Configurazione dell'autenticazione TACACS Prime 3.1 per ISE 2.x

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.2 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 ottobre 2017
ID documento:212201

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione


    Questo documento descrive come configurare Prime Infrastructure per l'autenticazione tramite TACACS con ISE 2.x.

    Requisiti

    Cisco raccomanda la conoscenza di base dei seguenti argomenti:

    • Identity Services Engine (ISE)
    • Prime Infrastructure

    Configurazione

    Cisco Prime Network Control System 3.1

    Cisco Identity Service Engine 2.0 o versione successiva.

    (Nota: ISE supporta solo TACACS a partire dalla versione 2.0, tuttavia è possibile configurare Prime per l'utilizzo di Radius. Prime include l'elenco degli attributi Radius oltre a TACACS se si preferisce utilizzare Radius, con una versione precedente di ISE o una soluzione di terze parti.)

    Prime Configuration

    Passare alla schermata seguente: Amministrazione / Utenti/ Utenti, Ruoli & AAA come mostrato di seguito.

    In questa schermata, selezionare la scheda TACACS+ Server, quindi selezionare l'opzione Add TACACS+ Server (Aggiungi server TACACS+) nell'angolo in alto a destra e selezionare go (Vai).

    Nella schermata successiva è disponibile la configurazione della voce relativa al server TACACS (questa operazione deve essere eseguita per ciascun server TACACS).

    212201-Configure-Prime-3-1-TACACS-authenticatio-00.png

    Immettere l'indirizzo IP o l'indirizzo DNS del server, nonché la chiave segreta condivisa. Notare anche l'indirizzo IP dell'interfaccia locale che si desidera usare, poiché questo stesso indirizzo IP deve essere usato per il client AAA ad ISE.

    Per completare la configurazione su Prime. È necessario abilitare TACACS in Amministrazione / Utenti / Utenti, Ruoli & AAA nella scheda Impostazioni modalità AAA.

    (Nota: si consiglia di selezionare l'opzione Abilita fallback su locale, con l'opzione SOLO su nessuna risposta del server o L'opzione Su nessuna risposta o errore, in particolare durante il test della configurazione)

    212201-Configure-Prime-3-1-TACACS-authenticatio-01.png

    Configurazione di ISE

    Configurazione di Prime come client AAA su ISE, centri di lavoro / amministrazione dispositivi / risorse di rete / dispositivi di rete / aggiunta

    212201-Configure-Prime-3-1-TACACS-authenticatio-02.png

    Immettere le informazioni per il server Prime. Gli attributi obbligatori da includere sono Nome, Indirizzo IP, selezionare l'opzione per TACACS e il segreto condiviso. È inoltre possibile aggiungere un Tipo di dispositivo, specificatamente per Prime, da utilizzare successivamente come Condizione per la Regola di autorizzazione o altre informazioni, anche se questa operazione è facoltativa.

    212201-Configure-Prime-3-1-TACACS-authenticatio-03.jpeg

    Quindi creare un risultato del profilo TACACS per inviare gli attributi richiesti da ISE a Prime, in modo da fornire il corretto livello di accesso. Passare a Centri di lavoro / Risultati criteri / Profili TACACS e selezionare l'opzione Aggiungi.

    212201-Configure-Prime-3-1-TACACS-authenticatio-04.png

    Configurare il nome e utilizzare l'opzione Visualizzazione non elaborata per immettere gli attributi nella casella Attributi profilo. Gli attributi provengono dal server di base stesso.

    212201-Configure-Prime-3-1-TACACS-authenticatio-05.jpeg

    Ottenere gli attributi nella schermata Amministrazione / Utenti/ Utenti, Ruoli & AAA e selezionare la scheda Gruppi di utenti. Selezionare il livello di accesso Gruppo che si desidera fornire. In questo esempio l'accesso come amministratore viene fornito selezionando l'elenco di task appropriato sul lato sinistro. 

    212201-Configure-Prime-3-1-TACACS-authenticatio-06.jpeg

    Copiare tutti gli attributi personalizzati TACACS.

    212201-Configure-Prime-3-1-TACACS-authenticatio-07.png

    Quindi incollale nella sezione "Visualizzazione raw" del Profilo su ISE.

    212201-Configure-Prime-3-1-TACACS-authenticatio-08.jpeg

    Gli attributi personalizzati del dominio virtuale sono obbligatori. Le informazioni sul dominio principale sono disponibili in Amministrazione principale -> Domini virtuali.

    212201-Configure-Prime-3-1-TACACS-authenticatio-09.jpeg

    Il nome del dominio virtuale principale deve essere aggiunto come attributo virtual-domain0="nome del dominio virtuale"

    212201-Configure-Prime-3-1-TACACS-authenticatio-10.jpeg

    Al termine, è sufficiente creare una regola per assegnare il profilo di shell creato nel passaggio precedente, in Centri di lavoro / Amministrazione dispositivi / Set di criteri di amministrazione dispositivi

    (Nota: le "Condizioni" variano a seconda della distribuzione, tuttavia è possibile utilizzare il "Tipo di dispositivo" specificatamente per Prime o un altro tipo di filtro, ad esempio l'indirizzo IP di Prime, come una delle "Condizioni" in modo che questa regola filtri correttamente le richieste)

    212201-Configure-Prime-3-1-TACACS-authenticatio-11.png

    A questo punto la configurazione deve essere completa.

    Risoluzione dei problemi


    Se questa configurazione non ha esito positivo e l'opzione di fallback locale è stata abilitata su Prime, è possibile forzare il failover da ISE, rimuovendo l'indirizzo IP di Prime. In questo modo ISE non risponderà e verrà forzato l'uso delle credenziali locali. Se il fallback locale è configurato per essere eseguito su un rifiuto, gli account locali continueranno a funzionare e forniranno l'accesso al cliente.

    Se ISE ha completato l'autenticazione e soddisfa la regola corretta, ma Prime rifiuta comunque la richiesta. Verificare che gli attributi siano configurati correttamente nel profilo e che non siano stati inviati attributi aggiuntivi.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    08-Oct-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • William Patrick Soler Webster
      Cisco TAC

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti