소개
이 문서에서는 TACACS+ 프로토콜을 사용한 관리자 사용자 인증을 위해 APIC을 ISE와 통합하는 절차에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- APIC(Application Policy Infrastructure Controller)
- Identity Services Engine(ISE)
- TACACS 프로토콜
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- APIC 버전 4.2(7u)
- ISE 버전 3.2 패치 1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
네트워크 다이어그램
통합 다이어그램
인증 절차
1단계 관리자 사용자 자격 증명을 사용하여 APIC 애플리케이션에 로그인합니다.
2단계. 인증 프로세스가 트리거되고 ISE가 로컬 또는 Active Directory를 통해 자격 증명을 검증합니다.
3단계. 인증이 성공하면 ISE는 APIC에 대한 액세스를 승인하기 위해 허용 패킷을 전송합니다.
4단계. ISE는 성공적인 인증 라이브 로그를 표시합니다.
참고: APIC는 패브릭의 일부인 리프 스위치에 TACACS+ 컨피그레이션을 복제합니다.
APIC 컨피그레이션
1단계. 탐색 Admin > AAA > Authentication > AAA
선택 +
새 로그인 도메인을 생성하려면 아이콘을 클릭합니다.
APIC 로그인 관리 컨피그레이션
2단계. 새 로그인 도메인에 대한 이름 및 영역을 정의하고 +
새 공급자를 만들려면 Providers(공급자)에서 다음을 수행합니다.
APIC 로그인 관리자
APIC TACACS 제공자
3단계. ISE IP 주소 또는 호스트 이름을 정의하고, 공유 암호를 정의하고, 관리 EPG(Endpoint Policy Group)를 선택합니다. 클릭 Submit
로그인 관리자에 TACACS+ 공급자를 추가하려면
APIC TACACS 제공자 설정
TACACS 제공자 보기
ISE 구성
1단계. ☰ 탐색 >
Administration(관리) > Network Resources(네트워크 리소스) > Network Device Groups(네트워크 디바이스 그룹). All Device Types(모든 디바이스 유형) 아래에 네트워크 디바이스 그룹을 생성합니다.
ISE 네트워크 디바이스 그룹
2단계. 탐색 Administration > Network Resources > Network Devices
. 선택 Add
apic 이름 및 IP 주소를 정의하고, Device Type and TACACS+(디바이스 유형 및 TACACS+) 확인란에서 APIC를 선택하고, APIC TACACS+ Provider 컨피그레이션에 사용되는 비밀번호를 정의합니다. 클릭 Submit
.
리프 스위치에 대해 1단계와 2단계를 반복합니다.
3단계. ISE를 Active Directory와 통합하려면 이 링크의 지침을 사용하십시오.
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html
참고: 이 문서에는 ID 소스로 내부 사용자 및 AD 관리자 그룹이 모두 포함되어 있지만 내부 사용자의 ID 소스로 테스트가 수행됩니다. 결과는 AD 그룹에 대해 동일합니다.
단계 4. (선택 사항) ☰로 이동합니다. >
Administration > Identity Management > Groups
. 선택 User Identity Groups
을 클릭하고 Add
. 읽기 전용 Admin 사용자 및 Admin 사용자에 대해 하나의 그룹을 생성합니다.
ID 그룹
단계 5. (선택 사항) ☰로 이동합니다. >
Administration > Identity Management > Identity.
클릭 Add
Cisco에서 Read Only Admin
사용자 및 Admin
사용자. 각 사용자를 4단계에서 생성한 각 그룹에 할당합니다.
6단계. ☰ 탐색 >
Administration > Identity Management > Identity Source Sequence
. 선택 Add
, 이름을 정의하고 AD Join Points
및 Internal Users
목록의 ID 소스 선택 Treat as if the user was not found and proceed to the next store in the sequence
의 밑에 Advanced Search List Settings
을 클릭하고 Save
.
ID 소스 시퀀스
7. ☰으로 이동합니다 >
Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols
.
Add(추가)를 선택하고 이름을 정의한 다음 Allow CHAP(CHAP 허용) 및 Allow MS-CHAPv1 from Authentication Protocol(인증 프로토콜 목록에서 MS-CHAPv1 허용)의 선택을 취소합니다. 저장을 선택합니다.
TACACS 허용 프로토콜
8. ☰로 이동합니다. >
Work Centers > Device Administration > Policy Elements > Results > TACACS Profile
. 클릭 add
아래의 목록에 있는 특성을 기준으로 두 개의 프로파일을 생성합니다. Raw View
. 클릭 Save
.
- 관리자 사용자:
cisco-av-pair=shell:domains=all/admin/
- 읽기 전용 관리자 사용자:
cisco-av-pair=shell:domains=all//read-all
참고: 공백이나 추가 문자의 경우 권한 부여 단계가 실패합니다.
TACACS 프로파일
TACACS 관리자 및 읽기 전용 관리자 프로파일
9단계. ☰ 탐색 >
Work Centers > Device Administration > Device Admin Policy Set
. 새 정책 집합을 생성하고 이름을 정의한 다음 디바이스 유형을 선택합니다 APIC
1단계에서 생성됩니다. 선택 TACACS Protocol
7단계에서 생성된 다음 Protocol을 사용하여 Save
.
TACACS 정책 집합
10단계. 새로 만들기 Policy Set
오른쪽 화살표 클릭 >
인증 정책을 생성합니다. 이름을 정의하고 조건으로 디바이스 IP 주소를 선택합니다. 그런 다음 6단계에서 생성한 ID 소스 시퀀스를 선택합니다.
인증 정책
참고: 위치 또는 기타 특성을 인증 조건으로 사용할 수 있습니다.
11단계. 각 관리자 사용자 유형에 대한 권한 부여 프로파일을 생성하고, 이름을 정의하고, 내부 사용자 및/또는 AD 사용자 그룹을 조건으로 선택합니다. APIC와 같은 추가 조건을 사용할 수 있습니다. 각 권한 부여 정책에서 적절한 셸 프로필을 선택하고 Save
.
TACACS 권한 부여 프로파일
다음을 확인합니다.
1단계. 사용자 관리자 자격 증명을 사용하여 APIC UI에 로그인합니다. 목록에서 TACACS 옵션을 선택합니다.
APIC 로그인
2단계. APIC UI의 액세스 및 TACACS 라이브 로그에 적절한 정책이 적용되는지 확인합니다.
APIC 환영 메시지
읽기 전용 관리자 사용자에 대해 1단계와 2단계를 반복합니다.
TACACS+ 라이브 로그
문제 해결
1단계. ☰ 탐색 >
Operations > Troubleshoot > Debug Wizard
. 선택 TACACS
을 클릭하고 Debug Nodes
.
디버그 프로필 컨피그레이션
2단계. 트래픽을 수신하는 노드를 선택하고 Save
.
디버그 노드 선택
3단계. 새 테스트를 수행하고 아래의 로그를 다운로드합니다. Operations > Troubleshoot > Download logs
표시된 대로:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
디버깅에 인증 및 권한 부여 정보가 표시되지 않는 경우 다음을 검증합니다.
- Devices Administration(디바이스 관리) 서비스는 ISE 노드에서 활성화됩니다.
- 올바른 ISE IP 주소가 APIC 컨피그레이션에 추가되었습니다.
- 방화벽이 중간에 있는 경우 포트 49(TACACS)가 허용되는지 확인합니다.