Begrijp het beleid van Admin Access en RBAC op ISE

Downloadopties

  • PDF     (4.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:13 augustus 2024
Document-id:200891

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de functies van ISE voor het beheer van administratieve toegang op de Identity Services Engine (ISE).

    Voorwaarden

    Vereisten

    Cisco raadt u aan deze onderwerpen te kennen:

    • ISE
    • Active Directory
    • Lichtgewicht Directory Access Protocol (LDAP)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • ISE-lijnkaart 3,0
    • Windows Server 2016

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Verificatie-instellingen

    Beheerders moeten zichzelf verifiëren Voor toegang tot alle informatie over ISE. De identiteit van beheerders kan worden geverifieerd door gebruik te maken van de ISE Internal Identity Store of een Externe Identity Store. De authenticiteit kan worden geverifieerd met een wachtwoord of een certificaat. Ga naarAdministration > System> Admin Access > Authenticationom deze instellingen te configureren. Kies het gewenste verificatietype onder hetAuthentication Methodtabblad.

    Admin Authentication Methods

    Opmerking: wachtwoordgebaseerde verificatie is standaard ingeschakeld. Als dit wordt gewijzigd in op clientcertificaten gebaseerde verificatie, zorgt het ervoor dat een toepassingsserver opnieuw start op alle implementatieknooppunten.

    ISE staat de configuratie van het wachtwoordbeleid van de opdrachtregel interface (CLI) vanuit de CLI niet toe. Het wachtwoordbeleid voor zowel de grafische gebruikersinterface (GUI) als de CLI kan alleen worden geconfigureerd via de ISE GUI. Om het te configureren navigeert u naarAdministration > System > Admin Access > Authenticationen navigeert u naar hetPassword Policytabblad.

    Admin Password Policy

    Admin Password Policy 1

    ISE heeft een voorziening om een inactieve beheerder uit te schakelen. Om dit te configureren navigeert u naar Beheer > Systeem > Admin Access > Verificatie en navigeert u naar hetAccount Disable Policytabblad.

    Admin Account Disable Policy

    ISE biedt ook de mogelijkheid om een admin-gebruikersaccount te vergrendelen of op te schorten op basis van het aantal mislukte inlogpogingen. Om dit te configureren navigeer je naarAdministration > System > Admin Access > Authenticationhet tabblad en navigeer je naar hetLock/Suspend Settingstabblad.

    Admin Account Lock/Suspend Policy

    Om administratieve toegang te beheren, is er behoefte aan beheergroepen, gebruikers en verschillende beleid/regels om hun rechten te controleren en beheren.

    Admin-groepen configureren

    Navigeer naarAdministration > System > Admin Access > Administrators > Admin Groupsom beheerdergroepen te configureren. Er zijn een paar groepen die standaard zijn ingebouwd en niet kunnen worden verwijderd.

    Admin Groups

    Zodra een groep is gemaakt, kiest u de groep en klikt u op bewerken om beheergebruikers aan die groep toe te voegen. Er is een voorziening om Externe Identiteitsgroepen aan de Admin Groepen op ISE in kaart te brengen zodat een Externe Admin gebruiker de vereiste toestemmingen krijgt. Om het te configureren kiest u het typeExternalterwijl u de gebruiker toevoegt.

    Admin Group Configuration

    Admin-gebruikers configureren

    Om Admin Gebruikers te configureren navigeer je naarAdministration > System > Admin Access > Administrators > Admin Users.

    Administrators

    Klik op Add (Toevoegen). Er zijn twee opties om uit te kiezen. Een daarvan is om helemaal een nieuwe gebruiker toe te voegen. De andere is om een Network Access User (d.w.z. een gebruiker die als interne gebruiker is geconfigureerd om toegang te krijgen tot het netwerk/de apparaten) en een ISE-beheerder te maken.

    Administrators 1

    Nadat u een optie hebt gekozen, moeten de vereiste gegevens worden verstrekt en moet de gebruikersgroep worden gekozen op basis van welke machtigingen en rechten aan de gebruiker worden verleend.

    Administrator Configuration

    Rechten configureren

    Er zijn twee soorten rechten die kunnen worden geconfigureerd voor een gebruikersgroep:

    1. Menutoegang
    2. Toegang tot gegevens

    Menu Access regelt de zichtbaarheid van de navigatie op ISE. Er zijn twee opties voor elke tab, Toon of Verberg, die kan worden geconfigureerd. Een menu-toegangsregel kan worden geconfigureerd om gekozen tabbladen te tonen of te verbergen.

    Data Access regelt de mogelijkheid om de Identity Data on ISE te lezen/te wijzigen. Toegangstoestemming kan alleen worden geconfigureerd voor beheerdersgroepen, gebruikersgroepen, endpointgroepen en netwerkapparaatgroepen. Er zijn drie opties voor deze entiteiten op ISE die kunnen worden geconfigureerd. Dit zijn volledige toegang, alleen-lezen toegang en geen toegang. Er kan een regel voor gegevenstoegang worden geconfigureerd om een van deze drie opties te kiezen voor elk tabblad op ISE.

    Het beleid van de Toegang van het menu en van de Toegang van Gegevens moet worden tot stand gebracht alvorens zij op om het even welke beheerdersgroep kunnen worden toegepast. Er zijn een paar beleidsmaatregelen die standaard ingebouwd zijn, maar ze kunnen altijd op maat worden gemaakt of er kan een nieuw beleid worden gemaakt.

    Om een Menu Access-beleid te configureren navigeer je naarAdministration > System > Admin Access > Authorization > Permissions > Menu Access.

    Admin Menu Access

    Klik op Add (Toevoegen). Elke navigatieoptie in ISE kan worden geconfigureerd om te worden getoond/verborgen in een beleid.

    Admin Menu Access Configuration

    Om het beleid voor gegevenstoegang te configureren navigeert u naarAdministation > System > Admin Access > Authorization > Permissions > Data Access.

    Admin Data Access

    Klik op Add om een nieuw beleid te maken en machtigingen te configureren om toegang te krijgen tot Admin/User Identity/Endpoint Identity/Network Groups.

    Admin Data Access Configuration

    RBAC-beleid configureren

    RBAC staat voor Role-Based Access Control. De rol (beheergroep) waartoe een gebruiker behoort kan worden geconfigureerd om het gewenste menu- en gegevenstoegangsbeleid te gebruiken. Er kunnen meerdere RBAC-beleidslijnen worden geconfigureerd voor een enkele rol of meerdere rollen kunnen worden geconfigureerd in één enkel beleid om toegang te krijgen tot Menu en/of Data. Al dat toepasselijke beleid wordt geëvalueerd wanneer een beheerder gebruiker probeert om een actie uit te voeren. De uiteindelijke beslissing is de som van alle beleidsmaatregelen die op die rol van toepassing zijn. Indien er tegenstrijdige regels zijn die tegelijkertijd toestaan en weigeren, treedt de regel inzake het weigeren van toegang op. Om dit beleid te configureren navigeer je naarAdministration > System > Admin Access > Authorization > RBAC Policy.

    Admin Authorization Policy

    Klik om een beleidActions te dupliceren/invoegen/verwijderen.

    Opmerking: het door het systeem gemaakte en standaardbeleid kan niet worden bijgewerkt en het standaardbeleid kan niet worden verwijderd.

    Opmerking: Meerdere menu-/gegevenstoegangstoestemmingen kunnen niet in één regel worden geconfigureerd.

    Instellingen voor beheerderstoegang configureren

    Naast het RBAC-beleid zijn er een paar instellingen die kunnen worden geconfigureerd die gemeenschappelijk zijn voor alle beheergebruikers.

    U kunt als volgt het aantal toegestane maximale sessies configureren: banners vóór aanmelding en na aanmelding voor GUI en CLI. Navigeer naarAdministration > System > Admin Access > Settings > Access. Configureer deze onder het tabblad Sessie.

    Admin Login GUI Sessions Settings

    Om de lijst met IP-adressen te configureren waar u de GUI en de CLI kunt benaderen, navigeert u naarAdministration > System > Admin Access > Settings > Accessen navigeert u naar hetIP Accesstabblad.

    Admin IP Access Restriction

    Om een lijst met knooppunten te configureren van waaruit beheerders de MnT-sectie in Cisco ISE kunnen openen, navigeer naarAdministration > System > Admin Access > Settings > Accessen navigeer naar hetMnT Accesstabblad.

    Om knooppunten of entiteiten binnen de plaatsing of buiten de plaatsing toe te staan om syslogs naar MnT te verzenden, klik deAllow any IP address to connect to MNTradioknoop. Om alleen knooppunten of entiteiten binnen de plaatsing toe te staan om syslogs naar MnT te verzenden, klikt u opAllow only the nodes in the deployment to connect to MNTeen radioknop.

    Admin MnT Access Restrictions

    Opmerking: voor ISE 2.6 patch 2 en hoger is de ISE Messaging Service standaard ingeschakeld voor het leveren van UDP Syslogs aan MnT. Deze configuratie beperkt de acceptatie van systemen van externe entiteiten buiten de implementatie.

    Om een tijdelijke waarde te configureren vanwege de inactiviteit van een sessie, navigeer naarAdministration > System > Admin Access > Settings > Session. Stel deze waarde in onder hetSession Timeouttabblad.

    Admin Session Timeout

    Om de momenteel actieve sessies te bekijken of ongeldig te maken, navigeer naarAdministration > Admin Access > Settings > Sessionen klik op hetSession Infotabblad.

    Admin Session Info

    Admin Portal Access configureren met AD Credentials

    Meld u aan bij ISE-to-AD

    Ga naarAdministration > Identity Management > External Identity Sources > Active Directoryom deel te nemen aan een extern domein. Voer de nieuwe naam van het toetredingspunt en het actieve directorydomein in. Voer de referenties in van de AD-account die kunnen worden toegevoegd, wijzig computerobjecten en klik op OK.

    AD Join

    AD Connection

    Mappengroepen kiezen

    Navigeer naarAdministration > Identity Management > External Identity Sources > Active Directory. Klik op de gewenste Join Point Name en navigeer naar het tabblad Groepen. Klik op de knop .Add > Select Groups from Directory > Retrieve Groups Importeer ten minste één AD Group waartoe uw beheerder behoort, klik op OK en klik vervolgens op Opslaan.

    AD Groups Selection

    AD Groups import

    Administratieve toegang voor AD inschakelen

    Om op wachtwoord gebaseerde verificatie van ISE in te schakelen met AD, navigeer naarAdministration> System > Admin Access > Authentication. Kies in hetAuthentication Methodtabblad dePassword-Basedoptie. Kies AD in hetIdentity Sourcevervolgkeuzemenu en klik op Opslaan.

    Admin Authentication Method AD

    De ISE-beheergroep configureren voor toewijzing van AD-groepen

    Hiermee kan de RBAC-rechten voor de beheerder worden bepaald op basis van groepslidmaatschap in AD. Ga naarAdministration > System > Admin Access > Administrators > Admin Groupsom een Cisco ISE-beheergroep te definiëren en die aan een AD-groep toe te wijzen. Klik op Add en voer een naam in voor de nieuwe Admin-groep. Schakel in het veld Type het aankruisvakje Extern in. Kies in het vervolgkeuzemenu Externe groepen de AD-groep waaraan deze Admin-groep moet worden toegewezen (zoals gedefinieerd in hetSelect Directory Groupsgedeelte). Leg de wijzigingen voor.

    External Groups for Admin

    RBAC-toegangsrechten instellen voor de Admin-groep

    Als u RBAC-rechten wilt toewijzen aan de Admin Group die in de vorige sectie is gemaakt, gaat u naarAdministration > System > Admin Access > Authorization > RBAC Policy. KiesInsert new policyin het vervolgkeuzemenu Acties rechts. Maak een nieuwe regel, wijs deze toe met de Admin Group die in de eerdere sectie is gedefinieerd en wijs de regel toe met de gewenste gegevens en menutoegangsrechten en klik vervolgens op Opslaan.

    Policy Selection for Admin

    Toegang tot ISE met AD Credentials en controleren

    Uitloggen op de administratieve GUI. Kies de naam Join Point in hetIdentity Sourcevervolgkeuzemenu. Voer de gebruikersnaam en het wachtwoord in uit de AD-database en log in.

    Admin Login Page

    Controleer de geverifieerde gebruikersnaam in het pictogram Settings rechtsboven in de ISE GUI om te bevestigen dat de configuratie correct werkt. Navigeer naar serverinformatie en controleer de gebruikersnaam.

    ISE General Information

    Admin Portal Access configureren met LDAP

    Doe mee aan ISE naar LDAP

    Navigeer naarAdministration > Identity Management > External Identity Sources > Active Directory > LDAP. Voer onder hetGeneraltabblad een naam in voor de LDAP en kies het schema alsActive Directory.

    External Identity Sources

    Navigeer vervolgens naar hetConnectiontabblad om het type verbinding te configureren. Stel hier de Hostname/IP van de primaire LDAP-server in samen met de poort 389 (LDAP)/636 (LDAP-Secure). Voer het pad van de Admin voornaam (DN) in met het Admin-wachtwoord van de LDAP-server.

    LDAP Connection Settings

    Navigeer vervolgens naar hetDirectory Organizationtabblad en klikNaming Contextsom de juiste organisatiegroep van de gebruiker te kiezen op basis van de hiërarchie van gebruikers die zijn opgeslagen in de LDAP-server.

    LDAP Directory Organization

    KlikTest Bind to Serveronder hetConnectiontabblad om de bereikbaarheid van de LDAP-server van ISE te testen.

    LDAP Connection Test

    Navigeer nu naar het tabblad Groepen en klik opAdd > Select Groups From Directory > Retrieve Groups. Importeer ten minste één groep waartoe uw beheerder behoort, klik op OK en klik vervolgens op Opslaan.

    LDAP Groups Selection

    LDAP Groups Import

    Administratieve toegang voor LDAP-gebruikers inschakelen

    Om op wachtwoord gebaseerde verificatie van ISE in te schakelen met LDAP, navigeer naarAdministration> System > Admin Access > Authentication. Kies in hetAuthentication Methodtabblad dePassword-Basedoptie. Kies LDAP in hetIdentity Sourcevervolgkeuzemenu en klik op Opslaan.

    Admin Authentication Method Selection

    De ISE-beheergroep aan de LDAP-groep toewijzen

    Hierdoor kan de geconfigureerde gebruiker beheerderstoegang krijgen op basis van de autorisatie van het RBAC-beleid, dat op zijn beurt is gebaseerd op het LDAP-groepslidmaatschap van de gebruiker. Als u een Cisco ISE-beheergroep wilt definiëren en deze wilt toewijzen aan een LDAP-groep, navigeert u naarAdministration > System > Admin Access > Administrators > Admin Groups. Klik op Add en voer een naam in voor de nieuwe Admin-groep. Schakel in het veld Type het aankruisvakje Extern in. Kies in het vervolgkeuzemenu Externe groepen de LDAP-groep waaraan deze Admin-groep moet worden toegewezen (zoals eerder opgezocht en gedefinieerd). Leg de wijzigingen voor.

    Admin External Groups LDAP

    RBAC-toegangsrechten instellen voor de Admin-groep

    Als u RBAC-rechten wilt toewijzen aan de Admin Group die in de vorige sectie is gemaakt, gaat u naarAdministration > System > Admin Access > Authorization > RBAC Policy. KiesInsert new policyin het vervolgkeuzemenu Acties rechts. Maak een nieuwe regel, wijs deze toe met de Admin Group die in de eerdere sectie is gedefinieerd en wijs de regel toe met de gewenste gegevens en menutoegangsrechten en klik vervolgens op Opslaan.

    Admin Policy

    Toegang tot ISE met LDAP-referenties en controleren

    Uitloggen op de administratieve GUI. Kies de LDAP-naam in het vervolgkeuzemenu Identity Source. Voer de gebruikersnaam en het wachtwoord in uit de LDAP-database en log in.

    Admin Login Page External Authentication

    Om te bevestigen dat de configuratie correct werkt, verifieert u de geverifieerde gebruikersnaam via het pictogram Settings in de rechterbovenhoek van de ISE GUI. Navigeer naar serverinformatie en controleer de gebruikersnaam.

    ISE General Information 2

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    13-Aug-2024
    Eerste release, alt-tekst, hercertificering.
    1.0
    15-Dec-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Surendra Reddy
      Vertegenwoordiger voor klantenservice en ondersteuning
    • Rini Santra
      Oplossingsarchitect

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten