使用ISE和TACACS+配置设备管理的APIC
简介
本文档介绍将APIC与ISE集成以使用TACACS+协议进行管理员用户身份验证的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 应用策略基础设施控制器 (APIC)
- 身份服务引擎 (ISE)
- TACACS协议
使用的组件
本文档中的信息基于以下软件和硬件版本:
- APIC版本4.2(7u)
- ISE版本3.2补丁1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
集成图
身份验证过程
第1步:使用管理员用户凭证登录APIC应用。
步骤2.身份验证过程触发并ISE在本地或通过Active Directory验证凭证。
步骤3.身份验证成功后,ISE发送允许数据包以授权对APIC的访问。
步骤4. ISE显示成功的身份验证实时日志。
APIC配置
步骤1.导航到Admin > AAA > Authentication > AAA,然后选择+图标以创建新的登录域。
APIC登录管理员配置
步骤2.定义新登录域的名称和领域,然后单击+“提供程序”下的以便创建新的提供程序。
APIC登录管理员
APIC TACACS提供程序
步骤3.定义ISE IP地址或主机名,定义共享密钥,并选择管理终端策略组(EPG)。 单击Submit以将TACACS+提供程序添加到登录管理员。
APIC TACACS提供程序设置
TACACS提供程序视图
ISE 配置
步骤1.导航到☰ > Administration > Network Resources > Network Device Groups。在All Device Types下创建网络设备组。
ISE网络设备组
步骤2.导航至Administration > Network Resources > Network Devices。选择Add“定义APIC名称和IP地址”,在“设备类型和TACACS+”复选框下选择APIC,然后定义在APIC TACACS+提供程序配置中使用的密码。单击。Submit
对枝叶交换机重复步骤1和步骤2。
步骤3.使用此链接上的说明将ISE与Active Directory集成;
注意:本文档包含内部用户和AD管理员组作为身份源,但测试是使用内部用户的身份源执行的。AD组的结果相同。
步骤4.(可选)导航至☰>Administration > Identity Management > Groups。选择User Identity Groups 并单击 Add。为只读管理员用户和管理员用户创建一组。
身份组
步骤5.(可选)导航至☰>Administration > Identity Management > Identity. 点击Add并创建一个用Read Only Admin户和Admin用户。将每个用户分配到步骤4中创建的每个组。
步骤6.导航至☰>Administration > Identity Management > Identity Source Sequence。选择Add,定义名称,然后从列AD Join Points表选Internal Users择和身份源。选择Treat as if the user was not found and proceed to the next store in the sequenceAdvanced Search List Settings 下,然后单击Save。
身份源序列
7.导航至☰>Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.
TACACS允许协议
8.定位至☰>Work Centers > Device Administration > Policy Elements > Results > TACACS Profile。点击add并根据下方的列表上的属性创建两个配置文件Raw View。单击。Save
- 管理员用户:
cisco-av-pair=shell:domains=all/admin/ - 只读管理员用户:
cisco-av-pair=shell:domains=all//read-all
注意:如果出现空格或其他字符,授权阶段将失败。
TACACS配置文件
TACACS管理员和只读管理员配置文件
步骤9.导航到☰>Work Centers > Device Administration > Device Admin Policy Set。创建新的策略集,定义名称,并选择在步骤1中创建的设备类APIC型。选择在步骤7中创建TACACS Protocol的。作为允许的协议,然后单击Save。
TACACS策略集
步骤10.在new下单Policy Set击向右箭头并>创建身份验证策略。定义名称并选择设备IP地址作为条件。然后选择在第6步中创建的Identity Source Sequence。
验证策略
注意:位置或其他属性可用作身份验证条件。
步骤11.为每个管理员用户类型创建授权配置文件,定义名称,并选择内部用户和/或AD用户组作为条件。可以使用其他条件,例如APIC。在每个授权策略上选择适当的外壳配置文件,然后点击Save。
TACACS授权配置文件
验证
步骤1.使用用户管理员凭证登录APIC UI。从列表中选择TACACS选项。
APIC登录
步骤2.验证APIC UI上的访问以及对TACACS Live日志应用了正确的策略。
APIC欢迎消息
对只读管理员用户重复步骤1和2。
TACACS+实时日志
故障排除
步骤1.导航到☰>Operations > Troubleshoot > Debug Wizard。选择TACACS并单击 Debug Nodes。
调试配置文件配置
步骤2.选择接收流量的节点并点击Save。
调试节点选择
步骤3.执行新测试并下载下方的日志,Operations > Troubleshoot > Download logs 如下所示:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
如果调试不显示身份验证和授权信息,请验证以下内容:
- 设备管理服务在ISE节点上启用。
- 已将正确的ISE IP地址添加到APIC配置。
- 如果防火墙位于中间,请验证是否允许端口49(TACACS)。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
28-Apr-2023 |
初始版本 |
反馈