使用ISE和TACACS+配置设备管理的APIC
简介
本文档介绍将APIC与ISE集成以使用TACACS+协议进行管理员用户身份验证的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 应用策略基础设施控制器 (APIC)
- 身份服务引擎 (ISE)
- TACACS协议
使用的组件
本文档中的信息基于以下软件和硬件版本:
- APIC版本4.2(7u)
- ISE版本3.2补丁1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
集成图
身份验证过程
第1步:使用管理员用户凭证登录APIC应用。
第二步:身份验证过程触发并ISE在本地或通过Active Directory验证凭证。
第三步:身份验证成功后,ISE会发送允许数据包以授权对APIC的访问。
第四步:ISE显示成功的身份验证实时日志。
APIC配置
步骤1:导航至 Admin > AAA > Authentication > AAA 选择 + 图标以创建新的登录域。
APIC登录管理员配置
第二步:定义新登录域的名称和领域,然后单击 + 在Providers下创建新提供程序。
APIC登录管理员
APIC TACACS提供程序
第三步:定义ISE IP地址或主机名,定义共享密钥,并选择管理终端策略组(EPG)。点击 Submit 以便将TACACS+提供程序添加到登录管理员。
APIC TACACS提供程序设置
TACACS提供程序视图
ISE 配置
步骤1:导航至☰ > 管理>网络资源>网络设备组.在All Device Types下创建网络设备组。
ISE网络设备组
第二步:导航至 Administration > Network Resources > Network Devices.选择 Add 定义APIC名称和IP地址,在Device Type和TACACS+复选框下选择APIC,并定义APIC TACACS+提供程序配置中使用的密码。点击 Submit.
对枝叶交换机重复步骤1和步骤2。
第三步:使用此链接上的说明将ISE与Active Directory集成;
注意:本文档将内部用户和AD管理员组都作为身份源,但是,使用内部用户的身份源执行测试。AD组的结果相同。
步骤4.(可选)导航至☰ > Administration > Identity Management > Groups.选择 User Identity Groups 并点击 Add.为只读管理员用户和管理员用户创建一组。
身份组
步骤5.(可选)导航至☰ > Administration > Identity Management > Identity. 点击 Add 并创建一个 Read Only Admin 用户和 Admin 用户.将每个用户分配到步骤4中创建的每个组。
第六步:导航至☰ > Administration > Identity Management > Identity Source Sequence.选择 Add,定义名称,然后选择 AD Join Points 和 Internal Users 列表中的身份源。选择 Treat as if the user was not found and proceed to the next store in the sequence 在 Advanced Search List Settings 并点击 Save.
身份源序列
7.导航至☰ > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.
TACACS允许协议
8.导航至☰ > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile.点击 add 并根据以下列表上的属性创建两个配置文件 Raw View.点击 Save.
- 管理员用户:
cisco-av-pair=shell:domains=all/admin/ - 只读管理员用户:
cisco-av-pair=shell:domains=all//read-all
注意:如果出现空格或其他字符,授权阶段将失败。
TACACS配置文件
TACACS管理员和只读管理员配置文件
步骤 9导航至☰ > Work Centers > Device Administration > Device Admin Policy Set . 创建新策略集,定义名称,然后选择设备类型 APIC 第1步创建。选择 TACACS Protocol 在第7步中创建。作为允许的协议,然后单击 Save.
TACACS策略集
步骤 10在新的 Policy Set 点击右箭头 > 并创建身份验证策略。定义名称并选择设备IP地址作为条件。然后选择在第6步中创建的Identity Source Sequence。
验证策略
注意:位置或其他属性可用作身份验证条件。
步骤 11为每个管理员用户类型创建授权配置文件,定义名称,并选择内部用户和/或AD用户组作为条件。可以使用其他条件,例如APIC。在每个授权策略上选择适当的外壳配置文件,然后单击 Save.
TACACS授权配置文件
验证
步骤1:使用用户管理员凭证登录APIC UI。从列表中选择TACACS选项。
APIC登录
第二步:验证APIC UI上的访问以及对TACACS Live日志应用了正确的策略。
APIC欢迎消息
对只读管理员用户重复步骤1和2。
TACACS+实时日志
故障排除
步骤1:导航至☰ > Operations > Troubleshoot > Debug Wizard.选择 TACACS 并点击 Debug Nodes.
调试配置文件配置
第二步:选择接收流量的节点,然后单击 Save.
调试节点选择
第三步:执行新测试并下载 Operations > Troubleshoot > Download logs 如所示:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
如果调试不显示身份验证和授权信息,请验证以下内容:
- 设备管理服务在ISE节点上启用。
- 已将正确的ISE IP地址添加到APIC配置。
- 如果防火墙位于中间,请验证是否允许端口49(TACACS)。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
28-Apr-2023 |
初始版本 |
反馈