Cisco TACACS+ Secure Network Analytics User Guide

Ang Cisco Secure Network Analytics, nailhan usab nga Stealthwatch,
naggamit sa Terminal Access Controller Access-Control System
(TACACS+) protocol para sa authentication ug authorization services.
Gitugotan niini ang mga tiggamit nga maka-access sa daghang mga aplikasyon nga adunay usa ka set
sa mga kredensyal.

Mga Instruksyon sa Paggamit sa Produkto

Pasiuna

Aron ma-configure ang TACACS+ para sa Cisco Secure Network Analytics, sunda
ang mga lakang nga gilatid niini nga giya.

Mamiminaw

Kini nga giya gituyo alang sa network administrator ug personnel
responsable sa pag-instalar ug pag-configure sa Secure Network Analytics
mga produkto. Para sa propesyonal nga pag-instalar, kontaka ang lokal nga Cisco
Kasosyo o Suporta sa Cisco.

Terminolohiya

Ang giya nagtumong sa produkto isip usa ka appliance, lakip
virtual nga mga produkto sama sa Cisco Secure Network Analytics Flow
Sensor Virtual nga Edisyon. Ang mga pundok maoy mga grupo sa mga appliances nga gidumala
pinaagi sa Cisco Secure Network Analytics Manager.

Pagkaangay

Siguruha nga ang tanan nga tiggamit mag-log in pinaagi sa Manager alang sa TACACS +
authentication ug pagtugot. Ang ubang mga bahin sama sa FIPS ug
Ang Compliance Mode dili magamit kung ang TACACS+ gi-enable.

Pagdumala sa Tubag

I-configure ang Pagdumala sa Tubag sa Manager aron makadawat og email
mga alerto, mga taho, ug uban pa. Ang mga tiggamit kinahanglan nga ma-configure ingon nga lokal nga mga tiggamit sa
ang Manager alang niini nga bahin.

Failover

Kung gigamit ang mga Manager sa usa ka pares nga failover, timan-i nga ang TACACS + mao
anaa lamang sa nag-unang Manager. Kung gi-configure sa panguna
Manager, TACACS+ dili suportado sa secondary Manager. I-promote
ang sekondaryang Manager hangtod sa panguna aron magamit ang eksternal nga pag-authenticate
mga serbisyo niini.

FAQ

P: Magamit ba ang TACACS+ sa Compliance Mode?

A: Dili, ang TACACS+ authentication ug authorization dili mosuporta
Mode sa Pagsunod. Siguroha nga ang Compliance Mode gi-disable kung gamiton
TACACS+.

“`

View Fullscreen

Cisco Secure Network Analytics
Giya sa Pag-configure sa TACACS+ 7.5.3

Talaan sa mga Sulod

Pasiuna

Mamiminaw

Terminolohiya

Pagkaangay

Pagdumala sa Tubag

Failover

Pagpangandam

Natapos ang mga Papel sa Gumagamitview

Pag-configure sa mga Ngalan sa Gumagamit

Mga Ngalan sa Gumagamit nga Sensitibo sa Kaso

Duplicated User Names

Nauna nga mga Bersyon

Pag-configure sa Identity Groups ug Users

Panguna nga Papel sa Admin

Kombinasyon sa mga Papel nga Dili Admin

Mga Bili sa Hiyas

Katingbanan sa mga Papel

Mga Papel sa Data

Web Mga tahas

Mga Papel sa Kliyente sa Desktop

Paghuman sa Prosesoview

1. I-configure ang TACACS+ sa ISE

Sa dili pa ka Magsugod

Mga Ngalan sa Gumagamit

Mga Papel sa Gumagamit

1. I-enable ang Device Administration sa ISE

2. Paghimo TACACS+ Profiles

Panguna nga Papel sa Admin

-2-

Kombinasyon sa mga Papel nga Dili Admin

3. Mapa Shell Profiles sa Mga Grupo o Gumagamit

4. Idugang ang Secure Network Analytics isip Network Device

2. I-enable ang TACACS+ Authorization sa Secure Network Analytics

3. Sulayi ang Remote TACACS+ User Login

Pag-troubleshoot

Mga senaryo

Pagkontak sa Suporta

Kasaysayan sa Pagbag-o

-3-

Pasiuna
Pasiuna
Ang Terminal Access Controller Access-Control System (TACACS+) usa ka protocol nga nagsuporta sa authentication ug authorization services ug nagtugot sa usa ka user nga maka-access sa daghang mga aplikasyon nga adunay usa ka set sa mga kredensyal. Gamita ang mosunod nga mga instruksyon aron ma-configure ang TACACS+ para sa Cisco Secure Network Analytics (kanhi Stealthwatch).
Mamiminaw
Ang gituyo nga mamiminaw alang niini nga giya naglakip sa mga tigdumala sa network ug ubang mga personahe nga responsable sa pag-instalar ug pag-configure sa mga produkto sa Secure Network Analytics.
Kung gusto nimo nga magtrabaho kauban ang usa ka propesyonal nga installer, palihug kontaka ang imong lokal nga Kasosyo sa Cisco o kontaka ang Suporta sa Cisco.
Terminolohiya
Kini nga giya naggamit sa termino nga "appliance" alang sa bisan unsang produkto sa Secure Network Analytics, lakip ang mga virtual nga produkto sama sa Cisco Secure Network Analytics Flow Sensor Virtual Edition.
Ang "cluster" mao ang imong grupo sa mga appliances sa Secure Network Analytics nga gidumala sa Cisco Secure Network Analytics Manager (kanhi Stealthwatch Management Console o SMC).
Sa v7.4.0 gibag-o namo ang among mga produkto sa Cisco Stealthwatch Enterprise ngadto sa Cisco Secure Network Analytics. Para sa kompletong listahan, tan-awa ang Release Notes. Sa kini nga giya, imong makita ang among kanhi nga ngalan sa produkto, Stealthwatch, nga gigamit kung gikinahanglan aron mapadayon ang katin-aw, ingon man ang terminolohiya sama sa Stealthwatch Management Console ug SMC.

-4-

Pasiuna
Pagkaangay
Para sa TACACS+ authentication ug authorization, siguruha nga ang tanan nga tiggamit mag log in pinaagi sa Manager. Aron maka-log in sa usa ka appliance direkta ug gamiton ang Appliance Administration, log in sa lokal.
Ang mga musunod nga bahin dili magamit kung ang TACACS+ ma-enable: FIPS, Compliance Mode.
Pagdumala sa Tubag
Ang Pagdumala sa Tubag gi-configure sa imong Manager. Aron makadawat sa mga alerto sa email, naka-iskedyul nga mga taho, ug uban pa siguroha nga ang user gi-configure isip lokal nga tiggamit sa Manager. Adto sa I-configure > Detection > Response Management, ug tan-awa ang Tabang alang sa mga instruksyon.
Failover
Palihug timan-i ang mosunod nga impormasyon kung imong gi-configure ang imong mga Managers isip failover pair:
l TACACS+ anaa lamang sa nag-unang Manager. Ang TACACS+ wala gisuportahan sa sekondaryang Manager.
l Kung ang TACACS+ gi-configure sa nag-unang Manager, ang TACACS+ nga impormasyon sa user dili magamit sa secondary Manager. Sa dili pa nimo magamit ang gi-configure nga external authentication services sa usa ka secondary Manager, kinahanglan nimo nga i-promote ang secondary Manager ngadto sa primary.
l Kung imong i-promote ang secondary Manager ngadto sa primary:
l I-enable ang TACACS+ ug remote authorization sa secondary Manager. l Ang bisan unsang mga eksternal nga tiggamit nga naka-log in sa gipaubos nga panguna nga Manager ma-log
gawas. l Ang sekondaryang Manager wala maghupot sa datos sa user gikan sa nag-unang Manager,
busa ang bisan unsang datos nga natipig sa panguna nga Manager dili magamit sa bag-ong (gi-promote) nga panguna nga Manager. l Sa higayon nga ang hilit nga tiggamit maka-log in sa bag-ong nag-unang Manager sa unang higayon, ang mga direktoryo sa user pagahimoon ug ang data ma-save sa unahan.
l Review Mga Instruksyon sa Failover: Para sa dugang nga impormasyon, tan-awa ang Failover Configuration Guide.

-5-

Pagpangandam

Pagpangandam
Mahimo nimong i-configure ang TACACS + sa Cisco Identity Services Engine (ISE).
Among girekomendar ang paggamit sa Cisco Identity Services Engine (ISE) alang sa sentralisadong authentication ug pagtugot. Bisan pa, mahimo ka usab mag-deploy sa usa ka standalone nga TACACS+ server o i-integrate ang bisan unsang uban nga katugbang nga server sa pag-authenticate sumala sa imong piho nga mga kinahanglanon.
Siguruha nga naa nimo ang tanan nga kinahanglan nimo aron masugdan ang pag-configure.

Kinahanglanon sa Cisco Identity Services Engine (ISE) TACACS+ Server Desktop Client

Mga Detalye
I-install ug i-configure ang ISE gamit ang mga instruksyon sa dokumentasyon sa ISE para sa imong makina.
Kinahanglan nimo ang IP address, pantalan, ug gipaambit nga sekreto nga yawe alang sa pagsumpo. Kinahanglan usab nimo ang lisensya sa Pagdumala sa Device.
Kinahanglan nimo ang IP address, pantalan, ug gipaambit nga sekreto nga yawe alang sa pagsumpo.
Gamiton nimo ang Desktop Client para niini nga configuration kung gusto nimo gamiton ang custom nga mga papel sa desktop. Aron ma-install ang Desktop Client, tan-awa ang Cisco Secure Network Analytics System Configuration Guide nga mohaum sa imong Secure Network Analytics nga bersyon.

-6-

Natapos ang mga Papel sa Gumagamitview
Natapos ang mga Papel sa Gumagamitview
Kini nga giya naglakip sa mga panudlo alang sa pag-configure sa imong TACACS+ nga mga tiggamit alang sa hilit nga pag-ila ug pagtugot. Sa dili ka pa magsugod sa configuration, review ang mga detalye niini nga seksyon aron masiguro nga imong gi-configure sa husto ang imong mga tiggamit.
Pag-configure sa mga Ngalan sa Gumagamit
Para sa hilit nga panghimatuud ug pagtugot, mahimo nimong i-configure ang imong mga tiggamit sa ISE. Alang sa lokal nga panghimatuud ug pagtugot, i-configure ang imong mga tiggamit sa Manager.
l Hilit: Aron ma-configure ang imong mga tiggamit sa ISE, sunda ang mga panudlo sa kini nga giya sa pag-configure.
l Lokal: Aron ma-configure ang imong mga tiggamit sa lokal lamang, pag-log in sa Manager. Gikan sa main menu, pilia ang Configure > Global > User Management. Pilia ang Tabang alang sa mga instruksyon.
Mga Ngalan sa Gumagamit nga Sensitibo sa Kaso
Kung imong gi-configure ang mga hilit nga tiggamit, i-enable ang case-sensitivity sa remote server. Kung dili nimo palihokon ang case-sensitivity sa layo nga server, ang mga tiggamit mahimong dili maka-access sa ilang data kung sila mag log in sa Secure Network Analytics.
Duplicated User Names
Kung imong gi-configure ang mga user name sa layo (sa ISE) o lokal (sa Manager), siguroha nga ang tanan nga mga user name talagsaon. Wala namo girekomendar ang pagdoble sa mga user name sa mga remote server ug Secure Network Analytics.
Kung ang usa ka user mo-log in sa Manager, ug sila adunay parehas nga user name nga gi-configure sa Secure Network Analytics ug ISE, ma-access ra nila ang ilang lokal nga data sa Manager/Secure Network Analytics. Dili nila ma-access ang ilang hilit nga TACACS+ data kung doble ang ilang user name.
Nauna nga mga Bersyon
Kon imong gi-configure ang TACACS+ sa mas sayo nga bersyon sa Cisco Secure Network Analytics (Stealthwatch v7.1.1 ug mas sayo pa), siguroha nga naghimo ka og bag-ong mga user nga adunay talagsaon nga mga ngalan alang sa v7.1.2 ug sa ulahi. Wala namo girekomendar ang paggamit o pagdoble sa mga user name gikan sa naunang mga bersyon sa Secure Network Analytics.
Aron makapadayon sa paggamit sa mga user name nga gimugna sa v7.1.1 ug sa sayo pa, among girekomendar ang pag-ilis niini ngadto sa lokal lamang sa imong nag-unang Manager ug sa Desktop Client. Tan-awa ang Tabang alang sa mga panudlo.

-7-

Natapos ang mga Papel sa Gumagamitview

Pag-configure sa Identity Groups ug Users
Alang sa usa ka awtorisado nga pag-login sa tiggamit, imong mapa ang shell profiles sa imong mga tiggamit. Alang sa matag shell profile, mahimo nimong i-assign ang tahas sa Panguna nga Admin o maghimo usa ka kombinasyon sa mga tahas nga dili admin. Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan. Kung maghimo ka usa ka kombinasyon sa mga tahas nga dili admin, siguroha nga kini nakab-ot sa mga kinahanglanon.
Panguna nga Papel sa Admin
Primary Admin pwede view tanan nga gamit ug usbon ang bisan unsa. Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan.

Papel Panguna nga Admin

Bili sa Katungod cisco-stealthwatch-master-admin

Kombinasyon sa mga Papel nga Dili Admin
Kung maghimo ka usa ka kombinasyon sa mga papel nga dili admin alang sa imong shell profile, siguroha nga kini naglakip sa mosunod:
l 1 Papel sa datos (lamang) l 1 o labaw pa Web papel l 1 o labaw pa nga papel sa Kliyente sa Desktop
Alang sa mga detalye, tan-awa ang Talaan sa Mga Hiyas sa Katangian.
Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan. Kung maghimo ka usa ka kombinasyon sa mga tahas nga dili admin, siguroha nga kini nakab-ot sa mga kinahanglanon.

-8-

Natapos ang mga Papel sa Gumagamitview

Mga Bili sa Hiyas
Para sa dugang nga impormasyon mahitungod sa matag matang sa tahas, i-klik ang link sa Gikinahanglan nga mga Papel nga kolum.

Gikinahanglan nga Mga Papel 1 Papel sa datos (lamang)
1 o labaw pa Web papel
1 o labaw pa nga papel sa Desktop Client

Bili sa Hiyas
l cisco-stealthwatch-all-data-read-and-write l cisco-stealthwatch-all-data-read-only
l cisco-stealthwatch-configuration-manager l cisco-stealthwatch-power-analyst l cisco-stealthwatch-analyst
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-configuration-manager l cisco-stealthwatch-desktop-network-engineer l cisco-stealthwatch-desktop-security-analyst

Katingbanan sa mga Papel
Naghatag kami og usa ka summary sa matag papel sa mosunod nga mga lamesa. Alang sa dugang nga impormasyon bahin sa mga tahas sa tiggamit sa Secure Network Analytics, review ang panid sa Pagdumala sa Gumagamit sa Tabang.
Mga Papel sa Data
Siguruha nga mopili ka usa ra nga papel sa datos.

Papel sa Data

Mga permiso

Tanan nga Data (Basaha Lamang)

Ang tiggamit makahimo view data sa bisan unsa nga domain o host nga grupo, o sa bisan unsa nga appliance o device, apan dili makahimo sa bisan unsa nga configurations.

Tanan nga Data (Pagbasa ug Pagsulat)

Ang tiggamit makahimo view ug i-configure ang data sa bisan unsang domain o host group, o sa bisan unsang appliance o device.

Ang espesipikong gamit (pagpangita sa dagan, pagdumala sa palisiya, klasipikasyon sa network, ug uban pa) nga mahimo sa tiggamit view ug/o pag-configure gitino sa user sa web papel.

-9-

Natapos ang mga Papel sa Gumagamitview

Web Mga tahas

Web Papel

Mga permiso

Power Analyst

Ang Power Analyst makahimo sa inisyal nga imbestigasyon sa trapiko ug mga agos ingon man usab sa pag-configure sa mga polisiya ug host nga mga grupo.

Configuration Manager

Ang Configuration Manager mahimo view pag-andar nga may kalabotan sa pag-configure.

Analista

Ang Analista makahimo sa pasiunang imbestigasyon sa trapiko ug mga agos.

Mga Papel sa Kliyente sa Desktop

Web Papel

Mga permiso

Configuration Manager

Ang Configuration Manager mahimo view tanan nga mga butang sa menu ug i-configure ang tanan nga mga appliances, device, ug mga setting sa domain.

Network Engineer

Ang Network Engineer mahimo view tanan nga mga butang sa menu nga may kalabutan sa trapiko sulod sa Desktop Client, idugang ang alarma ug mga nota sa host, ug ipahigayon ang tanang aksyon sa alarma, gawas sa pagpagaan.

Security Analyst

Ang Security Analyst mahimo view tanan nga mga butang sa menu nga may kalabutan sa seguridad, idugang ang alarma ug mga nota sa host, ug himuon ang tanan nga mga aksyon sa alarma, lakip ang pagpagaan.

Luwas nga Network Analytics Power User

Ang Secure Network Analytics Power User mahimo view tanan nga mga butang sa menu, ilhon ang mga alarma, ug idugang ang alarma ug mga nota sa host, apan wala’y katakus nga magbag-o bisan unsa.

– 10 –

Paghuman sa Prosesoview
Paghuman sa Prosesoview
Mahimo nimong i-configure ang Cisco ISE aron mahatagan ang TACACS +. Aron malampuson nga ma-configure ang mga setting sa TACACS+ ug magtugot sa TACACS+ sa Secure Network Analytics, siguroha nga imong kompletohon ang mosunod nga mga pamaagi:
1. I-configure ang TACACS+ sa ISE 2. I-enable ang TACACS+ Authorization sa Secure Network Analytics 3. Test Remote TACACS+ User Login

– 11 –

1. I-configure ang TACACS+ sa ISE
1. I-configure ang TACACS+ sa ISE
Gamita ang mosunod nga mga instruksyon aron ma-configure ang TACACS+ sa ISE. Kini nga configuration makapahimo sa imong hilit nga TACACS+ nga tiggamit sa ISE nga maka-log in sa Secure Network Analytics.
Sa dili pa ka Magsugod
Sa dili pa nimo sugdan kini nga mga panudlo, i-install ug i-configure ang ISE gamit ang mga panudlo sa dokumentasyon sa ISE alang sa imong makina. Naglakip kini sa pagsiguro nga ang imong mga sertipiko na-set up sa husto.
Mga Ngalan sa Gumagamit
Kung imong gi-configure ang mga user name sa layo (sa ISE) o lokal (sa Manager), siguroha nga ang tanan nga mga user name talagsaon. Wala namo girekomendar ang pagdoble sa mga user name sa mga remote server ug Secure Network Analytics.
Duplicated User Names: Kung ang usa ka user mo-log in sa Manager, ug sila adunay parehas nga user name nga gi-configure sa Secure Network Analytics ug ISE, sila maka-access lamang sa ilang lokal nga Manager/Secure Network Analytics data. Dili nila ma-access ang ilang hilit nga TACACS+ data kung doble ang ilang user name.
Mga Ngalan sa Gumagamit nga Sensitibo sa Kaso: Kung imong gi-configure ang mga hilit nga tiggamit, i-enable ang pagkasensitibo sa kaso sa hilit nga server. Kung dili nimo ma-enable ang case-sensitivity sa layo nga server, ang mga tiggamit mahimong dili maka-access sa ilang data kung sila mag log in sa Secure Network Analytics.
Mga Papel sa Gumagamit
Para sa matag TACACS+ profile sa ISE, mahimo nimong itudlo ang tahas sa Panguna nga Admin o maghimo usa ka kombinasyon sa mga tahas nga dili admin.
Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan. Kung maghimo ka usa ka kombinasyon sa mga tahas nga dili admin, siguroha nga kini nakab-ot sa mga kinahanglanon. Para sa dugang nga impormasyon bahin sa mga tahas sa user, tan-awa ang User Roles Overview.
1. I-enable ang Device Administration sa ISE
Gamita ang mosunod nga mga instruksyon aron idugang ang serbisyo sa TACACS+ sa ISE.
1. Log in sa imong ISE isip admin. 2. Pilia ang Work Centers > Device Administration > Overview.

– 12 –

1. I-configure ang TACACS+ sa ISE
Kung ang Device Administration wala gipakita sa Work Centers, adto sa Administration> System> Licensing. Sa seksyon sa Licensing, kumpirmahi nga gipakita ang Lisensya sa Pagdumala sa Device. Kung wala kini gipakita, idugang ang lisensya sa imong account. 3. Pilia ang Deployment.
4. Pilia ang Tanang Policy Service Nodes o Specific Nodes. 5. Sa TACACS Ports field, isulod ang 49.

6. I-klik ang Save.
2. Paghimo TACACS+ Profiles
Gamita ang mosunod nga mga instruksyon aron idugang ang TACACS+ shell profiles ngadto sa ISE. Gamiton usab nimo kini nga mga instruksyon aron itudlo ang gikinahanglan nga mga tahas sa shell profile.
1. Pilia ang Work Centers > Device Administration > Policy Elements. 2. Pilia ang Resulta > TACACS Profiles. 3. I-klik ang Add. 4. Sa Ngalan uma, pagsulod sa usa ka talagsaon nga user ngalan.
Alang sa mga detalye bahin sa mga ngalan sa tiggamit, tan-awa ang Mga Papel sa Gumagamitview.

– 13 –

1. I-configure ang TACACS+ sa ISE
5. Sa drop-down nga Common Task Type, pilia ang Shell. 6. Diha sa Custom Attributes nga seksyon, i-klik ang Add. 7. Sa Type field, pilia ang Mandatory. 8. Diha sa Ngalan field, isulod ang papel. 9. Diha sa Value field, isulod ang attribute value para sa Primary Admin o paghimo og kombinasyon
sa mga papel nga dili admin. l I-save: I-klik ang Check icon aron i-save ang papel. l Kombinasyon sa Dili-Admin nga mga Papel: Kon maghimo ka ug kombinasyon sa dili-admin nga mga tahas, balika ang mga lakang 5 hangtud 8 hangtud nga ikaw makadugang og usa ka laray alang sa matag gikinahanglan nga tahas (Data role, Web papel, ug papel sa Desktop Client).

– 14 –

1. I-configure ang TACACS+ sa ISE

Panguna nga Papel sa Admin
Primary Admin pwede view tanan nga gamit ug usbon ang bisan unsa. Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan.

Papel Panguna nga Admin

Bili sa Katungod cisco-stealthwatch-master-admin

Kombinasyon sa mga Papel nga Dili Admin
Kung maghimo ka usa ka kombinasyon sa mga papel nga dili admin alang sa imong shell profile, siguroha nga kini naglakip sa mosunod:
l 1 Data role (lamang): siguroha nga mopili ka ug usa lang ka data role l 1 o labaw pa Web papel l 1 o labaw pa nga papel sa Kliyente sa Desktop

Gikinahanglan nga Mga Papel 1 Papel sa datos (lamang)
1 o labaw pa Web papel
1 o labaw pa nga papel sa Desktop Client

Kung imong gi-assign ang papel sa Panguna nga Admin sa usa ka shell profile, walay dugang nga mga tahas ang gitugutan. Kung maghimo ka usa ka kombinasyon sa mga tahas nga dili admin, siguroha nga kini nakab-ot sa mga kinahanglanon.
10. I-klik ang Save. 11. Balika ang mga lakang sa 2. Paghimo og TACACS+ Profiles aron idugang ang bisan unsang dugang nga TACACS+
kabhang profiles ngadto sa ISE.

– 15 –

1. I-configure ang TACACS+ sa ISE
Sa dili ka pa mopadayon sa 3. Map Shell Profiles sa Mga Grupo o Gumagamit, kinahanglan nimo nga maghimo Mga Gumagamit, Grupo sa Pagkaila sa Gumagamit (opsyonal), ug mga set sa mando sa TACACS +. Para sa mga instruksyon kon unsaon paghimo ug Users, User Identity Group, ug TACACS+ command sets, tan-awa ang ISE documentation para sa imong makina.
3. Mapa Shell Profiles sa Mga Grupo o Gumagamit
Gamita ang mosunod nga mga instruksyon aron mapa ang imong shell profiles sa imong mga lagda sa pagtugot.
1. Pilia ang Work Centers > Device Administration > Device Admin Policy Sets. 2. Pangitaa ang ngalan sa imong policy set. I-klik ang Arrow icon. 3. Pangitaa ang imong polisiya sa pagtugot. I-klik ang Arrow icon. 4. I-klik ang + Plus icon.

5. Sa natad sa Kondisyon, i-klik ang + Plus icon. I-configure ang mga kondisyon sa palisiya.
l Grupo sa Identidad sa Gumagamit: Kung na-configure nimo ang usa ka grupo sa pagkakakilanlan sa gumagamit, mahimo ka maghimo usa ka kondisyon sama sa "InternalUser.IdentityGroup".
Kay example, “InternalUser.IdentityGroup EQUALS ” aron ipares sa usa ka piho nga grupo sa identidad sa tiggamit.
l Indibidwal nga Gumagamit: Kung na-configure nimo ang usa ka indibidwal nga tiggamit, mahimo ka maghimo usa ka kondisyon sama sa "InternalUser.Name".
Kay example, “InternalUser.Ngalan EQUALS ” aron ipares sa usa ka piho nga tiggamit.

– 16 –

1. I-configure ang TACACS+ sa ISE
Tabang: Para sa mga instruksiyon sa Conditions Studio, i-klik ang ? Icon sa tabang.
6. Sa Shell Profiles field, pilia ang shell profile imong gibuhat sa 2. Paghimo TACACS+ Profiles.
7. Balika ang mga lakang sa 3. Map Shell Profiles ngadto sa Mga Grupo o Gumagamit hangtud nga imong mapa ang tanan nga shell profiles sa imong mga lagda sa pagtugot.

– 17 –

1. I-configure ang TACACS+ sa ISE
4. Idugang ang Secure Network Analytics isip Network Device
1. Pilia ang Administration > Network Resources > Network Devices. 2. Pilia ang Network Devices, i-klik ang +Add. 3. Kompletoha ang impormasyon para sa imong nag-unang Manager, lakip ang mosunod nga mga field:
l Ngalan: Isulod ang ngalan sa imong Manager. l IP Address: Pagsulod sa Manager IP address. l Gipaambit nga Sekreto: Pagsulod sa gipaambit nga sekreto nga yawe. 4. I-klik ang Save. 5. Kumpirma ang network device nga na-save sa Network Devices list.
6. Adto sa 2. I-enable ang TACACS+ Authorization sa Secure Network Analytics.

– 18 –

2. I-enable ang TACACS+ Authorization sa Secure Network Analytics

2. I-enable ang TACACS+ Authorization sa Secure Network Analytics
Gamita ang mosunod nga mga instruksyon aron idugang ang TACACS+ server sa Secure Network Analytics ug mahimo ang layo nga pagtugot.
Usa ra ka Primary Admin ang makadugang sa TACACS+ server sa Secure Network Analytics.

Mahimo nimong idugang ang usa lamang ka TACACS+server sa serbisyo sa pag-authentication sa TACACS+.
1. Log in sa imong nag-unang Manager. 2. Gikan sa main menu, pilia ang Configure > Global > User Management. 3. I-klik ang Authentication and Authorization tab. 4. I-klik ang Paghimo. Pilia ang Authentication Service. 5. I-klik ang Authentication Service drop-down. Pilia ang TACACS+. 6. Kompletoha ang mga field:

Field Authentication Service Deskripsyon Ngalan
Cache Timeout (Segundo)
Prefix

Mga nota
Pagsulod ug talagsaong ngalan aron mailhan ang server.
Pagsulod sa usa ka paghulagway nga nagtino kung giunsa o ngano nga gigamit ang server.
Ang gidugayon sa oras (sa mga segundos) nga ang usa ka user name o password giisip nga balido sa wala pa ang Secure Network Analytics nagkinahanglan og re-entry sa impormasyon.
Opsyonal kini nga field. Ang prefix string gibutang sa sinugdanan sa user name kung ang ngalan ipadala sa RADIUS o TACACS+ server. Kay example, kung ang user name kay zoe ug ang prefix sa gingharian kay DOMAIN-

– 19 –

Suffix
Server IP Address Port Secret Key

2. I-enable ang TACACS+ Authorization sa Secure Network Analytics
A, ang user name nga DOMAIN-Azoe gipadala sa server. Kung dili nimo i-configure ang Prefix field, ang user name lang ang ipadala sa server.
Opsyonal kini nga field. Ang suffix string gibutang sa katapusan sa user name. Kay exampUg, kung ang suffix kay @mydomain.com, ang username zoe@mydomain.com ipadala sa TACACS+ server. Kung dili nimo i-configure ang Suffix field, ang user name lang ang ipadala sa server.
Gamita ang IPv4 o IPv6 nga mga adres sa pag-configure sa mga serbisyo sa pag-authenticate.
Pagsulod sa bisan unsang numero gikan sa 0 hangtod 65535 nga katumbas sa angay nga pantalan.
Pagsulod sa sekreto nga yawe nga gi-configure alang sa magamit nga server.

7. I-klik ang Save. Ang bag-ong TACACS+ server gidugang, ug ang impormasyon alang sa server nagpakita.
8. I-klik ang Actions menu para sa TACACS+ server. 9. Pilia ang Enable Remote Authorization gikan sa drop-down menu. 10. Sunda ang on-screen nga mga prompt aron mahimo ang TACACS+.

– 20 –

3. Sulayi ang Remote TACACS+ User Login
3. Sulayi ang Remote TACACS+ User Login
Gamita ang mosunod nga mga instruksyon aron maka-log in sa Manager. Para sa hilit nga TACACS+ awtorisasyon, siguroha nga ang tanang tiggamit maka-log in pinaagi sa Manager.
Aron maka-log in sa usa ka appliance direkta ug gamiton ang Appliance Administration, log in sa lokal. 1. Sa address field sa imong browser, i-type ang mosunod:
https:// followed by the IP address of your Manager.
2. Isulod ang user name ug password sa usa ka remote TACACS+ user. 3. I-klik ang Sign In.
Kung ang usa ka user dili maka-log in sa Manager, review ang seksyon sa Troubleshooting.

– 21 –

Pag-troubleshoot

Pag-troubleshoot
Kung makasugat ka sa bisan unsa niini nga mga sitwasyon sa pag-troubleshoot, kontaka ang imong administrator aron pag-usabview ang configuration uban sa mga solusyon nga among gihatag dinhi. Kung dili masulbad sa imong admin ang mga isyu, palihug kontaka ang Suporta sa Cisco.
Mga senaryo

Sitwasyon Ang usa ka partikular nga TACACS+ user dili maka-log in
Ang tanan nga TACACS+ nga tiggamit dili maka-log in

Mga nota
l Review ang Audit Log alang sa kapakyasan sa pag-login sa user nga adunay Illegal Mappings o Invalid Combination of Roles. Kini mahitabo kon ang identity group shell profile naglakip sa Primary Admin ug dugang nga mga tahas, o kung ang kombinasyon sa mga dili-admin nga mga tahas wala makatagbo sa mga kinahanglanon. Tan-awa ang User Roles Overview alang sa mga detalye.
l Siguruha nga ang TACACS+ user name dili parehas sa lokal (Secure Network Analytics) user name. Tan-awa ang User Roles Overview alang sa mga detalye.
l Susiha ang TACACS+ configuration sa Secure Network Analytics.
l Susihon ang configuration sa TACACS+ server.
l Siguroha nga ang TACACS+ server nagdagan. l Siguruha nga ang serbisyo sa TACACS+ gipaandar
Secure Network Analytics: l Mahimong adunay daghang mga server sa pag-authenticate nga gihubit, apan usa ra ang mahimo alang sa pagtugot. Tan-awa ang 2.
I-enable ang TACACS+ Authorization sa Secure Network Analytics para sa mga detalye. l Aron makahimo sa pagtugot alang sa usa ka piho nga TACACS+ server, tan-awa ang 2. Enable
TACACS+ Authorization sa Secure Network Analytics para sa mga detalye.

– 22 –

Pag-troubleshoot

Sa diha nga ang usa ka user log in, sila maka-access lamang sa Manager sa lokal

Kung adunay usa ka tiggamit nga adunay parehas nga ngalan sa gumagamit sa Secure Network Analytics (lokal) ug ang TACACS+ server (hilit), ang lokal nga pag-login molapas sa hilit nga pag-login. Tan-awa ang User Roles Overview alang sa mga detalye.

– 23 –

Pagkontak sa Suporta
Pagkontak sa Suporta
Kung kinahanglan nimo ang teknikal nga suporta, palihug buhata ang usa sa mga musunud: l Kontaka ang imong lokal nga Cisco Partner l Kontaka ang Cisco Support l Aron maablihan ang usa ka kaso pinaagi sa web: http://www.cisco.com/c/en/us/support/index.html l Para sa suporta sa telepono: 1-800-553-2447 (US) l Para sa tibuok kalibutan nga mga numero sa suporta: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

– 24 –

Kasaysayan sa Pagbag-o

Bersyon sa Dokumento 1_0

Petsa nga Gipatik Agosto 21, 2025

Kasaysayan sa Pagbag-o
Deskripsyon Inisyal nga bersyon.

– 25 –

Impormasyon sa Copyright
Ang Cisco ug ang logo sa Cisco maoy mga marka sa pamatigayon o mga rehistradong marka sa pamatigayon sa Cisco ug/o mga kaubanan niini sa US ug ubang mga nasod. Sa view usa ka lista sa mga marka sa pamatigayon sa Cisco, adto niini URL: https://www.cisco.com/go/trademarks. Ang mga trademark sa ikatulo nga partido nga gihisgutan mao ang kabtangan sa ilang tagsa-tagsa nga mga tag-iya. Ang paggamit sa pulong nga partner wala magpasabot ug partnership nga relasyon tali sa Cisco ug sa bisan unsa nga kompanya. (1721R)
© 2025 Cisco Systems, Inc. ug/o mga kaubanan niini. Tanang katungod gigahin.

Mga Dokumento / Mga Kapanguhaan

Cisco TACACS+ Secure Network Analytics [pdf] Giya sa Gumagamit
7.5.3, TACACS Secure Network Analytics, TACACS, Secure Network Analytics, Network Analytics, Analytics

Mga pakisayran

Manwal sa Gumagamit

Cisco TACACS+ Secure Network Analytics User Guide

TACACS+ Secure Network Analytics

Mga detalye

Impormasyon sa Produkto

Mga Instruksyon sa Paggamit sa Produkto

Pasiuna

Mamiminaw

Terminolohiya

Pagkaangay

Pagdumala sa Tubag

Failover

FAQ

P: Magamit ba ang TACACS+ sa Compliance Mode?

Mga Dokumento / Mga Kapanguhaan

Mga pakisayran

Pagbilin ug komento

Cancel reply