Inleiding
Dit document beschrijft de procedure om APIC met ISE te integreren voor de verificatie van beheerders met het TACACS+-protocol.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Application Policy Infrastructure Controller-controller (APIC)
- Identity Services Engine (ISE)
- TACACS-protocol
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- APIC versie 4.2(7u)
- ISE-versie 3.2 Patch 1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram
Integratiediagram
Verificatieprocedure
Stap 1.Meld u aan bij de APIC-toepassing met Admin User Credentials.
Stap 2. Het verificatieproces activeert en ISE valideert de referenties lokaal of via Active Directory.
Stap 3. Zodra de verificatie is geslaagd, stuurt ISE een vergunningspakket om de toegang tot de APIC te autoriseren.
Stap 4. ISE toont een succesvol live verificatielogboek.
Opmerking: APIC repliceert de TACACS+-configuratie naar bladeren switches die deel uitmaken van de stof.
APIC-configuratie
Stap 1. Naar navigeren Admin > AAA > Authentication > AAA
en kiezen +
om een nieuw login-domein te maken.
Configuratie van APIC-inlogbeheer
Stap 2. Bepaal een naam en domein voor het nieuwe Login Domein en klik op +
onder Dienstverleners om een nieuwe aanbieder te creëren.
APIC-inlogbeheerder
APIC TACACS-provider
Stap 3. Definieer het ISE IP-adres of hostnaam, definieer een gedeeld geheim en kies de Management Endpoint Policy Group (EPG). Klik op de knop Submit
om TACACS+ Provider aan login admin toe te voegen.
Instellingen APIC TACACS-provider
Weergave van TACACS-provider
ISE-configuratie
Stap 1. Naar ☰ navigeren >
Beheer > Netwerkbronnen > Netwerkapparaatgroepen. Maak een netwerkapparaatgroep onder Alle apparaattypen.
ISE-netwerkapparaatgroepen
Stap 2. Naar navigeren Administration > Network Resources > Network Devices
. Kiezen Add
Definieer APIC-naam en IP-adres, kies APIC onder Apparaattype en aanvinkvakje TACACS+ en definieer het wachtwoord dat wordt gebruikt voor de APIC TACACS+ Provider-configuratie. Klik op de knop Submit
.
Herhaal stap 1 en stap 2 voor bladzijden switches.
Stap 3. Gebruik de instructies op deze link om ISE te integreren met Active Directory;
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html.
Opmerking: dit document omvat zowel interne gebruikers als AD-beheerdersgroepen als identiteitsbronnen. De test wordt echter uitgevoerd met de Identity Source (Identiteitsbron) van de interne gebruikers. Het resultaat is hetzelfde voor AD-groepen.
Stap 4. (optioneel) Navigeren naar ☰ >
Administration > Identity Management > Groups
. Kiezen User Identity Groups
en klik op Add
. Maak één groep voor alleen-lezen Admin-gebruikers en Admin-gebruikers.
Identiteitsgroep
Stap 5. (optioneel) Navigeren naar ☰ >
Administration > Identity Management > Identity.
Klik op de knop Add
en maak er een Read Only Admin
gebruiker en Admin
gebruiker. Wijs elke gebruiker toe aan elke groep die in Stap 4 is gemaakt.
Stap 6. Naar ☰ navigeren >
Administration > Identity Management > Identity Source Sequence
. Kiezen Add
, definieert een naam en kiest u AD Join Points
en Internal Users
Identiteitsbron in de lijst. Kiezen Treat as if the user was not found and proceed to the next store in the sequence
onder Advanced Search List Settings
en klik op Save
.
Identity Source Sequence
7. Navigeer naar ☰ >
Work Centers > Device Administration > Policy Elements > Results > Allowed Protocols
.
Selecteer Add, definieer een naam en vink de optie Allow CHAP (CHAP) en Allow MS-CHAPv1 (MS-CHAPv1) uit de lijst van verificatieprotocollen uit. Selecteer Opslaan.
Protocol voor TACACS-toestemming
8. Navigeer naar ☰ >
Work Centers > Device Administration > Policy Elements > Results > TACACS Profile
. Klik op de knop add
en maakt twee profielen op basis van de kenmerken in de lijst onder Raw View
. Klik op de knop Save
.
- Beheerder:
cisco-av-pair=shell:domains=all/admin/
- Alleen-lezen beheerder gebruiker:
cisco-av-pair=shell:domains=all//read-all
Opmerking: in het geval van spaties of extra tekens mislukt de autorisatiefase.
TACACS-profiel
Admin- en Admin-profielen voor TACACS-beheer en alleen-lezen
Stap 9. Naar ☰ navigeren >
Work Centers > Device Administration > Device Admin Policy Set
. Een nieuwe beleidsset maken, een naam definiëren en het apparaattype kiezen APIC
gemaakt in Stap 1. Kiezen TACACS Protocol
die in Stap 7 is gemaakt. Zoals toegestaan in het protocol en klik op Save
.
TACACS-beleidsset
Stap 10. Onder nieuw Policy Set
klik op het pijltje rechts >
en maak een verificatiebeleid. Definieer een naam en kies het IP-adres van het apparaat als voorwaarde. Kies vervolgens de Identity Source Sequence die in Stap 6 is gemaakt.
Verificatiebeleid
Opmerking: locatie of andere kenmerken kunnen worden gebruikt als voorwaarde voor verificatie.
Stap 11. Maak een autorisatieprofiel voor elk Admin-gebruikerstype, definieer een naam en kies een interne gebruiker en/of AD-gebruikersgroep als voorwaarde. Aanvullende voorwaarden zoals APIC kunnen worden gebruikt. Kies het juiste shell-profiel op elk autorisatiebeleid en klik op Save
.
Autorisatieprofiel TACACS
Verifiëren
Stap 1. Log in op APIC UI met gebruikersbeheerder referenties. Kies de optie TACACS uit de lijst.
APIC-aanmelding
Stap 2. Controleer de toegang op de APIC UI en het juiste beleid wordt toegepast op de TACACS Live logs.
APIC welkomstboodschap
Herhaal stap 1 en 2 voor gebruikers van Alleen-lezen beheerder.
Levende logbestanden voor TACACS+
Problemen oplossen
Stap 1. Naar ☰ navigeren >
Operations > Troubleshoot > Debug Wizard
. Kiezen TACACS
en klik op Debug Nodes
.
Configuratie debug-profiel
Stap 2. Kies het knooppunt dat het verkeer ontvangt en klik op Save
.
Selectie van debugknooppunten
Stap 3. Voer een nieuwe test uit en download de logbestanden onder Operations > Troubleshoot > Download logs
zoals getoond:
AcsLogs,2023-04-20 22:17:16,866,DEBUG,0x7f93cabc7700,cntx=0004699242,sesn=PAN32/469596415/70,CPMSessionID=1681058810.62.188.2140492Authentication16810588,user=APIC_RWUser,Log_Message=[2023-04-20 22:17:16.862 +00:00 0000060545 5201 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=122, Device IP Address=188.21, DestinationIPAddress=13.89 , DestinationPort=49, UserName=APIC_RWUser, Protocol=Tacacs, NetworkDeviceName=APIC-LAB, Type=Authentication, Action=Login, Privilege-Level=1, Authen-Type=PAP, Service=Login, User=APIC_RWUser, Port=REST, Remote-Address=202.208, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, AcsSessionID=PAN32/469596415/70, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII, SelectedAccessService=TACACS Protocol, SelectedShellProfile=APIC ReadWrite, Profile, IsMachineAuthentication=false, RequestLatency=230, IdentityGroup=User Identity Groups:APIC_RW, Step=13013, Step=15049, Step=15008, Step=15048, Step=15041, Step=15048, Step=22072, Step=15013, Step=24430, Step=24325, Step=24313, Step=24318, Step=24322, Step=24352, Step=24412, Step=15013, Step=24210, Step=24212, Step=22037, Step=15036, Step=15048, Step=15048, Step=13015, SelectedAuthenticationIdentityStores=iselab
Als debugs geen authenticatie- en autorisatie-informatie tonen, valideert u dit:
- De service Apparaatbeheer is ingeschakeld voor de ISE-knooppunt.
- Het juiste ISE IP-adres is toegevoegd aan de APIC-configuratie.
- Als een firewall in het midden zit, controleer dan of poort 49 (TACACS) is toegestaan.