De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de compilatie van kenmerken die verschillende Cisco- en niet-Cisco-producten verwachten te ontvangen van een AAA-server zoals een Cisco ISE.
Cisco- en niet-Cisco-producten verwachten een compilatie van kenmerken van een verificatie-, autorisatie- en accounting (AAA) server te ontvangen. In dit geval is de server een Cisco ISE-processor en geeft de ISE deze eigenschappen, samen met een Access-Accept, terug als deel van een autorisatieprofiel (RADIUS).
Dit document bevat stapsgewijze instructies voor het toevoegen van aangepaste attribuutautorisatieprofielen en bevat ook een lijst met apparaten en de RADIUS-kenmerken waarvan de apparaten verwachten dat deze worden teruggestuurd vanaf de AAA-server. Alle onderwerpen bevatten voorbeelden.
De lijst van eigenschappen in dit document is niet uitputtend noch gezaghebbend en kan te allen tijde worden gewijzigd zonder dat dit document hoeft te worden bijgewerkt.
Apparaatbeheer van een netwerkapparaat wordt over het algemeen bereikt met het TACACS+ protocol, maar als het netwerkapparaat geen TACACS+ ondersteunt of als ISE geen apparaatbeheerlicentie heeft, kan dit ook met RADIUS worden bereikt als het netwerkapparaat RADIUS-apparaatbeheer ondersteunt. Sommige apparaten ondersteunen beide protocollen en het is aan de gebruikers om te beslissen welk protocol te gebruiken, maar TACACS+ kan gunstig zijn omdat het functies heeft zoals opdrachtautorisatie en opdrachtaccounting.
Cisco raadt u aan hiervan op de hoogte te zijn:
De informatie in dit document is gebaseerd op Cisco Identity Services Engine (ISE) 3.x en hogere versies van ISE.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Stap 1. De leverancierspecifieke kenmerken maken (VSA)
Er kunnen verschillende woordenboeken worden gemaakt voor elk van de leveranciers, en attributen kunnen aan elk van deze woordenboeken worden toegevoegd. Elk woordenboek kan meerdere kenmerken hebben die in de autorisatieprofielen kunnen worden gebruikt. Elke eigenschap, in het algemeen, bepaalt de verschillende rol van apparatenbeleid een gebruiker kon krijgen wanneer hij aan het netwerkapparaat het programma opent. Dit kenmerk kan echter zijn bedoeld voor verschillende doeleinden van bediening of configuratie op het netwerkapparaat.
ISE wordt geleverd met vooraf gedefinieerde kenmerken voor een paar leveranciers. Als de verkoper niet in de lijst staat, kan deze worden toegevoegd als een woordenboek met eigenschappen. Voor sommige netwerkapparaten zijn de kenmerken configureerbaar en kunnen deze voor verschillende soorten toegang worden gewijzigd. Als dat het geval is, moet ISE worden geconfigureerd met de kenmerken die het netwerkapparaat verwacht voor verschillende soorten toegang.
De attributen die naar verwachting met een Radius Access-Accept verzonden zullen worden, worden als volgt gedefinieerd:
Opmerking: elk van de velden die in deze sectie als waarde worden ingevoerd, moet door de verkoper zelf worden ingevuld. De websites van de leveranciers kunnen worden bezocht of er kan contact worden opgenomen met de ondersteuning van de leveranciers als deze niet bekend zijn.
Opmerking: niet alle leveranciers hebben een specifiek woordenboek nodig. Als de verkoper de radiuskenmerken kan gebruiken die door IETF zijn gedefinieerd en die al op ISE bestaan, kan deze stap worden overgeslagen.
Stap 2. Een profiel voor een netwerkapparaat maken
Dit punt is niet verplicht. Met een profiel voor een netwerkapparaat kunt u het type netwerkapparaat dat wordt toegevoegd, scheiden en geschikte autorisatieprofielen voor deze apparaten maken. Net als de straalwoordenboeken heeft ISE enkele vooraf gedefinieerde profielen die kunnen worden gebruikt. Als het profiel nog niet bestaat, kan er een nieuw apparaatprofiel worden gemaakt.
Dit is de procedure voor het toevoegen van een netwerkprofiel:
Stap 3. Voeg het netwerkapparaat toe aan ISE
Het netwerkapparaat waarop apparaatbeheer wordt bereikt, moet worden toegevoegd aan ISE, samen met een toets die op het netwerkapparaat is gedefinieerd. Op het netwerkapparaat wordt ISE toegevoegd als een AAA-radius met deze toets.
Dit is de procedure voor het toevoegen van een apparaat aan ISE:
Stap 4. Autorisatieprofielen maken
Het eindresultaat dat van ISE wordt gedrukt als een access-acceptatie of access-reject, wordt gedefinieerd in een autorisatieprofiel. Met elk autorisatieprofiel kunt u extra kenmerken doordrukken die het netwerkapparaat verwacht.
Dit is de procedure voor het maken van een autorisatieprofiel:
De typen profielen die kunnen worden toegevoegd zijn Access-Accept en Access-Reject.
Dit profiel wordt gebruikt voor een of andere vorm van toegang tot het netwerkapparaat. In dit profiel kunnen meerdere attributen tegelijk worden doorgegeven. Dit zijn de stappen:
Meerdere autorisatieprofielen maken voor elk van de resultaten/rollen/autorisaties die ISE naar verwachting zal verzenden.
Opmerking: De geconsolideerde eigenschappen kunnen worden geverifieerd onder het veld Eigenschappen en details.
Dit profiel wordt gebruikt om een afwijzing voor apparaatbeheer te verzenden, maar kan nog steeds worden gebruikt om attributen mee te sturen. Dit wordt gebruikt om een Radius Access-Reject-pakket te verzenden. De stappen blijven hetzelfde behalve stap één, waarbij access-reject moet worden gekozen in plaats van Access-Accept voor het access type.
Stap 5. Een beleidsset maken
Beleidssets op ISE worden van boven naar beneden beoordeeld en de eerste die voldoet aan de voorwaarde die in de beleidssets is ingesteld, is verantwoordelijk voor de reactie van de ISE op het Radius Access-request-pakket dat door het netwerkapparaat wordt verzonden. Cisco raadt een unieke beleidsset aan voor elk type apparaat. De voorwaarde om de authenticatie en autorisatie van de gebruiker te evalueren gebeurt bij de evaluatie. Indien ISE externe identiteitsbronnen heeft, kan zij worden gebruikt voor het soort vergunning.
Op deze manier wordt een typische beleidsset gecreëerd:
Om het even welk apparaat dat apparatenbeleid met Straal steunt kan op ISE met een paar wijzigingen aan alle die stappen worden toegevoegd in de vorige sectie worden vermeld. Vandaar dat dit document een lijst van apparaten heeft die met de informatie werken die in deze sectie wordt verstrekt. De lijst van eigenschappen en waarden in dit document is niet uitputtend noch gezaghebbend en kan op elk moment worden gewijzigd zonder dat dit document hoeft te worden bijgewerkt. Raadpleeg de websites van de leveranciers en de verkoopondersteuning voor validatie.
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, omdat Cisco AV-paren worden gebruikt die al op ISE aanwezig zijn.
Attributen: cisco-av-pair
Waarde(n): shell:task="#<role-name>,<permissie>:<process>"
Gebruik:Stel de waarden van <role-name>in op de naam van een rol die lokaal op de router is gedefinieerd. De rolhiërarchie kan in termen van een boom worden beschreven, waar de rol#rootis bovenaan de boom, en de rol#leafadd extra bevelen. Deze twee rollen kunnen worden gecombineerd en teruggegeven als:shell:task="#root,#leaf".
De rechten kunnen ook op een individuele procesbasis worden teruggegeven, zodat een gebruiker lees-, schrijf-, en uitvoerende voorrechten voor bepaalde processen kan worden verleend. Om een gebruiker bijvoorbeeld lees- en schrijfrechten voor het BGP-proces te verlenen, stelt u de waarde in op:shell:task="#root,rw:bgp". De volgorde van de eigenschappen is niet van belang; het resultaat is hetzelfde of de waarde is ingesteld op shell:task="#root,rw:bgp"of toshell:task="rw:bgp,#root".
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | Cisco Av-paar | String | shell:task="#root,#leaf,rwx:bgp,r:ospf" |
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Kenmerken(en):cisco-av-paar
Waarde(n):shell:priv-lvl=<level>
Gebruik:Stel de waarden van <level>in op de getallen die in wezen het aantal te verzenden rechten zijn. Typisch, als 15 wordt verzonden, betekent het read-write, als 7 wordt verzonden betekent het read-only.
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | Cisco Av-paar | String | schaal:priv-lvl=15 |
Kenmerken(en):Packet-AVPair
Waarde(n):access=<level>
Gebruik:<level>is het niveau van toegang tot de subsidie. Aanraaktoegang staat gelijk aan lezen-schrijven, terwijl toegang tot de look gelijk is aan alleen-lezen.
Maak een woordenboek zoals in dit document met de volgende waarden:
Voer de gegevens van het kenmerk in:
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-pakketter | Packet-AVPair | String | access=look |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor lees-schrijftoegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-pakketter | Packet-AVPair | String | access=touch |
Kenmerk(en): Blauwe jas-Vergunning
Waarde(n): <level>
Gebruik:<level>is het niveau van toegang tot de subsidie. 0 betekent geen toegang, 1 betekent alleen-lezen toegang en 2 betekent lezen-schrijven toegang. Het kenmerk Blue-Coat-Authorisation is degene die verantwoordelijk is voor het toegangsniveau.
Maak een woordenboek zoals in dit document met de volgende waarden:
Voer de gegevens van het kenmerk in:
Voer de gegevens van het tweede kenmerk in:
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor geen toegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-BlueCoat | Blauwe jas-groep | UINT32 | 0 |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-BlueCoat | Blauwe jas-groep | UINT32 | 1 |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor lees-schrijftoegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-BlueCoat | Blauwe jas-groep | UINT32 | 2 |
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Attribuut(en): Tunnel-Private-Group-ID
Waarde(n):U:<VLAN1>; T:<VLAN2>
Gebruik:Stel <VLAN1>in op de waarde van de gegevens VLAN. Stel <VLAN2>in op de waarde van de spraak-VLAN. In dit voorbeeld, zijn de gegevens VLAN VLAN 10, en de stem VLAN is VLAN 21.
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID | Tekenreeks | U:10;T:21 |
Kenmerk(en):Infoblox-Group-Info
Waarde(n):<group-name>
Gebruik:<group-name>is de naam van de groep met de rechten die de gebruiker heeft verkregen. Deze groep moet op het Infoblox apparaat worden geconfigureerd. In dit configuratievoorbeeld is de groepsnaam MyGroup.
Maak een woordenboek zoals in dit document met de volgende waarden:
Voer de gegevens van het kenmerk in:
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-infoblox | Infoblox-Group-Info | String | Mijn groep |
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Kenmerken(en):cisco-av-paar
Waarde(n): class-[25]=<role>
Gebruik:Stel de waarden van <rol>in op de namen van de rollen die lokaal op het VCC zijn gedefinieerd. Creëer meerdere rollen zoals beheer en alleen-lezen gebruiker op het VCC en wijs de waarden toe aan de eigenschappen op ISE die ook door het VCC moeten worden ontvangen.
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | Cisco Av-paar | String | Class-[25]=NetAdmins |
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Kenmerken(en):cisco-av-paar
Waarde(n):shell:rollen="<role1> <role2>"
Gebruik:Stel de waarden van <role1>en<role2>in op de namen van de rollen die lokaal op de switch zijn gedefinieerd. Wanneer meerdere rollen worden gemaakt, scheidt u deze van een spatiekarakter. Wanneer meerdere rollen worden doorgegeven van de AAA-server naar de Nexus switch, is het resultaat dat de gebruiker toegang heeft tot opdrachten die worden gedefinieerd door de combinatie van alle drie de rollen.
De ingebouwde rollen worden gedefinieerd inConfigure User Accounts en RBAC.
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | Cisco Av-paar | String | shell:rollen="netwerk-admin vdc-admin vdc-operator" |
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Kenmerk(en):servicetype
Waarde(n): Administratief (6) / NAS-prompt (7)
Gebruik:Om de gebruiker lees-/schrijftoegang te verlenen tot de draadloze LAN-controller (WLC), moet de waarde Administratief zijn; voor alleen-lezen toegang moet de waarde NAS-prompt zijn.
Zie voor meer informatie RADIUS-serververificatie van beheergebruikers op configuratievoorbeeld van draadloze LAN-controller (WLC)
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Service-type | opsomming | NAS-prompt |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor lees-schrijftoegang).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Service-type | opsomming | Administratief |
DCNM moet opnieuw worden gestart nadat de verificatiemethode is gewijzigd. Anders kan het netwerk-exploitant privilege toekennen in plaats van netwerk-admin.
Hiervoor hoeven geen afzonderlijke woordenboeken en VSA’s te worden gemaakt, aangezien hiervoor RADIUS-kenmerken worden gebruikt die al op ISE aanwezig zijn.
Kenmerken(en):cisco-av-paar
Waarde(n):shell:rollen=<role>
DCNM-rol | RADIUS Cisco-AV-paar |
---|---|
Gebruiker | shell:rollen = "netwerkexploitant" |
Beheerder | shell:rollen = "netwerk-admin" |
Attributen: ACL-autorisatieniveau
Waarde(n): ACL-autorisatieniveau = "<integer>"
Gebruik:<integer>is het niveau van toegang tot de subsidie. Een waarde van ACL-Auth-Level attribuut met naam ACL-Auth-UserLevel van 50 voor de gebruiker, een waarde van ACL-Auth-Level attribuut met naam ACL-Auth-AdminLevel van waarde100 voor admin en waarde van ACL-Auth-Level met naam ACL-Auth-SecurityAdminLevel van waarde 200 voor security admin. De namen kunnen worden overgeslagen en de waarden voor eigenschappen kunnen direct worden gegeven als waarde voor het autorisatieprofiel geavanceerde AV-paar.
Maak een woordenboek zoals in dit document met de volgende waarden:
Voer de gegevens van het kenmerk in:
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor gebruiker).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Audio-codes | ACL-autorisatieniveau | geheel | 50 |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor admin).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Audio-codes | ACL-autorisatieniveau | geheel | 100 |
Voorbeeld: Voeg het kenmerk toe aan een autorisatieprofiel (voor beveiligingsbeheerder).
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Audio-codes | ACL-autorisatieniveau | geheel | 200 |
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
24-Oct-2022 |
Hercertificering. |
2.0 |
24-Oct-2022 |
Bijgewerkte technische inhoud om deze actueel te maken.
Bijgewerkte opmaak, juridische disclaimer, alt-tags, gerunds, machinevertaling, stijlvereisten. |
1.0 |
15-May-2020 |
Eerste vrijgave |