APIC voor apparaatbeheer configureren met ISE en TACACS+

Downloadopties

  • PDF     (2.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:28 april 2023
Document-id:220433

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de procedure om APIC met ISE te integreren voor de verificatie van beheerders met het TACACS+-protocol.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Application Policy Infrastructure Controller-controller (APIC)
    • Identity Services Engine (ISE)
    • TACACS-protocol

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • APIC versie 4.2(7u)
    • ISE-versie 3.2 Patch 1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Integration DiagramIntegratiediagram

    Verificatieprocedure

    Stap 1.Meld u aan bij de APIC-toepassing met Admin User Credentials.

    Stap 2. Het verificatieproces activeert en ISE valideert de referenties lokaal of via Active Directory.

    Stap 3. Zodra de verificatie is geslaagd, stuurt ISE een vergunningspakket om de toegang tot de APIC te autoriseren.

    Stap 4. ISE toont een succesvol live verificatielogboek.

    Opmerking: APIC repliceert de TACACS+-configuratie naar bladeren switches die deel uitmaken van het weefsel.

    APIC-configuratie

    Stap 1. Navigeer naarAdmin > AAA > Authentication > AAAen kies+pictogram om een nieuw login domein te maken.

    APIC Login Admin ConfigurationConfiguratie van APIC-inlogbeheer

    +Stap 2. Bepaal een naam en domein voor het nieuwe Login Domein en klik onder Providers om een nieuwe provider te creëren.

    APIC Login AdminAPIC-inlogbeheerder

    APIC TACACS ProviderAPIC TACACS-provider

    Stap 3. Definieer het ISE IP-adres of de hostnaam, definieer een gedeeld geheim en kies de Management Endpoint Policy Group (EPG). Klik omSubmitde TACACS+ provider toe te voegen aan de inlogbeheerder.

    APIC TACACS Provider SettingsInstellingen APIC TACACS-provider

    Create Login Domain

    TACACS Provider ViewWeergave van TACACS-provider

    ISE-configuratie

    >Stap 1. Navigeer naar ☰ Beheer > Netwerkbronnen > Netwerkapparaatgroepen. Maak een netwerkapparaatgroep onder Alle apparaattypen.

    ISE Network Device GroupsISE-netwerkapparaatgroepen

    Stap 2. Navigeer naarAdministration > Network Resources > Network Devices. KiesAddAPIC-naam en IP-adres definiëren, kies APIC onder Apparaattype en aanvinkvakje TACACS+ en definieer het wachtwoord dat wordt gebruikt bij de APIC TACACS+ Provider-configuratie. Klik op de knop .Submit

    ISE Network Devices

    Herhaal stap 1 en stap 2 voor bladzijden switches.

    Stap 3. Gebruik de instructies op deze link om ISE te integreren met Active Directory; 

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html.

    note-icon

    Opmerking: Dit document omvat zowel interne gebruikers als AD Administrator-groepen als identiteitsbronnen. De test wordt echter uitgevoerd met de Identity Source van de interne gebruikers. Het resultaat is hetzelfde voor AD-groepen.

    Stap 4. (Optioneel) Navigeer naar >Administration > Identity Management > Groups. KiesUser Identity Groups en klik Add. Maak één groep voor alleen-lezen Admin-gebruikers en Admin-gebruikers.

    Identity GroupIdentiteitsgroep

    Stap 5. (Optioneel) Navigeer naar >Administration > Identity Management > Identity.Klik opAdden maak éénRead Only Admingebruiker enAdmingebruiker aan. Wijs elke gebruiker toe aan elke groep die in Stap 4 is gemaakt.

    ISE Identity Management

    Stap 6. Navigeer naar >Administration > Identity Management > Identity Source Sequence. KiesAdd, definieer een naam en kiesAD Join PointsenInternal UsersIdentity Source uit de lijst. KiesTreat as if the user was not found and proceed to the next store in the sequenceonderAdvanced Search List Settingsen klikSave.

    Identity Source SequenceIdentity Source Sequence

    7. Navigeer naar ☰>Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  Selecteer Add, definieer een naam en uncheck Allow CHAP en sta MS-CHAPv1 toe uit de lijst van verificatieprotocollen. Selecteer Opslaan.

    TACACS Allow ProtocolProtocol voor TACACS-toestemming

    8. Navigeer naar >Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. Klikadden maak twee profielen aan op basis van de kenmerken in de lijst onderRaw View. Klik op de knop .Save

    • Beheerder: cisco-av-pair=shell:domains=all/admin/
    • Alleen-lezen beheerder gebruiker: cisco-av-pair=shell:domains=all//read-all
    note-icon

    Opmerking: In het geval van spaties of extra tekens mislukt de autorisatiefase.

    TACACS ProfileTACACS-profiel

    TACACS Admin and Read Only Admin ProfilesAdmin- en Admin-profielen voor TACACS-beheer en alleen-lezen

    Stap 9. Navigeer naar >Work Centers > Device Administration > Device Admin Policy Set. Maak een nieuwe beleidsset, definieer een naam en kies het in Stap 1APICTACACS Protocolgemaakte apparaattype. Kies gemaakt in Stap 7. zoals toegestaan in het Protocol en klikSave.

    TACACS Policy SetTACACS-beleidsset

    Stap 10. Klik onder nieuwPolicy Setop het pijltje rechts>en voer een verificatiebeleid in. Definieer een naam en kies het IP-adres van het apparaat als voorwaarde. Kies vervolgens de Identity Source Sequence die in Stap 6 is gemaakt.

    Authentication PolicyVerificatiebeleid

    note-icon

    Opmerking: Locatie of andere kenmerken kunnen als verificatievoorwaarde worden gebruikt.

    Stap 1. Maak een autorisatieprofiel voor elk Admin-gebruikerstype, definieer een naam en kies een interne gebruiker en/of AD-gebruikersgroep als voorwaarde. Aanvullende voorwaarden zoals APIC kunnen worden gebruikt. Kies het juiste shell-profiel op elk autorisatiebeleid en klik opSave.

    TACACS Authorization ProfileAutorisatieprofiel TACACS

    Verifiëren

    Stap 1. Meld u aan bij de APIC UI met gebruikersbeheerder referenties. Kies de optie TACACS uit de lijst.

    APIC LoginAPIC-aanmelding

    Stap 2. Controleer de toegang op de APIC UI en het juiste beleid wordt toegepast op de TACACS Live logs.

    APIC Welcome MessageAPIC welkomstboodschap

    Herhaal stap 1 en 2 voor gebruikers van Alleen-lezen beheerder.

    TACACS+ Live LogsLevende logbestanden voor TACACS+

    Problemen oplossen

    Stap 1. Navigeer naar >Operations > Troubleshoot > Debug Wizard. KiesTACACSen klik Debug Nodes.

    Debug Profile ConfigurationConfiguratie debug-profiel

    Stap 2. Kies het knooppunt dat het verkeer ontvangt en klikSave.

    Debug Nodes SelectionSelectie van debugknooppunten

    Stap 3. Voer een nieuwe test uit en download de logbestanden onderOperations > Troubleshoot > Download logs  zoals getoond:

    AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

    Als debugs geen authenticatie- en autorisatie-informatie tonen, valideert u dit:

    1. De service Apparaatbeheer is ingeschakeld voor de ISE-knooppunt.
    2. Het juiste ISE IP-adres is toegevoegd aan de APIC-configuratie.
    3. Als een firewall in het midden zit, controleer dan of poort 49 (TACACS) is toegestaan.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    28-Apr-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Emmanuel Cano Gutierrez
      Cisco Security Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten