ISE 및 TACACS+로 디바이스 관리를 위한 APIC 구성

업데이트:2023년 4월 28일
문서 ID:220433

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 TACACS+ 프로토콜을 사용한 관리자 사용자 인증을 위해 APIC을 ISE와 통합하는 절차에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • APIC(Application Policy Infrastructure Controller)
    • Identity Services Engine(ISE)
    • TACACS 프로토콜

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • APIC 버전 4.2(7u)
    • ISE 버전 3.2 패치 1

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    Integration Diagram통합 다이어그램

    인증 절차

    1단계 관리자 사용자 자격 증명을 사용하여 APIC 애플리케이션에 로그인합니다.

    2단계. 인증 프로세스가 트리거되고 ISE가 로컬 또는 Active Directory를 통해 자격 증명을 검증합니다.

    3단계. 인증이 성공하면 ISE는 APIC에 대한 액세스를 승인하기 위해 허용 패킷을 전송합니다.

    4단계. ISE는 성공적인 인증 라이브 로그를 표시합니다.

    참고: APIC는 패브릭의 일부인 리프 스위치에 TACACS+ 컨피그레이션을 복제합니다.

    APIC 컨피그레이션

    1단계. 탐색  Admin > AAA > Authentication > AAA  선택  + 새 로그인 도메인을 생성하려면 아이콘을 클릭합니다.

    APIC Login Admin ConfigurationAPIC 로그인 관리 컨피그레이션

    2단계. 새 로그인 도메인에 대한 이름 및 영역을 정의하고 + 새 공급자를 만들려면 Providers(공급자)에서 다음을 수행합니다.

    APIC Login AdminAPIC 로그인 관리자

    APIC TACACS ProviderAPIC TACACS 제공자

    3단계. ISE IP 주소 또는 호스트 이름을 정의하고, 공유 암호를 정의하고, 관리 EPG(Endpoint Policy Group)를 선택합니다. 클릭  Submit   로그인 관리자에 TACACS+ 공급자를 추가하려면

    APIC TACACS Provider SettingsAPIC TACACS 제공자 설정

    Create Login Domain

    TACACS Provider ViewTACACS 제공자 보기

    ISE 구성

    1단계. 탐색 > Administration(관리) > Network Resources(네트워크 리소스) > Network Device Groups(네트워크 디바이스 그룹). All Device Types(모든 디바이스 유형) 아래에 네트워크 디바이스 그룹을 생성합니다.

    ISE Network Device GroupsISE 네트워크 디바이스 그룹

    2단계. 탐색  Administration > Network Resources > Network Devices. 선택 Add apic 이름 및 IP 주소를 정의하고, Device Type and TACACS+(디바이스 유형 및 TACACS+) 확인란에서 APIC를 선택하고, APIC TACACS+ Provider 컨피그레이션에 사용되는 비밀번호를 정의합니다. 클릭  Submit.

    ISE Network Devices

    리프 스위치에 대해 1단계와 2단계를 반복합니다.

    3단계. ISE를 Active Directory와 통합하려면 이 링크의 지침을 사용하십시오. 

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html

    note-icon

    참고: 이 문서에는 ID 소스로 내부 사용자 및 AD 관리자 그룹이 모두 포함되어 있지만 내부 사용자의 ID 소스로 테스트가 수행됩니다. 결과는 AD 그룹에 대해 동일합니다.

    단계 4. (선택 사항) 로 이동합니다. > Administration > Identity Management > Groups. 선택  User Identity Groups 을 클릭하고  Add. 읽기 전용 Admin 사용자 및 Admin 사용자에 대해 하나의 그룹을 생성합니다.

    Identity GroupID 그룹

    단계 5. (선택 사항) 로 이동합니다. > Administration > Identity Management > Identity.  클릭 Add  Cisco에서  Read Only Admin  사용자 및  Admin  사용자. 각 사용자를 4단계에서 생성한 각 그룹에 할당합니다.

    ISE Identity Management

    6단계. 탐색 > Administration > Identity Management > Identity Source Sequence. 선택 Add, 이름을 정의하고  AD Join Points  및  Internal Users  목록의 ID 소스 선택  Treat as if the user was not found and proceed to the next store in the sequence 의 밑에  Advanced Search List Settings 을 클릭하고  Save.

    Identity Source SequenceID 소스 시퀀스

    7. ☰으로 이동합니다 > Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols.  Add(추가)를 선택하고 이름을 정의한 다음 Allow CHAP(CHAP 허용) 및 Allow MS-CHAPv1 from Authentication Protocol(인증 프로토콜 목록에서 MS-CHAPv1 허용)의 선택을 취소합니다. 저장을 선택합니다.

    TACACS Allow ProtocolTACACS 허용 프로토콜

    8. 로 이동합니다. > Work Centers > Device Administration > Policy Elements > Results > TACACS Profile. 클릭  add  아래의 목록에 있는 특성을 기준으로 두 개의 프로파일을 생성합니다.  Raw View. 클릭  Save.

    • 관리자 사용자: cisco-av-pair=shell:domains=all/admin/
    • 읽기 전용 관리자 사용자: cisco-av-pair=shell:domains=all//read-all
    note-icon

    참고: 공백이나 추가 문자의 경우 권한 부여 단계가 실패합니다.

    TACACS ProfileTACACS 프로파일

    TACACS Admin and Read Only Admin ProfilesTACACS 관리자 및 읽기 전용 관리자 프로파일

    9단계. 탐색 > Work Centers > Device Administration > Device Admin Policy Set . 새 정책 집합을 생성하고 이름을 정의한 다음 디바이스 유형을 선택합니다 APIC  1단계에서 생성됩니다. 선택 TACACS Protocol  7단계에서 생성된 다음 Protocol을 사용하여  Save.

    TACACS Policy SetTACACS 정책 집합

    10단계. 새로 만들기 Policy Set 오른쪽 화살표 클릭 > 인증 정책을 생성합니다. 이름을 정의하고 조건으로 디바이스 IP 주소를 선택합니다. 그런 다음 6단계에서 생성한 ID 소스 시퀀스를 선택합니다.

    Authentication Policy인증 정책

    note-icon

    참고: 위치 또는 기타 특성을 인증 조건으로 사용할 수 있습니다.

    11단계. 각 관리자 사용자 유형에 대한 권한 부여 프로파일을 생성하고, 이름을 정의하고, 내부 사용자 및/또는 AD 사용자 그룹을 조건으로 선택합니다. APIC와 같은 추가 조건을 사용할 수 있습니다. 각 권한 부여 정책에서 적절한 셸 프로필을 선택하고  Save.

    TACACS Authorization ProfileTACACS 권한 부여 프로파일

    다음을 확인합니다.

    1단계. 사용자 관리자 자격 증명을 사용하여 APIC UI에 로그인합니다. 목록에서 TACACS 옵션을 선택합니다.

    APIC LoginAPIC 로그인

    2단계. APIC UI의 액세스 및 TACACS 라이브 로그에 적절한 정책이 적용되는지 확인합니다.

    APIC Welcome MessageAPIC 환영 메시지

    읽기 전용 관리자 사용자에 대해 1단계와 2단계를 반복합니다.

    TACACS+ Live LogsTACACS+ 라이브 로그

    문제 해결

    1단계. 탐색 > Operations > Troubleshoot > Debug Wizard. 선택 TACACS  을 클릭하고  Debug Nodes.

    Debug Profile Configuration디버그 프로필 컨피그레이션

    2단계. 트래픽을 수신하는 노드를 선택하고 Save.

    Debug Nodes Selection디버그 노드 선택

    3단계. 새 테스트를 수행하고 아래의 로그를 다운로드합니다.  Operations > Troubleshoot > Download logs  표시된 대로:

    AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab

    디버깅에 인증 및 권한 부여 정보가 표시되지 않는 경우 다음을 검증합니다.

    1. Devices Administration(디바이스 관리) 서비스는 ISE 노드에서 활성화됩니다.
    2. 올바른 ISE IP 주소가 APIC 컨피그레이션에 추가되었습니다.
    3. 방화벽이 중간에 있는 경우 포트 49(TACACS)가 허용되는지 확인합니다.

    개정 이력

    개정 게시 날짜 의견
    1.0
    28-Apr-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Emmanuel Cano Gutierrez
      Cisco 보안 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품