Configuratie van ISE 3.2 voor het toewijzen van Security Group Tags voor passieve ID-sessies

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 februari 2023
Document-id:218315

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Security Group Tags (SGT’s) kunt configureren en toewijzen aan passieve ID-sessies via autorisatiebeleid in ISE 3.2.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco ISE-lijnkaart 3.2
    • Passieve ID, TrustSec en PxGrid

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE-lijnkaart 3.2
    • VCC 7.0.1
    • WS-C3850-24P switch met 16.12.1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Cisco Identity Services Engine (ISE) 3.2 is de minimumversie die deze mogelijkheid ondersteunt. Dit document is niet van toepassing op de configuratie van PassiveID, PxGrid en SXP. Zie de Admin Guide voor meer informatie.

    In ISE 3.1 of oudere versies kan alleen een Security Group Tag (SGT) worden toegewezen aan een RADIUS-sessie of actieve verificatie zoals 802.1x en MAB. Met ISE 3.2 kunnen we het autorisatiebeleid voor PassiveID-sessies zodanig configureren dat wanneer Identity Services Engine (ISE) inloggebeurtenissen van gebruikers ontvangt van een provider zoals Active Directory Domain Controllers (AD DC) WMI of AD Agent, het een Security Group Tag (SGT) toewijst aan de PassiveID-sessie op basis van het lidmaatschap van de gebruikers Active Directory (AD)-groep. De IP-SGT-mapping en AD-groepsdetails voor de PassiveID kunnen worden gepubliceerd op het TrustSec-domein via SGT Exchange Protocol (SXP) en/of op de Platform Exchange Grid-abonnees (pxGrid) zoals Cisco Firepower Management Center (FMC) en Cisco Secure Network Analytics (Stealthwatch).

    Configureren

    Stroomdiagram

    PassiveID TrustSec SGT Assignment FlowStroomdiagram

    Configuraties

    Schakel de autorisatiestroom in:

    Naar navigeren Active Directory > Advanced Settings > PassiveID Settings  en controleer de Authorization Flow selectievakje om het autorisatiebeleid te configureren voor gebruikers van PassiveID-aanmelding. Deze optie is standaard uitgeschakeld.

    PassiveID Authorization Flow SettingDe autorisatiestroom inschakelen

    Opmerking: om deze functie te laten werken, moet u ervoor zorgen dat u PassiveID-, PxGrid- en SXP-services uitvoert in uw implementatie. U kunt dit controleren onder Administration > System > Deployment .

    Configuratie beleidsset:

    1. Maak een aparte beleidsset voor passieve id (aanbevolen).
    2. Voor Voorwaarden, gebruik de eigenschap PassiveID·PassiveID_Provider  en selecteer het type provider.

    PassiveID Authorization ConditionBeleidssets

    1. Configureer de autorisatieregels voor de beleidsset die in stap 1 is gemaakt.
    • Maak een voorwaarde voor elke regel en gebruik het PassiveID woordenboek op basis van AD-groepen, gebruikersnamen of Beide.
    • Wijs een Security Group Tag toe aan elke regel en sla de configuraties op.

    PassiveID Authorization Policy for SGT assignmentVergunningsbeleid

    Opmerking: het authenticatiebeleid is irrelevant omdat het niet wordt gebruikt in deze stroom.

    Opmerking: u kunt PassiveID_Username, PassiveID_Groups,of PassiveID_Provider eigenschappen om de autorisatieregels te creëren.

    4. Navigeer naar Work Centers > TrustSec > Settings > SXP Settings toelaten Publish SXP bindings on pxGrid en Add RADIUS and PassiveID Mappings into SXP IP SGT Mapping Table om PassiveID-toewijzingen te delen met PxGrid-abonnees en deze op te nemen in de SXP-toewijzingstabel op ISE.

    Publishing SXP Bindings over PxGridSXP-instellingen

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    ISE-verificatie

    Zodra de gebruikersaanmeldingsgebeurtenissen naar ISE zijn verzonden vanuit een provider zoals Active Directory Domain Controllers (AD DC) WMI of AD Agent, gaat u verder met het controleren van de Live Logs. Naar navigeren Operations > Radius > Live Logs.

    Verify PassiveID Authorization Flow in live sessions.Radius LiveLogs

    Klik op het pictogram vergrootglas in de kolom Details om een gedetailleerd rapport voor een gebruiker, in dit voorbeeld smith (Domeingebruikers) te bekijken zoals hier getoond.

    Live Log details user1

    Een gedetailleerd rapport voor een andere gebruiker (Domain Admins). Zoals hier wordt getoond, wordt een ander SGT toegewezen per geconfigureerd autorisatiebeleid.

    Live Log details user2

    Controleer de SGT/IP-toewijzingstabel in ISE. Naar navigeren Work Centers >TrustSec > All SXP Mappings.

    View SXP Bindings on ISESXP-toewijzingstabel

    Opmerking: gebeurtenissen met passieve ID van een API-provider kunnen niet worden gepubliceerd naar SXP-peers. De SGT-gegevens van deze gebruikers kunnen echter via pxGrid worden gepubliceerd.

    Verificatie van PXGrid-abonnee

    In dit CLI-fragment wordt gecontroleerd of het VCC de IP-SGT-toewijzingen voor de eerder genoemde PassiveID-sessies van ISE heeft geleerd.

    Verify SXP Binding on FMCVCC CLI-verificatie

    Verificatie van TrustSec SXP-peer

    De switch heeft de IP-SGT-toewijzingen voor PassiveID-sessies van ISE geleerd, zoals in dit CLI-fragment wordt weergegeven.

    Verify source of TAG on FMCCLI-verificatie switch

    Opmerking: de switch voor AAA en TrustSec valt buiten het bereik van dit document. Controleer of de Cisco TrustSec-handleiding voor verwante configuraties.

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Debugs inschakelen op ISE

    Naar navigeren Administration > System > Logging > Debug Log Configuration om de volgende onderdelen op het opgegeven niveau in te stellen.

    Knooppunt

    Naam van component

     Logniveau

    Logbestandsnaam

    Passieve id

    gepassioneerd

    Overtrekken

    gepassiveerd-*.log

    PxGrid

    pxgrid

    Overtrekken

    pxgrid-server.log

    SXP

    sxp

    Debuggen

    sxp.log

    Opmerking: wanneer u klaar bent met probleemoplossing, onthoud dan om de debugs opnieuw in te stellen en selecteer de verwante node en klik op Reset to Default.

    Logs-fragmenten

    1. ISE ontvangt inloggebeurtenissen van de provider:

    Passiveid-*.log bestand:

    ADI debugs on FMCPassiveid-*.log-bestand

    2. ISE wijst SGT toe volgens het geconfigureerde autorisatiebeleid en publiceert IP-SGT-mapping voor PassiveID-gebruikers aan PxGrid-abonnees en SXP-peers:

    sxp.log-bestand:

    ADI debugs on FMC2sxp.log-bestand

    pxgrid-server.log bestand:

    Verify logs on FMCpxgrid-server.log-bestand

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    15-Feb-2023
    Eerste vrijgave
    1.0
    09-Feb-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Romeo Migisha
      Cisco Technical Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten