了解ISE上的管理员访问权限和RBAC策略

简介

本文档介绍ISE在管理身份服务引擎(ISE)上的管理访问权限的功能。

先决条件

要求

Cisco建议您了解以下主题：

• ISE
• Active Directory
• 轻量级目录访问协议(LDAP)

使用的组件

本文档中的信息基于以下软件和硬件版本：

• ISE 3.0
• Windows Server 2016

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

验证设置

管理员用户必须验证自己才能访问ISE上的任何信息。管理员用户的身份可以使用ISE内部身份库或外部身份库进行验证。可以通过密码或证书验证真实性。要配置这些设置，请导航到Administration > System> Admin Access > Authentication。在Authentication Method选项卡下选择所需的身份验证类型。

注意：默认情况下启用基于密码的身份验证。如果更改为基于客户端证书的身份验证，则会导致应用服务器在所有部署节点上重新启动。

ISE不允许从CLI配置命令行界面(CLI)密码策略。图形用户界面(GUI)和CLI的密码策略只能通过ISE GUI配置。要配置它，请导航到Administration > System > Admin Access > Authentication，然后导航到Password Policy选项卡。

ISE具有禁用非活动管理员用户的调配。要进行配置，请导航到Administration > System > Admin Access > Authentication，然后导航到Account Disable Policy选项卡。

ISE还提供根据登录尝试失败次数锁定或暂停管理员用户帐户的工具。要对此进行配置，请导航到Administration > System > Admin Access > AuthenticationLock/Suspend Settings (仅限注册用户)选项卡。

要管理管理访问，需要管理组、用户和各种策略/规则来控制和管理其权限。

配置管理员组

导航到Administration > System > Admin Access > Administrators > Admin Groups以配置管理员组。有一些组是默认内置的，无法删除。

创建组后，请选择该组并单击edit将管理用户添加到该组。提供将外部身份组映射到ISE上的管理员组的设置，以便外部管理员用户获得所需的权限。要进行配置，请在添加用户时选择类型External。

配置管理员用户

要配置管理员用户，请导航到Administration > System > Admin Access > Administrators > Admin Users。

单击 Add。有两个选项可供选择。一种方法是完全添加新用户。另一种是使网络访问用户（即，配置为内部用户以便访问网络/设备的用户）成为ISE管理员。

选择选项后，必须提供所需的详细信息，并且必须根据授予用户的权限和权限选择用户组。

配置权限

可以为用户组配置两种类型的权限：

1. 菜单访问
2. 数据访问

菜单访问控制ISE上的导航可见性。每个选项卡都有两个可配置的选项，显示或隐藏。可以将“菜单访问”规则配置为显示或隐藏选定的选项卡。

数据访问权限控制读取/访问/修改ISE上的身份数据的能力。只能为Admin Groups、User Identity Groups、Endpoint Identity Groups和Network Device Groups配置访问权限。在ISE上，可以对这些实体配置三个选项。它们具有完全访问权限、只读访问权限和无访问权限。可以配置数据访问规则，以便为ISE上的每个选项卡选择以下三个选项之一。

必须先创建菜单访问和数据访问策略，然后才能将其应用于任何管理员组。有一些策略默认情况下是内置的，但是它们可以始终自定义，也可以创建新策略。

要配置菜单访问策略，请导航到Administration > System > Admin Access > Authorization > Permissions > Menu Access。

单击 Add。可以配置ISE中的每个导航选项，以便在策略中显示/隐藏。

要配置数据访问策略，请导航到Administation > System > Admin Access > Authorization > Permissions > Data Access。

单击Add以创建新的策略并配置权限，从而访问管理员/用户身份/终端身份/网络组。

配置RBAC策略

RBAC代表基于角色的访问控制。用户所属的角色（管理员组）可以配置为使用所需的菜单和数据访问策略。可以为单个角色配置多个RBAC策略，也可以在单个策略中配置多个角色以访问菜单和/或数据。当管理员用户尝试执行操作时，会评估所有这些适用策略。最终决定是适用于该角色的所有策略的汇总。如果同时允许和拒绝存在相互矛盾的规则，则允许规则会覆盖拒绝规则。要配置这些策略，请导航到Administration > System > Admin Access > Authorization > RBAC Policy。

点击Actions 复制/插入/删除策略。

注意：无法更新系统创建的策略和默认策略，并且无法删除默认策略。

注意：不能在单个规则中配置多个菜单/数据访问权限。

配置管理员访问权限的设置

除RBAC策略外，还可以配置一些对所有管理员用户通用的设置。

要为GUI和CLI配置允许的最大会话数、登录前和登录后标语，请导航到Administration > System > Admin Access > Settings > Access。在Session选项卡下配置这些命令。

要配置可从中访问GUI和CLI的IP地址列表，请导航到Administration > System > Admin Access > Settings > Access并导航到IP Access选项卡。

要配置节点列表，管理员可以从此列表访问Cisco ISE的MnT部分，导航到Administration > System > Admin Access > Settings > Access，然后导航到MnT Access选项卡。

要允许部署内或部署外的节点或实体向MnT发送系统日志，请点击Allow any IP address to connect to MNT单选按钮。要仅允许部署中的节点或实体向MnT发送系统日志，请点击Allow only the nodes in the deployment to connect to MNT单选按钮。

注意：对于ISE 2.6补丁2及更高版本，默认情况下会启用ISE消息服务，以将UDP系统日志传送到MnT。此配置限制从部署之外的外部实体接受系统日志。

要配置由于会话处于非活动状态而引起的超时值，请导航到Administration > System > Admin Access > Settings > Session。在Session Timeout选项卡下设置此值。

要查看/使当前活动会话失效，请导航到Administration > Admin Access > Settings > Session，然后点击Session Info选项卡。

使用AD凭证配置管理员门户访问

将ISE加入AD

要将ISE加入外部域，请导航到Administration > Identity Management > External Identity Sources > Active Directory。输入新的加入点名称和active directory域。输入可以添加的AD帐户的凭据、对计算机对象进行更改，然后单击确定。

选择目录组

导航到Administration > Identity Management > External Identity Sources > Active Directory。单击所需的加入点名称并导航到组选项卡。单击。Add > Select Groups from Directory > Retrieve Groups至少导入一个管理员所属的AD组，单击OK，然后单击Save。

启用AD的管理访问

要使用AD启用ISE的基于密码的身份验证，请导航到Administration> System > Admin Access > Authentication。在Authentication Method选项卡中，选择Password-Based选项。从Identity Source下拉菜单中选择AD，然后单击Save。

配置ISE管理员组到AD组的映射

这允许授权根据AD中的组成员身份确定管理员的RBAC权限。要定义Cisco ISE管理员组并将其映射到AD组，请导航到Administration > System > Admin Access > Administrators > Admin Groups。单击Add并输入新Admin组的名称。在Type字段中，选中External 复选框。从External Groups 下拉菜单中，选择此管理员组要映射到的AD组(如Select Directory Groups部分中所定义)。提交更改。

设置管理员组的RBAC权限

要为上一节中创建的管理员组分配RBAC权限，请导航到Administration > System > Admin Access > Authorization > RBAC Policy。从右侧的操作下拉菜单中选择Insert new policy。创建一个新规则，将它映射到之前部分中定义的管理员组，并为它分配所需的数据和菜单访问权限，然后单击Save。

使用AD凭证访问ISE并验证

从管理GUI中注销。从Identity Source下拉菜单中选择加入点名称。输入AD数据库中的用户名和密码，然后登录。

要确认配置是否正常工作，请从ISE GUI右上角的Settings图标验证经过身份验证的用户名。导航到Server Information并验证用户名。

使用LDAP配置管理员门户访问

将ISE加入LDAP

导航到Administration > Identity Management > External Identity Sources > Active Directory > LDAP。在General选项卡下，输入LDAP的名称，然后选择架构为Active Directory。

接下来，要配置连接类型，请导航到Connection选项卡。此处，设置主LDAP服务器的主机名/IP以及端口389 (LDAP)/636 (LDAP-Secure)。输入管理员可分辨名称(DN)的路径以及LDAP服务器的管理员密码。

然后，导航到Directory Organization选项卡，并单击Naming Contexts，根据LDAP服务器中存储的用户的层次结构，选择正确的用户组织组。

单击Connection选项卡下的Test Bind to Server以测试从ISE访问LDAP服务器的能力。

现在导航到组选项卡并单击Add > Select Groups From Directory > Retrieve Groups。至少导入一个管理员所属的组，单击OK，然后单击Save。

启用LDAP用户的管理访问

要使用LDAP启用ISE的基于密码的身份验证，请导航到Administration> System > Admin Access > Authentication。在Authentication Method选项卡中，选择Password-Based选项。从Identity Source下拉菜单中选择LDAP，然后单击Save。

将ISE管理员组映射到LDAP组

这允许已配置的用户根据RBAC策略的授权获得管理员访问权限，反过来又基于用户的LDAP组成员身份。要定义Cisco ISE管理员组并将其映射到LDAP组，请导航到Administration > System > Admin Access > Administrators > Admin Groups。单击Add并输入新Admin组的名称。在Type字段中，选中External 复选框。从External Groups 下拉菜单中，选择此管理员组要映射到的LDAP组（如之前检索和定义）。提交更改。

设置管理员组的RBAC权限

要为上一节中创建的管理员组分配RBAC权限，请导航到Administration > System > Admin Access > Authorization > RBAC Policy。从右侧的操作下拉菜单中选择Insert new policy。创建一个新规则，将它映射到之前部分中定义的管理员组，并为它分配所需的数据和菜单访问权限，然后单击Save。

使用LDAP凭证访问ISE并进行验证

从管理GUI中注销。从Identity Source下拉菜单中选择LDAP名称。输入LDAP数据库中的用户名和密码，然后登录。

要确认配置正常工作，请从ISE GUI右上角的Settings图标验证已验证的用户名。导航到Server Information并验证用户名。