Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение»

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:38 GMT

andrewhannells — Mon, 02 Mar 2026 12:23:38 GMT

Эй, в блоге смешаны RADIUS/TACACS — реальное решение находится в ISE: Создайте набор политик TACACS Device Admin → два правила авторизации: Группа AD с правом чтения-записи → Профиль оболочки с привилегией 15
Группа AD только для чтения → Профиль оболочки с привилегией 1 aireviewhq

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:37 GMT

dennymorkal — Mon, 02 Mar 2026 12:23:37 GMT

Вы в основном все правильно поняли. Часто люди упускают из виду правила авторизации ISE и наборы команд. Убедитесь, что ваши группы AD действительно сопоставлены с правильными профилями TACACS+ в ISE
,
и проверьте журналы в режиме реального времени, чтобы увидеть, какое правило срабатывает при входе в систему. Обычно все сбивает с толку именно сопоставление групп.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:36 GMT

gordonmckenna6 — Mon, 02 Mar 2026 12:23:36 GMT

@RG78874
написал:
Здравствуйте,
Я работаю с некоторыми продуктами Fortinet, и всем, кто подключал Fortinet к Cisco ISE с помощью tacacs+, я бы очень хотел получить помощь.
TACACS+ > Active Directory > Отдельная группа только для чтения и группа для чтения/записи
Статья, которую я использую для настройки —
https://sharifulhoque.blogspot.com/2019/09/fortigate-using-radius-server-windows_4.html
(Да, там говорится о Radius, но там есть шаги по настройке Tacacs+)
написание SEO-контента в Ванкувере
Можете ли вы найти в руководстве что-нибудь, чего не хватает в моей конфигурации?
У меня есть успешное соединение с tacacs+
У меня есть подключение к Active Directory.
У меня есть группы AD с правами чтения/записи и только чтения. Я не уверен, что еще я упустил, и не знаю, может ли кто-нибудь мне помочь.
Я использую версию 3.1 и Fortigate версии 7.4.x
В руководстве Fortinet не так много информации, но сторона Fortinet настроена. Судя по вашему описанию, вы настроили основные компоненты: успешное подключение к TACACS+, интеграцию с Active Directory и определили группы AD с правами чтения/записи и только чтения. Однако, чтобы обеспечить правильное назначение ролей на FortiGate, убедитесь, что пары атрибут-значение, отправленные Cisco ISE, соответствуют ожидаемым значениям FortiGate. В частности, проверьте, что пользовательские атрибуты службы TACACS+ в ISE соответствуют соответствующим профилям администратора на FortiGate. Если эти атрибуты настроены неправильно или отсутствуют, FortiGate может не назначить правильные разрешения.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:35 GMT

gordonmckenna6 — Mon, 02 Mar 2026 12:23:35 GMT

Судя по вашему описанию, вы настроили основные компоненты: успешное подключение TACACS+, интеграцию с Active Directory и определили группы AD с правами чтения/записи и только чтения. Однако, чтобы обеспечить правильное назначение ролей на FortiGate, убедитесь, что пары атрибут-значение, отправленные Cisco ISE, соответствуют ожидаемым значениям FortiGate. В частности, проверьте, что пользовательские атрибуты службы TACACS+ в ISE соответствуют соответствующим профилям администратора на FortiGate. Если эти атрибуты настроены неправильно или отсутствуют, FortiGate может не назначить правильные разрешения.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:34 GMT

Jhonleo02 — Mon, 02 Mar 2026 12:23:34 GMT

Политики TACACS+ могут не назначать правильный уровень привилегий для доступа к CLI. Дважды проверьте наборы команд и убедитесь, что группе чтения/записи разрешено выполнять команды CLI, такие как «config system admin». Кроме того, убедитесь, что роли пользователей в Cisco ISE настроены правильно, чтобы обеспечить необходимый административный доступ.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:33 GMT

RG78874 — Mon, 02 Mar 2026 12:23:33 GMT

Спасибо
[, @Jhonleo02.]
Есть одна проблема... У меня есть доступ на чтение/запись, но я не могу использовать cli или ssh для ввода каких-либо команд, например «config system admin». Есть ли какие-нибудь идеи, что мне нужно разрешить в ISE для этого?

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:32 GMT

Jhonleo02 — Mon, 02 Mar 2026 12:23:32 GMT

Убедитесь, что роли пользователей в Cisco ISE правильно сопоставлены с вашими группами AD как для доступа только для чтения, так и для доступа для чтения/записи. Кроме того, убедитесь, что политики TACACS+ правильно назначают эти роли. Узнайте больше, ознакомившись с подробными конфигурациями сопоставления ролей на предмет отсутствующих
шагов
.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:31 GMT

RG78874 — Mon, 02 Mar 2026 12:23:31 GMT

@MHM Cisco World
Спасибо, я проверил, но это настройка Radius. Я использую настройку Tacacs+
ISE, так как она отличается.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:30 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:23:30 GMT

https://youtu.be/2WPuc7r_Qe4?si=lREegAb0cWIXCE-Y Проверьте это MHM

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:29 GMT

RG78874 — Mon, 02 Mar 2026 12:23:29 GMT

Снимки экрана недоступны. Я вижу ошибки Tacacs Live Log Раздел «Детали аутентификации»: Текст сообщения Неудачная попытка: аутентификация не удалась Причина сбоя 13036 Выбранный профиль оболочки — DenyAccess Профиль Shell настроен в соответствии со статьей в моем посте.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:28 GMT

ccieexpert — Mon, 02 Mar 2026 12:23:28 GMT

Какое поведение вы наблюдаете? Вы можете войти в систему? Вы выполнили команду диагностики в соответствии с примером? Приложите соответствующую конфигурацию для Fortigate, а также скриншоты того, как она настроена в ISE.

Reply to Cisco ISE TACACS+ для Fortigate — конфигурация «Чтение/запись» и «Только чтение» on Mon, 02 Mar 2026 12:23:27 GMT

RG78874 — Mon, 02 Mar 2026 12:23:27 GMT

Все исправлено, настройки политики устройства установлены