المقدمة
يوضح هذا المستند كيفية تكوين البنية الأساسية ل Prime للمصادقة عبر TACACS باستخدام ISE 2.x.
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
- محرك خدمات الهوية (ISE)
- البنية الأساسية ل Prime
التكوين
Cisco Prime Network Control System 3.1
Cisco Identity Service Engine 2.0 أو إصدار أحدث.
(ملاحظة: يدعم ISE TACACS فقط بدءا من الإصدار 2.0، ومع ذلك من الممكن تكوين Prime لاستخدام RADIUS. يتضمن Prime قائمة سمات RADIUS بالإضافة إلى TACACS إذا كنت تفضل إستخدام RADIUS، باستخدام إصدار أقدم من ISE أو حل جهة خارجية.)
تكوين Prime
يمكنك الاتصال بالشاشة التالية: الإدارة / المستخدمون / المستخدمون، الأدوار و المصادقة والتفويض والمحاسبة (AAA) كما هو موضح أدناه.
وبمجرد الوصول إلى هناك، حدد علامة التبويب خوادم TACACS+، ثم حدد خيار إضافة خادم TACACS+ في الزاوية العلوية اليمنى وحدد انتقال.
يتوفر على الشاشة التالية تكوين إدخال خادم TACACS (يجب القيام بذلك لكل خادم TACACS فردي)
ستحتاج هنا إلى إدخال إما عنوان IP أو عنوان DNS للخادم، بالإضافة إلى المفتاح السري المشترك. كما يرجى ملاحظة عنوان IP للواجهة المحلية الذي تريد إستخدامه، نظرا لأنه يلزم إستخدام عنوان IP نفسه هذا لعميل AAA في ISE لاحقا.
in order to أتمت التشكيل على Prime. ستحتاج إلى تمكين TACACS تحت الإدارة / المستخدمين / المستخدمين والأدوار و AAA ضمن علامة التبويب إعدادات وضع AAA.
(ملاحظة: يوصى بالتحقق من الخيار "تمكين إحتياطي للخيار المحلي"، إما من دون إستجابة للخادم فقط أو من خيار "تشغيل دون إستجابة أو فشل"، وخاصة أثناء إختبار التكوين)
تكوين ISE
تكوين Prime كعميل AAA على ISE في مراكز العمل / إدارة الجهاز / موارد الشبكة / أجهزة الشبكة / إضافة
أدخل معلومات خادم Prime. السمات المطلوبة التي تحتاج إلى تضمينها هي الاسم وعنوان IP وتحديد الخيار ل TACACS والسر المشترك. قد ترغب بالإضافة إلى ذلك في إضافة نوع جهاز، وخاصة ل Prime، للاستخدام فيما بعد كشرط لقاعدة التخويل أو معلومات أخرى، على الرغم من أن هذا إختياري.
ثم قم بإنشاء نتيجة ملف تعريف TACACS لإرسال السمات المطلوبة من ISE إلى Prime، لتوفير مستوى الوصول الصحيح. انتقل إلى مراكز العمل / نتائج السياسات / ملفات تعريف TACACS وحدد خيار الإضافة.
قم بتكوين الاسم، واستخدم خيار عرض خام لإدخال السمات تحت مربع سمات ملف التخصيص. سوف تأتي السمات من الخادم الرئيسي نفسه.
احصل على السمات تحت شاشة الإدارة / المستخدمين / المستخدمين ، الأدوار و AAA ، وحدد علامة التبويب مجموعات المستخدمين. هنا تحدد مستوى الوصول إلى المجموعة الذي ترغب في توفيره. في هذا المثال، يتم توفير وصول المسؤول عن طريق تحديد قائمة المهام المناسبة على الجانب الأيسر.
انسخ جميع سمات TACACS المخصصة.
ثم الصقهم في قسم العرض الخام من ملف التخصيص على ISE.
السمات المخصصة للمجال الظاهري إلزامية. يمكن العثور على معلومات المجال الجذر ضمن "الإدارة الأساسية" -> المجالات الظاهرية.
يجب إضافة اسم المجال الظاهري ل Prime كسمة virtual-domain0="اسم المجال الظاهري"
بمجرد أن يتم ذلك فإن كل ما تحتاج إلى القيام به هو إنشاء قاعدة لتعيين ملف تعريف Shell الذي تم إنشاؤه في الخطوة السابقة، تحت مراكز العمل / إدارة الأجهزة / مجموعات نهج إدارة الأجهزة
(ملاحظة: ستختلف "الشروط" باختلاف النشر، ومع ذلك قد تستخدم "نوع الجهاز" بشكل محدد ل Prime أو نوع آخر من عوامل التصفية مثل عنوان Prime' IP، كأحد "الشروط" بحيث تقوم هذه القاعدة بتصفية الطلبات بشكل صحيح)
عند هذه النقطة، يجب أن يكون التكوين مكتملا.
استكشاف الأخطاء وإصلاحها
إذا كان هذا التكوين غير ناجح وإذا كان خيار الإرجاع المحلي ممكنا على Prime، فيمكنك فرض حدوث فشل من ISE، من خلال إزالة عنوان IP الخاص ب Prime. سيؤدي ذلك إلى عدم إستجابة خدمة ISE وفرض إستخدام بيانات الاعتماد المحلية. إذا تم تكوين النسخ الاحتياطية المحلية ليتم تنفيذها على الرفض، ستظل الحسابات المحلية تعمل وتوفر الوصول إلى العميل.
إذا أظهر ISE مصادقة ناجحة ومطابقة للقاعدة الصحيحة فإن Prime لا يزال يرفض الطلب الذي قد ترغب في مضاعفته تحقق من تكوين السمات بشكل صحيح في ملف التعريف ولا يتم إرسال سمات إضافية.