ISEおよびTACACS+によるデバイス管理用のAPICの設定

Updated: 2023 年 4 月 28 日
Document ID:220433

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、TACACS+プロトコルを使用した管理者ユーザ認証のためにAPICとISEを統合する手順について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Application Policy Infrastructure Controller(APIC)
    • Identity Services Engine(ISE)
    • TACACSプロトコル

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • APICバージョン4.2(7u)
    • ISEバージョン3.2パッチ1

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    Integration Diagram統合図

    認証手順

    ステップ1:管理者ユーザクレデンシャルを使用してAPICアプリケーションにログインします。

    ステップ 2:認証プロセスがトリガーされ、ISEはローカルまたはActive Directoryを介してクレデンシャルを検証します。

    ステップ 3:認証が成功すると、ISEは許可パケットを送信してAPICへのアクセスを許可します。

    ステップ 4:ISEは成功した認証のライブログを表示します。

    :APICは、ファブリックの一部であるリーフスイッチにTACACS+設定を複製します。

    APICの設定

    ステップ 1:移動先  Admin > AAA > Authentication > AAA  選択します  + アイコンをクリックします。

    APIC Login Admin ConfigurationAPICログイン管理設定

    ステップ 2:新しいログインドメインの名前とレルムを定義し、 + 新しいプロバイダーを作成するには、[Providers]の下に表示されます。

    APIC Login AdminAPICログイン管理者

    APIC TACACS ProviderAPIC TACACSプロバイダー

    ステップ 3:ISEのIPアドレスまたはホスト名を定義し、共有秘密を定義して、管理エンドポイントポリシーグループ(EPG)を選択します。クリック  Submit   TACACS+プロバイダーをlogin adminに追加します。

    APIC TACACS Provider SettingsAPIC TACACSプロバイダーの設定

    Create Login Domain

    TACACS Provider ViewTACACSプロバイダービュー

    ISE 設定

    ステップ 1:に移動 > Administration > Network Resources > Network Device Groupsを参照。すべてのデバイスタイプの下にネットワークデバイスグループを作成します。

    ISE Network Device GroupsISEネットワークデバイスグループ

    ステップ 2:移動先  Administration > Network Resources > Network Devicesを参照。選択 Add apic名とIPアドレスを定義し、Device TypeとTACACS+チェックボックスでAPICを選択し、APIC TACACS+プロバイダー設定で使用するパスワードを定義します。クリック  Submitを参照。

    ISE Network Devices

    リーフスイッチに対して、手順1.と手順2.を繰り返します。

    ステップ 3:ISEをActive Directoryと統合するには、このリンクの手順を使用します。 

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html にアクセスしてください。

    note-icon

    :このドキュメントには、アイデンティティソースとして内部ユーザとAD管理者グループの両方が含まれていますが、テストは内部ユーザのアイデンティティソースを使用して実行されます。結果はADグループでも同じです。

    ステップ4:(オプション)に移動します。 > Administration > Identity Management > Groupsを参照。選択  User Identity Groups をクリックして  Addを参照。読み取り専用の管理ユーザと管理ユーザ用に1つのグループを作成します。

    Identity GroupIDグループ

    ステップ5:(オプション)に移動します。 > Administration > Identity Management > Identity.  クリック Add  作成します  Read Only Admin  ユーザおよび  Admin  されます。手順4で作成した各グループに各ユーザを割り当てます。

    ISE Identity Management

    手順 6:に移動 > Administration > Identity Management > Identity Source Sequenceを参照。選択 Add、名前を定義し、  AD Join Points  と  Internal Users  リストからアイデンティティソースを選択します。選択  Treat as if the user was not found and proceed to the next store in the sequence 通常の  Advanced Search List Settings をクリックして  Saveを参照。

    Identity Source Sequenceアイデンティティソースシーケンス

    7. ☰に移動します > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  Addを選択し、名前を定義して、Allow CHAPとAllow MS-CHAPv1のチェックマークをAuthentication protocol listから外します。[Save] を選択します。

    TACACS Allow ProtocolTACACS許可プロトコル

    8. に移動します > Work Centers > Device Administration > Policy Elements > Results > TACACS Profileを参照。クリック  add  次のリストの属性に基づいて2つのプロファイルを作成します。  Raw Viewを参照。クリック  Saveを参照。

    • 管理者ユーザー: cisco-av-pair=shell:domains=all/admin/
    • 読み取り専用管理ユーザー: cisco-av-pair=shell:domains=all//read-all
    note-icon

    :スペースまたは追加の文字がある場合、認証フェーズは失敗します。

    TACACS ProfileTACACSプロファイル

    TACACS Admin and Read Only Admin ProfilesTACACS AdminおよびReadOnly Adminプロファイル

    ステップ 9:に移動 > Work Centers > Device Administration > Device Admin Policy Set を参照。 新しいポリシーセットの作成、名前の定義、およびデバイスタイプの選択 APIC  ステップ1で作成選択 TACACS Protocol  ステップ7で作成し、許可されたプロトコルとして  Saveを参照。

    TACACS Policy SetTACACSポリシーセット

    ステップ 10:新しい Policy Set 右矢印をクリックします。 > 認証ポリシーを作成します。名前を定義し、条件としてデバイスのIPアドレスを選択します。次に、ステップ6で作成したアイデンティティソースシーケンスを選択します。

    Authentication Policy認証ポリシー

    note-icon

    :ロケーションまたはその他の属性は、認証条件として使用できます。

    ステップ 11各管理者ユーザタイプの許可プロファイルを作成し、名前を定義し、条件として内部ユーザまたはADユーザグループ(あるいはその両方)を選択します。APICなどの追加条件を使用できます。各認可ポリシーで適切なシェルプロファイルを選択し、  Saveを参照。

    TACACS Authorization ProfileTACACS許可プロファイル

    確認

    ステップ 1:ユーザ管理者クレデンシャルでAPIC UIにログインします。リストからTACACSオプションを選択します。

    APIC LoginAPICログイン

    ステップ 2:APIC UIでアクセスを確認し、TACACSライブログに適切なポリシーが適用されていることを確認します。

    APIC Welcome MessageAPICウェルカムメッセージ

    読み取り専用管理ユーザに対してステップ1と2を繰り返します。

    TACACS+ Live LogsTACACS+ライブログ

    トラブルシュート

    ステップ 1:に移動 > Operations > Troubleshoot > Debug Wizardを参照。選択 TACACS  をクリックして  Debug Nodesを参照。

    Debug Profile Configurationプロファイル設定のデバッグ

    ステップ 2:トラフィックを受信するノードを選択し、 Saveを参照。

    Debug Nodes Selectionデバッグノードの選択

    ステップ 3:新しいテストを実行し、  Operations > Troubleshoot > Download logs  次に示す例を参照してください。

    AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

    デバッグで認証と許可の情報が表示されない場合は、次の点を検証します。

    1. Devices AdministrationサービスがISEノードで有効になっている。
    2. 適切なISE IPアドレスがAPIC設定に追加されました。
    3. ファイアウォールが中央にある場合は、ポート49(TACACS)が許可されていることを確認します。

    更新履歴

    改定 発行日 コメント
    1.0
    28-Apr-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Emmanuel Cano Gutierrez
      シスコセキュリティコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています