Configureer ISE-rolgebaseerde toegangscontrole met lichtgewicht Directory Access Protocol

Downloadopties

  • PDF     (1.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (804.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 oktober 2020
Document-id:216135

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een configuratievoorbeeld voor het gebruik van het Lichtgewicht Directory Access Protocol (LDAP) als een extern identiteitsarchief voor administratieve toegang tot de Cisco Identity Services Engine (ISE)-beheerGUI.

    Voorwaarden

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Configuratie van Cisco ISE-versies 3.0
    • LDAP

    Vereisten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE versie 3.0
    • Windows Server 2016 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configuraties

    Gebruik het vak om een op LDAP gebaseerde gebruiker te configureren voor toegang tot de ISE GUI op basis van beheer/aangepaste instellingen. In de onderstaande configuratie worden de LDAP-protocolvragen gebruikt om de gebruiker uit de Active Directory te halen voor het uitvoeren van de verificatie.

    Doe mee aan ISE naar LDAP

    1. Ga naar Beheer > Identiteitsbeheer > Externe Identiteitsbronnen > Active Directory > LDAP.
    2. Voer onder het tabblad Algemeen de naam van de LDAP in en kies het schema Active Directory.

    LDAP-configuratie 1

    Verbindingstype en LDAP-configuratie configureren

    1. Ga naar ISE > Administratie > Identiteitsbeheer > Externe identiteitsbronnen > LDAP.

    2. Configureer de Hostname van de primaire LDAP-server samen met de poort 389(LDAP)/636 (LDAP-Secure).

    3. Voer het pad in voor de Admin voornaam (DN) met het admin-wachtwoord voor de LDAP-server.

    4. Klik op Test Bind Server om de bereikbaarheid van LDAP server van ISE te testen.

    LDAP-configuratie 2

    De directoryorganisatie, groepen en kenmerken configureren

    1. Kies de juiste organisatiegroep van de gebruiker op basis van de hiërarchie van gebruikers die zijn opgeslagen in de LDAP-server .

    LDAP-configuratie 3

    Administratieve toegang voor LDAP-gebruikers inschakelen

    Voltooi deze stappen om op een wachtwoord gebaseerde verificatie in te schakelen.

    1. Navigeer naar ISE > Administration > System > Admin Access > Verificatie.
    2. Selecteer onder het tabblad Verificatiemethode de optie Wachtwoord gebaseerd.
    3. Selecteer LDAP in het vervolgkeuzemenu Identity Source.
    4. Klik op Wijzigingen opslaan.

    Configuratie van verificatiebronnen

    De Admin Group toewijzen aan LDAP Group

    Configureer de beheergroep op de ISE en wijs deze toe aan de AD-groep. Dit staat de gevormde gebruiker toe om toegang te krijgen die op het vergunningsbeleid wordt gebaseerd dat op de gevormde toestemmingen RBAC voor de beheerder op groepslidmaatschap wordt gebaseerd.

    Configuratie van beheergroep

    Rechten instellen voor menutoegang 

    1. Navigeer naar ISE > Beheer > Systeem > autorisatie > Rechten > Menutoegang

    2. Definieer de menutoegang voor de beheerder om toegang te krijgen tot de ISE GUI. U kunt de subentiteiten die moeten worden weergegeven of verborgen op de GUI configureren voor aangepaste toegang voor een gebruiker om desgewenst alleen een set bewerkingen uit te voeren.

    3. Klik op Opslaan.

    Menu-toegangsrechten

    Rechten voor gegevenstoegang instellen 

    1. Ga naar ISE > Beheer > Systeem > autorisatie > Rechten > Toegang tot gegevens.

    2. Definieer de gegevenstoegang voor de beheerder om volledige toegang of alleen-lezen toegang te hebben tot de identiteitsgroepen op de ISE GUI.

    3. Klik op Opslaan.

    Toegangsrechten voor gegevens

    RBAC-toegangsrechten instellen voor de Admin-groep

    1. Blader naar ISE > Administration > System > Admin Access > Authorisation > Policy.
    2. Selecteer in het vervolgkeuzemenu Acties rechts de optie Nieuw beleid invoegen om een nieuw beleid toe te voegen.
    3. Maak een nieuwe regel met de naam LDAP_RBAC_policy en wijs deze toe met de Admin Group die is gedefinieerd in de sectie Administratieve toegang inschakelen voor AD en wijs deze toegangsrechten toe voor menutoegang en gegevenstoegang.
    4. Klik op Wijzigingen opslaan en bevestig als de opgeslagen wijzigingen in de rechterbenedenhoek van de GUI worden weergegeven.

    Beleid voor toegangsautorisatie voor beheerder

    Opmerking: de super admin gebruiker kan het standaard systeem-gegenereerde RBAC beleid en de rechten niet wijzigen. Om dit te doen, moet u nieuwe RBAC-beleid maken met de nodige rechten op basis van uw behoeften, en dit beleid toewijzen aan een beheergroep.

    Opmerking: alleen een admin-gebruiker uit de standaard Super Admin Group kan andere admin-gebruikers wijzigen of verwijderen. Zelfs een extern toegewezen gebruiker die deel uitmaakt van een Admin-groep die is gekloond met de rechten Menu en Data Access van de Super Admin-groep kan een beheerder niet wijzigen of verwijderen.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Toegang tot ISE met AD Credentials API

    Voltooi de volgende stappen om toegang te krijgen tot ISE met AD-referenties:

    1. Open ISE GUI om in te loggen met de LDAP-gebruiker.
    2. Selecteer LDAP_Server in het vervolgkeuzemenu Identity Source.
    3. Voer het UPN en het wachtwoord in uit de LDAP-database en log in.

    Aanmeldpagina ISE

    Controleer de login voor de beheerder logins in Auditrapporten. Blader naar ISE > Operations > Rapporten > Audit > Administrators Logins.

    Rapportage

    Om te bevestigen dat deze configuratie correct werkt, verifieert u de geverifieerde gebruikersnaam rechtsboven in de ISE GUI. Definieer een op maat gebaseerde toegang die beperkte toegang tot het menu heeft zoals hier wordt getoond:

    Beperkte toegang

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Algemene informatie


    Om problemen op te lossen tijdens het RBAC-proces, moeten deze ISE-componenten worden ingeschakeld in het debuggen op de ISE-beheerknooppunt:

    RBAC - Dit drukt het RBAC-gerelateerde bericht af wanneer we proberen in te loggen (ise-psc.log)

    access-filter - Hiermee wordt de toegang tot resourcefilters afgedrukt (ise-psc.log)

    runtime-AAA - Hiermee worden de logbestanden voor login en LDAP-interfaceberichten afgedrukt (prt-server.log)

    Packet Capture Analysis 

    LDAP-opname

    Analyse van logboeken 

    Controleer de prt-server.log 

    PAPAuthenticator,2020-10-10 08:54:00,621,DEBUG,0x7f852bee3700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,validateEvent: Username is [admin2@anshsinh.local] bIsMachine is [0] isUtf8Valid is [1],PAPAuthenticator.cpp:86



IdentitySequence,2020-10-10 08:54:00,627,DEBUG,0x7f852c4e9700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,******* Authen IDStoreName:LDAP_Server,IdentitySequenceWorkflow.cpp:377



LDAPIDStore,2020-10-10 08:54:00,628,DEBUG,0x7f852c4e9700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,Send event to LDAP_Server_924OqzxSbv_199_Primary server,LDAPIDStore.h:205



Server,2020-10-10 08:54:00,634,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::onAcquireConnectionResponse: succeeded to acquire connection,LdapServer.cpp:724



Connection,2020-10-10 08:54:00,634,DEBUG,0x7f85293b8700,LdapConnectionContext::sendSearchRequest(id = 1221): base = dc=anshsinh,dc=local, filter = (&(objectclass=Person)(userPrincipalName=admin2@anshsinh.local)),LdapConnectionContext.cpp:516



Server,2020-10-10 08:54:00,635,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapSubjectSearchAssistant::processAttributes: found CN=admin2,CN=Users,DC=anshsinh,DC=local entry matching admin2@anshsinh.local subject,LdapSubjectSearchAssistant.cpp:268



Server,2020-10-10 08:54:00,635,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapSubjectSearchAssistant::processGroupAttr: attr = memberOf, value = CN=employee,CN=Users,DC=anshsinh,DC=local,LdapSubjectSearchAssistant.cpp:389



Server,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::onAcquireConnectionResponse: succeeded to acquire connection,LdapServer.cpp:724



Server,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::authenticate: user = admin2@anshsinh.local, dn = CN=admin2,CN=Users,DC=anshsinh,DC=local,LdapServer.cpp:352



Connection,2020-10-10 08:54:00,636,DEBUG,0x7f85293b8700,LdapConnectionContext::sendBindRequest(id = 1223): dn = CN=admin2,CN=Users,DC=anshsinh,DC=local,LdapConnectionContext.cpp:490

Server,2020-10-10 08:54:00,640,DEBUG,0x7f85293b8700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LdapServer::handleAuthenticateSuccess: authentication of admin2@anshsinh.local user succeeded,LdapServer.cpp:474





LDAPIDStore,2020-10-10 08:54:00,641,DEBUG,0x7f852c6eb700,cntx=0002480105,sesn=ise30/389444264/3178,CPMSessionID=ise30:userauth286,user=admin2@anshsinh.local,LDAPIDStore::onResponse: LdapOperationStatus=AuthenticationSucceeded -> AuthenticationResult=Passed,LDAPIDStore.cpp:336

    Controleer het bestand ise-psc.log

    Van deze logbestanden kunt u het RBAC-beleid controleren dat wordt gebruikt voor de admin2-gebruiker wanneer wordt geprobeerd om toegang te krijgen tot de netwerkapparaatbron.

    2020-10-10 08:54:24,474 DEBUG  [admin-http-pool51][] com.cisco.cpm.rbacfilter.AccessUtil -:admin2@anshsinh.local:::- For admin2@anshsinh.local on /NetworkDevicesLPInputAction.do -- ACCESS ALLOWED BY MATCHING administration_networkresources_devices

2020-10-10 08:54:24,524 INFO   [admin-http-pool51][] cpm.admin.ac.actions.NetworkDevicesLPInputAction -:admin2@anshsinh.local:::- In NetworkDevicesLPInputAction container method

2020-10-10 08:54:24,524 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getDataEntityDecision:::::: userName admin2@anshsinh.local     dataType   RBAC_NETWORK_DEVICE_GROUP   permission  ALL

2020-10-10 08:54:24,526 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- In DataPermissionEvaluator:hasPermission

2020-10-10 08:54:24,526 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- Data access being evaluated:LDAP_Data_Access

2020-10-10 08:54:24,528 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getDataEntityDecision:::::: permission retrieved  false

2020-10-10 08:54:24,528 INFO   [admin-http-pool51][] cpm.admin.ac.actions.NetworkDevicesLPInputAction -:admin2@anshsinh.local:::- Finished with rbac execution

2020-10-10 08:54:24,534 INFO   [admin-http-pool51][] cisco.cpm.admin.license.TrustSecLicensingUIFilter -:admin2@anshsinh.local:::- Should TrustSec be visible :true

2020-10-10 08:54:24,593 DEBUG  [admin-http-pool51][] cisco.ise.rbac.authorization.RBACAuthorization -:admin2@anshsinh.local:::- :::::::::Inside RBACAuthorization.getPermittedNDG:::::: userName admin2@anshsinh.local

2020-10-10 08:54:24,595 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- In DataPermissionEvaluator:getPermittedNDGMap

2020-10-10 08:54:24,597 DEBUG  [admin-http-pool51][] ise.rbac.evaluator.impl.DataPermissionEvaluatorImpl -:admin2@anshsinh.local:::- processing data Access :LDAP_Data_Access

2020-10-10 08:54:24,604 INFO   [admin-http-pool51][] cisco.cpm.admin.license.TrustSecLicensingUIFilter -:admin2@anshsinh.local:::- Should TrustSec be visible :true

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Oct-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Anshu Sinha
      Cisco TAC Engineer
    • Priyaranjan Dalai
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten