Cisco TACACS+ Veilige Netwerk Analise Gebruikersgids

Inhoud wegsteek
1 TACACS+ Veilige Netwerkanalise
2 Spesifikasies
3 Produk inligting
4 Produkgebruiksinstruksies
4.1 Inleiding
4.2 Gehoor
4.3 Terminologie
4.4 Verenigbaarheid
4.5 Reaksiebestuur
4.6 Failover
5 Gereelde vrae
5.1 V: Kan TACACS+ gebruik word met Nakomingsmodus geaktiveer?
5.2 Dokumente / Hulpbronne
5.2.1 Verwysings

TACACS+ Veilige Netwerkanalise

Spesifikasies

  • Produk: Cisco Secure Network Analytics
  • Weergawe: TACACS+ Konfigurasiegids 7.5.3

Produk inligting

Die Cisco Secure Network Analytics, ook bekend as Stealthwatch,
gebruik die Terminal Access Controller-toegangsbeheerstelsel
(TACACS+) protokol vir verifikasie- en magtigingsdienste.
Dit laat gebruikers toe om toegang tot verskeie toepassings met 'n enkele stel te verkry
van geloofsbriewe.

Produkgebruiksinstruksies

Inleiding

Om TACACS+ vir Cisco Secure Network Analytics te konfigureer, volg
die stappe wat in hierdie gids uiteengesit word.

Gehoor

Hierdie gids is bedoel vir netwerkadministrateurs en personeel
verantwoordelik vir die installering en konfigurasie van Secure Network Analytics
produkte. Vir professionele installasie, kontak 'n plaaslike Cisco
Vennoot of Cisco-ondersteuning.

Terminologie

Die gids verwys na die produk as 'n toestel, insluitend
virtuele produkte soos die Cisco Secure Network Analytics Flow
Sensor Virtuele Uitgawe. Groepe is groepe toestelle wat bestuur word.
deur die Cisco Secure Network Analytics Manager.

Verenigbaarheid

Maak seker dat alle gebruikers aanmeld deur die Bestuurder vir TACACS+
verifikasie en magtiging. Sommige funksies soos FIPS en
Nakomingsmodus is nie beskikbaar wanneer TACACS+ geaktiveer is nie.

Reaksiebestuur

Konfigureer Responsbestuur in die Bestuurder om e-pos te ontvang
waarskuwings, verslae, ens. Gebruikers moet as plaaslike gebruikers gekonfigureer word op
die Bestuurder vir hierdie funksie.

Failover

Wanneer Bestuurders in 'n failover-paar gebruik word, let op dat TACACS+ is
slegs beskikbaar op die primêre Bestuurder. Indien gekonfigureer op die primêre
Bestuurder, TACACS+ word nie op die sekondêre Bestuurder ondersteun nie. Bevorder
die sekondêre Bestuurder na primêre om eksterne verifikasie te gebruik
dienste daarop.

Gereelde vrae

V: Kan TACACS+ gebruik word met Nakomingsmodus geaktiveer?

A: Nee, TACACS+ verifikasie en magtiging word nie ondersteun nie
Voldoeningsmodus. Maak seker dat Voldoeningsmodus gedeaktiveer is wanneer dit gebruik word
TACACS+.

"`

View Fullscreen

Cisco Secure Network Analytics
TACACS+ Konfigurasiegids 7.5.3

Inhoudsopgawe

Inleiding

4

Gehoor

4

Terminologie

4

Verenigbaarheid

5

Reaksiebestuur

5

Failover

5

Voorbereiding

6

Gebruikersrolle verbyview

7

Gebruikersname konfigureer

7

Hooflettergevoelige gebruikersname

7

Gedupliseerde gebruikersname

7

Vroeëre weergawes

7

Konfigurasie van identiteitsgroepe en gebruikers

8

Primêre Administrateurrol

8

Kombinasie van nie-administrateurrolle

8

Attribuutwaardes

9

Rolle Opsomming

9

Datarolle

9

Web Rolle

10

Lessenaar Kliënt Rolle

10

Proses verbyview

11

1. Konfigureer TACACS+ in ISE

12

Voor jy begin

12

Gebruikersname

12

Gebruikersrolle

12

1. Aktiveer Toesteladministrasie in ISE

12

2. Skep TACACS+ Profiles

13

Primêre Administrateurrol

15

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-2-

Kombinasie van nie-administrateurrolle

15

3. Kaart Shell Profiles na Groepe of Gebruikers

16

4. Voeg Veilige Netwerkanalise as 'n Netwerktoestel by

18

2. Aktiveer TACACS+ Magtiging in Veilige Netwerk Analise

19

3. Toets afstandbeheerde TACACS+ gebruikersaanmelding

21

Probleemoplossing

22

Scenario's

22

Kontak ondersteuning

24

Verander geskiedenis

25

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-3-

Inleiding
Inleiding
Die Terminal Access Controller Access-Control System (TACACS+) is 'n protokol wat verifikasie- en magtigingsdienste ondersteun en 'n gebruiker toelaat om toegang tot verskeie toepassings met een stel geloofsbriewe te verkry. Gebruik die volgende instruksies om TACACS+ vir Cisco Secure Network Analytics (voorheen Stealthwatch) te konfigureer.
Gehoor
Die teikengroep vir hierdie gids sluit netwerkadministrateurs en ander personeel in wat verantwoordelik is vir die installering en konfigurasie van Secure Network Analytics-produkte.
Indien u verkies om met 'n professionele installeerder te werk, kontak asseblief u plaaslike Cisco-vennoot of kontak Cisco-ondersteuning.
Terminologie
Hierdie gids gebruik die term "toestel" vir enige Secure Network Analytics-produk, insluitend virtuele produkte soos die Cisco Secure Network Analytics Flow Sensor Virtual Edition.
'n "Kluster" is jou groep Secure Network Analytics-toestelle wat deur die Cisco Secure Network Analytics Manager (voorheen Stealthwatch Management Console of SMC) bestuur word.
In v7.4.0 het ons ons Cisco Stealthwatch Enterprise-produkte herbenoem na Cisco Secure Network Analytics. Vir 'n volledige lys, verwys na die Vrystellingsnotas. In hierdie gids sal u ons vorige produknaam, Stealthwatch, sien wat gebruik word wanneer nodig om duidelikheid te handhaaf, sowel as terminologie soos Stealthwatch Management Console en SMC.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-4-

Inleiding
Verenigbaarheid
Vir TACACS+-verifikasie en -magtiging, maak seker dat alle gebruikers deur die Bestuurder aanmeld. Om direk by 'n toestel aan te meld en die Toesteladministrasie te gebruik, meld plaaslik aan.
Die volgende kenmerke is nie beskikbaar wanneer TACACS+ geaktiveer is nie: FIPS, Nakomingsmodus.
Reaksiebestuur
Reaksiebestuur is in jou Bestuurder gekonfigureer. Om e-poswaarskuwings, geskeduleerde verslae, ens. te ontvang, maak seker dat die gebruiker as 'n plaaslike gebruiker op die Bestuurder gekonfigureer is. Gaan na Konfigureer > Opsporing > Reaksiebestuur en verwys na die Hulp vir instruksies.
Failover
Let asseblief op die volgende inligting as jy jou Bestuurders as 'n oorskakelpaar gekonfigureer het:
TACACS+ is slegs beskikbaar op die primêre Bestuurder. TACACS+ word nie op die sekondêre Bestuurder ondersteun nie.
Indien TACACS+ op die primêre Bestuurder gekonfigureer is, is die TACACS+ gebruikersinligting nie op die sekondêre Bestuurder beskikbaar nie. Voordat u gekonfigureerde eksterne verifikasiedienste op 'n sekondêre Bestuurder kan gebruik, moet u die sekondêre Bestuurder na primêr bevorder.
Indien u die sekondêre Bestuurder tot primêre Bestuurder bevorder:
l Aktiveer TACACS+ en afstandmagtiging op die sekondêre Bestuurder. l Enige eksterne gebruikers wat by die gedegradeerde primêre Bestuurder aangemeld is, sal aangemeld word.
uit. Die sekondêre Bestuurder behou nie gebruikersdata van die primêre Bestuurder nie,
dus is enige data wat op die primêre Bestuurder gestoor is, nie beskikbaar op die nuwe (bevorderde) primêre Bestuurder nie. Sodra die afgeleë gebruiker vir die eerste keer by die nuwe primêre Bestuurder aanmeld, sal die gebruikersgidse geskep word en die data word van nou af gestoor.
die koningview Instruksies vir oorskakeling: Vir meer inligting, verwys na die Handleiding vir oorskakeling-konfigurasie.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-5-

Voorbereiding

Voorbereiding
Jy kan TACACS+ op Cisco Identity Services Engine (ISE) konfigureer.
Ons beveel die gebruik van Cisco Identity Services Engine (ISE) aan vir gesentraliseerde verifikasie en magtiging. U kan egter ook 'n losstaande TACACS+-bediener ontplooi of enige ander versoenbare verifikasiebediener integreer volgens u spesifieke vereistes.
Maak seker dat jy alles het wat jy nodig het om die konfigurasie te begin.

Vereiste Cisco Identity Services Engine (ISE) TACACS+ Server Desktop Client

Besonderhede
Installeer en konfigureer ISE deur die instruksies in die ISE-dokumentasie vir jou enjin te gebruik.
Jy benodig die IP-adres, poort en gedeelde geheime sleutel vir die konfigurasie. Jy benodig ook die Toesteladministrasie-lisensie.
Jy sal die IP-adres, poort en gedeelde geheime sleutel vir die konfigurasie benodig.
Jy sal die Desktop Client vir hierdie konfigurasie gebruik as jy persoonlike lessenaarrolle wil gebruik. Om die Desktop Client te installeer, verwys na die Cisco Secure Network Analytics System Configuration Guide wat ooreenstem met jou Secure Network Analytics-weergawe.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-6-

Gebruikersrolle verbyview
Gebruikersrolle verbyview
Hierdie gids bevat instruksies vir die konfigurasie van u TACACS+-gebruikers vir afstandverifikasie en -magtiging. Voordat u met die konfigurasie begin, hersienview die besonderhede in hierdie afdeling om te verseker dat u u gebruikers korrek opstel.
Gebruikersname konfigureer
Vir afstandverifikasie en -magtiging kan jy jou gebruikers in ISE konfigureer. Vir plaaslike verifikasie en magtiging, konfigureer jou gebruikers in die Bestuurder.
l Afstandsbediening: Om jou gebruikers in ISE te konfigureer, volg die instruksies in hierdie konfigurasiegids.
l Plaaslik: Om jou gebruikers slegs plaaslik te konfigureer, meld aan by die Bestuurder. Kies Konfigureer > Globaal > Gebruikersbestuur vanaf die hoofkieslys. Kies Hulp vir instruksies.
Hooflettergevoelige gebruikersname
Wanneer jy afgeleë gebruikers konfigureer, aktiveer hooflettergevoeligheid op die afgeleë bediener. As jy nie hooflettergevoeligheid op die afgeleë bediener aktiveer nie, sal gebruikers moontlik nie toegang tot hul data hê wanneer hulle by Secure Network Analytics aanmeld nie.
Gedupliseerde gebruikersname
Of jy gebruikersname op afstand (in ISE) of plaaslik (in die Bestuurder) konfigureer, maak seker dat alle gebruikersname uniek is. Ons beveel nie aan om gebruikersname oor afstandbedieners en Secure Network Analytics te dupliseer nie.
As 'n gebruiker by die Bestuurder aanmeld en hulle dieselfde gebruikersnaam in Secure Network Analytics en ISE gekonfigureer het, sal hulle slegs toegang tot hul plaaslike Bestuurder/Secure Network Analytics-data kry. Hulle kan nie toegang tot hul afgeleë TACACS+-data kry as hul gebruikersnaam gedupliseer is nie.
Vroeëre weergawes
As jy TACACS+ in 'n vorige weergawe van Cisco Secure Network Analytics (Stealthwatch v7.1.1 en vroeër) gekonfigureer het, maak seker dat jy nuwe gebruikers met unieke name vir v7.1.2 en later skep. Ons beveel nie aan om die gebruikersname van vroeëre weergawes van Secure Network Analytics te gebruik of te dupliseer nie.
Om voort te gaan met die gebruik van gebruikersname wat in v7.1.1 en vroeër geskep is, beveel ons aan dat hulle na slegs plaaslik verander word in jou primêre Bestuurder en die Lessenaarkliënt. Verwys na die Hulp vir instruksies.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-7-

Gebruikersrolle verbyview

Konfigurasie van identiteitsgroepe en gebruikers
Vir 'n gemagtigde gebruiker-aanmelding, sal jy shell pro karteerfiles aan jou gebruikers. Vir elke dop-profile, kan jy die Primêre Administrateurrol toewys of 'n kombinasie van nie-administrateurrolle skep. As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie. Indien jy 'n kombinasie van nie-administrateurrolle skep, maak seker dat dit aan die vereistes voldoen.
Primêre Administrateurrol
Primêre administrateur kan view alle funksionaliteit en enigiets verander. As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie.

Rol Primêre Administrateur

Kenmerkwaarde cisco-stealthwatch-master-admin

Kombinasie van nie-administrateurrolle
As jy 'n kombinasie van nie-administrateurrolle vir jou shell pro skepfile, maak seker dat dit die volgende insluit:
l 1 Datarol (slegs) l 1 of meer Web rol l 1 of meer Lessenaarkliëntrolle
Vir besonderhede, verwys na die Attribuutwaardes-tabel.
As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie. Indien jy 'n kombinasie van nie-administrateurrolle skep, maak seker dat dit aan die vereistes voldoen.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-8-

Gebruikersrolle verbyview

Attribuutwaardes
Vir meer inligting oor elke tipe rol, klik die skakel in die kolom Vereiste Rolle.

Vereiste Rolle 1 Datarol (slegs)
1 of meer Web rol
1 of meer rekenaarkliëntrolle

Kenmerkwaarde
l cisco-stealthwatch-alle-data-lees-en-skryf l cisco-stealthwatch-alle-data-alleen-lees
l cisco-stealthwatch-konfigurasiebestuurder l cisco-stealthwatch-kragontleder l cisco-stealthwatch-ontleder
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-konfigurasiebestuurder l cisco-stealthwatch-desktop-netwerkingenieur l cisco-stealthwatch-desktop-sekuriteitsontleder

Rolle Opsomming
Ons het 'n opsomming van elke rol in die volgende tabelle verskaf. Vir meer inligting oor gebruikersrolle in Secure Network Analytics, kyk weerview die Gebruikersbestuur-bladsy in Hulp.
Datarolle
Maak seker dat jy slegs een datarol kies.

Data Rol

Toestemmings

Alle data (leesalleen)

Die gebruiker kan view data in enige domein of gasheergroep, of op enige toestel of toestel, maar kan geen konfigurasies maak nie.

Alle data (lees en skryf)

Die gebruiker kan view en konfigureer data in enige domein of gasheergroep, of op enige toestel of toestel.

Die spesifieke funksionaliteit (vloeisoektog, beleidsbestuur, netwerkklassifikasie, ens.) wat die gebruiker kan view en/of konfigurasie word bepaal deur die gebruiker se web rol.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

-9-

Gebruikersrolle verbyview

Web Rolle

Web Rol

Toestemmings

Kraganalis

Die Kraganalis kan die aanvanklike ondersoek na verkeer en vloei uitvoer, asook beleide en gasheergroepe konfigureer.

Konfigurasiebestuurder

Die Konfigurasiebestuurder kan view konfigurasie-verwante funksionaliteit.

Ontleder

Die ontleder kan die aanvanklike ondersoek na verkeer en vloei uitvoer.

Lessenaar Kliënt Rolle

Web Rol

Toestemmings

Konfigurasiebestuurder

Die Konfigurasiebestuurder kan view alle kieslysitems en konfigureer alle toestelle, toestelle en domeininstellings.

Netwerk Ingenieur

Die netwerkingenieur kan view alle verkeerverwante kieslysitems binne die Desktop Client, voeg alarm- en gasheernotas by, en voer alle alarmaksies uit, behalwe versagting.

Sekuriteitsontleder

Die Sekuriteitsontleder kan view alle sekuriteitsverwante kieslysitems, voeg alarm- en gasheernotas by, en voer alle alarmaksies uit, insluitend versagting.

Veilige Netwerk Analise Kraggebruiker

Die Secure Network Analytics-kraggebruiker kan view alle kieslysitems, erken alarms, en voeg alarm- en gasheernotas by, maar sonder die vermoë om enigiets te verander.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 10 –

Proses verbyview
Proses verbyview
Jy kan Cisco ISE konfigureer om TACACS+ te verskaf. Om TACACS+ instellings suksesvol te konfigureer en TACACS+ in Secure Network Analytics te magtig, maak seker dat jy die volgende prosedures voltooi:
1. Konfigureer TACACS+ in ISE 2. Aktiveer TACACS+ Magtiging in Secure Network Analytics 3. Toets Afstands TACACS+ Gebruikersaanmelding

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 11 –

1. Konfigureer TACACS+ in ISE
1. Konfigureer TACACS+ in ISE
Gebruik die volgende instruksies om TACACS+ op ISE te konfigureer. Hierdie konfigurasie stel jou afgeleë TACACS+ gebruikers op ISE in staat om by Secure Network Analytics aan te meld.
Voor jy begin
Voordat jy met hierdie instruksies begin, installeer en konfigureer ISE deur die instruksies in die ISE-dokumentasie vir jou enjin te gebruik. Dit sluit in om seker te maak dat jou sertifikate korrek opgestel is.
Gebruikersname
Of jy gebruikersname op afstand (in ISE) of plaaslik (in die Bestuurder) konfigureer, maak seker dat alle gebruikersname uniek is. Ons beveel nie aan om gebruikersname oor afstandbedieners en Secure Network Analytics te dupliseer nie.
Gedupliseerde gebruikersname: As 'n gebruiker by die Bestuurder aanmeld en hulle dieselfde gebruikersnaam in Secure Network Analytics en ISE gekonfigureer het, sal hulle slegs toegang tot hul plaaslike Bestuurder/Secure Network Analytics-data kry. Hulle kan nie toegang tot hul afgeleë TACACS+-data kry as hul gebruikersnaam gedupliseer is nie.
Hooflettergevoelige gebruikersname: Wanneer jy afgeleë gebruikers konfigureer, aktiveer hooflettergevoeligheid op die afgeleë bediener. As jy nie hooflettergevoeligheid op die afgeleë bediener aktiveer nie, sal gebruikers moontlik nie toegang tot hul data hê wanneer hulle by Secure Network Analytics aanmeld nie.
Gebruikersrolle
Vir elke TACACS+ profile In ISE kan jy die Primêre Administrateurrol toewys of 'n kombinasie van nie-administrateurrolle skep.
As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie. Indien jy 'n kombinasie van nie-administrateurrolle skep, maak seker dat dit aan die vereistes voldoen. Vir meer inligting oor gebruikersrolle, verwys na Gebruikersrolle Oorview.
1. Aktiveer Toesteladministrasie in ISE
Gebruik die volgende instruksies om die TACACS+ diens by ISE te voeg.
1. Meld aan by jou ISE as 'n administrateur. 2. Kies Werksentrums > Toesteladministrasie > Meer asview.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 12 –

1. Konfigureer TACACS+ in ISE
Indien Toesteladministrasie nie in Werksentrums gewys word nie, gaan na Administrasie > Stelsel > Lisensiëring. Bevestig dat die Toesteladministrasielisensie in die Lisensiëring-afdeling gewys word. Indien dit nie gewys word nie, voeg die lisensie by jou rekening. 3. Kies Implementering.
4. Kies Alle Beleidsdiensnodusse of Spesifieke nodusse. 5. Voer 49 in die TACACS-poorte-veld in.

6. Klik Stoor.
2. Skep TACACS+ Profiles
Gebruik die volgende instruksies om TACACS+ shell pro by te voegfiles na ISE. Jy sal ook hierdie instruksies gebruik om die vereiste rolle aan die doppro toe te ken.file.
1. Kies Werksentrums > Toesteladministrasie > Beleidselemente. 2. Kies Resultate > TACACS Profiles. 3. Klik Voeg by. 4. Voer 'n unieke gebruikersnaam in die Naam-veld in.
Vir besonderhede oor gebruikersname, verwys na Gebruikersrolle Oorview.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 13 –

1. Konfigureer TACACS+ in ISE
5. Kies Dop in die aftreklys Algemene Taaktipe. 6. Klik Voeg by in die afdeling Pasgemaakte Attribute. 7. Kies Verpligtend in die Tipe-veld. 8. Voer rol in die Naam-veld in. 9. Voer die attribuutwaarde vir Primêre Administrateur in of bou 'n kombinasie in die Waarde-veld.
van nie-administrateurrolle. l Stoor: Klik die Merk-ikoon om die rol te stoor. l Kombinasie van nie-administrateurrolle: As jy 'n kombinasie van nie-administrateurrolle skep, herhaal stappe 5 tot 8 totdat jy 'n ry vir elke vereiste rol bygevoeg het (Datarol, Web rol, en Lessenaarkliëntrol).

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 14 –

1. Konfigureer TACACS+ in ISE

Primêre Administrateurrol
Primêre administrateur kan view alle funksionaliteit en enigiets verander. As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie.

Rol Primêre Administrateur

Kenmerkwaarde cisco-stealthwatch-master-admin

Kombinasie van nie-administrateurrolle
As jy 'n kombinasie van nie-administrateurrolle vir jou shell pro skepfile, maak seker dat dit die volgende insluit:
l 1 Datarol (slegs): maak seker dat jy slegs een datarol kies l 1 of meer Web rol l 1 of meer Lessenaarkliëntrolle

Vereiste Rolle 1 Datarol (slegs)
1 of meer Web rol
1 of meer rekenaarkliëntrolle

Kenmerkwaarde
l cisco-stealthwatch-alle-data-lees-en-skryf l cisco-stealthwatch-alle-data-alleen-lees
l cisco-stealthwatch-konfigurasiebestuurder l cisco-stealthwatch-kragontleder l cisco-stealthwatch-ontleder
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-konfigurasiebestuurder l cisco-stealthwatch-desktop-netwerkingenieur l cisco-stealthwatch-desktop-sekuriteitsontleder

As jy die Primêre Administrateurrol aan 'n Shell Pro toewysfile, geen bykomende rolle word toegelaat nie. Indien jy 'n kombinasie van nie-administrateurrolle skep, maak seker dat dit aan die vereistes voldoen.
10. Klik op Stoor. 11. Herhaal die stappe in 2. Skep TACACS+ Pro.files om enige bykomende TACACS+ by te voeg
dop profiles na ISE.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 15 –

1. Konfigureer TACACS+ in ISE
Voordat jy voortgaan met 3. Map Shell ProfileOm na Groepe of Gebruikers te skakel, moet jy Gebruikers, Gebruikersidentiteitsgroep (opsioneel) en TACACS+ opdragstelle skep. Vir instruksies oor hoe om Gebruikers, Gebruikersidentiteitsgroep en TACACS+ opdragstelle te skep, verwys na die ISE-dokumentasie vir jou enjin.
3. Kaart Shell Profiles na Groepe of Gebruikers
Gebruik die volgende instruksies om jou shell pro te karteerfiles aan jou magtigingsreëls.
1. Kies Werksentrums > Toesteladministrasie > Toesteladministrasiebeleidstelle. 2. Vind die naam van jou beleidstel. Klik die pyltjie-ikoon. 3. Vind jou magtigingsbeleid. Klik die pyltjie-ikoon. 4. Klik die + Plus-ikoon.

5. Klik die + Plus-ikoon in die Voorwaardes-veld. Konfigureer die polisvoorwaardes.
l Gebruikersidentiteitsgroep: As jy 'n gebruikersidentiteitsgroep gekonfigureer het, kan jy 'n voorwaarde soos "InternalUser.IdentityGroup" skep.
Byvoorbeeldample, “InterneGebruiker.Identiteitsgroep IS GELYK " om by 'n spesifieke gebruikersidentiteitsgroep te pas.
Individuele gebruiker: As jy 'n individuele gebruiker gekonfigureer het, kan jy 'n voorwaarde soos "InterneGebruiker.Naam" skep.
Byvoorbeeldample, “InterneGebruiker.Naam IS GELYK AAN " om by 'n spesifieke gebruiker te pas.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 16 –

1. Konfigureer TACACS+ in ISE
Hulp: Vir Conditions Studio-instruksies, klik die ? Hulp-ikoon.
6. In die Shell Profiles-veld, kies die dopprofile jy het in 2 geskep. Skep TACACS+ Profiles.
7. Herhaal die stappe in 3. Map Shell Profiles na Groepe of Gebruikers totdat jy alle doppro gekarteer hetfiles aan jou magtigingsreëls.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 17 –

1. Konfigureer TACACS+ in ISE
4. Voeg Veilige Netwerkanalise as 'n Netwerktoestel by
1. Kies Administrasie > Netwerkbronne > Netwerktoestelle. 2. Kies Netwerktoestelle en klik +Voeg by. 3. Voltooi die inligting vir u primêre Bestuurder, insluitend die volgende velde:
l Naam: Voer die naam van jou Bestuurder in. l IP-adres: Voer die Bestuurder se IP-adres in. l Gedeelde geheim: Voer die gedeelde geheime sleutel in. 4. Klik Stoor. 5. Bevestig dat die netwerktoestel in die lys Netwerktoestelle gestoor is.
6. Gaan na 2. Aktiveer TACACS+ Magtiging in Secure Network Analytics.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 18 –

2. Aktiveer TACACS+ Magtiging in Veilige Netwerk Analise

2. Aktiveer TACACS+ Magtiging in Veilige Netwerk Analise
Gebruik die volgende instruksies om die TACACS+ bediener by Secure Network Analytics te voeg en afstandmagtiging te aktiveer.
Slegs 'n primêre administrateur kan die TACACS+ bediener by Secure Network Analytics voeg.

Jy kan slegs een TACACS+-bediener by die TACACS+-verifikasiediens voeg.
1. Meld aan by jou primêre Bestuurder. 2. Kies Konfigureer > Globaal > Gebruikersbestuur in die hoofkieslys. 3. Klik die Verifikasie en Magtiging-oortjie. 4. Klik Skep. Kies Verifikasiediens. 5. Klik die Verifikasiediens-aftreklys. Kies TACACS+. 6. Voltooi die velde:

Veld Verifikasiediens Naam Beskrywing
Kas-tydsberekening (sekondes)
Voorvoegsel

Notas
Voer 'n unieke naam in om die bediener te identifiseer.
Voer 'n beskrywing in wat spesifiseer hoe of hoekom die bediener gebruik word.
Die hoeveelheid tyd (in sekondes) wat 'n gebruikersnaam of wagwoord as geldig beskou word voordat Secure Network Analytics die herinvoer van die inligting vereis.
Hierdie veld is opsioneel. Die voorvoegselstring word aan die begin van die gebruikersnaam geplaas wanneer die naam na die RADIUS- of TACACS+-bediener gestuur word. Byvoorbeeldample, as die gebruikersnaam zoe is en die realm-voorvoegsel DOMEIN- is

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 19 –

Agtervoegsel
Bediener IP-adres Poort Geheime Sleutel

2. Aktiveer TACACS+ Magtiging in Veilige Netwerk Analise
A, die gebruikersnaam DOMEIN-Azoe word na die bediener gestuur. Indien jy nie die Voorvoegsel-veld konfigureer nie, word slegs die gebruikersnaam na die bediener gestuur.
Hierdie veld is opsioneel. Die agtervoegselstring word aan die einde van die gebruikersnaam geplaas. Byvoorbeeldample, as die agtervoegsel @mydomein.com is, word die gebruikersnaam zoe@mydomein.com na die TACACS+-bediener gestuur. As jy nie die agtervoegselveld konfigureer nie, word slegs die gebruikersnaam na die bediener gestuur.
Gebruik óf IPv4- óf IPv6-adresse wanneer u verifikasiedienste konfigureer.
Voer enige nommers van 0 tot 65535 in wat ooreenstem met die toepaslike poort.
Voer die geheime sleutel in wat vir die toepaslike bediener gekonfigureer is.

7. Klik op Stoor. Die nuwe TACACS+ bediener word bygevoeg, en inligting vir die bediener word vertoon.
8. Klik die Aksies-kieslys vir die TACACS+-bediener. 9. Kies Aktiveer afstandmagtiging vanaf die aftreklys. 10. Volg die aanwysings op die skerm om TACACS+ te aktiveer.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 20 –

3. Toets afstandbeheerde TACACS+ gebruikersaanmelding
3. Toets afstandbeheerde TACACS+ gebruikersaanmelding
Gebruik die volgende instruksies om by die Bestuurder aan te meld. Vir afstandbeheer van TACACS+, maak seker dat alle gebruikers deur die Bestuurder aanmeld.
Om direk by 'n toestel aan te meld en die Toesteladministrasie te gebruik, meld plaaslik aan. 1. Tik die volgende in die adresveld van jou blaaier:
https:// followed by the IP address of your Manager.
2. Voer die gebruikersnaam en wagwoord van 'n afgeleë TACACS+-gebruiker in. 3. Klik Aanmeld.
Indien 'n gebruiker nie by die Bestuurder kan aanmeld nie,view die afdeling vir probleemoplossing.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 21 –

Probleemoplossing

Probleemoplossing
Indien u enige van hierdie probleemoplossingscenario's teëkom, kontak u administrateur om dit te hersienview die konfigurasie met die oplossings wat ons hier verskaf het. As jou administrateur die probleme nie kan oplos nie, kontak asseblief Cisco-ondersteuning.
Scenario's

Scenario 'n Spesifieke TACACS+ gebruiker kan nie aanmeld nie
Alle TACACS+ gebruikers kan nie aanmeld nie

Notas
die koningview die Ouditlog vir gebruikersaanmeldingsmislukking met onwettige kartering of ongeldige kombinasie van rolle. Dit kan gebeur as die identiteitsgroep-dop profile sluit Primêre Administrateur en bykomende rolle in, of as die kombinasie van nie-administrateurrolle nie aan die vereistes voldoen nie. Verwys na Gebruikersrolle oorview vir besonderhede.
Maak seker dat die TACACS+ gebruikersnaam nie dieselfde is as 'n plaaslike (Secure Network Analytics) gebruikersnaam nie. Verwys na Gebruikersrolle oorview vir besonderhede.
l Kontroleer die TACACS+ konfigurasie in Secure Network Analytics.
Kontroleer die konfigurasie op die TACACS+ bediener.
Maak seker dat die TACACS+ bediener loop. Maak seker dat die TACACS+ diens geaktiveer is in
Veilige Netwerkanalise: l Daar kan verskeie verifikasiebedieners gedefinieer word, maar slegs een kan vir magtiging geaktiveer word. Verwys na 2.
Aktiveer TACACS+ Magtiging in Secure Network Analytics vir besonderhede. l Om magtiging vir 'n spesifieke TACACS+ bediener te aktiveer, verwys na 2. Aktiveer
TACACS+ Magtiging in Secure Network Analytics vir besonderhede.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 22 –

Probleemoplossing

Wanneer 'n gebruiker aanmeld, kan hulle slegs plaaslik toegang tot die Bestuurder kry.

Indien 'n gebruiker met dieselfde gebruikersnaam in Secure Network Analytics (plaaslik) en die TACACS+ bediener (afgeleë) bestaan, oorheers die plaaslike aanmelding die afgeleë aanmelding. Verwys na Gebruikersrolle oorview vir besonderhede.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 23 –

Kontak ondersteuning
Kontak ondersteuning
As jy tegniese ondersteuning benodig, doen asseblief een van die volgende: l Kontak jou plaaslike Cisco-vennoot l Kontak Cisco-ondersteuning l Om 'n saak te open deur webhttp://www.cisco.com/c/en/us/support/index.html Vir telefoniese ondersteuning: 1-800-553-2447 (VS) l Vir wêreldwye ondersteuningsnommers: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 24 –

Verander geskiedenis

Dokumentweergawe 1_0

Gepubliseerde datum 21 Augustus 2025

Verander geskiedenis
Beskrywing Aanvanklike weergawe.

© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

– 25 –

Kopiereginligting
Cisco en die Cisco-logo is handelsmerke of geregistreerde handelsmerke van Cisco en/of sy affiliasies in die VSA en ander lande. Om view 'n lys van Cisco handelsmerke, gaan na hierdie URL: https://www.cisco.com/go/trademarks. Derdeparty-handelsmerke wat genoem word, is die eiendom van hul onderskeie eienaars. Die gebruik van die woord vennoot impliseer nie 'n vennootskapsverhouding tussen Cisco en enige ander maatskappy nie. (1721R)
© 2025 Cisco Systems, Inc. en/of sy affiliasies. Alle regte voorbehou.

Dokumente / Hulpbronne

Cisco TACACS+ Veilige Netwerkanalise [pdf] Gebruikersgids
7.5.3, TACACS Veilige Netwerk Analise, TACACS, Veilige Netwerk Analise, Netwerk Analise, Analise

Verwysings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *