تكوين APIC لإدارة الأجهزة باستخدام ISE و TACACS+

تم التحديث:٢٨ أبريل ٢٠٢٣
معرّف المستند:220433

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند إجراء دمج APIC مع ISE لمصادقة مستخدمي المسؤول مع بروتوكول TACACS+.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • وحدة التحكم الخاصة بتطبيق سياسة البنية الأساسية (APIC)
    • محرك خدمات الهوية (ISE)
    • بروتوكول Tacacs

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • APIC الإصدار 4.2(7u)
    • ISE الإصدار 3.2 تصحيح 1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الرسم التخطيطي للشبكة

    Integration Diagramالرسم التخطيطي للتكامل

    إجراء المصادقة

    الخطوة 1.سجل الدخول إلى تطبيق APIC باستخدام مسوغات المستخدم المسؤول.

    الخطوة 2. تقوم عملية المصادقة بتشغيل بيانات الاعتماد والتحقق من صحتها من قبل ISE محليا أو من خلال خدمة Active Directory.

    الخطوة 3. وبمجرد نجاح المصادقة، يرسل ISE حزمة السماح لتخويل الوصول إلى APIC.

    الخطوة 4. يعرض ISE سجل صحة صحة مصادقة ناجح.

    ملاحظة: APIC يكرر تكوين TACACS+ إلى المحولات الطرفية التي هي جزء من البنية.

    تكوين APIC

    الخطوة 1. انتقل إلى  Admin > AAA > Authentication > AAA  وتختار  + رمز لإنشاء مجال تسجيل دخول جديد.

    APIC Login Admin Configurationتكوين مسؤول تسجيل دخول APIC

    الخطوة 2. قم بتحديد اسم ونطاق لمجال تسجيل الدخول الجديد وانقر فوق + تحت الموفرين لإنشاء موفر جديد.

    APIC Login Adminمسؤول تسجيل دخول APIC

    APIC TACACS Providerموفر APIC TACACS

    الخطوة 3. حدد عنوان ISE IP أو اسم المضيف، وقم بتعريف سر مشترك، واختر مجموعة نهج نقطة النهاية للإدارة (EPG). انقر  Submit   لإضافة موفر TACACS+ إلى مسؤول تسجيل الدخول.

    APIC TACACS Provider Settingsإعدادات موفر APIC TACACS

    Create Login Domain

    TACACS Provider Viewطريقة عرض موفر Tacacs

    تكوين ISE

    الخطوة 1. انتقل إلى > الإدارة > موارد الشبكة > مجموعات أجهزة الشبكة. إنشاء مجموعة أجهزة شبكة ضمن جميع أنواع الأجهزة.

    ISE Network Device Groupsمجموعات أجهزة شبكة ISE

    الخطوة 2. انتقل إلى  Administration > Network Resources > Network Devices. نختار Add قم بتحديد اسم APIC وعنوان IP، واختر APIC تحت نوع الجهاز وخانة إختيار TACACS+، وحدد كلمة المرور المستخدمة على تكوين مزود APIC TACACS+. انقر  Submit.

    ISE Network Devices

    كرر الخطوة 1. والخطوة 2. للمحولات الطرفية.

    الخطوة 3. أستخدم الإرشادات الموجودة على هذا الارتباط لدمج ISE مع Active Directory؛ 

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html

    note-icon

    ملاحظة: يتضمن هذا المستند كل من المستخدمين الداخليين ومجموعات مسؤول AD كمصدر هوية، ومع ذلك، يتم إجراء الاختبار باستخدام مصدر هوية المستخدمين الداخليين. النتيجة هي نفسها لمجموعات AD.

    الخطوة 4. (إختياري) انتقل إلى > Administration > Identity Management > Groups. نختار  User Identity Groups وانقر فوق  Add. قم بإنشاء مجموعة واحدة لمستخدمي Admin ومستخدمي Admin للقراءة فقط.

    Identity Groupمجموعة الهوية

    الخطوة 5. (إختياري) انتقل إلى > Administration > Identity Management > Identity.  انقر Add  وأنشئ واحدة  Read Only Admin  المستخدم و  Admin  مستخدم. قم بتعيين كل مستخدم لكل مجموعة تم إنشاؤها في الخطوة 4.

    ISE Identity Management

    الخطوة 6. انتقل إلى > Administration > Identity Management > Identity Source Sequence. نختار Add، قم بتحديد اسم، واختر  AD Join Points  و  Internal Users  مصدر الهوية من القائمة. نختار  Treat as if the user was not found and proceed to the next store in the sequence تحت  Advanced Search List Settings وانقر فوق  Save.

    Identity Source Sequenceتسلسل مصدر الهوية

    7. انتقل إلى ☰ > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  حدد إضافة، وقم بتحديد اسم، ثم قم بإلغاء تحديد السماح ب CHAP والسماح ب MS-CHAPv1 من قائمة بروتوكول المصادقة. حدد حفظ.

    TACACS Allow Protocolبروتوكول السماح ل Tacacs

    8. انتقل إلى > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. انقر  add  وإنشاء توصيفين استنادا إلى السمات في القائمة تحت  Raw View. انقر  Save.

    • مستخدم المسؤول: cisco-av-pair=shell:domains=all/admin/
    • قراءة مستخدم مسؤول فقط: cisco-av-pair=shell:domains=all//read-all
    note-icon

    ملاحظة: في حالة وجود مسافة أو أحرف إضافية، تفشل مرحلة التخويل.

    TACACS Profileملف تعريف TACACS

    TACACS Admin and Read Only Admin Profilesملفات تعريف مسؤول TACACS و ReadOnly

    الخطوة 9. انتقل إلى > Work Centers > Device Administration > Device Admin Policy Set . إنشاء مجموعة نهج جديدة، وتعريف اسم، واختيار نوع الجهاز APIC  تم إنشاؤه في الخطوة 1. نختار TACACS Protocol  تم إنشاؤه في الخطوة 7. كبروتوكول مسموح به، وانقر فوق  Save.

    TACACS Policy Setمجموعة نهج TACACS

    الخطوة 10. تحت الجديد Policy Set انقر السهم الأيمن > وإنشاء سياسة مصادقة. قم بتعريف اسم واختر عنوان IP للجهاز كشرط. ثم أختر تسلسل مصدر الهوية الذي تم إنشاؤه في الخطوة 6.

    Authentication Policyنهج المصادقة

    note-icon

    ملاحظة: يمكن إستخدام الموقع أو السمات الأخرى كشرط مصادقة.

    الخطوة 11. قم بإنشاء ملف تعريف تخويل لكل نوع مستخدم مسؤول، وقم بتعريف اسم، واختر مستخدم داخلي و/أو مجموعة مستخدم AD كشرط. يمكن إستخدام شروط إضافية مثل APIC. أختر ملف تعريف الهيكل المناسب على كل نهج تخويل وانقر فوق  Save.

    TACACS Authorization Profileملف تعريف تفويض TACACS

    التحقق من الصحة

    الخطوة 1. سجل الدخول إلى واجهة مستخدم APIC مع مسوغات User Admin. أختر خيار TACACS من القائمة.

    APIC Loginتسجيل دخول APIC

    الخطوة 2. تحقق من الوصول إلى واجهة مستخدم APIC وتم تطبيق السياسات المناسبة على سجلات TACACS Live.

    APIC Welcome Messageرسالة ترحيب APIC

    كرر الخطوات 1 و 2 لمستخدمي إدارة القراءة فقط.

    TACACS+ Live Logsسجلات TACACS+ المباشرة

    استكشاف الأخطاء وإصلاحها

    الخطوة 1. انتقل إلى > Operations > Troubleshoot > Debug Wizard. نختار TACACS  وانقر فوق  Debug Nodes.

    Debug Profile Configurationتكوين ملف تعريف التصحيح

    الخطوة 2. أختر العقدة التي تتلقى حركة المرور وانقر Save.

    Debug Nodes Selectionتحديد عقد تصحيح الأخطاء

    الخطوة 3. قم بإجراء إختبار جديد وتنزيل السجلات الموجودة تحته  Operations > Troubleshoot > Download logs  كما هو موضح:

    AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

    في حالة عدم إظهار تصحيح الأخطاء معلومات المصادقة والتفويض، قم بالتحقق من صحة ما يلي:

    1. يتم تمكين خدمة "إدارة الأجهزة" على عقدة ISE.
    2. تمت إضافة عنوان ISE الصحيح إلى تكوين APIC.
    3. في حالة وجود جدار حماية في المنتصف، فتحقق من أن المنفذ 49 (TACACS) مسموح به.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    28-Apr-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Emmanuel Cano Gutierrez
      مهندس الاستشارات الأمنية من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا