ISE를 DNAC GUI용 외부 인증으로 구성

다운로드 옵션

  • PDF     (2.9 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (2.7 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (2.2 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 1월 25일
문서 ID:222706

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco DNA Center GUI 관리를 위한 외부 인증으로 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.

    • TACACS+ 및 RADIUS 프로토콜.
    • Cisco ISE와 Cisco DNA Center의 통합
    • Cisco ISE 정책 평가.

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • Cisco ISE(Identity Services Engine) 버전 3.4 패치 1.
    • Cisco DNA Center 버전 2.3.5.5.

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    시작하기 전에

    • System(시스템) > Settings(설정) > External Services(외부 서비스) > Authentication and Policy Servers(인증 및 정책 서버)에서 적어도 하나 이상의 RADIUS 인증 서버를 구성했는지 확인합니다.
    • DNAC에 대한 SUPER-ADMIN-ROLE 권한이 있는 사용자만 이 절차를 수행할 수 있습니다.
    • 외부 인증 폴백을 활성화합니다.

    주의: 2.1.x 이전 릴리스에서 외부 인증이 활성화된 경우, AAA 서버에 연결할 수 없거나 AAA 서버가 알 수 없는 사용자 이름을 거부하면 Cisco DNA Center는 로컬 사용자에게 폴백됩니다. 현재 릴리스에서는 AAA 서버에 연결할 수 없거나 AAA 서버가 알 수 없는 사용자 이름을 거부하는 경우 Cisco DNA Center가 로컬 사용자에게 돌아가지 않습니다. 외부 인증 폴백이 활성화된 경우 외부 사용자 및 로컬 관리자가 Cisco DNA Center에 로그인할 수 있습니다.

    외부 인증 폴백을 활성화하려면 Cisco DNA Center 인스턴스에 SSH를 적용하고 이 CLI 명령(magctl rbac external_auth_fallback enable)을 입력합니다.

    구성

    (옵션1) RADIUS를 사용하여 DNAC 외부 인증 구성


    단계 1. (선택 사항) 사용자 지정 역할을 정의합니다.
    요구 사항을 충족하는 사용자 지정 역할을 구성합니다. 대신 기본 사용자 역할을 사용할 수 있습니다. 이 작업은 System(시스템) > Users & Roles(사용자 및 역할) > Role Based Access Control(역할 기반 액세스 제어) 탭에서 수행할 수 있습니다.

    절차

    a. 새 역할을 만듭니다.

    DevOps Role NameDevOps 역할 이름

    b. 액세스 권한을 정의합니다.

    DevOps Role AccessDevOps 역할 액세스

    c. 새 역할을 생성합니다.

    DevOps Role SummaryDevOps 역할 요약

    Review and Create DevOps RoleDevOps 역할 검토 및 생성

    2단계. RADIUS를 사용하여 외부 인증을 구성합니다.
    이 작업은 System(시스템) > Users & Roles(사용자 및 역할) > External Authentication(외부 인증) 탭에서 수행할 수 있습니다.

    절차

    a. Cisco DNA Center에서 외부 인증을 활성화하려면 Enable External User(외부 사용자 활성화) 확인란을 선택합니다.

    b. AAA 특성을 설정합니다.

    AAA 특성 필드 Cisco-AVPair를 입력합니다.

    c. (선택 사항) 기본 및 보조 AAA 서버를 구성합니다.

    RADIUS 프로토콜이 주 AAA 서버 이상 또는 주 서버와 보조 서버 모두에서 활성화되어 있는지 확인합니다.

    (RADIUS) External Authentication Configuration Steps(RADIUS) 외부 인증 컨피그레이션 단계

    (옵션1) RADIUS를 위한 ISE 구성

    1단계. ISE에서 DNAC 서버를 네트워크 디바이스로 추가합니다.

    이 작업은 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) 탭에서 수행할 수 있습니다.

    절차

    a. (DNAC) 네트워크 디바이스 이름 및 IP를 정의합니다.
    b. (선택 사항) 정책 집합 조건에 대한 디바이스 유형을 분류합니다.
    c. RADIUS 인증 설정을 활성화합니다.
    d. RADIUS 공유 암호를 설정합니다.

    ISE Network Device (DNAC) for RADIUSRADIUS용 ISE 네트워크 디바이스(DNAC)

    2단계. RADIUS 권한 부여 프로파일을 생성합니다.

    이 작업은 탭에서 수행할 수 있습니다. 정책 > 정책 구성 요소 > 결과 > 인증권한 부여 프로파일.

    참고: 각 사용자 역할에 대해 하나씩 3x RADIUS 권한 부여 프로파일을 생성합니다.

    절차
    a. Add(추가)를 클릭하고 RADIUS Authorization Profile(RADIUS 권한 부여 프로파일) 이름을 정의합니다.

    b. Advanced Attributes Settings(고급 특성 설정) Cisco:cisco-av-pair를 입력하고 올바른 사용자 역할을 채웁니다.

    • (DecOps-Role) 사용자 역할에 ROLE=DevOps-Role을 입력합니다.
    • (NETWORK-ADMIN-ROLE) 사용자 역할의 경우 ROLE =NETWORK-ADMIN-ROLE을 입력합니다.
    • (SUPER-ADMIN-ROLE) 사용자 역할의 경우 ROLE =SUPER-ADMIN-ROLE을 입력합니다.

    c. Attribute Details(특성 세부사항)를 검토합니다.
    d. 저장을 클릭합니다.

    Create Authorization Profile권한 부여 프로파일 생성

    3단계. 사용자 그룹을 생성합니다.

    이 작업은 Administration(관리) > Identity Management(ID 관리) > Groups(그룹) > User Identity Groups(사용자 ID 그룹) 탭에서 수행할 수 있습니다.

    절차

    a. Add(추가)를 클릭하고 ID 그룹 이름을 정의합니다

    b. (선택 사항) 설명을 정의합니다.

    c. 제출을 클릭합니다.

    Create User Identity Group사용자 ID 그룹 생성

    4단계. 로컬 사용자를 생성합니다.

    이 작업은 Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) 탭에서 수행할 수 있습니다.

    절차

    a. Add(추가)를 클릭하고 Username(사용자 이름)을 정의합니다.

    b. 로그인 비밀번호를 설정합니다.

    c. 관련 사용자 그룹에 사용자를 추가합니다.

    d. Submit(제출)을 클릭합니다.

    Create Local User 1-2로컬 사용자 생성 1-2

    Create Local User 2-2로컬 사용자 생성 2-2

    5단계. (선택 사항) RADIUS 정책 집합을 추가합니다.

    이 작업은 Policy(정책) > Policy Sets(정책 집합) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 정책 집합 이름을 정의합니다.

    c. 이전에 생성한 Select Device Type(디바이스 유형 선택)으로 Policy Set Condition(정책 설정 조건)을 설정합니다(1단계 > b).

    d. Allowed 프로토콜을 설정합니다.

    e. 저장을 클릭합니다.

    f. 인증 및 권한 부여 규칙을 구성하려면 (>) Policy Set View를 클릭합니다.

    Add RADIUS Policy SetRADIUS 정책 집합 추가

    6단계. RADIUS 인증 정책을 구성합니다.

    이 작업은 Policy(정책) > Policy Sets(정책 집합) > Click(>) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 인증 정책 이름을 정의 합니다.

    c. Authentication Policy Condition(인증 정책 조건)설정하고 이전에 생성한 Device Type(디바이스 유형)을 선택합니다(1단계 > b).

    d. ID 소스에 대한 인증 정책 사용을 설정합니다.

    e. 저장을 클릭합니다.

    Add RADIUS Authentication PolicyRADIUS 인증 정책 추가

    7단계. RADIUS 권한 부여 정책을 구성합니다.

    이 작업은 Policy(정책) > Policy Sets(정책 집합) > Click(>) 탭에서 수행할 수 있습니다.

    각 사용자 역할에 대한 권한 부여 정책을 생성하려면 다음 단계를 수행합니다.

    • 수퍼 관리자 역할
    • 네트워크 관리자 역할
    • DevOps 역할

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 권한 부여 정책 이름을 정의 합니다.

    c. 권한 부여 정책 조건 설정하고(3단계)에서 생성한 사용자 그룹을 선택합니다.

    d. 권한 부여 정책 결과/프로파일설정하고 (2단계)에서 생성한 권한 부여 프로파일을 선택합니다.

    e. 저장을 클릭합니다.

    Add Authorization Policy권한 부여 정책 추가

    (옵션2) TACACS+를 사용하여 DNAC 외부 인증 구성

    단계 1. (선택 사항) 사용자 지정 역할을 정의합니다.
    요구 사항을 충족하는 사용자 지정 역할을 구성합니다. 대신 기본 사용자 역할을 사용할 수 있습니다. 이 작업은 System(시스템) > Users & Roles(사용자 및 역할) > Role Based Access Control(역할 기반 액세스 제어) 탭에서 수행할 수 있습니다.

    절차

    a. 새 역할을 만듭니다.

    SecOps Role Name보안 담당 중역 역할 이름

    b. 액세스 권한을 정의합니다.

    SecOps Role AccessSecOps 역할 액세스

    c. 새 역할을 생성합니다.

    SecOps Role SummarySecOps 역할 요약

    Review and Create SecOps RoleSecOps 역할 검토 및 생성

    2단계. TACACS+를 사용하여 외부 인증을 구성합니다.
    이 작업은 System(시스템) > Users & Roles(사용자 및 역할) > External Authentication(외부 인증) 탭에서 수행할 수 있습니다.

    a. Cisco DNA Center에서 외부 인증을 활성화하려면 Enable External User(외부 사용자 활성화) 확인란을 선택합니다.

    b. AAA 특성을 설정합니다.

    AAA 특성 필드 Cisco-AVPair를 입력합니다.

    c. (선택 사항) 기본 및 보조 AAA 서버를 구성합니다.

    TACACS+ 프로토콜이 주 AAA 서버 이상 또는 주 서버와 보조 서버 모두에서 활성화되었는지 확인합니다.

    (TACACS+) External Authentication Configuration Steps(TACACS+) 외부 인증 컨피그레이션 단계

    (옵션2) TACACS+용 ISE 구성

    1단계. Device Admin Service를 활성화합니다.
    이 작업은 Administration(관리) > System(시스템) > Deployment(구축) > Edit (ISE PSN Node)(편집(ISE PSN 노드)) > Enable Device Admin Service(디바이스 관리 서비스 활성화) 탭에서 수행할 수 있습니다.

    Enable Device Admin Service장치 관리 서비스 사용

    2단계. ISE에서 DNAC 서버를 네트워크 디바이스로 추가합니다.

    이 작업은 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) 탭에서 수행할 수 있습니다.

    절차

    a. (DNAC) 네트워크 디바이스 이름 및 IP를 정의합니다.
    b. (선택 사항) 정책 집합 조건에 대한 디바이스 유형을 분류합니다.
    c. TACACS+ 인증 설정을 활성화합니다.
    d. TACACS+ 공유 암호를 설정합니다.

    ISE Network Device (DNAC) for TACACS+TACACS+용 ISE 네트워크 디바이스(DNAC)

    3단계. 각 DNAC 역할에 대한 TACACS+ 프로필을 생성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Policy Elements(정책 요소) > Results(결과) > TACACS Profiles(TACACS 프로필) 탭에서 수행할 수 있습니다.

    참고: 각 사용자 역할에 하나씩 3x TACACS+ 프로필을 생성합니다.

    절차

    a. Add(추가)를 클릭하고 TACACS 프로필 이름을 정의합니다.

    b. Raw View(원시 뷰) 탭을 클릭합니다.

    c. Cisco-AVPair=ROLE=를 입력하고 올바른 사용자 역할을 입력합니다.

    • (SecOps-Role) 사용자 역할에 Cisco-AVPair=ROLE=SecOps-Role을 입력합니다.
    • (NETWORK-ADMIN-ROLE) 사용자 역할에 Cisco-AVPair=ROLE=NETWORK-ADMIN-ROLE을 입력합니다.
    • (SUPER-ADMIN-ROLE) 사용자 역할의 경우 Cisco-AVPair=ROLE=SUPER-ADMIN-ROLE을 입력합니다.

    참고: AVPair 값(Cisco-AVPair=ROLE=)은 대/소문자를 구분하며 DNAC 사용자 역할과 일치하는지 확인합니다.

    d. 저장을 클릭합니다.

    Create TACACS Profile (SecOps_Role)TACACS 프로파일 생성(SecOps_Role)

    4단계. 사용자 그룹을 생성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > User Identity Groups(사용자 ID 그룹) 탭에서 수행할 수 있습니다.

    절차

    a. Add(추가)를 클릭하고 ID 그룹 이름을 정의합니다.

    b. (선택 사항) 설명을 정의합니다.

    c. 제출을 클릭합니다.

    Create User Identity Group사용자 ID 그룹 생성

    5단계. 로컬 사용자를 생성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Identities(ID) > Users(사용자) 탭에서 수행할 수 있습니다.

    절차

    a. Add(추가)를 클릭하고 Username(사용자 이름)을 정의합니다.

    b. 로그인 비밀번호를 설정합니다.

    c. 관련 사용자 그룹에 사용자를 추가합니다.

    d. Submit(제출)을 클릭합니다.

    Create Local User 1-2로컬 사용자 생성 1-2

    Create Local User 2-2로컬 사용자 생성 2-2

    6단계. (선택 사항) TACACS+ 정책 집합을 추가합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 정책 집합 이름을 정의합니다.

    c. 이전에 생성한 Select Device Type(디바이스 유형 선택)으로 Policy Set Condition(정책 설정 조건)을 설정합니다(2단계 > b).

    d. Allowed 프로토콜을 설정합니다.

    e. 저장을 클릭합니다.

    f. 인증 및 권한 부여 규칙을 구성하려면 (>) Policy Set View를 클릭합니다.

    Add TACACS+ Policy SetTACACS+ 정책 집합 추가

    7단계. TACACS+ 인증 정책을 구성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) > Click(>) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 인증 정책 이름을 정의 합니다.

    c. Authentication Policy Condition(인증 정책 조건)설정하고 이전에 생성한 Device Type(디바이스 유형)을 선택합니다(2단계 > b).

    d. ID 소스에 대한 인증 정책 사용을 설정합니다.

    e. 저장을 클릭합니다.

    Add TACACS+ Authentication PolicyTACACS+ 인증 정책 추가

    8단계. TACACS+ 권한 부여 정책을 구성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) > Click (>)(클릭) 탭에서 수행할 수 있습니다.

    각 사용자 역할에 대한 권한 부여 정책을 생성하려면 다음 단계를 수행합니다.

    • 수퍼 관리자 역할
    • 네트워크 관리자 역할
    • 보안 담당 중역

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 권한 부여 정책 이름을 정의 합니다.

    c. 권한 부여 정책 조건 설정하고(4단계)에서 생성한 사용자 그룹을 선택합니다.

    d. 권한 부여 정책 프로파일 설정하고 3단계에서 생성한 TACACS 프로파일을 선택합니다.

    e. 저장을 클릭합니다.

    Add Authorization Policy권한 부여 정책 추가

    다음을 확인합니다.

    RADIUS 컨피그레이션 확인

    1- DNAC - Display External Users System(외부 사용자 표시 시스템) > Users & Roles(사용자 및 역할) > External Authentication(외부 인증) > External Users(외부 사용자).
    RADIUS를 통해 처음 로그인한 외부 사용자 목록을 볼 수 있습니다. 표시되는 정보에는 사용자 이름 및 역할이 포함됩니다.

    External Users외부 사용자

    2. DNAC - 사용자 액세스를 확인합니다.

    Limited User Access제한된 사용자 액세스

    3.a ISE - RADIUS Live-Logs Operations(RADIUS 라이브 로그 작업) > RADIUS > Live-Logs(라이브 로그).

    RADIUS Live-LogsRADIUS 라이브 로그

    3.b ISE - RADIUS Live-Logs Operations(RADIUS 라이브 로그 작업) > RADIUS > Live-Logs(라이브 로그) > Click (Details) for Authorization log(권한 부여 로그를 클릭).

    RADIUS Detailed Live-Logs 1-2RADIUS 상세 라이브 로그 1-2

    RADIUS Detailed Live-Logs 2-2RADIUS 상세 라이브 로그 2-2

    TACACS+ 컨피그레이션 확인

    1- DNAC - Display External Users System(외부 사용자 표시 시스템) > Users & Roles(사용자 및 역할) > External Authentication(외부 인증) > External Users(외부 사용자).
    TACACS+를 통해 처음 로그인한 외부 사용자 목록을 볼 수 있습니다. 표시되는 정보에는 사용자 이름 및 역할이 포함됩니다.

    External Users외부 사용자

    2. DNAC - 사용자 액세스를 확인합니다.

    Limited User Access제한된 사용자 액세스

    3.a ISE - TACACS+ Live-Logs Work Centers(작업 센터) > Device Administration(디바이스 관리) > Overview(개요) > TACACS Livelog(TACACS 라이브 로그).

    TACACS Live-LogsTACACS 라이브 로그

    3.b ISE - 자세한 TACACS+ Live-Logs Work Centers(작업 센터) > Device Administration(디바이스 관리) > Overview(개요) > TACACS Livelog(TACACS 라이브 로그) > Click (Details) for Authorization log(권한 부여 로그 클릭)

    TACACS+ Detailed Live-Logs 1-2TACACS+ 상세 라이브 로그 1-2

    TACACS+ Detailed Live-Logs 2-2TACACS+ 상세 라이브 로그 2-2

    문제 해결

    현재 이 구성에 사용할 수 있는 특정 진단 정보가 없습니다.

    참조

    개정 이력

    개정 게시 날짜 의견
    2.0
    25-Jan-2025
    최초 릴리스
    1.0
    21-Jan-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 칼레드 두마
      기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품