De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de functies van ISE beschreven om administratieve toegang op Identity Services Engine (ISE) te beheren.
Cisco raadt u aan om de kennis van deze onderwerpen te hebben:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Admin-gebruikers moeten zichzelf authentiek verklaren om toegang tot om het even welke informatie op ISE te hebben. De identiteit van de beheerder kan worden geverifieerd met behulp van de ISE Interne Identity Store of een Externe Identity Store. De echtheid kan met een wachtwoord of met een certificaat worden geverifieerd. Om deze instellingen te configureren stuurt u naar Beheer > Systeem > Toegang > Verificatie. Selecteer het gewenste verificatietype onder het tabblad Verificatiemethode.
Opmerking: Op wachtwoord gebaseerde verificatie is standaard ingeschakeld. Als dit wordt gewijzigd in Clientverificatie op basis van certificaten, veroorzaakt dit een herstart van de toepassingsserver op alle implementatieknooppunten.
Identity Services Engine stelt niet in het wachtwoordbeleid voor Opdrachtlijn Interface (CLI) te configureren vanuit de CLI-indeling. Het beleid van het wachtwoord voor zowel de Graphical User Interface (GUI) als de CLI kan alleen worden ingesteld via de GUI van ISE. Om dit te configureren navigeer u naar Beheer > Systeem > Admin Access > Verificatie en navigeer naar het tabblad Wachtwoordbeleid.
ISE heeft een voorziening om een inactieve beheerder uit te schakelen. Om dit te configureren navigeer u naar Beheer > Systeem > Admin Access > Verificatie en navigeer naar Account tabblad Policy.
ISE biedt ook de mogelijkheid om een beheergebruikersaccount te vergrendelen of op te schorten op basis van het aantal mislukte inlogpogingen. Om dit te configureren navigeer u naar Beheer > Systeem > Admin Access > Verificatie en navigeer naar het tabblad Lock/Suspend Settings.
Om de administratieve toegang te kunnen beheren, zijn er administratieve groepen, gebruikers en verschillende beleid/regels nodig om hun privileges te controleren en beheren.
Navigeer naar Beheer > Systeem > Admin Access > Beheerders > Admin Groepen om beheerdersgroepen te configureren. Er zijn weinig groepen die standaard zijn ingebouwd en die niet kunnen worden verwijderd.
Nadat er een groep is gemaakt, selecteert u de groep en klikt u op Bewerken om administratieve gebruikers aan de groep toe te voegen. Er is een voorziening om externe identiteitsgroepen aan de Admin Groepen op ISE in kaart te brengen zodat een Externe Admin gebruiker de vereiste machtigingen krijgt. Om dit te configureren selecteert u het type als extern tijdens het toevoegen van de gebruiker.
Om Admin-gebruikers te configureren navigeer naar Beheer > Systeem > Admin Access > Administrateurs > Admin Gebruikers.
Klik op Toevoegen. Er zijn twee opties om uit te kiezen. De eerste is het toevoegen van een nieuwe gebruiker. De andere is om als ISE-beheerder een netwerktoegangsgebruiker (d.w.z. een door de gebruiker ingesteld interne gebruiker die toegang heeft tot het netwerk/de apparaten) te maken.
Nadat u een optie hebt geselecteerd, moeten de gewenste gegevens worden verstrekt en moet de gebruikersgroep worden geselecteerd op basis waarvan de rechten en privileges aan de gebruiker worden verleend.
Er zijn twee soorten permissies die voor een gebruikersgroep kunnen worden ingesteld:
Menu Access regelt het navigatie-zicht op ISE. Er zijn twee opties voor elk tabblad, Weergeven of verbergen, dat kan worden geconfigureerd. Een Menu Access-regel kan worden ingesteld om geselecteerde tabbladen te tonen of te verbergen.
Data Access controleert de mogelijkheid om de Identity Data op ISE te lezen/benaderen/te wijzigen. Toegangstoestemming kan alleen worden ingesteld voor Admin-groepen, gebruikersidentiteitsgroepen, Endpoint Identity Group en Network Apparaatgroepen. Er zijn drie opties voor deze entiteiten op ISE die kunnen worden geconfigureerd. Ze hebben volledige toegang, alleen-lezen toegang en geen toegang. Een gegevenstoegangsregel kan worden ingesteld om een van deze drie opties voor elk tabblad op ISE te kiezen.
Het beleid voor toegang tot het menu en toegang tot de gegevens moet worden gemaakt voordat ze op een willekeurige admin-groep kunnen worden toegepast. Er zijn een paar beleidsmaatregelen die standaard zijn ingebouwd, maar ze kunnen altijd worden aangepast of er kan een nieuw beleid worden gecreëerd.
Om een Menu Access-beleid te configureren kunt u navigeren naar Beheer > Systeem > Toegang > Toestemming > Toestemmingen > Menu-toegang.
Klik op Toevoegen. Elke navigatie optie in ISE kan worden ingesteld om te worden getoond/verborgen in een beleid.
Om het beleid voor toegang tot gegevens te configureren dient u te navigeren naar Administratie > Toegang tot beheersysteem > Toestemming > Toestemmingen > Toegang tot gegevens.
Klik op Add om een nieuw beleid en configureerbare rechten te maken voor toegang tot Admin/User Identity/Endpoint Identity/Network Group.
RBAC staat voor rollengebaseerde toegangscontrole. Rol (Admin Group) waartoe een gebruiker behoort, kan worden ingesteld om het gewenste menu- en gegevenstoegangsbeleid te gebruiken. Er kunnen meerdere RBAC-beleid worden ingesteld voor één rol OF meerdere rollen kunnen worden ingesteld in één beleid voor toegang tot menu en/of gegevens. Al deze toepasbaar beleid wordt beoordeeld wanneer een beheerder een actie probeert uit te voeren. Het uiteindelijke besluit is het geheel van alle beleidsmaatregelen die op die rol van toepassing zijn. Indien er tegenstrijdige regels bestaan die tegelijkertijd toestaan en ontkennen, wordt de ontkenningsregel overtreden door de vergunningsregel. Om dit beleid te configureren klikt u op Beheer > Systeem > Toegang > autorisatie > RCB Beleid.
Klik op Handelingen om beleid te dupliceren/invoegen/verwijderen.
Opmerking: Systeemgecreëerd en standaard beleid kan niet worden bijgewerkt en standaard beleid kan niet worden verwijderd.
Opmerking: De toegangsrechten van meerdere menu's/data kunnen niet in één regel worden ingesteld.
Naast het RBAC-beleid zijn er een aantal instellingen die gemeenschappelijk zijn voor alle beheergebruikers.
Om het aantal maximaal toegestane sessies te configureren, vooraf inloggen en achteraf inlogbanners voor GUI en CLI, navigeer naar Administratie > Systeem > Admin Access > Instellingen > Toegang. Configureer deze onder het tabblad Session.
Om de lijst met IP-adressen te configureren waartoe de GUI en de CLI toegang hebben, navigeer naar Beheer > Systeem > Admin Access > Instellingen > Toegang en navigeer naar het IP Access tabblad.
Om een lijst van knooppunten te vormen waarvan de beheerders tot de sectie MnT in Cisco ISE kunnen toegang hebben, navigeer naar Administratie > Systeem > Toegang > Instellingen > Toegang > Toegang en navigeer naar het tabblad MnT Access.
Als u knooppunten of entiteiten binnen of buiten de implementatie wilt toestaan om syslogs naar MnT te verzenden, klik dan op het IP-adres toestaan om verbinding te maken met de radioknop MNT. Als u alleen knooppunten of entiteiten binnen de implementatie wilt toestaan om syslogs naar MnT te verzenden, klikt u op Alleen de knooppunten in de implementatie toestaan om verbinding te maken met de radioknop MNT.
Opmerking: Voor ISE 2.6-patches 2 en later, gebruik "ISE Messaging Service" voor levering van UDP-systemen aan MnT is standaard ingeschakeld waardoor niet alle syslogs van andere entiteiten buiten de implementatie kunnen komen.
Om een timeout waarde te configureren door de inactiviteit van een sessie, navigeer dan naar Administratie > Systeem > Admin Access > Instellingen > Sessie. Stel deze waarde in onder het tabblad Time-out voor sessie.
Om de huidige actieve sessies te bekijken/ongeldig te maken, navigeer dan naar Beheer > Admin Access > Instellingen > Sessie en klik op het tabblad Sessieinfo.
Om zich bij ISE aan een extern domein aan te sluiten, navigeer naar Beheer > Identity Management > Externe Hulpbronnen > Active Directory. Geef het nieuwe aansluit punt naam en actief folder domein op. Voer de aanmeldingsgegevens in van de AD-account die wijzigingen in computerobjecten kunnen toevoegen en aanbrengen, en klik op OK.
Navigeer naar Administratie > identiteitsbeheer > Externe Bronnen > Actieve Map. Klik op de gewenste naam aan punt toevoegen en navigeer naar het tabblad Groepen. Klik op Add > Selecteer groepen uit Map > Retourengroepen. Importeer minimaal één AD-groep waartoe de beheerder behoort, en klik op OK en klik vervolgens op Opslaan.
Om op wachtwoord gebaseerde verificatie van ISE met behulp van AD mogelijk te maken, navigeer naar Administratie > Systeem > Admin Access > Verificatie. Selecteer in het tabblad Verificatiemethode de optie Wachtwoord gebaseerd. Selecteer AD in het vervolgkeuzemenu Identity Source en klik op Save.
Dit staat een vergunning toe om de Rol Based Access Control (RBAC) machtigingen voor de beheerder te bepalen op basis van groepslidmaatschap in AD. Om een Cisco ISE Admin Group te definiëren en die aan een AD groep toe te wijzen, navigeer naar Beheer > Systeem > Admin Access > Administrators > Admin Groepen. Klik op Toevoegen en voer een naam voor de nieuwe Admin-groep in. Controleer in het veld Type het vakje Externe controle. Selecteer in het vervolgkeuzemenu Externe Groepen de AD-groep waaraan deze Admin-groep moet worden toegewezen (zoals gedefinieerd in het bovenstaande gedeelte Map Group selecteren). Breng de wijzigingen in.
Als u RBAC-toestemming wilt toewijzen aan de Admin Group die in de vorige sectie is gemaakt, navigeer dan naar Administratie > Systeem > Admin Access > autorisatie > RBAC Policy. Selecteer in het vervolgkeuzemenu Handelingen rechts de optie Nieuw beleid invoegen. Stel een nieuwe regel in, stel deze in kaart met de Admin Group die in de bovenstaande sectie is gedefinieerd en wijs deze toe met de gewenste gegevens en menutoegangsrechten en klik vervolgens op Opslaan.
Uitloggen van de administratieve GUI. Selecteer de optie Punt samenvoegen in het vervolgkeuzemenu Identity Source. Voer de gebruikersnaam en het wachtwoord in uit de AD-database en log in.
Om te bevestigen dat de configuratie correct werkt, verifieert u de geauthenticeerde gebruikersnaam van het pictogram Settings in de rechterbovenhoek van de ISE GUI. Navigeer naar serverinformatie en controleer de gebruikersnaam.
Navigeer naar Administratie > identiteitsbeheer > Externe identiteitsbronnen > Actieve Map > LDAP. Typ onder het tabblad Algemeen een naam voor de LDAP en kies het schema als actieve map.
Daarna, om het connectietype te configureren navigeer naar het tabblad Connection. Stel hier de Hostname/IP van de Primaire LDAP-server in samen met poort 389 (LDAP)/636 (LDAP-Secure). Voer het pad van de Admin-naam (DN) in met het Admin-wachtwoord van de LDAP-server.
Klik vervolgens op het tabblad Map Organisatie en klik op Namen om de juiste organisatiegroep van de gebruiker te kiezen, gebaseerd op de hiërarchie van gebruikers die opgeslagen zijn in de LDAP server.
Klik op Test Bind to Server onder het tabblad Connection om de bereikbaarheid van de LDAP server vanaf ISE te testen.
Blader nu naar het tabblad Groepen en klik op Toevoegen > Groepen uit map > Groepen ophalen. Als u ten minste één groep importeert waartoe de beheerder behoort, klikt u op OK en vervolgens klikt u op Opslaan.
Om op wachtwoord gebaseerde verificatie van ISE met behulp van LDAP mogelijk te maken, navigeer naar Administratie > Systeem > Admin Access > Verificatie. Selecteer in het tabblad Verificatiemethode de optie Wachtwoord gebaseerd. Selecteer LDAP in het vervolgkeuzemenu Identity Source en klik op Save.
Hierdoor krijgt de geconfigureerde gebruiker toegang tot de beheerder op basis van de toestemming van het RBAC-beleid, dat op zijn beurt gebaseerd is op het lidmaatschap van de LeerP-groep van de gebruiker. Om een Cisco ISE Admin Group te definiëren en in kaart te brengen aan een LDAP groep, navigeer naar Beheer > Systeem > Admin Access > Administrators > Admin Groepen. Klik op Toevoegen en voer een naam voor de nieuwe Admin-groep in. Controleer in het veld Type het vakje Externe controle. Selecteer in het vervolgkeuzemenu Externe Groepen de LDAP-groep waaraan deze Admin-groep moet worden toegewezen (zoals eerder opgehaald en gedefinieerd). Breng de wijzigingen in.
Als u RBAC-toestemming wilt toewijzen aan de Admin Group die in de vorige sectie is gemaakt, navigeer dan naar Administratie > Systeem > Admin Access > autorisatie > RBAC Policy. Selecteer in het vervolgkeuzemenu Handelingen rechts de optie Nieuw beleid invoegen. Stel een nieuwe regel in, stel deze in kaart met de Admin Group die in de bovenstaande sectie is gedefinieerd en wijs deze toe met de gewenste gegevens en menutoegangsrechten en klik vervolgens op Opslaan.
Uitloggen van de administratieve GUI. Selecteer de LDAP naam in het vervolgkeuzemenu Identity Source. Voer de gebruikersnaam en het wachtwoord in uit de LDAP-database en log in.
Om te bevestigen dat de configuratie correct werkt, verifieert u de geauthenticeerde gebruikersnaam van het pictogram Instellingen in de rechterbovenhoek van de ISE GUI. Navigeer naar serverinformatie en controleer de gebruikersnaam.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
15-Dec-2016 |
Eerste vrijgave |