Cisco TACACS+ Secure Network Analytics
Giriş
Terminal Access Controller Access-Control System (TACACS+) is a protocol that supports authentication and authorization services and allows a user to access multiple applications with one set of credentials. Use the following instructions to configure TACACS+ for Cisco Secure Network Analytics (formerly Stealth watch).
Tamaşaçılar
The intended audience for this guide includes network administrators and other personnel who are responsible for installing and configuring Secure Network Analytics products. If you prefer to work with a professional installer, please contact your local Cisco Partner or contact Cisco Support.
Terminologiya
This guide uses the term “appliance” for any Secure Network Analytics product, including virtual products such as the Cisco Secure Network Analytics Flow Sensor Virtual Edition. A “cluster” is your group of Secure Network Analytics appliances that are managed by the Cisco Secure Network Analytics Manager (formerly Steal thwatch Management Console or SMC).
In v7.4.0 we rebranded our Cisco Stealth watch Enterprise products to Cisco Secure Network Analytics. For a complete list, refer to the Release Notes. In this guide, you will see our former product name Stealth watch, used whenever necessary to maintain clarity, as well as terminology such as Stealth watch Management Console and SMC.
Uyğunluq
For TACACS+ authentication and authorization, make sure all users log in through the Manager. To log in to an appliance directly and use the Appliance Administration, log in locally. The following features are not available when TACACS+ is enabled: FIPS, Compliance Mode.
Cavab İdarəetmə
Cavab İdarəetmə Menecerinizdə konfiqurasiya edilmişdir. E-poçt xəbərdarlıqlarını, planlaşdırılmış hesabatları və s. almaq üçün istifadəçinin Menecerdə yerli istifadəçi kimi konfiqurasiya edildiyinə əmin olun. Konfiqurasiya > Aşkarlama > Cavab İdarəetmə bölməsinə keçin və təlimatlar üçün Yardıma baxın.
Failover
Menecerlərinizi əvəzetmə cütü kimi konfiqurasiya etmisinizsə, lütfən, aşağıdakı məlumatı qeyd edin:
- TACACS+ is only available on the primary Manager. TACACS+ is not supported on the secondary Manager.
- If TACACS+ is configured on the primary Manager, the TACACS+ user information is not available on the secondary Manager. Before you can use configured external authentication services on a secondary Manager, you need to promote the secondary Manager to primary.
- If you promote the secondary Manager to primary:
- Enable TACACS+ and remote authorization on the secondary Manager.
- Any external users logged into the demoted primary Manager will be logged out.
- The secondary Manager does not retain user data from the primary Manager, so any data saved on the primary Manager is not available on the new (promoted) primary Manager.
- Once the remote user logs in to the new primary Manager for the first time, the user directories will be created and the data is saved going forward.
- Review Failover Təlimatları: Əlavə məlumat üçün Failover Konfiqurasiya Təlimatına baxın.
Hazırlıq
You can configure TACACS+ on Cisco Identity Services Engine (ISE). We recommend using Cisco Identity Services Engine (ISE) for centralized authentication and authorization. However, you can also deploy a standalone TACACS+ server or integrate any other compatible authentication server according to your specific requirements.
Konfiqurasiyaya başlamaq üçün lazım olan hər şeyə sahib olduğunuzdan əmin olun.
| Tələb | Təfərrüatlar |
| Cisco Identity Services Engine (ISE) | Install and configure ISE using the instructions in the ISE documentation for your engine.You will need the IP address, port, and shared secret key for the configuration. You will also need the Device Administration license. |
| TACACS+ Server | Konfiqurasiya üçün sizə IP ünvanı, port və paylaşılan gizli açar lazımdır. |
| Masaüstü Müştəri | You will use the Desktop Client for this configuration if you want to use custom desktop roles. To install the Desktop Client, refer to the Cisco Secure Network Analytics Sistem Konfiqurasiya Bələdçisi that matches your Secure Network Analytics version. |
İstifadəçi Rolları Bitdiview
Bu təlimata TACACS+ istifadəçilərinizi uzaqdan autentifikasiya və avtorizasiya üçün konfiqurasiya etmək üçün təlimatlar daxildir. Konfiqurasiyaya başlamazdan əvvəl yenidənview istifadəçilərinizi düzgün konfiqurasiya etməyinizi təmin etmək üçün bu bölmədəki təfərrüatlar.
İstifadəçi adlarının konfiqurasiyası
Uzaqdan autentifikasiya və avtorizasiya üçün siz istifadəçilərinizi ISE-də konfiqurasiya edə bilərsiniz. Yerli identifikasiya və avtorizasiya üçün Menecerdə istifadəçilərinizi konfiqurasiya edin.
- Remote: To configure your users in ISE, follow the instructions in this configuration guide.
- Local: To configure your users locally only, log in to the Manager. From the main menu, select Configure > Global > User Management. Select Help for instructions.
Hərflərə Həssas İstifadəçi Adları
Uzaqdan istifadəçiləri konfiqurasiya etdiyiniz zaman uzaq serverdə hərf həssaslığını aktivləşdirin. Uzaq serverdə böyük hərf həssaslığını aktiv etməsəniz, istifadəçilər Secure Network Analytics-ə daxil olduqda öz məlumatlarına daxil ola bilməyəcəklər.
Dublikat İstifadəçi Adları
- Whether you configure user names remotely (in ISE) or locally (in the Manager), make sure all user names are unique. We do not recommend duplicating user names across remote servers and Secure Network Analytics.
- İstifadəçi Menecerə daxil olarsa və onlar Secure Network Analytics və ISE-də konfiqurasiya edilmiş eyni istifadəçi adına sahibdirlərsə, o, yalnız yerli Menecer/Təhlükəsiz Şəbəkə Analitika məlumatlarına daxil olacaq. İstifadəçi adı təkrarlanırsa, onlar uzaq TACACS+ məlumatlarına daxil ola bilməzlər.
Əvvəlki versiyalar
- If you’ve configured TACACS+ in an earlier version of Cisco Secure Network Analytics (Steal thwatch v7.1.1 and earlier), make sure you create new users with unique names for v7.1.2 and later. We do not recommend using or duplicating the user names from earlier versions of Secure Network Analytics.
- v7.1.1 və daha əvvəl yaradılmış istifadəçi adlarından istifadə etməyə davam etmək üçün onları yalnız əsas Menecerinizdə və Masaüstü Müştəridə yerli olaraq dəyişməyi tövsiyə edirik. Təlimatlar üçün Yardıma baxın.
Şəxsiyyət Qruplarının və İstifadəçilərin Konfiqurasiyası
Səlahiyyətli istifadəçi girişi üçün siz shell pro xəritəsini verəcəksinizfiles istifadəçilərinizə. Hər bir shell pro üçünfile, siz Əsas İdarəçi rolunu təyin edə və ya qeyri-inzibatçı rollarının birləşməsini yarada bilərsiniz. İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir. Admin olmayan rolların birləşməsini yaratsanız, onun tələblərə cavab verdiyinə əmin olun.
Əsas Admin Rolu
Əsas Admin bilər view bütün funksionallıq və hər şeyi dəyişdirin. İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir.
| Rol | Atribut dəyəri |
| Primary Admin | cisco-stealth watch-master-admin |
Qeyri-İdarəçi Rolların Birləşməsi
Shell pro üçün qeyri-inzibatçı rollarının birləşməsini yaratsanızfile, onun aşağıdakıları ehtiva etdiyinə əmin olun:
- 1 Data role (only)
- 1 və ya daha çox Web rolu
- 1 və ya daha çox Masaüstü Müştəri rolu
Ətraflı məlumat üçün Atribut Dəyərləri cədvəlinə baxın.
İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir. Admin olmayan rolların birləşməsini yaratsanız, onun tələblərə cavab verdiyinə əmin olun.
Atribut Dəyərləri
Hər bir rol növü haqqında ətraflı məlumat üçün Tələb olunan rollar sütununda keçidə klikləyin.
| Required Roles | Atribut dəyəri |
| 1 Data role (only) |
|
| 1 və ya daha çox Web rolu |
|
| 1 və ya daha çox Masaüstü Müştəri rolu |
|
Rolların xülasəsi
Aşağıdakı cədvəllərdə hər bir rolun xülasəsini təqdim etdik. Secure Network Analytics-də istifadəçi rolları haqqında ətraflı məlumat üçün yenidənview Köməkdə İstifadəçi İdarəetmə səhifəsi.
Data Rolları
Yalnız bir məlumat rolu seçdiyinizə əmin olun.
| Data Rolu | İcazələr |
|
Bütün Data (Yalnız oxumaq üçün) |
İstifadəçi bilər view hər hansı bir domendə və ya host qrupunda və ya hər hansı cihazda və ya cihazda data, lakin heç bir konfiqurasiya edə bilməz. |
|
Bütün Məlumatlar (Oxu və Yaz) |
İstifadəçi bilər view və istənilən domendə və ya host qrupunda və ya hər hansı cihaz və ya cihazda məlumatları konfiqurasiya edin. |
İstifadəçinin edə biləcəyi xüsusi funksionallıq (axın axtarışı, siyasətin idarə edilməsi, şəbəkə təsnifatı və s.). view və/və ya konfiqurasiya istifadəçi tərəfindən müəyyən edilir web rolu.
Web Rollar
| Web Rol | İcazələr |
| Güc analitiki | Güc Analitiki trafik və axınlar üzrə ilkin araşdırma apara, həmçinin siyasətləri və host qruplarını konfiqurasiya edə bilər. |
| Konfiqurasiya meneceri | Konfiqurasiya meneceri edə bilər view konfiqurasiya ilə əlaqəli funksionallıq. |
| Analitik | Analitik trafik və axınlarla bağlı ilkin araşdırma apara bilər. |
Masaüstü Müştəri Rolları
| Web Rol | İcazələr |
| Konfiqurasiya meneceri | Konfiqurasiya meneceri edə bilər view bütün menyu elementlərini və bütün cihazları, cihazları və domen parametrlərini konfiqurasiya edin. |
| Şəbəkə Mühəndisi | Şəbəkə Mühəndisi bilər view Desktop Client daxilində trafiklə əlaqəli bütün menyu elementləri, siqnalizasiya və host qeydləri əlavə edin və yumşaldılma istisna olmaqla, bütün həyəcan hərəkətlərini yerinə yetirin. |
| Təhlükəsizlik analitiki | Təhlükəsizlik Analitiki edə bilər view təhlükəsizliklə əlaqəli bütün menyu elementləri, siqnalizasiya və host qeydləri əlavə edin və yumşaldılma da daxil olmaqla bütün həyəcan hərəkətlərini yerinə yetirin. |
| Təhlükəsiz Şəbəkə Analitikasının Güc İstifadəçisi | Secure Network Analytics Güc İstifadəçisi edə bilər view bütün menyu elementləri, həyəcan siqnallarını qəbul etmək, həyəcan siqnalı və host qeydləri əlavə etmək, lakin heç nəyi dəyişmək imkanı olmadan. |
Proses Bitdiview
Siz TACACS+ təmin etmək üçün Cisco ISE-ni konfiqurasiya edə bilərsiniz. TACACS+ parametrlərini uğurla konfiqurasiya etmək və Secure Network Analytics-də TACACS+-a icazə vermək üçün aşağıdakı prosedurları yerinə yetirdiyinizə əmin olun:
Configure TACACS+ in ISE
ISE-də TACACS+ konfiqurasiyası üçün aşağıdakı təlimatlardan istifadə edin. Bu konfiqurasiya ISE-də uzaq TACACS+ istifadəçilərinizə Secure Network Analytics-ə daxil olmağa imkan verir.
Başlamadan əvvəl
Bu təlimatlara başlamazdan əvvəl mühərrikiniz üçün ISE sənədlərindəki təlimatlardan istifadə edərək ISE-ni quraşdırın və konfiqurasiya edin. Buraya sertifikatlarınızın düzgün qurulduğundan əmin olmaq daxildir.
İstifadəçi adları
- İstifadəçi adlarını uzaqdan (ISE-də) və ya yerli (Menecerdə) konfiqurasiya etməyinizdən asılı olmayaraq, bütün istifadəçi adlarının unikal olduğundan əmin olun. Uzaq serverlər və Təhlükəsiz Şəbəkə Analitikasında istifadəçi adlarının təkrarlanmasını tövsiyə etmirik.
- Duplicated User Names: If a user logs in to the Manager, and they have the same user name configured in Secure Network Analytics and ISE, they will only access their local Manager/Secure Network
- Analytics data. They cannot access their remote TACACS+ data if their user name is duplicated.
- Hərflərə Həssas İstifadəçi Adları: Uzaqdan istifadəçiləri konfiqurasiya etdiyiniz zaman uzaq serverdə böyük hərf həssaslığını aktivləşdirin. Uzaq serverdə böyük hərf həssaslığını aktiv etməsəniz, istifadəçilər Secure Network Analytics-ə daxil olduqda öz məlumatlarına daxil ola bilməyəcəklər.
İstifadəçi rolları
Hər TACACS+ pro üçünfile ISE-də siz Əsas İdarəçi rolunu təyin edə və ya admin olmayan rolların birləşməsini yarada bilərsiniz.
İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir. Admin olmayan rolların birləşməsini yaratsanız, onun tələblərə cavab verdiyinə əmin olun. İstifadəçi rolları haqqında ətraflı məlumat üçün İstifadəçi Rolları Üzərinə baxınview.
Enable Device Administration in ISE
TACACS+ xidmətini ISE-yə əlavə etmək üçün aşağıdakı təlimatlardan istifadə edin.
- Log in to your ISE as an admin.
- Select Work Centers > Device Administration > Overview.
If Device Administration is not shown in Work Centers, go to Administration System > Licensing. In the Licensing section, confirm the Device Administration License is shown. If it is not shown, add the license to your account. - Select Deployment.
- Select All Policy Service Nodes or Specific Nodes.
- In the TACACS Ports field, enter 49.
- Saxla klikləyin.
Create TACACS+ Profiles
TACACS+ shell pro əlavə etmək üçün aşağıdakı təlimatlardan istifadə edinfiles ISE-ə. Siz həmçinin shell pro-a tələb olunan rolları təyin etmək üçün bu təlimatlardan istifadə edəcəksinizfile.
- Select Work Centers > Device Administration > Policy Elements.
- Select Results > TACACS Profiles.
- Əlavə et klikləyin.
- In the Name field, enter a unique user name.
İstifadəçi adları haqqında ətraflı məlumat üçün İstifadəçi Rolları Üzərinə baxınview.
- In the Common Task Type drop-down, select Shell.
- In the Custom Attributes section, click Add.
- In the Type field, select Mandatory.
- In the Name field, enter role.
- In the Value field, enter the attribute value for Primary Admin or build a combination of non-admin roles.
- Save: Click the Check icon to save the role.
- Combination of Non-Admin Roles: If you create a combination of non-admin roles, repeat steps 5 through 8 until you have added a row for each required role (Data role, Web rolu və Masaüstü Müştəri rolu).
Əsas Admin Rolu
Əsas Admin bilər view bütün funksionallıq və hər şeyi dəyişdirin. İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir.
| Rol | Atribut dəyəri |
| Primary Admin | cisco-stealth watch-master-admin |
Qeyri-İdarəçi Rolların Birləşməsi
Shell pro üçün qeyri-inzibatçı rollarının birləşməsini yaratsanızfile, onun aşağıdakıları ehtiva etdiyinə əmin olun:
- 1 Data role (only): make sure you select only one data role
- 1 və ya daha çox Web rolu
- 1 və ya daha çox Masaüstü Müştəri rolu
| Required Roles | Atribut dəyəri |
|
1 Data role (only) |
|
|
1 və ya daha çox Web rolu |
|
|
1 və ya daha çox Masaüstü Müştəri rolu |
|
İlkin Admin rolunu shell pro-ya təyin etsənizfile, heç bir əlavə rola icazə verilmir. Admin olmayan rolların birləşməsini yaratsanız, onun tələblərə cavab verdiyinə əmin olun.
Saxla klikləyin.
- Repeat the steps in 2. Create TACACS+ Profiles to add any additional TACACS+ shell profiles ISE-ə.
Davam etməzdən əvvəl 3. Map Shell Profiles Qruplara və ya İstifadəçilərə köçürmək üçün İstifadəçilər, İstifadəçi İdentifikasiyası Qrupu (isteğe bağlı) və TACACS+ komanda dəstləri yaratmalısınız. İstifadəçilər, İstifadəçi İdentifikasiyası Qrupu və TACACS+ əmr dəstlərinin yaradılması haqqında təlimatlar üçün mühərrikiniz üçün ISE sənədlərinə baxın.
Map Shell Profiles Qruplara və ya İstifadəçilərə
Shell pro-nu xəritələşdirmək üçün aşağıdakı təlimatlardan istifadə edinfiles icazə qaydalarınıza.
- Select Work Centers > Device Administration > Device Admin Policy Sets.
- Locate your policy set name. Click the
Arrow icon. - Locate your authorization policy. Click theArrow icon.
- Click the + Plus icon.
- In the Conditions field, click the + Plus icon. Configure the policy conditions.
- User Identity Group: If you have configured a user identity group, you can create a condition such as “Internal User.Identity Group”.
məsələnample, “Internal User. Identity Group EQUALS <Group Name>” to match a specific user identity group. - Individual User: If you have configured an individual user, you can create a condition such as “Internal User. Name”.
məsələnample, “Internal User. Name EQUALS <User Name>” to match a specific user.
Help: For Conditions Studio instructions, click the ? Help icon.
- User Identity Group: If you have configured a user identity group, you can create a condition such as “Internal User.Identity Group”.
- In the Shell Profiles sahəsində shell pro seçinfile 2-də yaratmısınız. TACACS+ Pro yaradınfiles.
- Repeat the steps in 3. Map Shell Profiles bütün shell pro-nu xəritələyənə qədər Qruplara və ya İstifadəçilərəfiles icazə qaydalarınıza.
Add Secure Network Analytics as a Network Device
- Select Administration > Network Resources > Network Devices.
- Select Network Devices, click +Add.
- Complete the information for your primary Manager, including the following fields:
- Name: Enter the name of your Manager.
- IP Address: Enter the Manager IP address.
- Shared Secret: Enter the shared secret key.
- Saxla klikləyin.
- Confirm the network device is saved to the Network Devices list.
- Go to 2. Enable TACACS+ Authorization in Secure Network Analytics.
Enable TACACS+ Authorization in Secure
Şəbəkə Analitikası
TACACS+ serverini Secure Network Analytics-ə əlavə etmək və uzaqdan avtorizasiyanı aktivləşdirmək üçün aşağıdakı təlimatlardan istifadə edin.
Yalnız Əsas Admin TACACS+ serverini Secure Network Analytics-ə əlavə edə bilər.
Siz TACACS+ autentifikasiya xidmətinə yalnız bir TACACS+server əlavə edə bilərsiniz.
- Əsas Menecerinizə daxil olun.
- From the main menu, select Configure > Global > User Management.
- Click the Authentication and Authorization tab.
- Click Create. Select Authentication Service.
- Click the Authentication Service drop-down. Select TACACS+.
- Complete the fields:
Sahə Qeydlər Authentication Service ad Serveri müəyyən etmək üçün unikal ad daxil edin. Təsvir Serverin necə və ya niyə istifadə edildiyini göstərən təsviri daxil edin. Keş Aşımı (Saniyələr) Təhlükəsiz Şəbəkə Analitikası məlumatın yenidən daxil edilməsini tələb etməzdən əvvəl istifadəçi adı və ya parolun etibarlı sayılacağı müddət (saniyələrlə). Prefiks Bu sahə isteğe bağlıdır. Prefiks sətri ad RADIUS və ya TACACS+ serverinə göndərildikdə istifadəçi adının əvvəlində yerləşdirilir. məsələnample, if the user name is zoe and the realm prefix is DOMAIN- A\, the user name DOMAIN-A\zoe is sent to the server. If you do not configure the Prefix field, only the user name is sent to the server. şəkilçi Bu sahə isteğe bağlıdır. Suffiks sətri istifadəçi adının sonunda yerləşdirilir. məsələnample, if the suffix is mydomain.com, the username zoe@mydomain.com is sent to the TACACS+ server. If you do not configure the Suffix field, only the user name is sent to the server. Server IP ünvanı Doğrulama xidmətlərini konfiqurasiya edərkən IPv4 və ya IPv6 ünvanlarından istifadə edin. Liman Müvafiq porta uyğun gələn 0-dan 65535-ə qədər istənilən nömrələri daxil edin. Gizli Açar Müvafiq server üçün konfiqurasiya edilmiş gizli açarı daxil edin. - Saxla klikləyin.
The new TACACS+ server is added, and information for the server displays. - Click the Actions menu for the TACACS+ server.
- Select Enable Remote Authorization from the drop-down menu.
- Follow the on-screen prompts to enable TACACS+.
Test Remote TACACS+ User Login
Menecerə daxil olmaq üçün aşağıdakı təlimatlardan istifadə edin. Uzaqdan TACACS+ icazəsi üçün bütün istifadəçilərin Menecer vasitəsilə daxil olduğundan əmin olun.
To log in to an appliance directly and use the Appliance Administration, log in locally.
- In the address field of your browser, type the following: https://followed by the IP address of your Manager.
- Enter the user name and password of a remote TACACS+ user.
- İstifadəçi Menecerə daxil ola bilmirsə, yenidənview Problemlərin aradan qaldırılması bölməsi.
Problemlərin aradan qaldırılması
Bu problemlərin aradan qaldırılması ssenarilərindən hər hansı biri ilə qarşılaşsanız, yenidən işləmək üçün administratorunuzla əlaqə saxlayınview burada təqdim etdiyimiz həllər ilə konfiqurasiya. Admininiz problemləri həll edə bilmirsə, Cisco Dəstəyi ilə əlaqə saxlayın.
Ssenarilər
| Ssenari | Qeydlər |
| A specific TACACS+ user cannot log in |
|
| Bütün TACACS+ istifadəçiləri daxil ola bilməz |
|
|
İstifadəçi daxil olduqda, onlar yalnız Menecerə yerli olaraq daxil ola bilər |
If a user exists with the same user name in Secure Network Analytics (local) and the TACACS+ server (remote), the local login overrides the remote login. Refer to İstifadəçi Rolları Bitdiview ətraflı məlumat üçün. |
Dəstək ilə əlaqə
Texniki dəstəyə ehtiyacınız varsa, aşağıdakılardan birini edin:
- Yerli Cisco Partnyorunuzla əlaqə saxlayın
- Cisco Dəstəyi ilə əlaqə saxlayın
- Bir işi açmaq üçün web: http://www.cisco.com/c/en/us/support/index.html
- Telefon dəstəyi üçün: 1-800-553-2447 (ABŞ)
- Dünya üzrə dəstək nömrələri üçün: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Dəyişiklik Tarixçəsi
| Sənəd versiyası | Nəşr Tarixi | Təsvir |
| 1_0 | 21 avqust 2025-cü il | İlkin versiya. |
Müəlliflik hüququ haqqında məlumat
Cisco və Cisco loqosu Cisco və/və ya onun filiallarının ABŞ və digər ölkələrdə ticarət nişanları və ya qeydə alınmış ticarət nişanlarıdır. Kimə view Cisco ticarət nişanlarının siyahısı, buna keçin URL: https://www.cisco.com/go/trademarks. Qeyd olunan üçüncü tərəf ticarət nişanları müvafiq sahiblərinin mülkiyyətidir. Partnyor sözünün istifadəsi Cisco ilə hər hansı digər şirkət arasında tərəfdaşlıq münasibətlərini nəzərdə tutmur. (1721R)
© 2025 Cisco Systems, Inc. və/və ya onun filialları. Bütün hüquqlar qorunur.
Tez-tez verilən suallar
Can TACACS+ be used with Compliance Mode enabled?
No, TACACS+ authentication and authorization do not support Compliance Mode. Ensure Compliance Mode is disabled when using TACACS+.
Sənədlər / Resurslar
 |
Cisco TACACS+ Secure Network Analytics [pdf] İstifadəçi təlimatı 7.5.3, TACACS Secure Network Analytics, TACACS, Secure Network Analytics, Network Analytics, Analytics |