Configurar o APIC para administração de dispositivos com ISE e TACACS+

Introdução

Este documento descreve o procedimento para integrar o APIC ao ISE para autenticação de usuários administradores com o protocolo TACACS+.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Application Policy Infrastructure Controller (APIC)
• Identity services engine (ISE)
• protocolo TACACS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• APIC versão 4.2(7u)
• Patch 1 do ISE versão 3.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Diagrama de integração

Procedimento de autenticação

Etapa 1.Faça login no aplicativo APIC com as Credenciais de usuário do administrador.

Etapa 2. O processo de autenticação é acionado e o ISE valida as credenciais localmente ou por meio do Ative Diretory.

Etapa 3. Quando a autenticação for bem-sucedida, o ISE enviará um pacote de permissão para autorizar o acesso ao APIC.

Etapa 4. O ISE mostra um registro ao vivo de autenticação bem-sucedido.

Observação: o APIC replica a configuração TACACS+ em switches leaf que fazem parte da estrutura.

Configuração do APIC

Etapa 1. Navegue até  Admin > AAA > Authentication > AAA  e escolher  + para criar um novo domínio de login.

Configuração de admin de login do APIC

Etapa 2. Defina um nome e um realm para o novo Domínio de Login e clique em + em Provedores para criar um novo provedor.

administrador de login do APIC

Provedor APIC TACACS

Etapa 3. Defina o endereço IP ou o nome de host do ISE, defina um segredo compartilhado e escolha o grupo de política de endpoint (EPG) de gerenciamento. Clique em  Submit   para adicionar o provedor TACACS+ ao admin de login.

Configurações do provedor APIC TACACS

Exibição do provedor TACACS

Configuração do ISE

Etapa 1. Navegue até ☰ > Administração > Recursos de Rede > Grupos de Dispositivos de Rede. Crie um grupo de dispositivos de rede em Todos os tipos de dispositivo.

Grupos de dispositivos de rede do ISE

Etapa 2. Navegue até  Administration > Network Resources > Network Devices. Escolher Add defina o nome e o endereço IP do APIC, escolha APIC em Tipo de dispositivo e caixa de seleção TACACS+ e defina a senha usada na configuração do provedor APIC TACACS+. Clique em  Submit.

Repita as etapas 1 e 2 para switches leaf.

Etapa 3. Use as instruções neste link para integrar o ISE com o Ative Diretory; 

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html.

Etapa 4. (Opcional) Navegue até ☰ > Administration > Identity Management > Groups. Escolher  User Identity Groups e clique em  Add. Crie um grupo para usuários somente leitura Admin e usuários Admin.

Grupo de Identidade

Etapa 5. (Opcional) Navegue até ☰ > Administration > Identity Management > Identity.  Clique em Add  e criar um  Read Only Admin  usuário e  Admin  usuário. Atribua cada usuário a cada grupo criado na Etapa 4.

Etapa 6. Navegue até ☰ > Administration > Identity Management > Identity Source Sequence. Escolher Add, defina um nome e escolha  AD Join Points  e  Internal Users  Origem da Identidade da lista. Escolher  Treat as if the user was not found and proceed to the next store in the sequence sob  Advanced Search List Settings e clique em  Save.

Sequência de Origem da Identidade

7. Navegue até ☰ > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  Selecione Add, defina um nome e desmarque Allow CHAP e Allow MS-CHAPv1 da lista de protocolos de autenticação. Selecione Save.

TACACS Permitir protocolo

8. Navegue até ☰ > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. Clique em  add  e crie dois perfis com base nos atributos da lista em  Raw View. Clique em  Save.

• Usuário Admin: cisco-av-pair=shell:domains=all/admin/
• Usuário administrador somente leitura: cisco-av-pair=shell:domains=all//read-all

Perfil TACACS

Perfis de administrador TACACS e de administrador somente leitura

Etapa 9. Navegue até ☰ > Work Centers > Device Administration > Device Admin Policy Set . Criar um novo conjunto de políticas, definir um nome e escolher o tipo de dispositivo APIC  criado na Etapa 1. Escolher TACACS Protocol  criado na Etapa 7. conforme o protocolo permitido e clique em  Save.

Conjunto de políticas TACACS

Etapa 10. Sob nova Policy Set clique na seta para a direita > e criar uma política de autenticação. Defina um nome e escolha o endereço IP do dispositivo como a condição. Em seguida, escolha a Sequência de Origem da Identidade criada na Etapa 6.

Política de autenticação

Etapa 11. Crie um perfil de Autorização para cada tipo de Usuário Admin, defina um nome e escolha um usuário interno e/ou grupo de usuários do AD como a condição. Condições adicionais, como APIC, podem ser usadas. Escolha o perfil de shell apropriado em cada política de autorização e clique em  Save.

Perfil de autorização TACACS

Verificar

Etapa 1. Faça login na interface do usuário do APIC com credenciais de administrador do usuário. Escolha a opção TACACS na lista.

Login no APIC

Etapa 2. Verifique o acesso na interface do usuário do APIC e se as políticas apropriadas foram aplicadas aos registros TACACS Live.

Mensagem de boas-vindas do APIC

Repita as etapas 1 e 2 para usuários Administradores somente leitura.

TACACS+ Live Logs

Troubleshooting

Etapa 1. Navegue até ☰ > Operations > Troubleshoot > Debug Wizard. Escolher TACACS  e clique em  Debug Nodes.

Depurar Configuração do Perfil

Etapa 2. Escolha o nó que recebe o tráfego e clique em Save.

Depurar Seleção de Nós

Etapa 3. Execute um novo teste e faça o download dos registros em  Operations > Troubleshoot > Download logs  como mostrado:

AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

Caso as depurações não mostrem informações de autenticação e autorização, valide isso:

1. O serviço Administração de dispositivos está habilitado no nó ISE.
2. O endereço IP correto do ISE foi adicionado à configuração do APIC.
3. Caso haja um firewall no meio, verifique se a porta 49 (TACACS) é permitida.