简介
本文档介绍ISE管理身份服务引擎(ISE)上的管理访问的功能。
先决条件
要求
思科建议您了解以下主题:
- ISE
- Active Directory
- 轻量级目录访问协议(LDAP)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 身份服务引擎3.0
- Windows Server 2016
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
验证设置
管理员用户需要对自身进行身份验证才能访问ISE上的任何信息。管理员用户的身份可以通过使用ISE内部身份库或外部身份库进行验证。可通过密码或证书来验证真实性。要配置这些设置,请导航至Administration > System> Admin Access > Authentication。在Authentication Method选项卡下选择所需的身份验证类型。
注意:默认情况下启用基于密码的身份验证。如果更改为基于客户端证书的身份验证,则会导致所有部署节点上的应用服务器重新启动。
身份服务引擎不允许从CLI为命令行界面(CLI)配置密码策略。图形用户界面(GUI)和CLI的密码策略只能通过ISE的GUI进行配置。要配置此配置,请导航至Administration > System > Admin Access > Authentication,然后导航至Password Policy选项卡。
ISE具有禁用非活动管理员用户的设置。要配置此项,请导航至管理>系统>管理员访问>身份验证,然后导航至帐户禁用策略选项卡。
ISE还根据失败登录尝试次数提供锁定或暂停管理员用户帐户的工具。要配置此设置,请导航至Administration > System > Admin Access > Authentication,然后导航至Lock/Suspend Settings选项卡。
要管理管理访问,需要管理组、用户和各种策略/规则来控制和管理其权限。
配置管理员组
导航至Administration > System > Admin Access > Administrators > Admin Groups以配置管理员组。默认情况下,内置且无法删除的组很少。
创建组后,选择该组,然后点击编辑将管理用户添加到该组。有一个调配将外部身份组映射到ISE上的管理员组,以便外部管理员用户获得所需权限。要配置此项,请在添加用户时选择类型为External。
配置管理员用户
要配置管理员用户,请导航至Administration > System > Admin Access > Administrators > Admin Users。
单击 Add。有两个选项可供选择。一是添加一个新用户。另一个是将网络访问用户(即配置为内部用户以访问网络/设备的用户)作为ISE管理员。
选择选项后,必须提供所需的详细信息,并且必须根据向用户授予的权限和权限来选择用户组。
配置权限
可以为用户组配置两种权限:
- 菜单访问
- 数据访问
菜单访问控制ISE的导航可见性。每个选项卡都有两个选项,即显示或隐藏,可以配置。“菜单访问”(Menu Access)规则可配置为显示或隐藏选定的选项卡。
数据访问控制读取/访问/修改ISE上的身份数据的功能。只能为管理员组、用户身份组、终端身份组和网络设备组配置访问权限。ISE上的这些实体有三个可配置选项。它们是完全访问、只读访问和无访问。数据访问规则可配置为为ISE上的每个选项卡选择以下三个选项之一。
必须先创建菜单访问和数据访问策略,然后才能将它们应用到任何管理员组。默认情况下,有一些策略是内置的,但始终可以自定义或创建新策略。
要配置菜单访问策略,请导航至Administration > System > Admin Access > Authorization > Permissions > Menu Access。
单击 Add。ISE中的每个导航选项都可配置为在策略中显示/隐藏。
要配置数据访问策略,请导航至Administration > System > Admin Access > Authorization > Permissions > Data Access。
单击Add 创建新策略,并配置权限以访问管理员/用户身份/终端身份/网络组。
配置RBAC策略
RBAC代表基于角色的访问控制。用户所属的角色(管理员组)可以配置为使用所需的菜单和数据访问策略。可以为单个角色配置多个RBAC策略,或者可以在单个策略中配置多个角色以访问菜单和/或数据。当管理员用户尝试执行操作时,将评估所有这些适用策略。最终决定是适用于该角色的所有策略的总和。如果同时允许和拒绝的规则相互矛盾,则允许规则会覆盖拒绝规则。要配置这些策略,请导航至Administration > System > Admin Access > Authorization > RBAC Policy。
单击操作以复制/插入/删除策略。
注意:无法更新系统创建的策略和默认策略,且无法删除默认策略。
注意:不能在单个规则中配置多个菜单/数据访问权限。
配置管理员访问设置
除RBAC策略外,还可以配置一些对所有管理员用户通用的设置。
要配置GUI和CLI的Maximum Sessions Allowed、Pre-login和Post-login Banners的数量,请导航至Administration > System > Admin Access > Settings > Access。在“会话”选项卡下配置这些。
要配置GUI和CLI可从中访问的IP地址列表,请导航至Administration > System > Admin Access > Settings > Access,然后导航至IP Access选项卡。
要配置节点列表,管理员可从其访问Cisco ISE中的MnT部分,请导航至Administration > System > Admin Access > Settings > Access,然后导航至MnT Access选项卡。
要允许部署内或部署外的节点或实体将系统日志发送到MnT,请单击允许任何IP地址连接到MNT单选按钮。要仅允许部署中的节点或实体将系统日志发送到MnT,请单击仅允许部署中的节点连接到MNT单选按钮。
注意:对于ISE 2.6补丁2及更高版本,默认启用“使用ISE消息服务”将UDP系统日志传输到MnT,这不允许来自部署外的任何其他实体的系统日志。
要配置由于会话处于非活动状态而导致的超时值,请导航至Administration > System > Admin Access > Settings > Session。在Session Timeout选项卡下设置此值。
要查看/使当前活动会话无效,请导航至Administration > Admin Access > Settings > Session,然后单击Session Info选项卡。
使用AD凭证配置管理员门户访问
将ISE加入AD
要将ISE加入到外部域,请导航至Administration > Identity Management > External Identity Sources > Active Directory。输入新的加入点名称和Active Directory域。输入可以添加和更改计算机对象的AD帐户的凭据,然后单击OK。
选择目录组
导航至管理>身份管理>外部身份源> Active Directory。单击所需的加入点名称并导航至“组”选项卡。单击“添加”>“从目录选择组”>“检索组”。至少导入一个管理员所属的AD组,然后单击“确定”,然后单击“保存”。
启用AD的管理访问
要启用使用AD的ISE基于密码的身份验证,请导航至Administration > System > Admin Access > Authentication。在Authentication Method选项卡中,选择Password-Based选项。从“身份源”下拉菜单中选择“AD”,然后单击“保存”。
配置ISE管理组到AD组映射
这允许授权根据AD中的组成员身份确定管理员的基于角色的访问控制(RBAC)权限。要定义思科ISE管理员组并将其映射到AD组,请导航至Administration > System > Admin Access > Administrators > Admin Groups。单击Add,然后输入新管理员组的名称。在“类型”字段中,选中“外部”复选框。从外部组下拉菜单中,选择此管理组要映射到的AD组(如上面的“选择目录组”部分中定义)。 提交更改。
为管理员组设置RBAC权限
要将RBAC权限分配给在上一节中创建的管理组,请导航至Administration > System > Admin Access > Authorization > RBAC Policy。从右侧的“操作”下拉菜单中,选择“插入新策略”。创建新规则,将其映射到上节中定义的管理组,并为其分配所需的数据和菜单访问权限,然后单击Save。
使用AD凭证访问ISE并验证
注销管理GUI。从“身份源”(Identity Source)下拉菜单中选择加入点名称。从AD数据库输入用户名和密码,然后登录。
要确认配置工作正常,请从ISE GUI右上角的设置图标验证经过身份验证的用户名。导航至“Server Information”并验证用户名。
使用LDAP配置管理员门户访问
将ISE加入LDAP
导航至管理>身份管理>外部身份源> Active Directory > LDAP。在“常规”选项卡下,输入LDAP的名称,并选择架构作为Active Directory。
接下来,要配置连接类型,请导航至“连接”选项卡。在此,设置主LDAP服务器的主机名/IP以及端口389(LDAP)/636(LDAP-Secure)。 使用LDAP服务器的管理员密码输入管理员可分辨名称(DN)的路径。
然后,导航至“目录组织”选项卡,然后单击命名上下文,根据存储在LDAP服务器中的用户的层次结构选择用户的正确组织组。
单击Connection选项卡下的Test Bind to Server(测试绑定到服务器),以测试LDAP服务器从ISE的可达性。
现在导航至“组”选项卡,然后单击“添加”>“从目录选择组”>“检索组”。至少导入一个管理员所属的组,然后单击“确定”,然后单击“保存”。
为LDAP用户启用管理访问
要启用使用LDAP的ISE基于密码的身份验证,请导航至Administration > System > Admin Access > Authentication。在Authentication Method选项卡中,选择Password-Based选项。从“身份源”下拉菜单中选择“LDAP”,然后单击“保存”。
将ISE管理组映射到LDAP组
这允许已配置用户根据RBAC策略的授权(这反过来又基于用户的LDAP组成员身份)获取管理员访问权限。要定义思科ISE管理组并将其映射到LDAP组,请导航至Administration > System > Admin Access > Administrators > Admin Groups。单击Add,然后输入新管理员组的名称。在“类型”字段中,选中“外部”复选框。从外部组下拉菜单中,选择此管理组要映射到的LDAP组(如之前检索和定义的)。 提交更改。
为管理员组设置RBAC权限
要将RBAC权限分配给在上一节中创建的管理组,请导航至Administration > System > Admin Access > Authorization > RBAC Policy。从右侧的“操作”下拉菜单中,选择“插入新策略”。创建新规则,将其映射到上节中定义的管理组,并为其分配所需的数据和菜单访问权限,然后单击Save。
使用LDAP凭证访问ISE并验证
注销管理GUI。从Identity Source下拉菜单中选择LDAP名称。从LDAP数据库输入用户名和密码,然后登录。
要确认配置是否正常工作,请从ISE GUI右上角的设置图标验证经过身份验证的用户名。导航至“Server Information”并验证用户名。