Prime 3.1 TACACS-verificatie configureren tegen ISE 2.x

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 oktober 2017
Document-id:212201

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding


    Dit document beschrijft hoe u Prime Infrastructure kunt configureren voor verificatie via TACACS met ISE 2.x.

    Vereisten

    Cisco raadt u aan een basiskennis van deze onderwerpen te hebben:

    • Identity Services Engine (ISE)
    • Prime-infrastructuur

    Configureren

    Cisco Prime Network Control System 3.1

    Cisco Identity Service Engine 2.0 of hoger.

    (Opmerking: ISE ondersteunt TACACS alleen vanaf versie 2.0, maar het is mogelijk om Prime te configureren om Radius te gebruiken. Prime bevat de lijst van RADIUS-kenmerken naast TACACS als u liever Radius gebruikt, met een oudere versie van ISE of een oplossing van derden.)

    Prime-configuratie

    Navigeer naar het volgende scherm: Administratie / Gebruikers / Gebruikers, Rollen & AAA zoals hieronder te zien.

    Zodra er, selecteer het tabblad TACACS+ servers, selecteer dan de optie Add TACACS+ Server in de rechterbovenhoek en selecteer gaan.

    Op het volgende scherm is de configuratie van de TACACS-serverinvoer beschikbaar (dit moet voor elke afzonderlijke TACACS-server worden gedaan)

    212201-Configure-Prime-3-1-TACACS-authenticatio-00.png

    Hier moet u IP-adres of DNS-adres van de server invoeren, evenals de gedeelde geheime sleutel. Let ook op de lokale IP-interface die u wilt gebruiken, aangezien dit IP-adres later ook voor de AAA-client in ISE moet worden gebruikt.

    Zo voltooit u de configuratie op Prime. U moet TACACS inschakelen onder Beheer / Gebruikers / Gebruikers, Rollen & AAA onder het tabblad AAA-instellingen.

    (Opmerking: aanbevolen wordt om de optie Terugvalfunctie naar lokaal inschakelen te controleren, met alleen op geen serverrespons of de optie Geen respons of uitval inschakelen, met name tijdens het testen van de configuratie)

    212201-Configure-Prime-3-1-TACACS-authenticatio-01.png

    ISE-configuratie

    Prime configureren als AAA-client op ISE bij werkcenters / apparaatbeheer / netwerkbronnen / netwerkapparaten / Toevoegen

    212201-Configure-Prime-3-1-TACACS-authenticatio-02.png

    Voer de informatie voor de Prime-server in. De vereiste kenmerken die u moet opnemen zijn Naam, IP-adres, selecteer de optie voor TACACS en het Gedeeld geheim. U kunt ook een apparaattype toevoegen, specifiek voor Prime, om later te gebruiken als een voorwaarde voor de autorisatieregel of andere informatie, maar dit is optioneel.

    212201-Configure-Prime-3-1-TACACS-authenticatio-03.jpeg

    Vervolgens maakt u een TACACS-profielresultaat om de vereiste kenmerken van ISE naar Prime te sturen, zodat u het juiste toegangsniveau hebt. Navigeer naar Werkcentra / Beleidsresultaten / Tacacs-profielen en selecteer de optie Toevoegen.

    212201-Configure-Prime-3-1-TACACS-authenticatio-04.png

    Configureer de naam en gebruik de optie Raw View om de kenmerken in te voeren onder het vak Eigenschappen van profiel. De eigenschappen zullen van de primerserver zelf komen.

    212201-Configure-Prime-3-1-TACACS-authenticatio-05.jpeg

    Ontvang de kenmerken onder het scherm Beheer / Gebruikers / Gebruikers, Rollen & AAA en selecteer het tabblad Gebruikersgroepen. Hier selecteert u het groepsniveau van toegang dat u wilt bieden. In dit voorbeeld kunt u Admin-toegang verkrijgen door aan de linkerkant de juiste taaklijst te selecteren. 

    212201-Configure-Prime-3-1-TACACS-authenticatio-06.jpeg

    Kopieer alle aangepaste TACACS-kenmerken.

    212201-Configure-Prime-3-1-TACACS-authenticatio-07.png

    Plakt ze vervolgens in het gedeelte Raw View van het profiel op ISE.

    212201-Configure-Prime-3-1-TACACS-authenticatio-08.jpeg

    Aangepaste virtuele domeinattributen zijn verplicht. Informatie over het hoofddomein vindt u onder Prime Administration -> Virtual Domains.

    212201-Configure-Prime-3-1-TACACS-authenticatio-09.jpeg

    De naam Prime Virtual Domain moet worden toegevoegd als attribuut virtual-domain0="virtual domain name"

    212201-Configure-Prime-3-1-TACACS-authenticatio-10.jpeg

    Zodra dat is gedaan, hoeft u alleen maar een regel te maken om het Shell-profiel toe te wijzen dat in de vorige stap is gemaakt, onder Workcenters / Apparaatbeheer / Apparaatbeheer

    (Opmerking: de "voorwaarden" variƫren afhankelijk van de implementatie, maar u kunt "apparaattype" specifiek voor Prime of een ander type filter, zoals het IP-adres van Prime, gebruiken als een van de "voorwaarden", zodat deze regel de aanvragen correct filtert)

    212201-Configure-Prime-3-1-TACACS-authenticatio-11.png

    Op dit punt dient de configuratie voltooid te zijn.

    Problemen oplossen


    Als deze configuratie niet succesvol is en als de lokale fall-back optie was ingeschakeld op Prime, kunt u een failover van ISE forceren door het IP-adres van Prime te verwijderen. Dit zorgt ervoor dat ISE niet reageert en dwingt tot het gebruik van lokale referenties. Als lokale fallback is ingesteld om te worden uitgevoerd op een afwijzing, zullen de lokale accounts nog steeds werken en toegang bieden tot de klant.

    Als ISE een succesvolle verificatie laat zien en de juiste regel aanpast, maar Prime weigert nog steeds het verzoek dat u wellicht wilt controleren of de eigenschappen correct zijn geconfigureerd in het profiel en er worden geen extra attributen verzonden.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    08-Oct-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • William Patrick Soler Webster
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten