Cisco ISE 3.0 с развертыванием Azure AD — аутентификация пользователей TACACS
-
Как я уже упоминал ранее в этой ветке:
«Набор политик администрирования устройств не поддерживает условия политики
авторизации
с использованием хранилища ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа к администрированию устройств». -
Поддерживается ли аутентификация/авторизация TACACS для сетевых устройств с ISE 3.2 и Azure AD?
-
Нет, в текущей версии ISE 3.2 это поведение не изменилось.
-
@Greg Gibbs
В версии 3.4 или 3.5 сейчас есть возможность внешней аутентификации для администрирования устройств с помощью Entra ID? -
Первым делом при возникновении подобных вопросов следует ознакомиться с примечаниями к выпуску, которые можно найти по адресу
https://cs.co/ise-docs Это новая функция ISE 3.5, которая подробно описана в этих
примечаниях к выпуску
. ![Screenshot 2026-02-23 at 9.01.27 am.png]
-
Но согласны ли вы с тем, что, поскольку набор политик устройств будет использовать группу пользователей Entra ID в качестве части набора политик устройств, мы можем столкнуться с той же проблемой (
CSCws30603
)
, когда
ISE не может получить членство в группе пользователей, если пользователь принадлежит к более чем 20 группам. -
Да, он по-прежнему использует вызовы Graph API, поэтому будет подвержен этой ошибке.
-
Привет, Грег. Поддерживается ли аутентификация пользователей с ISE + Azure AD для tacacs (не авторизация) в ISE 3.2?
-
Технически да, вы можете использовать хранилище идентификационных данных ROPC в политике аутентификации администратора устройства. Сеанс аутентификации пройдет успешно, но сеанс авторизации приведет к сбою процесса. Вы можете уменьшить вероятность сбоя процесса, настроив расширенную опцию «Если процесс завершился сбоем = ПРОДОЛЖИТЬ», но все равно не будет возможности различать авторизацию для разных уровней доступа администратора (например, чтение-запись и только чтение). Вы будете ограничены результатом политики авторизации по умолчанию.
-
Опция «Сбой процесса» на самом деле не работала, поскольку вторичная аутентификация приводила к тому, что пользователь не находился, а не обязательно к сбою процесса. Поэтому единственный способ заставить ее «работать» — это «Пользователь не найден — продолжить», что в конечном итоге позволяет пройти любому пользователю с именем Bunk. Что, очевидно, не является вариантом... Рекомендуется использовать либо локальную MS AD, либо локальные учетные записи в ISE.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти