在DNA Center和ISE 3.1上配置RADIUS外部身份驗證

簡介

本文檔介紹如何使用運行3.1版的Cisco ISE伺服器在Cisco DNA Center上配置RADIUS外部身份驗證。 

必要條件

需求

思科建議您瞭解以下主題：

• Cisco DNA Center和Cisco ISE已經整合，並且整合處於活動狀態。 

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco DNA Center 2.3.5.x版本。
• Cisco ISE 3.1版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

步驟 1. 登入Cisco DNA Center GUI 並導航至System > Settings > Authentication and Policy Servers。

驗證是否已配置RADIUS協定以及ISE狀態是否為Active(對於ISE型別伺服器)。 

 

步驟 2.在ISE伺服器導航到管理>網路資源>網路裝置，點選過濾器圖示，寫入Cisco DNA中心IP地址，確認條目是否存在。如果是，請繼續執行步驟3。

如果缺少條目，您必須看到無可用資料消息。

在這種情況下，您必須為Cisco DNA Center建立一個網路裝置，然後按一下Add按鈕。   

在Cisco DNA Center中配置名稱、描述和IP地址（或地址），所有其他設定均設定為預設值，本文檔中不需要這些設定。 

 

向下滾動並透過按一下RADIUS Authentication Settings覈取方塊並配置Shared Secret來啟用它。 

然後，按一下Submit。 

步驟 3.在ISE伺服器上，導航到策略>策略元素>結果，建立授權配置檔案。

確保您處於Authorization > Authorization Profiles下，然後選擇Add選項。 

 

配置Name，增加Description以保留新配置檔案的記錄，並確保Access Type設定為ACCESSES_ACCEPT。

 

向下滾動並配置高級屬性設定。

在左側列中搜尋cisco-av-pair選項並將其選中。

在右列手動鍵入Role=SUPER-ADMIN-ROLE。 

一旦它看起來像以下映像，請按一下Submit。

 

步驟 4.在ISE伺服器上，導航到工作中心>分析器>策略集，配置身份驗證和授權策略。

確定預設策略並按一下藍色箭頭進行配置。

在Default Policy Set內部，展開Authentication Policy，並在Default部分下展開Options，並確保它們與下面的配置匹配。 

在預設策略集中，展開Authorization Policy，並選擇Add圖示以建立新的Authorization Condition。 

 

驗證

載入Cisco DNA Center GUI 和從ISE身份以使用者登入。 

DNA Center登入

登入成功後，使用者名稱顯示在Cisco DNA Center GUI上

 

歡迎畫面

更多角色  

預設情況下，您可以對Cisco DNA Center上的每個角色重複這些步驟：SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE和OBSERVER-ROLE。

 

在本文檔中，我們使用SUPER-ADMIN-ROLE角色示例，但是，您可以在ISE上為思科DNA中心上的每個角色配置一個授權配置檔案，唯一的考慮是在步驟3上配置的角色需要與思科DNA中心上的角色名稱完全匹配（區分大小寫）。