使用ISE和TACACS+配置裝置管理的APIC
簡介
本文檔介紹將APIC與ISE整合以便管理員使用者通過TACACS+協定進行身份驗證的過程。
必要條件
需求
思科建議您瞭解以下主題:
- 應用程式原則基礎架構控制器(APIC)
- 身分識別服務引擎 (ISE)
- TACACS通訊協定
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- APIC 4.2(7u)版
- ISE版本3.2補丁1
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
整合圖表
驗證程式
步驟1.使用管理員使用者憑據登入APIC應用程式。
步驟2.身份驗證過程觸發和ISE在本地或通過Active Directory驗證憑證。
步驟3.身份驗證成功後,ISE會傳送允許資料包以授權對APIC的訪問。
步驟4.ISE顯示成功的身份驗證即時日誌。
APIC配置
步驟1.導航至 Admin > AAA > Authentication > AAA 選擇 + 圖示以建立新的登入域。
APIC登入管理員配置
步驟2.定義新登入域的名稱和領域,然後按一下 + 在Providers下建立新提供程式。
APIC登入管理員
APIC TACACS提供程式
步驟3.定義ISE IP地址或主機名,定義共用金鑰,並選擇管理終端策略組(EPG)。按一下 Submit 以便將TACACS+提供程式新增到登入管理員。
APIC TACACS提供程式設定
TACACS提供程式檢視
ISE 組態
步驟1.導覽至☰ > Administration > Network Resources > Network Device Groups.在All Device Types下建立網路裝置組。
ISE網路裝置組
步驟2.導航至 Administration > Network Resources > Network Devices.選擇 Add 定義APIC名稱和IP地址,在Device Type和TACACS+覈取方塊下選擇APIC,並定義APIC TACACS+提供程式配置中使用的密碼。按一下 Submit.
對枝葉交換機重複步驟1和步驟2。
步驟3.使用此連結上的說明將ISE與Active Directory整合;
注意:本文檔將內部使用者和AD管理員組都作為身份源,但測試是使用內部使用者的身份源執行的。AD組的結果相同。
步驟4.(可選)導覽至☰ > Administration > Identity Management > Groups.選擇 User Identity Groups 然後按一下 Add.為只讀管理員用戶和管理員用戶建立一個組組。
身份組
步驟5.(可選)導覽至☰ > Administration > Identity Management > Identity. 按一下 Add 並建立一個 Read Only Admin 使用者和 Admin 使用者。將每個使用者分配到步驟4中建立的每個組。
步驟6.導覽至☰ > Administration > Identity Management > Identity Source Sequence.選擇 Add,定義名稱,然後選擇 AD Join Points 和 Internal Users 清單中的身份源。選擇 Treat as if the user was not found and proceed to the next store in the sequence 在 Advanced Search List Settings 然後按一下 Save.
身份源序列
7.導航至☰ > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.
TACACS允許通訊協定
8.導航至☰ > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile.按一下 add 並根據下面的清單屬性建立兩個配置檔案 Raw View.按一下 Save.
- 管理員使用者:
cisco-av-pair=shell:domains=all/admin/ - 只讀管理員使用者:
cisco-av-pair=shell:domains=all//read-all
注意:如果出現空格或其他字元,授權階段將失敗。
TACACS設定檔
TACACS管理員和只讀管理員配置檔案
步驟9.導覽至☰ > Work Centers > Device Administration > Device Admin Policy Set . 建立新的策略集,定義名稱,並選擇裝置型別 APIC 建立時間:選擇 TACACS Protocol 在步驟7中建立。作為允許的協定,然後按一下 Save.
TACACS策略集
步驟10.在新下 Policy Set 按一下右箭頭 > 並建立身份驗證策略。定義名稱並選擇裝置IP地址作為條件。然後選擇在步驟6中建立的身份源序列。
身份驗證策略
注意:位置或其他屬性可用作身份驗證條件。
步驟11.為每個管理員使用者型別建立授權配置檔案,定義名稱,並選擇內部使用者和/或AD使用者組作為條件。可以使用其他條件,如APIC。在每個授權策略上選擇適當的外殼配置檔案,然後按一下 Save.
TACACS授權配置檔案
驗證
步驟1.使用使用者管理員憑據登入APIC UI。從清單中選擇TACACS選項。
APIC登入
步驟2.驗證APIC UI上的訪問以及對TACACS Live日誌應用了正確的策略。
APIC歡迎資訊
對只讀管理員使用者重複步驟1和2。
TACACS+即時日誌
疑難排解
步驟1.導覽至☰ > Operations > Troubleshoot > Debug Wizard.選擇 TACACS 然後按一下 Debug Nodes.
調試配置檔案配置
步驟2.選擇接收流量的節點,然後按一下 Save.
調試節點選擇
步驟3.執行新測試並下載日誌 Operations > Troubleshoot > Download logs 如下所示:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
如果調試不顯示身份驗證和授權資訊,請驗證以下情況:
- 在ISE節點上啟用裝置管理服務。
- 已將正確的ISE IP地址新增到APIC配置。
- 如果中間有防火牆,請驗證是否允許埠49(TACACS)。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Apr-2023 |
初始版本 |
意見