: per impostazione predefinita, ISE utilizza l'archivio utenti interno nel caso in cui AD non sia raggiungibile o le credenziali dell'account utilizzate non esistano in AD. Ciò semplifica l'accesso rapido se si utilizza l'archivio interno mentre AD è configurato per l'accesso amministrativo.

Verifica

Per verificare che la configurazione funzioni correttamente, verificare il nome utente autenticato nell'angolo in alto a destra della GUI di ISE.

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
09-Sep-2013
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jatin Katyal
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti