Configurazione di Access Control List dinamici per utente in ISE

Opzioni per il download

  • PDF     (1.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 maggio 2023
ID documento:212419

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la configurazione di un elenco di controllo di accesso dinamico (dACL) per utente per gli utenti presenti in un tipo di archivio identità.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza della configurazione delle policy su Identity Services Engine (ISE).

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    •  Identity Services Engine 3.0
    •  Microsoft Windows Active Directory 2016

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    La configurazione di un elenco di controllo di accesso dinamico per utente è destinata agli utenti presenti nell'archivio di identità interno ISE o in un archivio di identità esterno. 

    Configurazione

    È possibile configurare dACL per utente per qualsiasi utente dell'archivio interno che utilizzi un attributo utente personalizzato. Per ottenere lo stesso risultato, è possibile utilizzare qualsiasi attributo di tipo stringa per un utente di Active Directory (AD). In questa sezione vengono fornite le informazioni necessarie per configurare gli attributi sia su ISE che su AD, nonché la configurazione richiesta su ISE per il corretto funzionamento di questa funzione. 

    Configurazione di un nuovo attributo utente personalizzato in ISE

    Passare a Amministrazione > Gestione delle identità > Impostazioni > Attributi utente personalizzati. Fare clic sul pulsante +, come illustrato nell'immagine, per aggiungere un nuovo attributo e salvare le modifiche. Nell'esempio, il nome dell'attributo personalizzato è ACL.

    Configure a New Custom User Attribute on ISE

    Configurazione di dACL


    Per configurare gli ACL scaricabili, selezionare Policy > Policy Elements > Results > Authorization > Downloadable ACLs (Policy > Elementi criterio > Risultati > Autorizzazione > ACL scaricabili). Fare clic su Add. Fornire un nome e il contenuto dell'elenco di controllo di accesso (dACL) e salvare le modifiche. Come mostrato nell'immagine, il nome dell'ACL è NotMuchAccess.

    Configure dACL

    Configurare un account utente interno con l'attributo personalizzato

    Passare a Amministrazione > Gestione delle identità > Identità > Utenti > Aggiungi. Creare un utente e configurare il valore dell'attributo personalizzato con il nome dell'elenco di controllo di accesso (dACL) che l'utente deve ottenere quando è autorizzato. Nell'esempio, il nome dell'ACL è NotMuchAccess

    Configure an Internal User Account with the Custom Attribute

    Configurare un account utente AD 

    In Active Directory passare alle proprietà dell'account utente e quindi alla scheda Editor attributi. Come mostrato nell'immagine, aCSPolicyName è l'attributo utilizzato per specificare il nome dACL. Tuttavia, come accennato in precedenza, è possibile utilizzare anche qualsiasi attributo che accetta un valore stringa.

    Configure a AD User Account

    Importare l'attributo da AD ad ISE 

    Per utilizzare l'attributo configurato in AD, ISE deve importarlo. Per importare l'attributo, selezionare Amministrazione > Gestione delle identità > Origini identità esterne > Active Directory > [Punto di join configurato] > scheda Attributi. Fare clic su Aggiungi, quindi su Seleziona attributi dalla directory. Specificare il nome dell'account utente in Active Directory e quindi fare clic su Recupera attributi. Selezionare l'attributo configurato per dACL, fare clic su OK, quindi su Salva. Come mostrato nell'immagine, aCSPolicyName è l'attributo.

    Use Attribute Configured on AD to Import the Attribute from AD to ISE

    Import Complete

    Configurazione dei profili di autorizzazione per utenti interni ed esterni

    Per configurare i profili di autorizzazione, selezionare Criterio > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione. Fare clic su Add. Specificare un nome e scegliere il nome dACL InternalUser:<nome dell'attributo personalizzato creato> per l'utente interno. Come mostrato nell'immagine, per gli utenti interni il profilo InternalUserAttributeTest è configurato con il dACL configurato come InternalUser:ACL.

    Configure Authorization Profiles for Internal and External Users

    Per l'utente esterno, utilizzare <Nome punto di join>:<attributo configurato in AD> come nome di dACL. In questo esempio, il profilo ExternalUserAttributeTest è configurato con l'ACL dACL configurato come RiniAD:aCSPolicyName dove RiniAD è il nome del punto di join.

    Profile ExternalUserAttributeTest is Configured with the dACL

    Configura criteri di autorizzazione

    I criteri di autorizzazione possono essere configurati in Criteri > Set di criteri in base ai gruppi in cui l'utente esterno è presente in Active Directory e anche in base al nome utente nell'archivio di identità interno ISE. Nell'esempio, testuserexternal è un utente presente nel gruppo rinsantr.lab/Users/Test Group e testuserinternal è un utente presente nell'archivio di identità interno ISE.

    Configure Authorization Policies

    Verifica

    Utilizzare questa sezione per verificare se la configurazione funziona.

    Controllare i registri attivi RADIUS per verificare le autenticazioni utente.

    Utente interno:

    Check the RADIUS Live Logs to Verify the User Authentications - Internal User

    Utente esterno:

    Check the RADIUS Live Logs to Verify the User Authentications - External User

    Fare clic sull'icona della lente di ingrandimento sulle autenticazioni utente riuscite per verificare se le richieste hanno soddisfatto i criteri corretti nella sezione Panoramica dei log attivi dettagliati.

    Utente interno:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - Internal User

    Utente esterno:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - External User

    Controllare la sezione Altri attributi dei log attivi dettagliati per verificare se gli attributi utente sono stati recuperati.

    Utente interno:

    Verify if the User Attributes have been Retrieved - Internal User

    Utente esterno:

    Verify if the User Attributes have been Retrieved - External User

    Controllare la sezione Result dei log attivi dettagliati per verificare se l'attributo dACL viene inviato come parte di Access-Accept.

    Verify if dACL Attribute is Sent as Part of Access-Accept

    Controllare inoltre i log attivi RADIUS per verificare se l'ACL è stato scaricato dopo l'autenticazione dell'utente.

    Verify if the dACL is Downloaded after the User Authentication

    Fare clic sull'icona della lente di ingrandimento nel log di download di dACL riuscito e verificare la sezione Overview (Panoramica) per confermare il download di dACL.

    Verify the Overview Section to confirm the dACL Download

    Controllare la sezione Result del report dettagliato per verificare il contenuto dell'ACL.

    Verify the Contents of the dACL

    Risoluzione dei problemi

    Non sono attualmente disponibili informazioni specifiche per risolvere i problemi relativi a questa configurazione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    16-May-2023
    Sono state aggiunte informazioni sullo sfondo e sul testo alternativo. Introduzione aggiornata, traduzione automatica, gerund e formattazione.
    1.0
    06-Nov-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Rini Santra
      Cisco TAC Engineer
    • Surendra Reddy
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti