簡介
本文檔介紹ISE的功能,用於管理身份服務引擎(ISE)上的管理訪問。
必要條件
需求
思科建議您瞭解以下主題:
- ISE
- Active Directory
- 輕量型目錄存取通訊協定(LDAP)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 身分識別服務引擎3.0
- Windows Server 2016
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
身份驗證設定
管理員使用者需要驗證自己才能訪問ISE上的任何資訊。管理員使用者的身份可通過ISE內部身份庫或外部身份庫進行驗證。可以通過密碼或證書來驗證真實性。要配置這些設定,請導航到管理>系統>管理員訪問>身份驗證。在Authentication Method頁籤下選擇所需的身份驗證型別。
附註:預設情況下啟用基於密碼的身份驗證。如果將其更改為基於客戶端證書的身份驗證,將導致應用程式伺服器在所有部署節點上重新啟動。
Identity Services Engine不允許從CLI為命令列介面(CLI)配置密碼策略。圖形使用者介面(GUI)和CLI的密碼策略只能通過ISE的GUI配置。若要配置此項,請導航到Administration > System > Admin Access > Authentication,然後導航到Password Policy頁籤。
ISE具有禁用非活動管理員使用者的設定。若要配置此項,請導航到Administration > System > Admin Access > Authentication,然後導航到Account Disable Policy頁籤。
ISE還提供根據登入嘗試失敗次數鎖定或暫停管理員使用者帳戶的工具。若要配置此功能,請導覽至Administration > System > Admin Access > Authentication,然後導覽至Lock/Suspend Settings索引標籤。
要管理管理訪問,需要管理組、使用者和各種策略/規則來控制和管理其許可權。
配置管理員組
導航到Administration > System > Admin Access > Administrators > Admin Groups以配置管理員組。預設情況下,只有少陣列是內建的,無法刪除。
建立組後,選擇該組並按一下「編輯」將管理使用者新增到該組。存在將外部身份組對映到ISE上的管理員組的設定,以便外部管理員使用者獲得所需的許可權。要配置此型別,請在新增使用者時選擇型別為「外部」。
配置管理員使用者
要配置管理員使用者,請導航到管理>系統>管理員訪問許可權>管理員>管理員使用者。
按一下「Add」。有兩種方法可以選擇。一種方法是完全新增新使用者。另一種方法是將網路訪問使用者(即配置為內部使用者以訪問網路/裝置的使用者)設定為ISE管理員。
選擇選項後,必須提供所需的詳細資訊,並且必須選擇使用者組,基於該使用者組授予使用者許可權和許可權。
配置許可權
可以為使用者組配置兩種型別的許可權:
- 選單訪問
- 資料存取
選單訪問控制ISE上的導航可見性。每個頁籤有兩個可配置的選項:「顯示」(Show)或「隱藏」(Hide)。可以配置選單訪問規則以顯示或隱藏選定的頁籤。
資料存取控制讀取/訪問/修改ISE上的身份資料的能力。只能為管理員組、使用者身份組、終端身份組和網路裝置組配置訪問許可權。ISE上有三個可以配置的實體選項。它們是「完全訪問」、「只讀訪問」和「無訪問」。可以配置資料存取規則為ISE上的每個頁籤選擇這三個選項之一。
必須先建立選單訪問和資料存取策略,然後才能將其應用於任何管理員組。有一些策略預設情況下是內建的,但可以始終對其進行自定義或建立新的策略。
要配置選單訪問策略,請導航到Administration > System > Admin Access > Authorization > Permissions > Menu Access。
按一下「Add」。可以將ISE中的每個導航選項配置為在策略中顯示/隱藏。
要配置資料存取策略,請導航到Administration > System > Admin Access > Authorization > Permissions > Data Access。
按一下Add以建立新的策略並配置訪問管理員/使用者身份/終端身份/網路組的許可權。
配置RBAC策略
RBAC代表基於角色的訪問控制。可以將使用者所屬的角色(管理員組)配置為使用所需的選單和資料存取策略。可以為單個角色配置多個RBAC策略,也可以在單個策略中配置多個角色以訪問選單和/或資料。當管理員使用者嘗試執行操作時,會評估所有這些適用的策略。最終決定是適用於該角色的所有策略的集合。如果同時存在允許和拒絕的衝突規則,則允許規則將覆蓋拒絕規則。要配置這些策略,請導航到Administration > System > Admin Access > Authorization > RBAC Policy。
按一下Actions以複製/插入/刪除策略。
附註:無法更新系統建立的策略和預設策略,並且無法刪除預設策略。
附註:不能在單個規則中配置多個選單/資料存取許可權。
配置管理員訪問許可權的設定
除RBAC策略外,還可以配置一些對所有管理員使用者通用的設定。
要為GUI和CLI配置允許的最大會話數、登入前和登入後標語數,請導航到Administration > System > Admin Access > Settings > Access。在Session頁籤下配置這些選項。
要配置可從中訪問GUI和CLI的IP地址清單,請導航到Administration > System > Admin Access > Settings > Access,然後導航到IP Access頁籤。
要配置管理員可從其訪問Cisco ISE的MnT部分的節點清單,請導航到Administration > System > Admin Access > Settings > Access,然後導航到MnT Access選項卡。
要允許部署內或部署外的節點或實體將系統日誌傳送到MnT,請按一下Allow any IP address to connect to MNT單選按鈕。要僅允許部署中的節點或實體將系統日誌傳送到MnT,請按一下僅允許部署中的節點連線到MNT單選按鈕。
附註:對於ISE 2.6補丁2及更高版本,預設情況下會啟用Use "ISE Messaging Service" for UDP Syslogs delivery to MnT,這不允許來自部署外部任何其他實體的系統日誌。
要配置由於會話不活動而導致的超時值,請導航到Administration > System > Admin Access > Settings > Session。在Session Timeout頁籤下設定此值。
要檢視/使當前活動會話失效,請導航到Administration > Admin Access > Settings > Session,然後點選Session Info選項卡。
使用AD憑據配置管理員門戶訪問
將ISE加入AD
若要將ISE加入外部域,請導航到管理>身份管理>外部身份源> Active Directory。輸入新的加入點名稱和Active Directory域。輸入可以新增和更改電腦對象的AD帳戶的憑據,然後按一下確定。
選擇目錄組
導航到管理>身份管理>外部身份源> Active Directory。按一下所需的加入點名稱並導航到組頁籤。按一下Add > Select Groups from Directory > Retrieve Groups。至少匯入管理員所屬的一個AD組,然後按一下確定,然後按一下儲存。
啟用AD的管理訪問
要使用AD啟用ISE的基於密碼的身份驗證,請導航到Administration > System > Admin Access > Authentication。在Authentication Method頁籤中,選擇Password-Based選項。從Identity Source下拉選單中選擇AD,然後按一下Save。
配置ISE管理員組到AD組的對映
這樣可授權基於AD中的組成員身份確定管理員的基於角色的訪問控制(RBAC)許可權。要定義Cisco ISE管理員組並將其對映到AD組,請導航到Administration > System > Admin Access > Administrators > Admin Groups。按一下Add,然後輸入新Admin組的名稱。在「型別」欄位中,選中External覈取方塊。從External Groups下拉選單中,選擇此管理員組要對映到的AD組(如上面的選擇目錄組部分中所定義)。 提交更改。
設定管理員組的RBAC許可權
要將RBAC許可權分配給在上一部分中建立的管理員組,請導航到Administration > System > Admin Access > Authorization > RBAC Policy。從右側的Actions下拉選單中,選擇Insert new policy。建立一個新規則,將其與上面部分中定義的管理員組進行對映,然後為其分配所需的資料和選單訪問許可權,然後按一下儲存。
使用AD憑證訪問ISE並驗證
從管理GUI註銷。從Identity Source下拉選單中選擇Join Point名稱。輸入AD資料庫中的使用者名稱和密碼,然後登入。
要確認配置正常工作,請從ISE GUI右上角的Settings圖示驗證經過身份驗證的使用者名稱。導覽至Server Information,然後驗證使用者名稱。
使用LDAP配置管理員門戶訪問
將ISE加入LDAP
導航到管理>身份管理>外部身份源> Active Directory > LDAP。在General頁籤下,輸入LDAP的名稱,並選擇架構作為Active Directory。
接下來,要配置連線型別,請導航到Connection頁籤。在這裡,設定主LDAP伺服器的主機名/IP以及埠389(LDAP)/636(LDAP-Secure)。 輸入管理員唯一判別名(DN)的路徑,並使用LDAP伺服器的管理員密碼。
接下來,導航到Directory Organization頁籤,然後按一下Naming Contexts,以根據LDAP伺服器中儲存的使用者層次結構選擇使用者的正確組織組。
按一下Connection頁籤下的Test Bind to Server,以測試從ISE訪問LDAP伺服器的能力。
現在,導航到Groups頁籤,然後按一下Add > Select Groups From Directory > Retrieve Groups。至少匯入一個管理員所屬的組,然後按一下確定,然後按一下儲存。
為LDAP使用者啟用管理訪問
要使用LDAP啟用ISE的基於密碼的身份驗證,請導航到Administration > System > Admin Access > Authentication。在Authentication Method頁籤中,選擇Password-Based選項。從Identity Source下拉選單中選擇LDAP,然後按一下Save。
將ISE管理員組對映到LDAP組
這允許配置的使用者根據RBAC策略的授權獲得管理員訪問許可權,這反過來又基於使用者的LDAP組成員資格。要定義Cisco ISE管理員組並將其對映到LDAP組,請導航到Administration > System > Admin Access > Administrators > Admin Groups。按一下Add,然後輸入新Admin組的名稱。在「型別」欄位中,選中External覈取方塊。從External Groups下拉選單中,選擇此管理員組要對映到的LDAP組(如之前檢索和定義的)。 提交更改。
設定管理員組的RBAC許可權
要將RBAC許可權分配給在上一部分中建立的管理員組,請導航到Administration > System > Admin Access > Authorization > RBAC Policy。從右側的Actions下拉選單中,選擇Insert new policy。建立一個新規則,將其與上面部分中定義的管理員組進行對映,然後為其分配所需的資料和選單訪問許可權,然後按一下儲存。
使用LDAP憑證訪問ISE並驗證
從管理GUI註銷。從身份源下拉選單中選擇LDAP名稱。從LDAP資料庫輸入使用者名稱和密碼,然後登入。
若要確認組態是否正常運作,請從ISE GUI右上角的Settings圖示驗證經過驗證的使用者名稱。導覽至Server Information,然後驗證使用者名稱。