CiscoISE: (01.07.02) Cấu hình xác thực quản lý tập trung các Cisco Device trên Cisco ISE 3.0 đóng vai trò TACACS Server

Mục tiêu thực hành:

- Thiết lập các Network Device Group sử dụng giao thức TACACS trên Cisco ISE.

- Khai báo các Network Device sử dụng giao thức TACACS trên Cisco ISE.

- Cấu hình thông tin TACACS Server trên Network Device (Switch 3750).

- Thiết lập TACACS Command Set chứa các lệnh mà GroupAdmin được phép thực hiện.

- Thiết lập TACACS Profiles chứa Privilege Level mà GroupAdmin được cấp.

- Khảo sát các giao thức cho phép truy cập tới thiết bị Default Device Admin trên Cisco ISE.

- Thiết lập Device Admin Policy Set phân quyền cho các AdminUser sau khi telnet tới Network Device và xác thực thành công.

- Kích hoạt dịch vụ Device Admin Service trên Cisco ISE.

- Kiểm tra quá trình xác thực TACACS trên Switch 3750.

- Khảo sát log xác thực trên TACACS Server (Cisco ISE).

Các bước triển khai:

Thiết lập các Network Device Group sử dụng giao thức TACACS trên Cisco ISE.

Khai báo các Network Device sử dụng giao thức TACACS trên Cisco ISE.

Cấu hình thông tin TACACS Server trên Network Device (Switch 3750).

aaa new-model

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

tacacs-server directed-request

tacacs-server host 192.168.200.252 key buipham

line vty 0 4

  login authentication default

  authorization exec default 

  transport input telnet

  exit

username admin privilege 15 password Admin@2021

enable password Admin@2021

Thiết lập TACACS Command Set chứa các lệnh mà GroupAdmin được phép thực hiện.

- Thiết lập CommandSet cho GroupAdmin.

- Thiết lập CommandSet cho GroupSubadmin. Tất cả các thiết lệnh CommandSet đều không có tác dụng.

Thiết lập TACACS Profiles chứa Privilege Level mà GroupAdmin được cấp.

- Thiết lập PrivilegeLevel cho GroupAdmin.

- Thiết lập PrivilegeLevel cho GroupSubadmin.

Khảo sát các giao thức cho phép truy cập tới thiết bị Default Device Admin trên Cisco ISE.

Thiết lập Device Admin Policy Set phân quyền cho các AdminUser sau khi telnet tới Network Device và xác thực thành công.

Kích hoạt dịch vụ Device Admin Service trên Cisco ISE.

Kiểm tra quá trình xác thực TACACS trên Switch 3750.

- Kiểm tra quá trình Telnet với quyền GroupAdmin.

SW3750G# test aaa group tacacs+ AdminUser01 Admin@2021 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

SW3750G#

SW3750G# telnet 172.16.31.201

Trying 172.16.31.201 ... Open

Username:AdminUser01

Password:

SW3750G#

- Kiểm tra quá trình Telnet với quyền GroupSubadmin.

C:\UsersSubadmin> telnet 172.16.31.201

Username:SubadminUser01

Password:

SW3750G#

SW3750G# show privilege

Current privilege level is 2

SW3750G#

SW3750G# configure terminal

            ^

% Invalid input detected at '^' marker.

SW3750G#

Khảo sát log xác thực trên TACACS Server (Cisco ISE).

Công ty DWN (Đại lý cấp I Cisco Meraki tại Việt Nam) cung cấp dịch vụ tư vấn, báo giá, phân phối và triển khai các giải pháp liên quan đến:

- WiFi (Cisco Meraki, Aruba, Ruckus)

- Firewall (Cisco ASA, Fortinet, WatchGuard, PaloAlto)

- Network (Cisco vs HP Router & Switch)

Liên hệ với Bùi Phạm để biết thêm thông tin chi tiết.