Configurer l'authentification TACACS Prime 3.1 par rapport à ISE 2.x

Options de téléchargement

  • PDF     (1.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 octobre 2017
ID du document:212201

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction


    Ce document décrit comment configurer Prime Infrastructure pour l'authentification via TACACS avec ISE 2.x.

    Exigences

    Cisco vous recommande d'avoir des connaissances de base sur les sujets suivants :

    • Identity Services Engine (ISE)
    • Prime Infrastructure

    Configurer

    Cisco Prime Network Control System 3.1

    Cisco Identity Service Engine 2.0 ou version ultérieure.

    (Remarque : ISE prend uniquement en charge TACACS à partir de la version 2.0, mais il est possible de configurer Prime pour utiliser Radius. Prime inclut la liste des attributs Radius en plus de TACACS si vous préférez utiliser Radius, avec une ancienne version d'ISE ou une solution tierce.)

    Configuration principale

    Accédez à l'écran suivant : Administration / Users/ Users, Roles & AAA comme indiqué ci-dessous.

    Une fois sur place, sélectionnez l'onglet Serveurs TACACS+, puis l'option Ajouter un serveur TACACS+ dans l'angle supérieur droit et cliquez sur OK.

    Dans l'écran suivant, la configuration de l'entrée du serveur TACACS est disponible (cette opération doit être effectuée pour chaque serveur TACACS individuel)

    212201-Configure-Prime-3-1-TACACS-authenticatio-00.png

    Vous devez saisir ici l'adresse IP ou l'adresse DNS du serveur, ainsi que la clé secrète partagée. Notez également l'adresse IP de l'interface locale que vous souhaitez utiliser, car cette même adresse IP doit être utilisée pour le client AAA dans ISE ultérieurement.

    Afin de compléter la configuration sur Prime. Vous devez activer TACACS sous Administration / Users / Users, Roles & AAA sous l'onglet des paramètres du mode AAA.

    (Remarque : il est recommandé de vérifier l'option Enable fallback to Local, avec l'option ONLY on no server response ou l'option On no response or failure, en particulier lors du test de la configuration)

    212201-Configure-Prime-3-1-TACACS-authenticatio-01.png

    Configuration ISE

    Configurer Prime en tant que client AAA sur ISE dans les centres de travail / Administration des périphériques / Ressources réseau / Périphériques réseau / Ajouter

    212201-Configure-Prime-3-1-TACACS-authenticatio-02.png

    Saisissez les informations relatives au serveur Prime. Les attributs obligatoires que vous devez inclure sont Nom, Adresse IP, sélectionnez l'option pour TACACS et le secret partagé. Vous pouvez également ajouter un type de périphérique, spécifiquement pour Prime, afin d'utiliser ultérieurement comme condition pour la règle d'autorisation ou d'autres informations, bien que cela soit facultatif.

    212201-Configure-Prime-3-1-TACACS-authenticatio-03.jpeg

    Créez ensuite un résultat de profil TACACS pour envoyer les attributs requis d'ISE à Prime, afin de fournir le niveau d'accès correct. Accédez à Work Centers / Policy Results / Tacacs Profiles et sélectionnez l'option Add.

    212201-Configure-Prime-3-1-TACACS-authenticatio-04.png

    Configurez le nom, et utilisez l'option Raw View afin d'entrer les attributs sous la zone Profile attributes. Les attributs proviendront du serveur d'amorces lui-même.

    212201-Configure-Prime-3-1-TACACS-authenticatio-05.jpeg

    Obtenez les attributs dans l'écran Administration / Users/ Users, Roles & AAA, et sélectionnez l'onglet User Groups. Sélectionnez ici le niveau d'accès de groupe que vous souhaitez fournir. Dans cet exemple, l'accès Admin est fourni en sélectionnant la liste des tâches appropriée sur le côté gauche. 

    212201-Configure-Prime-3-1-TACACS-authenticatio-06.jpeg

    Copiez tous les attributs personnalisés TACACS.

    212201-Configure-Prime-3-1-TACACS-authenticatio-07.png

    Collez-les ensuite dans la section Raw View du profil sur ISE.

    212201-Configure-Prime-3-1-TACACS-authenticatio-08.jpeg

    Les attributs personnalisés du domaine virtuel sont obligatoires. Les informations relatives au domaine racine sont disponibles sous Prime Administration -> Virtual Domains.

    212201-Configure-Prime-3-1-TACACS-authenticatio-09.jpeg

    Le nom du domaine virtuel principal doit être ajouté en tant qu'attribut virtual-domain0="virtual domain name"

    212201-Configure-Prime-3-1-TACACS-authenticatio-10.jpeg

    Une fois cela fait, il vous suffit de créer une règle pour attribuer le profil Shell créé à l'étape précédente, sous Work Centers / Device Administration / Device Admin Policy Sets

    (Remarque : les « Conditions » varient en fonction du déploiement. Cependant, vous pouvez utiliser « Type de périphérique » spécifiquement pour Prime ou un autre type de filtre tel que l'adresse IP de Prime, comme l'une des « Conditions » afin que cette règle filtre correctement les demandes.)

    212201-Configure-Prime-3-1-TACACS-authenticatio-11.png

    À ce stade, la configuration doit être terminée.

    Dépannage


    Si cette configuration échoue et si l'option de reprise locale a été activée sur Prime, vous pouvez forcer un basculement à partir d'ISE, en supprimant l'adresse IP de Prime. ISE ne répondra pas et forcera l'utilisation d'informations d'identification locales. Si la reprise locale est configurée pour être exécutée sur un refus, les comptes locaux fonctionneront toujours et fourniront un accès au client.

    Si ISE montre une authentification réussie et correspond à la règle correcte, mais que Prime rejette toujours la demande, vous pouvez vérifier une fois de plus que les attributs sont configurés correctement dans le profil et qu'aucun attribut supplémentaire n'est envoyé.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    08-Oct-2017
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • William Patrick Soler Webster
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits