Entender as políticas de acesso administrativo e RBAC no ISE

Opções de download

  • PDF     (4.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (4.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de novembro de 2020
ID do documento:200891

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve os recursos do ISE para gerenciar o Acesso Administrativo no Identity Services Engine (ISE).

    Prerequisites

    Requirements

    A Cisco recomenda que você conheça estes tópicos:

    • ISE
    • Ative Diretory
    • LDAP (Lightweight Diretory Access Protocol)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Identity Services Engine 3.0
    • Windows Server 2016

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Configurações de autenticação

    Os usuários administrativos precisam se autenticar para acessar qualquer informação no ISE. A identidade dos usuários admin pode ser verificada usando o ISE Internal Identity Store ou um External Identity Store. A autenticidade pode ser verificada por uma senha ou um certificado. Para definir essas configurações, navegue para Administration > System> Admin Access > Authentication. Selecione o tipo de autenticação necessário na guia Authentication Method.

    Note: A autenticação baseada em senha está habilitada por padrão. Se isso for alterado para a autenticação baseada em certificado do cliente, isso fará com que um servidor de aplicativos seja reiniciado em todos os nós de implantação.

    O Identity Services Engine não permite configurar a política de senha para a CLI (Command Line Interface, interface de linha de comando) a partir da CLI. A política de senha para a Interface Gráfica de Usuário (GUI) e para a CLI só pode ser configurada através da GUI do ISE. Para configurar isso, navegue para Administration > System > Admin Access > Authentication e navegue até a guia Password Policy.

    O ISE tem uma provisão para desativar um usuário administrador inativo. Para configurar isso, navegue até Administration > System > Admin Access > Authentication e navegue até a guia Account Disable Policy.

    O ISE também oferece o recurso de bloquear ou suspender uma conta de usuário admin com base no número de tentativas de login com falha. Para configurar isso, navegue para Administration > System > Admin Access > Authentication e navegue até a guia Lock/Suspend Settings.

    Para gerenciar o acesso administrativo, é necessário que grupos administrativos, usuários e várias políticas/regras controlem e gerenciem seus privilégios.

    Configurar grupos de administração

    Navegue até Administration > System > Admin Access > Administrators > Admin Groups para configurar grupos de administradores. Há poucos grupos que são incorporados por padrão e não podem ser excluídos.

    Depois que um grupo for criado, selecione o grupo e clique em editar para adicionar usuários administrativos a esse grupo. Há uma provisão para mapear grupos de identidade externos para grupos de administradores no ISE, de modo que um usuário de administrador externo obtenha as permissões necessárias. Para configurar isso, selecione o tipo como Externo ao adicionar o usuário.

    Configurar usuários administradores

    Para configurar Usuários Admin, navegue para Administração > Sistema > Acesso Admin > Administradores > Usuários Admin.

    Clique em Add. Há duas opções para escolher. Uma é adicionar um novo usuário completamente. O outro é fazer um usuário de acesso à rede (ou seja, um usuário configurado como um usuário interno para acessar a rede/dispositivos) como um administrador do ISE.

    Depois de selecionar uma opção, os detalhes necessários devem ser fornecidos e o grupo de usuários deve ser selecionado com base no qual as permissões e os privilégios são dados ao usuário.

    Configurar permissões

    Há dois tipos de permissões que podem ser configuradas para um grupo de usuários:

    1. Acesso ao menu
    2. Acesso a dados

    O Menu Access controla a visibilidade de navegação no ISE. Há duas opções para cada guia, Mostrar ou Ocultar, que podem ser configuradas. Uma regra de Acesso a Menu pode ser configurada para mostrar ou ocultar guias selecionadas.

    O acesso a dados controla a capacidade de ler/acessar/modificar os dados de identidade no ISE. A permissão de acesso pode ser configurada somente para grupos de administração, grupos de identidade de usuário, grupos de identidade de endpoint e grupos de dispositivos de rede. Há três opções para essas entidades no ISE que podem ser configuradas. Eles são acesso total, acesso somente leitura e sem acesso. Uma regra de acesso a dados pode ser configurada para escolher uma dessas três opções para cada guia no ISE.

    As políticas de Acesso a Menu e Acesso a Dados devem ser criadas para que possam ser aplicadas a qualquer grupo de administradores. Há algumas políticas incorporadas por padrão, mas elas sempre podem ser personalizadas ou podem ser criadas novas.

    Para configurar uma política de acesso a menus, navegue para Administration > System > Admin Access > Authorization > Permissions > Menu Access.

    Clique em Add. Cada opção de navegação no ISE pode ser configurada para ser mostrada/oculta em uma política.

    Para configurar a política de acesso a dados, navegue para Administração > Sistema > Acesso de administração > Autorização > Permissões > Acesso a dados.

    Clique em Adicionar para criar uma nova política e configurar permissões para acessar Admin/User Identity/Endpoint Identity/Network Groups.

    Configurar políticas de RBAC

    RBAC significa Role-Based Access Control (Controle de acesso baseado em função). A função (Grupo Admin) à qual um usuário pertence pode ser configurada para usar as políticas desejadas de Menu e Acesso a Dados. Pode haver várias políticas RBAC configuradas para uma única função OU várias funções podem ser configuradas em uma única política para acessar Menu e/ou Dados. Todas essas políticas aplicáveis são avaliadas quando um usuário administrador tenta executar uma ação. A decisão final é o conjunto de todas as políticas aplicáveis a essa função. Se existirem regras contraditórias que permitem e negam ao mesmo tempo, a regra de permissão substitui a regra de negação. Para configurar essas políticas, navegue para Administration > System > Admin Access > Authorization > RBAC Policy.

    Clique em Ações para Duplicar/Inserir/Excluir uma diretiva.

    Note: As políticas criadas pelo sistema e padrão não podem ser atualizadas, e as políticas padrão não podem ser excluídas.

    Note: Não é possível configurar várias permissões de Acesso a Dados/Menu em uma única regra.

    Definir configurações para acesso de administrador 

    Além das políticas de RBAC, há algumas configurações que podem ser configuradas comuns a todos os usuários admin.

    Para configurar o número máximo de sessões permitidas, pré-login e banners pós-login para GUI e CLI, navegue para Administration > System > Admin Access > Settings > Access. Configure-os na guia Sessão.

    Para configurar a lista de endereços IP dos quais a GUI e a CLI podem ser acessadas, navegue para Administration > System > Admin Access > Settings > Access e navegue até a guia IP Access.

    Para configurar uma lista de nós a partir dos quais os administradores podem acessar a seção MnT no Cisco ISE, navegue até Administração > Sistema > Acesso de Administrador > Configurações > Acesso e navegue até a guia Acesso MnT.

    Para permitir que nós ou entidades dentro ou fora da implantação enviem syslogs para MnT, clique no botão de opção Allow any IP address to connect to MNT. Para permitir que apenas nós ou entidades na implantação enviem syslogs para MnT, clique em Permitir que somente os nós na implantação se conectem ao botão de opção MNT.

    Note: Para o ISE 2.6 patch 2 e posterior, o uso do "ISE Messaging Service" para a entrega de Syslogs UDP ao MnT é ativado por padrão, o que não permite syslogs provenientes de outras entidades fora da implantação.

    Para configurar um valor de tempo limite devido à inatividade de uma sessão, navegue para Administração > Sistema > Acesso de Administrador > Configurações > Sessão. Defina esse valor na guia Session Timeout.

    Para visualizar/invalidar as sessões ativas atuais, navegue para Administração > Acesso de Administrador > Configurações > Sessão e clique na guia Informações da Sessão.

    Configurar o acesso do portal administrativo com credenciais do AD

    Participe do ISE para o AD

    Para ingressar no ISE em um domínio externo, navegue para Administration > Identity Management > External Identity Sources > Ative Diretory. Insira o novo nome do ponto de junção e o domínio do ative diretory. Insira as credenciais da conta do AD que pode adicionar e fazer alterações em objetos de computador e clique em OK.

    Selecionar grupos de diretórios

    Navegue até Administration > Identity Management > External Identity Sources > Ative Diretory. Clique no nome do ponto de união desejado e navegue até a guia Grupos. Clique em Adicionar > Selecionar grupos em Diretório > Recuperar grupos. Importe pelo menos um grupo AD ao qual o administrador pertence, clique em OK e em Salvar.

    Habilitar acesso administrativo para AD

    Para habilitar a autenticação baseada em senha do ISE usando o AD, navegue para Administration> System > Admin Access > Authentication (Administração > Sistema > Acesso de Administrador > Autenticação). Na guia Authentication Method, selecione a opção Password-Based. Selecione AD no menu suspenso Origem da identidade e clique em Salvar.

    Configurar o grupo administrativo do ISE para o mapeamento de grupo do AD

    Isso permite autorização para determinar as permissões RBAC (Role Based Access Control, Controle de Acesso Baseado em Função) para o administrador com base na associação de grupo no AD. Para definir um grupo de administração do Cisco ISE e mapeá-lo para um grupo do AD, navegue para Administration > System > Admin Access > Administrators > Admin Groups. Clique em Adicionar e insira um nome para o novo grupo Admin. No campo Tipo, marque a caixa de seleção Externo. No menu suspenso Grupos externos, selecione o grupo do AD ao qual esse Grupo de administração deve ser mapeado (conforme definido na seção Selecionar grupos de diretórios acima). Envie as alterações.

    Definir permissões RBAC para o grupo de administração

    Para atribuir permissões de RBAC ao Grupo Admin criado na seção anterior, navegue para Administration > System > Admin Access > Authorization > RBAC Policy. No menu suspenso Ações à direita, selecione Inserir nova política. Crie uma nova regra, mapeie-a com o grupo de administração definido na seção acima, atribua-a com os dados desejados e as permissões de acesso ao menu e clique em Salvar.

    Acesse o ISE com credenciais do AD e verifique

    Fazer logoff da GUI administrativa. Selecione o nome do ponto de junção no menu suspenso Origem da identidade. Insira o nome de usuário e a senha do banco de dados do AD e faça logon.

    Para confirmar se a configuração funciona corretamente, verifique o nome de usuário autenticado no ícone Settings (Configurações) no canto superior direito da GUI do ISE. Navegue até Informações do servidor e verifique o Nome de usuário.

    Configurar o acesso do portal administrativo com LDAP

    Ingressar ISE em LDAP

    Navegue até Administration > Identity Management > External Identity Sources > Ative Diretory > LDAP. Na guia Geral, insira um nome para o LDAP e escolha o esquema como Ative Diretory.

    Em seguida, para configurar o tipo de conexão, navegue até a guia Conexão. Aqui, defina o nome de host/IP do servidor LDAP principal junto com a porta 389(LDAP)/636 (LDAP-Secure). Insira o caminho do DN (nome distinto) do administrador com a senha de administrador do servidor LDAP.

    Em seguida, navegue até a guia Diretory Organization e clique em Naming Context para escolher o grupo de organização correto do usuário com base na hierarquia de usuários armazenados no servidor LDAP.

    Clique em Test Bind to Server na guia Connection para testar a acessibilidade do servidor LDAP do ISE.

    Agora, navegue até a guia Grupos e clique em Adicionar > Selecionar grupos do diretório > Recuperar grupos. Importe pelo menos um grupo ao qual o administrador pertence, clique em OK e em Salvar.

    Habilitar acesso administrativo para usuários LDAP

    Para habilitar a autenticação baseada em senha do ISE usando LDAP, navegue para Administration> System > Admin Access > Authentication (Administração > Sistema > Acesso de Administrador > Autenticação). Na guia Authentication Method, selecione a opção Password-Based. Selecione LDAP no menu suspenso Origem da identidade e clique em Salvar.

    Mapear o grupo de administração do ISE para o grupo LDAP

    Isso permite que o usuário configurado obtenha acesso de Administrador com base na autorização das políticas de RBAC, que por sua vez se baseia na associação de grupo LDAP do usuário. Para definir um grupo de administração do Cisco ISE e mapeá-lo para um grupo LDAP, navegue para Administration > System > Admin Access > Administrators > Admin Groups. Clique em Adicionar e insira um nome para o novo grupo Admin. No campo Tipo, marque a caixa de seleção Externo. No menu suspenso Grupos externos, selecione o grupo LDAP para o qual esse grupo de administração deve ser mapeado (como recuperado e definido anteriormente). Envie as alterações.

    Definir permissões RBAC para o grupo de administração

    Para atribuir permissões de RBAC ao Grupo Admin criado na seção anterior, navegue para Administration > System > Admin Access > Authorization > RBAC Policy. No menu suspenso Ações à direita, selecione Inserir nova política. Crie uma nova regra, mapeie-a com o grupo de administração definido na seção acima, atribua-a com os dados desejados e as permissões de acesso ao menu e clique em Salvar.

    Acesse o ISE com credenciais LDAP e verifique

    Fazer logoff da GUI administrativa. Selecione o nome LDAP no menu suspenso Origem da identidade. Insira o nome de usuário e a senha do banco de dados LDAP e faça login.

    Para confirmar se a configuração funciona corretamente, verifique o nome de usuário autenticado no ícone Configurações no canto superior direito da GUI do ISE. Navegue até Informações do servidor e verifique o Nome de usuário.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    15-Dec-2016
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Surendra Reddy
      Engenheiro do TAC da Cisco
    • Rini Santra
      Engenheiro do TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos