configurar ise 2.0: autenticação tacacs+ e comando ... · 2. telnet ao roteador do cisco ios como...

18
Configurar ISE 2.0: Autenticação TACACS+ e comando authorization IO baseados na membrasia do clube AD Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Configurar Diagrama de Rede Configurações Configurar o ISE para a authentication e autorização Junte-se a ISE 2.0 ao diretório ativo Adicionar o dispositivo de rede Permita o serviço Admin do dispositivo Configurando grupos do comando tacacs Configurando o perfil TACACS Configurando a política da autorização TACACS Configurar o roteador para autenticação e a autorização do Cisco IOS Verificar Verificação do roteador do Cisco IOS Verificação ISE 2.0 Troubleshooting Informações Relacionadas Cisco relacionado apoia discussões da comunidade Introdução Este documento descreve como configurar a autenticação TACACS+ e o comando authorization baseados na membrasia do clube do microsoft ative directory (AD) de um usuário com o motor do serviço da identidade (ISE) 2.0 e mais atrasado. O ISE usa o AD como uma loja externo da identidade para armazenar recursos tais como usuários, máquinas, grupos, e atributos. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: O IOS Router é plenamente operacional Conectividade entre o roteador e o ISE.

Upload: dinhdang

Post on 23-Dec-2018

249 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Configurar ISE 2.0: Autenticação TACACS+ ecomando authorization IO baseados namembrasia do clube AD Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosConfigurarDiagrama de RedeConfiguraçõesConfigurar o ISE para a authentication e autorizaçãoJunte-se a ISE 2.0 ao diretório ativoAdicionar o dispositivo de redePermita o serviço Admin do dispositivoConfigurando grupos do comando tacacsConfigurando o perfil TACACSConfigurando a política da autorização TACACSConfigurar o roteador para autenticação e a autorização do Cisco IOSVerificarVerificação do roteador do Cisco IOSVerificação ISE 2.0TroubleshootingInformações RelacionadasCisco relacionado apoia discussões da comunidade

Introdução

Este documento descreve como configurar a autenticação TACACS+ e o comando authorizationbaseados na membrasia do clube do microsoft ative directory (AD) de um usuário com o motor doserviço da identidade (ISE) 2.0 e mais atrasado. O ISE usa o AD como uma loja externo daidentidade para armazenar recursos tais como usuários, máquinas, grupos, e atributos.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

 O IOS Router é plenamente operacional●

Conectividade entre o roteador e o ISE.●

Page 2: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

O server ISE é amarrado e tem a Conectividade a Microsoft AD●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Motor 2.0 do serviço da identidade de Cisco●

Liberação 15.4(3)M3 do Cisco IOS ® Software●

Microsoft Windows server 2012 R2●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando. 

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobreconvenções de documentos.

Configurar

O alvo da configuração está a:

Autentique o usuário do telnet através do AD●

Autorize o usuário do telnet assim que é colocado no modo de exec privilegiado após o iníciode uma sessão

Verifique e envie cada comando executado ao ISE para a verificação●

Diagrama de Rede

Page 3: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Configurações

Configurar o ISE para a authentication e autorização

Junte-se a ISE 2.0 ao diretório ativo

1. Navegue à administração > ao Gerenciamento de identidades > identidade externa armazena >> Add do diretório ativo. Forneça o nome do ponto da junta, domínio do diretório ativo e o cliquesubmete-se.

Page 4: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

2. Quando alertado para juntar-se a todos os Nós ISE a este domínio do diretório ativo, cliquesim.

3. Forneça o nome de usuário e a senha AD, APROVAÇÃO do clique.

A conta AD exigida para o acesso do domínio no ISE deve ter qualquer uma destes:

Adicionar estações de trabalho à direita de usuário de domínio no domínio correspondente●

Crie objetos do computador ou suprima da permissão dos objetos do computador norecipiente correspondente dos computadores onde a conta de máquina ISE é criada antes dese juntar a máquina ISE ao domínio

Page 5: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Note: Cisco recomenda desabilitar a política do fechamento para a conta ISE e configurar ainfraestrutura AD para enviar alertas ao admin se uma senha errada é usada para essaconta. Ao incorporar a senha errada, o ISE não cria nem altera sua conta de máquinaquando é necessário e consequentemente para negar possivelmente todas asautenticações.

4. Reveja o status de operação, status do nó deve aparecer como terminado, fim do clique.

5. O estado do AD deve ser operacional.

Page 6: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

6. Navegue ao > Add dos grupos > grupos seletos do diretório > recuperam grupos. Selecionecaixas de seleção do grupo de Admins AD da rede e do grupo da equipe AD da manutenção derede, segundo as indicações desta imagem.

Note: O usuário admin é membro do grupo de Admins AD da rede. Este usuário teráprivilégios do acesso direto. O usuário será membro do grupo da equipe AD da manutençãode rede. Este usuário pode executar somente comandos show.

Page 7: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

 7. A salvaguarda do clique a salvar recuperou grupos AD.

Page 8: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Adicionar o dispositivo de rede

Navegue aos centros de trabalho > à administração > aos recursos de rede > aos dispositivos derede do dispositivo. Clique em Add. Forneça o nome, endereço IP de Um ou Mais ServidoresCisco ICM NT, selecione a caixa de seleção dos ajustes da autenticação TACACS+ e forneça achave secreta compartilhada.

Page 9: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Permita o serviço Admin do dispositivo

Navegue à administração > ao sistema > ao desenvolvimento. Select exigiu o nó. Seleto permitaa caixa de seleção do serviço Admin do dispositivo e clique a salvaguarda.

Page 10: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Note: Para o TACACS você precisa de ter a licença separada instalada.

Configurando grupos do comando tacacs

Dois conjuntos de comandos são configurados. Primeiro PermitAllCommands para o usuárioadmin que permitem comandos all no dispositivo. Em segundo PermitShowCommands para ousuário do usuário que permitirá somente comandos show.

1. Navegue aos centros de trabalho > à administração > à política do dispositivo resulta > gruposdo comando tacacs. Clique em Add. Forneça o nome PermitAllCommands, a caixa de seleçãoseleta do comando permit any que não é abaixo listado e o clique submete-se.

Page 11: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

 2. Navegue aos centros de trabalho > à administração > à política do dispositivo resulta > gruposdo comando tacacs. Clique em Add. Forneça o nome PermitShowCommands, o clique adiciona epermite a mostra e os comandos exit. À revelia se os argumentos são deixados vazio, todos osargumentos são sejam incluídos. Clique em Submit. 

Page 12: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Configurando o perfil TACACS

O único perfil TACACS é configurado. O perfil TACACS é o mesmo conceito que descascamperfil no ACS. A aplicação real do comando é feita através dos conjuntos de comandos. Navegueaos centros de trabalho > à administração > à política do dispositivo resulta > perfis TACACS.Clique em Add. Forneça o nome ShellProfile, selecione a caixa de seleção do privilégio padrão eincorpore o valor de 15. Clique em Submit.

Page 13: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Configurando a política da autorização TACACS

A política de autenticação aponta à revelia a All_User_ID_Stores, que inclui o AD, assim que édeixado inalterado.

Navegue aos grupos dos centros de trabalho > da administração > da política do dispositivo > àpolítica do padrão > da autorização > editam > regra nova da inserção acima.

 Duas regras da autorização são configuradas, a primeira regra atribui o perfil ShellProfileTACACS e o comando set PermitAllCommands baseado na membrasia do clube de Admins AD

Page 14: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

da rede. A segunda regra atribui o perfil ShellProfile TACACS e o comando setPermitShowCommands baseado na membrasia do clube da equipe AD da manutenção de rede.

Configurar o roteador para autenticação e a autorização do Cisco IOS

Termine estas etapas a fim configurar o roteador para autenticação e a autorização do Cisco IOS.

1. Crie um usuário local com o privilégio completo para a reserva com o comando usernamecomo mostrado aqui.

username cisco privilege 15 password cisco

2. Permita o novo modelo aaa. Defina o servidor de TACACS ISE, e coloque-o no grupoISE_GROUP.

aaa new-model

tacacs server ISE

 address ipv4 10.48.17.88

 key cisco

aaa group server tacacs+ ISE_GROUP

 server name ISE

Note: A chave de servidor deve combinar esse define no server ISE mais cedo.

3. Teste a alcançabilidade do servidor de TACACS com o comando aaa do teste como mostrado.

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

A saída do comando precedente mostra que o servidor de TACACS é alcançável e o usuárioesteve autenticado com sucesso.

Page 15: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

4. Configurar o início de uma sessão e permita autenticações e use então o executivo e asautorizações de comando como mostrado.

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

Note: A lista de método criada é nomeada o AAA, que será usado mais tarde, atribuindo opara alinhar vty.

5. Atribua listas de método ao line vty 0 4.

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

Verificar

Verificação do roteador do Cisco IOS

1. Telnet ao roteador do Cisco IOS como admin que pertence ao grupo do acesso direto no AD. Ogrupo de Admins da rede é o grupo no AD que é traçado a ShellProfile e a comando set dePermitAllCommands no ISE. Tente executar o comando any assegurar o acesso direto.

Username:admin

Password:

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#crypto isakmp policy 10

Router(config-isakmp)#encryption aes

Router(config-isakmp)#exit

Router(config)#exit

Router#

2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado noAD. O grupo da equipe da manutenção de rede é o grupo no AD que é traçado a ShellProfile e acomando set de PermitShowCommands no ISE. Tente executar o comando any assegurar-se deque somente os comandos show possam ser emitidos.

Username:user

Password:

Router#show ip interface brief | exclude unassigned

Interface                  IP-Address      OK? Method Status                Protocol

GigabitEthernet0/0         10.48.66.32     YES NVRAM  up                    up      

Router#ping 8.8.8.8

Command authorization failed.

Router#configure terminal

Command authorization failed.

Router#show running-config | include hostname

Page 16: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

hostname Router

Router#

Verificação ISE 2.0

1. Navegue às operações > ao TACACS Livelog. Assegure-se de que as tentativas feitas acimaestejam consideradas.

2. Clique os detalhes de um dos relatórios vermelhos, mais adiantado executado comandofalhado pode ser visto.

Page 17: Configurar ISE 2.0: Autenticação TACACS+ e comando ... · 2. Telnet ao roteador do Cisco IOS como o usuário que pertence ao grupo de acesso limitado no AD. O grupo da equipe da

Troubleshooting

Erro: Comando 13025 não são combinados uma regra da licença

Verifique os atributos de SelectedCommandSet para verificar que os grupos do comandoexpected estiveram selecionados pela política da autorização.

Informações Relacionadas

Suporte Técnico e Documentação - Cisco Systems

Release Note ISE 2.0

Guia de instalação de hardware ISE 2.0

Guia da elevação ISE 2.0