Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение»
-
Все исправлено, настройки политики устройства установлены
-
Какое поведение вы наблюдаете? Вы можете войти в систему? Вы выполнили команду диагностики в соответствии с примером? Приложите соответствующую конфигурацию для Fortigate, а также скриншоты того, как она настроена в ISE.
-
Снимки экрана недоступны. Я вижу ошибки Tacacs Live Log Раздел «Детали аутентификации»: Текст сообщения Неудачная попытка: аутентификация не удалась Причина сбоя 13036 Выбранный профиль оболочки — DenyAccess Профиль Shell настроен в соответствии со статьей в моем посте.
-
https://youtu.be/2WPuc7r_Qe4?si=lREegAb0cWIXCE-Y Проверьте это MHM
-
@MHM Cisco World
Спасибо, я проверил, но это настройка Radius. Я использую настройку Tacacs+
ISE, так как она отличается. -
Убедитесь, что роли пользователей в Cisco ISE правильно сопоставлены с вашими группами AD как для доступа только для чтения, так и для доступа для чтения/записи. Кроме того, убедитесь, что политики TACACS+ правильно назначают эти роли. Узнайте больше, ознакомившись с подробными конфигурациями сопоставления ролей на предмет отсутствующих
шагов
. -
Спасибо
[, @Jhonleo02.]
Есть одна проблема... У меня есть доступ на чтение/запись, но я не могу использовать cli или ssh для ввода каких-либо команд, например «config system admin». Есть ли какие-нибудь идеи, что мне нужно разрешить в ISE для этого? -
Политики TACACS+ могут не назначать правильный уровень привилегий для доступа к CLI. Дважды проверьте наборы команд и убедитесь, что группе чтения/записи разрешено выполнять команды CLI, такие как «config system admin». Кроме того, убедитесь, что роли пользователей в Cisco ISE настроены правильно, чтобы обеспечить необходимый административный доступ.
-
Судя по вашему описанию, вы настроили основные компоненты: успешное подключение TACACS+, интеграцию с Active Directory и определили группы AD с правами чтения/записи и только чтения. Однако, чтобы обеспечить правильное назначение ролей на FortiGate, убедитесь, что пары атрибут-значение, отправленные Cisco ISE, соответствуют ожидаемым значениям FortiGate. В частности, проверьте, что пользовательские атрибуты службы TACACS+ в ISE соответствуют соответствующим профилям администратора на FortiGate. Если эти атрибуты настроены неправильно или отсутствуют, FortiGate может не назначить правильные разрешения.
-
@RG78874
написал:
Здравствуйте,
Я работаю с некоторыми продуктами Fortinet, и всем, кто подключал Fortinet к Cisco ISE с помощью tacacs+, я бы очень хотел получить помощь.
TACACS+ > Active Directory > Отдельная группа только для чтения и группа для чтения/записи
Статья, которую я использую для настройки —
https://sharifulhoque.blogspot.com/2019/09/fortigate-using-radius-server-windows_4.html
(Да, там говорится о Radius, но там есть шаги по настройке Tacacs+)
написание SEO-контента в Ванкувере
Можете ли вы найти в руководстве что-нибудь, чего не хватает в моей конфигурации?
У меня есть успешное соединение с tacacs+
У меня есть подключение к Active Directory.
У меня есть группы AD с правами чтения/записи и только чтения. Я не уверен, что еще я упустил, и не знаю, может ли кто-нибудь мне помочь.
Я использую версию 3.1 и Fortigate версии 7.4.x
В руководстве Fortinet не так много информации, но сторона Fortinet настроена. Судя по вашему описанию, вы настроили основные компоненты: успешное подключение к TACACS+, интеграцию с Active Directory и определили группы AD с правами чтения/записи и только чтения. Однако, чтобы обеспечить правильное назначение ролей на FortiGate, убедитесь, что пары атрибут-значение, отправленные Cisco ISE, соответствуют ожидаемым значениям FortiGate. В частности, проверьте, что пользовательские атрибуты службы TACACS+ в ISE соответствуют соответствующим профилям администратора на FortiGate. Если эти атрибуты настроены неправильно или отсутствуют, FortiGate может не назначить правильные разрешения. -
Вы в основном все правильно поняли. Часто люди упускают из виду правила авторизации ISE и наборы команд. Убедитесь, что ваши группы AD действительно сопоставлены с правильными профилями TACACS+ в ISE
,
и проверьте журналы в режиме реального времени, чтобы увидеть, какое правило срабатывает при входе в систему. Обычно все сбивает с толку именно сопоставление групп. -
Эй, в блоге смешаны RADIUS/TACACS — реальное решение находится в ISE: Создайте набор политик TACACS Device Admin → два правила авторизации: Группа AD с правом чтения-записи → Профиль оболочки с привилегией 15
Группа AD только для чтения → Профиль оболочки с привилегией 1 aireviewhq
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти