возможно войти через веб-интерфейс ISE NAC с использованием сервера Tacacs ISE

cakra.chucky1

Здравствуйте, эксперт Я просто хочу узнать, можно ли войти в систему ISE Identity Service Engine с помощью терминала Access Controller Access-Control System Identity Service Engine? Наш клиент проводит аудит и распорядился использовать все устройства с терминалом Access Controller Access-Control System. У них возник вопрос, почему служба идентификации устройств не использует терминал Access Controller Access-Control System при входе через веб-интерфейс, а существующая служба идентификации использует вход с внутренним пользователем для доступа через веб-интерфейс. Для информации: наш клиент имеет 2 лицензии для контроля доступа к сети и терминала Access Controller Access-Control System, разделенные на 2 устройства. 1 устройство для службы идентификации (dot1x) и 1 устройство только для пользовательских устройств терминального контроллера доступа и системы контроля доступа. Просьба предоставить любые предложения или исходные документы по данной теме. Спасибо

ruby55leonard

Здравствуйте,
Хотя Cisco Identity Services Engine (ISE) является стандартной платформой для предоставления услуг TACACS+ для администрирования сетевых устройств (управление коммутаторами, маршрутизаторами, межсетевыми экранами и т. д.), собственный административный веб-интерфейс (GUI) ISE изначально не поддерживает аутентификацию администраторов с использованием TACACS+ в качестве внешнего источника идентификации. Для собственного входа администратора ISE обычно использует свою внутреннюю базу данных пользователей или интегрируется с внешними источниками, такими как Active Directory (AD), LDAP, RSA SecureID или SAML. Поэтому ожидается, что ваш клиент в настоящее время использует внутренних пользователей для входа в веб-интерфейс ISE, а лицензия/устройство TACACS+ предназначено для администрирования других сетевых устройств, а не для самого графического интерфейса ISE. Чтобы удовлетворить требования аудита по централизованному управлению идентификацией, вам следует сосредоточиться на интеграции входа администратора ISE с утвержденным внешним источником идентификации, таким как Active Directory или LDAP, который, возможно, уже используется в настройках TACACS+ вашего клиента для других администраторов устройств. EZPassKY

Marcelo Morais

Привет
[, @cakra.chucky1]
, есть разница между
ISE Administrator
и
Device Administration
... Что касается
администратора ISE
, ознакомьтесь со следующим документом:
Руководство администратора ISE, версия 3.5 — Видимость активов
: «
...
В
Cisco ISE
вы можете аутентифицировать
администраторов
через
внешнее хранилище идентификационных данных
, такое как
AD
,
LDAP
или
RSA SecureID
...
» «
... Вы можете настроить этот метод внешней аутентификации
администраторов
только через
портал
администратора
.
Cisco ISE CLI
не поддерживает эти функции...
» «
...
По умолчанию
Cisco ISE
обеспечивает
внутреннюю
аутентификацию
администратора
...
» Для
управления устройствами
см.
Руководство администратора ISE, версия 3.5 — Управление устройствами
: «...
Cisco ISE
поддерживает
администрирование устройств
с использованием протокола безопасности
TACACS+
для
контроля и аудита
конфигурации
сетевых устройств
...
» «
...
Администратор
устройств
— это пользователь, который входит в
сетевые устройства
, такие как
коммутаторы
,
беспроводные точки доступа
,
маршрутизаторы
и
шлюзы
(обычно через
SSH
), для выполнения настройки и обслуживания администрируемых
устройств
...
» «...
Cisco ISE
требует лицензию
на администрирование устройств
для использования
TACACS+
...
» Примечание: ознакомьтесь со статьей:
[ISE — Что нужно знать о TACACS+]
. Надеюсь, это поможет!

cakra.chucky1

Спасибо за ответ, я сообщу об этом нашему клиенту. Я думал, что невозможно использовать TACACS+ для GUI NAC, но, возможно, вы могли бы поделиться какими-либо документами, подтверждающими это заявление, поскольку аудит требует доказательств. Спасибо.