Gvidilo por uzanto pri sekura reto-analizo de Cisco TACACS+

La Cisco Secure Network Analytics, ankaŭ konata kiel Stealthwatch,
uzas la Sistemon de Alirkontrolo de Terminala Alirregilo
(TACACS+) protokolo por aŭtentigaj kaj rajtigaj servoj.
Ĝi permesas al uzantoj aliri plurajn aplikaĵojn per unu sola aro
de akreditaĵoj.

Produktaj Uzado-Instrukcioj

Enkonduko

Por agordi TACACS+ por Cisco Secure Network Analytics, sekvu
la paŝojn skizitajn en ĉi tiu gvidilo.

Publiko

Ĉi tiu gvidilo estas destinita por retadministrantoj kaj dungitaro
respondeca pri instalado kaj agordado de Sekura Reta Analizo
produktoj. Por profesia instalado, kontaktu lokan Cisco-firmaon
Partnero aŭ Subteno de Cisco.

Terminologio

La gvidilo nomas la produkton aparato, inkluzive de
virtualaj produktoj kiel la Cisco Secure Network Analytics Flow
Sensor Virtual Edition. Aretoj estas grupoj de aparatoj administrataj.
de la Cisco Sekura Reta Analiza Manaĝero.

Kongrueco

Certigu, ke ĉiuj uzantoj ensalutas per la Administranto por TACACS+
aŭtentigo kaj rajtigo. Kelkaj funkcioj kiel FIPS kaj
Konformeca Reĝimo ne haveblas kiam TACACS+ estas ebligita.

Responda Administrado

Agordu Respondad-Administradon en la Administranto por ricevi retpoŝton
alarmoj, raportoj, ktp. Uzantoj devas esti agorditaj kiel lokaj uzantoj ĉe
la Manaĝero por ĉi tiu funkcio.

Malsukceso

Kiam vi uzas Manaĝerojn en paro da re-translokigo, notu, ke TACACS+ estas
nur havebla ĉe la ĉefa Administranto. Se agordita ĉe la ĉefa
Administranto, TACACS+ ne estas subtenata ĉe la dua Administranto. Promociu
la sekundara Administranto al primara por uzi eksteran aŭtentigon
servojn sur ĝi.

Oftaj Demandoj

Ĉu TACACS+ povas esti uzata kun la ebligita Konformeca Reĝimo?

A: Ne, TACACS+ aŭtentigo kaj rajtigo ne subtenas
Konforma Reĝimo. Certigu, ke Konforma Reĝimo estas malŝaltita dum uzado
TACACS+.

“`

View Fullscreen

Cisco Secure Network Analytics
Gvidilo pri Agordo de TACACS+ 7.5.3

Enhavo

Enkonduko

Publiko

Terminologio

Kongrueco

Responda Administrado

Malsukceso

Preparado

Uzanto Roloj Finisview

Agordado de Uzantnomoj

Kazosentemaj Uzantnomoj

Duplikataj Uzantnomoj

Pli fruaj versioj

Agordante Identgrupojn kaj Uzantojn

Ĉefa Administra Rolo

Kombino de Ne-Administraj Roloj

Atributaj Valoroj

Resumo de Roloj

Datenroloj

Web Roloj

Roloj de Skribtablaj Klientoj

Process Overview

1. Agordu TACACS+ en ISE

Antaŭ ol vi Komencu

Uzantnomoj

Uzantaj Roloj

1. Ebligi Aparatan Administradon en ISE

2. Kreu TACACS+ Profiles

Ĉefa Administra Rolo

-2-

Kombino de Ne-Administraj Roloj

3. Mapo Ŝelo Profesiulofiles al Grupoj aŭ Uzantoj

4. Aldonu Sekuran Retan Analizon kiel Retan Aparaton

2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo

3. Testu Ensaluton de Malproksima TACACS+ Uzanto

Solvado de problemoj

Scenaroj

Kontaktante Subtenon

Ŝanĝi Historion

-3-

Enkonduko
Enkonduko
Sistemo de Alirkontrolo por Terminala Alirregilo (TACACS+) estas protokolo, kiu subtenas aŭtentigajn kaj rajtigajn servojn kaj permesas al uzanto aliri plurajn aplikaĵojn per unu aro da akreditaĵoj. Uzu la jenajn instrukciojn por agordi TACACS+ por Cisco Secure Network Analytics (antaŭe Stealthwatch).
Publiko
La celita publiko por ĉi tiu gvidilo inkluzivas retadministrantojn kaj alian personaron, kiuj respondecas pri instalado kaj agordado de produktoj por Sekura Reta Analizo.
Se vi preferas kunlabori kun profesia instalisto, bonvolu kontakti vian lokan Cisco-partneron aŭ kontakti Cisco-subtenon.
Terminologio
Ĉi tiu gvidilo uzas la terminon "aparato" por iu ajn produkto de Secure Network Analytics, inkluzive de virtualaj produktoj kiel ekzemple la Cisco Secure Network Analytics Flow Sensor Virtual Edition.
"Areto" estas via grupo de aparatoj por Sekura Reta Analizo, kiujn administras la Cisco Sekura Reta Analiza Administranto (antaŭe nomata Stealthwatch Administra Konzolo aŭ SMC).
En v7.4.0 ni renomis niajn produktojn de Cisco Stealthwatch Enterprise al Cisco Secure Network Analytics. Por kompleta listo, vidu la Eldonajn Notojn. En ĉi tiu gvidilo, vi vidos nian antaŭan produktonomon, Stealthwatch, uzatan kiam ajn necese por konservi klarecon, same kiel terminologion kiel Stealthwatch Management Console kaj SMC.

-4-

Enkonduko
Kongrueco
Por TACACS+ aŭtentigo kaj rajtigo, certigu, ke ĉiuj uzantoj ensalutas per la Administranto. Por ensaluti rekte en aparaton kaj uzi la Administradon de Aparatoj, ensalutu loke.
La jenaj funkcioj ne haveblas kiam TACACS+ estas ebligita: FIPS, Konformeca Reĝimo.
Responda Administrado
Administrado de Respondoj estas agordita en via Administranto. Por ricevi retpoŝtajn alarmojn, planitajn raportojn, ktp., certigu, ke la uzanto estas agordita kiel loka uzanto en la Administranto. Iru al Agordu > Detekto > Administrado de Respondoj, kaj vidu la Helpon por instrukcioj.
Malsukceso
Bonvolu noti la jenajn informojn se vi agordis viajn Manaĝerojn kiel paron por re-konekto:
TACACS+ estas havebla nur ĉe la ĉefa administrilo. TACACS+ ne estas subtenata ĉe la dua administrilo.
Se TACACS+ estas agordita sur la ĉefa administrilo, la uzantinformoj de TACACS+ ne haveblas sur la dua administrilo. Antaŭ ol vi povas uzi agorditajn eksterajn aŭtentigajn servojn sur dua administrilo, vi devas promocii la dua administrilon al ĉefa.
Se vi promocias la duarangan Manaĝeron al ĉefa:
l Ebligi TACACS+ kaj malproksiman rajtigon sur la dua Administranto. l Ĉiuj eksteraj uzantoj ensalutitaj en la degradigitan ĉefan Administranton estos registritaj
eksteren. l La dua administranto ne konservas uzantodatumojn de la ĉefa administranto,
do ĉiuj datumoj konservitaj en la ĉefa administrilo ne estas haveblaj en la nova (antaŭenigita) ĉefa administrilo. Post kiam la fora uzanto ensalutas en la novan ĉefan administrilon por la unua fojo, la uzantaj dosierujoj estos kreitaj kaj la datumoj estos konservitaj estonte.
l Review Instrukcioj pri Failover: Por pliaj informoj, vidu la Gvidilon pri Failover-Agordo.

-5-

Preparado

Preparado
Vi povas agordi TACACS+ ĉe Cisco Identity Services Engine (ISE).
Ni rekomendas uzi Cisco Identity Services Engine (ISE) por centralizita aŭtentigo kaj rajtigo. Tamen, vi ankaŭ povas deploji memstaran TACACS+ servilon aŭ integri ajnan alian kongruan aŭtentigan servilon laŭ viaj specifaj bezonoj.
Certigu, ke vi havas ĉion necesan por komenci la agordon.

Postulo Cisco Identity Services Engine (ISE) TACACS+ Servilo Skribotabla Kliento

Detaloj
Instalu kaj agordu ISE-on uzante la instrukciojn en la ISE-dokumentaro por via motoro.
Vi bezonos la IP-adreson, pordon kaj komunan sekretan ŝlosilon por la agordo. Vi ankaŭ bezonos la permesilon por Aparata Administrado.
Vi bezonos la IP-adreson, pordon kaj komunan sekretan ŝlosilon por la agordo.
Vi uzos la Skribotablan Klienton por ĉi tiu agordo se vi volas uzi kutimajn labortablajn rolojn. Por instali la Skribotablan Klienton, vidu la Gvidilon pri Agordo de Cisco Secure Network Analytics System, kiu kongruas kun via versio de Secure Network Analytics.

-6-

Uzanto Roloj Finisview
Uzanto Roloj Finisview
Ĉi tiu gvidilo inkluzivas instrukciojn por agordi viajn TACACS+ uzantojn por fora aŭtentigo kaj rajtigo. Antaŭ ol vi komencas agordon, review la detalojn en ĉi tiu sekcio por certigi, ke vi ĝuste agordas viajn uzantojn.
Agordado de Uzantnomoj
Por fora aŭtentigo kaj rajtigo, vi povas agordi viajn uzantojn en ISE. Por loka aŭtentigo kaj rajtigo, agordu viajn uzantojn en la Administranto.
l Malproksima: Por agordi viajn uzantojn en ISE, sekvu la instrukciojn en ĉi tiu agorda gvidilo.
l Loka: Por agordi viajn uzantojn nur loke, ensalutu en la Administranton. El la ĉefa menuo, elektu Agordi > Tutmonda > Uzanto-Administrado. Elektu Helpon por instrukcioj.
Kazosentemaj Uzantnomoj
Kiam vi agordas malproksimajn uzantojn, ebligu distingon inter majuskloj kaj minuskloj ĉe la malproksima servilo. Se vi ne ebligas distingon inter majuskloj kaj minuskloj ĉe la malproksima servilo, uzantoj eble ne povos aliri siajn datumojn kiam ili ensalutas al Secure Network Analytics.
Duplikataj Uzantnomoj
Ĉu vi agordas uzantnomojn malproksime (en ISE) aŭ loke (en la Administranto), certigu, ke ĉiuj uzantnomoj estas unikaj. Ni ne rekomendas duobligi uzantnomojn tra malproksimaj serviloj kaj Sekura Reta Analizo.
Se uzanto ensalutas en la Administranton, kaj ili havas la saman uzantnomon agorditan en Sekura Reta Analizo kaj ISE, ili nur aliros siajn lokajn Administranton/Sekuran Retan Analizo-datumojn. Ili ne povas aliri siajn malproksimajn TACACS+ datumojn se ilia uzantnomo estas duobligita.
Pli fruaj versioj
Se vi jam agordis TACACS+ en pli frua versio de Cisco Secure Network Analytics (Stealthwatch v7.1.1 kaj pli fruaj), certigu, ke vi kreas novajn uzantojn kun unikaj nomoj por v7.1.2 kaj pli novaj. Ni ne rekomendas uzi aŭ duplikati la uzantnomojn el pli fruaj versioj de Secure Network Analytics.
Por daŭre uzi uzantnomojn kreitajn en versio 7.1.1 kaj pli fruaj, ni rekomendas ŝanĝi ilin al nur lokaj en via ĉefa Administranto kaj la Skribotabla Kliento. Vidu la Helpon por instrukcioj.

-7-

Uzanto Roloj Finisview

Agordante Identgrupojn kaj Uzantojn
Por rajtigita uzanto-ensaluto, vi mapos ŝelan profesiulon.files al viaj uzantoj. Por ĉiu ŝela profesiulofile, vi povas asigni la rolon de Ĉefa Administranto aŭ krei kombinaĵon de ne-administrantaj roloj. Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj. Se vi kreas kombinaĵon de ne-administrantaj roloj, certigu, ke ĝi plenumas la postulojn.
Ĉefa Administra Rolo
Ĉefa Administranto povas view ĉiujn funkciojn kaj ŝanĝi ion ajn. Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj.

Rolo Ĉefa Administranto

Atributa Valoro cisco-stealthwatch-master-admin

Kombino de Ne-Administraj Roloj
Se vi kreas kombinaĵon de ne-administrantaj roloj por via ŝel-profesiulofile, certigu, ke ĝi inkluzivas la jenon:
l 1 Datumrolo (nur) l 1 aŭ pli Web rolo l 1 aŭ pli da Skribotabla Klienta roloj
Por detaloj, vidu la tabelon Atributaj Valoroj.
Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj. Se vi kreas kombinaĵon de ne-administrantaj roloj, certigu, ke ĝi plenumas la postulojn.

-8-

Uzanto Roloj Finisview

Atributaj Valoroj
Por pliaj informoj pri ĉiu tipo de rolo, alklaku la ligilon en la kolumno "Devigaj Roloj".

Bezonataj Roloj 1 Datumrolo (nur)
1 aŭ pli Web rolo
1 aŭ pli da roloj de Skribotabla Kliento

Atributa Valoro
l cisco-stealthwatch-ĉiuj-datumoj-legas-kaj-skribas l cisco-stealthwatch-ĉiuj-datumoj-nurlegas
l cisco-stealthwatch-konfiguracia-manaĝero l cisco-stealthwatch-potenc-analizisto l cisco-stealthwatch-analizisto
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-configuration-manager l cisco-stealthwatch-desktop-network-engineer l cisco-stealthwatch-desktop-security-analyst

Resumo de Roloj
Ni provizis resumon de ĉiu rolo en la jenaj tabeloj. Por pliaj informoj pri uzantaj roloj en Sekura Reta Analizo, viduview la paĝo Uzantadministrado en Helpo.
Datenroloj
Certigu, ke vi elektas nur unu datuman rolon.

Datuma Rolo

Permesoj

Ĉiuj Datumoj (Nurlegeblaj)

La uzanto povas view datumojn en iu ajn domajno aŭ gastiga grupo, aŭ sur iu ajn aparato aŭ aparato, sed ne povas fari iujn ajn agordojn.

Ĉiuj Datumoj (Legado kaj Skribado)

La uzanto povas view kaj agordi datumojn en iu ajn domajno aŭ gastiga grupo, aŭ sur iu ajn aparato aŭ aparato.

La specifa funkcio (fluoserĉo, strategiadministrado, retklasifiko, ktp.), kiun la uzanto povas view kaj/aŭ agordi estas determinita de la uzanto web rolo.

-9-

Uzanto Roloj Finisview

Web Roloj

Web Rolo

Permesoj

Potenca Analizisto

La Potenco-Analizisto povas plenumi la komencan esploron pri trafiko kaj fluoj, kaj ankaŭ konfiguri politikojn kaj gastigantajn grupojn.

Administranto de agordo

La Agordo-Manaĝero povas view agordo-rilata funkcio.

Analizisto

La analizisto povas plenumi la komencan esploron pri trafiko kaj fluoj.

Roloj de Skribtablaj Klientoj

Web Rolo

Permesoj

Administranto de agordo

La Agordo-Manaĝero povas view ĉiujn menuerojn kaj agordi ĉiujn aparatojn, aparatojn kaj domajnajn agordojn.

Reta Inĝeniero

La Retinĝeniero povas view ĉiujn trafik-rilatajn menuerojn ene de la Skribotabla Kliento, aldoni alarmon kaj gastigajn notojn, kaj plenumi ĉiujn alarmagojn, krom mildigo.

Sekureca Analizisto

La Sekureca Analizisto povas view ĉiujn sekurec-rilatajn menuerojn, aldoni alarmon kaj gastigajn notojn, kaj plenumi ĉiujn alarmagojn, inkluzive de mildigo.

Sekura Reta Analizo Potenca Uzanto

La Potenca Uzanto de Sekura Reta Analizo povas view ĉiujn menuerojn, agnoski alarmojn, kaj aldoni alarmon kaj gastiganton notojn, sed sen la ebleco ŝanĝi ion ajn.

– 10 –

Process Overview
Process Overview
Vi povas agordi Cisco ISE por provizi TACACS+. Por sukcese agordi TACACS+-agordojn kaj rajtigi TACACS+ en Secure Network Analytics, certigu, ke vi plenumas la jenajn procedurojn:
1. Agordu TACACS+ en ISE 2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo 3. Testi Foran TACACS+ Uzanton Ensaluton

– 11 –

1. Agordu TACACS+ en ISE
1. Agordu TACACS+ en ISE
Uzu la jenajn instrukciojn por agordi TACACS+ ĉe ISE. Ĉi tiu agordo ebligas al viaj malproksimaj TACACS+ uzantoj ĉe ISE ensaluti al Secure Network Analytics.
Antaŭ ol vi Komencu
Antaŭ ol komenci ĉi tiujn instrukciojn, instalu kaj agordu ISE uzante la instrukciojn en la ISE-dokumentaro por via motoro. Tio inkluzivas certigi, ke viaj atestiloj estas ĝuste agorditaj.
Uzantnomoj
Ĉu vi agordas uzantnomojn malproksime (en ISE) aŭ loke (en la Administranto), certigu, ke ĉiuj uzantnomoj estas unikaj. Ni ne rekomendas duobligi uzantnomojn tra malproksimaj serviloj kaj Sekura Reta Analizo.
Duplikatitaj Uzantnomoj: Se uzanto ensalutas en la Administranton, kaj ili havas la saman uzantnomon agorditan en Sekura Reta Analizo kaj ISE, ili nur aliros siajn lokajn Administranton/Sekuran Retan Analizo-datumojn. Ili ne povas aliri siajn malproksimajn TACACS+ datumojn se ilia uzantnomo estas duplikatigita.
Kazosentemaj Uzantnomoj: Kiam vi agordas malproksimajn uzantojn, ebligu kazosentemon sur la malproksima servilo. Se vi ne ebligas kazosentemon sur la malproksima servilo, uzantoj eble ne povos aliri siajn datumojn kiam ili ensalutas al Sekura Reta Analizo.
Uzantaj Roloj
Por ĉiu TACACS+ profesiulofile en ISE, vi povas asigni la rolon de Ĉefa Administranto aŭ krei kombinaĵon de ne-administrantaj roloj.
Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj. Se vi kreas kombinaĵon de ne-administrantaj roloj, certigu, ke ĝi plenumas la postulojn. Por pliaj informoj pri uzantroloj, vidu Uzantroloj Superview.
1. Ebligi Aparatan Administradon en ISE
Uzu la jenajn instrukciojn por aldoni la servon TACACS+ al ISE.
1. Ensalutu al via ISE kiel administranto. 2. Elektu Laborcentrojn > Administrado de Aparatoj > Superview.

– 12 –

1. Agordu TACACS+ en ISE
Se Aparata Administrado ne estas montrata en Laborcentroj, iru al Administrado > Sistemo > Licencado. En la sekcio Licencado, konfirmu, ke la Permesilo por Aparata Administrado estas montrata. Se ĝi ne estas montrata, aldonu la licencon al via konto. 3. Elektu Deplojon.
4. Elektu Ĉiujn Strategiajn Servo-Nodojn aŭ Specifajn Nodojn. 5. En la kampon TACACS-Havenoj, enigu 49.

6. Klaku Konservi.
2. Kreu TACACS+ Profiles
Uzu la jenajn instrukciojn por aldoni TACACS+ ŝelon profiles al ISE. Vi ankaŭ uzos ĉi tiujn instrukciojn por asigni la bezonatajn rolojn al la ŝel-profesiulofile.
1. Elektu Laborcentrojn > Administradon de Aparatoj > Politikajn Elementojn. 2. Elektu Rezultojn > TACACS Profiles. 3. Alklaku Aldoni. 4. En la kampon Nomo, enigu unikan uzantnomon.
Por detaloj pri uzantnomoj vidu Uzanto-Rolojn Superview.

– 13 –

1. Agordu TACACS+ en ISE
5. En la falmenuo Komuna Taskotipo, elektu Ŝelon. 6. En la sekcio Propraj Atributoj, alklaku Aldoni. 7. En la kampo Tipo, elektu Deviga. 8. En la kampo Nomo, enigu rolon. 9. En la kampo Valoro, enigu la atributvaloron por Ĉefa Administranto aŭ kreu kombinaĵon.
de ne-administrantaj roloj. l Konservi: Alklaku la ikonon Kontroli por konservi la rolon. l Kombinaĵo de Ne-Administrantaj Roloj: Se vi kreas kombinaĵon de ne-administrantaj roloj, ripetu paŝojn 5 ĝis 8 ĝis vi aldonis vicon por ĉiu bezonata rolo (Datumrolo, Web rolo, kaj rolo de Skribotabla Kliento).

– 14 –

1. Agordu TACACS+ en ISE

Ĉefa Administra Rolo
Ĉefa Administranto povas view ĉiujn funkciojn kaj ŝanĝi ion ajn. Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj.

Rolo Ĉefa Administranto

Atributa Valoro cisco-stealthwatch-master-admin

Kombino de Ne-Administraj Roloj
Se vi kreas kombinaĵon de ne-administrantaj roloj por via ŝel-profesiulofile, certigu, ke ĝi inkluzivas la jenon:
l 1 Datumrolo (nur): certigu, ke vi elektas nur unu datumrolon l 1 aŭ pli Web rolo l 1 aŭ pli da Skribotabla Klienta roloj

Bezonataj Roloj 1 Datumrolo (nur)
1 aŭ pli Web rolo
1 aŭ pli da roloj de Skribotabla Kliento

Se vi asignas la rolon de Ĉefa Administranto al ŝelprofesiulofile, neniuj aldonaj roloj estas permesitaj. Se vi kreas kombinaĵon de ne-administrantaj roloj, certigu, ke ĝi plenumas la postulojn.
10. Alklaku Konservi. 11. Ripetu la paŝojn en 2. Kreu TACACS+ Pro.files por aldoni ajnan plian TACACS+
ŝelo profesiulofiles al ISE.

– 15 –

1. Agordu TACACS+ en ISE
Antaŭ ol vi daŭrigos al 3. Map Shell Profileal Grupoj aŭ Uzantoj, vi devas krei Uzantojn, Uzanto-Identigan Grupon (nedeviga), kaj TACACS+ komandarojn. Por instrukcioj pri kiel krei Uzantojn, Uzanto-Identigan Grupon, kaj TACACS+ komandarojn, vidu la ISE-dokumentaron por via motoro.
3. Mapo Ŝelo Profesiulofiles al Grupoj aŭ Uzantoj
Uzu la jenajn instrukciojn por mapi vian ŝelan profesiulonfiles al viaj rajtigaj reguloj.
1. Elektu Laborcentrojn > Administrado de Aparatoj > Aroj de Politikaroj por Administrantoj de Aparatoj. 2. Trovu la nomon de via aro de strategiaroj. Alklaku la ikonon Sago. 3. Trovu vian rajtigan politikon. Alklaku la ikonon Sago. 4. Alklaku la ikonon + Plus.

5. En la kampo Kondiĉoj, alklaku la ikonon + Plus. Agordu la kondiĉojn de la politiko.
l Uzanto-identiga grupo: Se vi agordis uzantan identecan grupon, vi povas krei kondiĉon kiel ekzemple “InternalUser.IdentityGroup”.
Por ekzample, “InternaUzanto.IdentecoGrupo EGALAS AL " por kongrui kun specifa uzanta identecgrupo.
l Individua uzanto: Se vi agordis individuan uzanton, vi povas krei kondiĉon kiel ekzemple “InternaUzanto.Nomo”.
Por ekzample, “InternaUzanto.Nomo EGALAS AL " por kongrui kun specifa uzanto.

– 16 –

1. Agordu TACACS+ en ISE
Helpo: Por instrukcioj pri Conditions Studio, alklaku la helpo-ikonon ?.
6. En la Ŝelo Profesiulofiles kampo, elektu la ŝelan profesiulonfile vi kreis en 2. Kreu TACACS+ Profiles.
7. Ripetu la paŝojn en 3. Map Shell Profiles al Grupoj aŭ Uzantoj ĝis vi mapis ĉiujn ŝelajn programojnfiles al viaj rajtigaj reguloj.

– 17 –

1. Agordu TACACS+ en ISE
4. Aldonu Sekuran Retan Analizon kiel Retan Aparaton
1. Elektu Administradon > Retajn Rimedojn > Retajn Aparatojn. 2. Elektu Retajn Aparatojn, alklaku +Aldoni. 3. Plenigu la informojn por via ĉefa Administranto, inkluzive de la jenaj kampoj:
l Nomo: Enigu la nomon de via Manaĝero. l IP-Adreso: Enigu la IP-adreson de la Manaĝero. l Komuna Sekreto: Enigu la komunan sekretan ŝlosilon. 4. Alklaku Konservi. 5. Konfirmu, ke la retaparato estas konservita en la listo Retaj Aparatoj.
6. Iru al 2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo.

– 18 –

2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo

2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo
Uzu la jenajn instrukciojn por aldoni la TACACS+ servilon al Secure Network Analytics kaj ebligi foran rajtigon.
Nur ĉefa administranto povas aldoni la TACACS+ servilon al Sekura Reta Analizo.

Vi povas aldoni nur unu TACACS+ servilon al la TACACS+ aŭtentiga servo.
1. Ensalutu al via ĉefa Administranto. 2. El la ĉefa menuo, elektu Agordi > Tutmonda > Uzanto-Administrado. 3. Alklaku la langeton Aŭtentigo kaj Rajtigo. 4. Alklaku Krei. Elektu Aŭtentigo-Servon. 5. Alklaku la falmenuon Aŭtentigo-Servo. Elektu TACACS+. 6. Plenigu la kampojn:

Kampo Aŭtentiga Servo Nomo Priskribo
Kaŝmemora Taŭgeco (Sekundoj)
Prefikso

Notoj
Enigu unikan nomon por identigi la servilon.
Enigu priskribon, kiu specifas kiel aŭ kial la servilo estas uzata.
La daŭro (en sekundoj) dum kiu uzantnomo aŭ pasvorto estas konsiderata valida antaŭ ol Secure Network Analytics postulas reenigon de la informoj.
Ĉi tiu kampo estas laŭvola. La prefiksa ĉeno estas metita komence de la uzantnomo kiam la nomo estas sendita al la RADIUS- aŭ TACACS+-servilo. Ekzempleampekzemple, se la uzantnomo estas zoe kaj la prefikso de la regno estas DOMAIN-

– 19 –

Sufikso
Servila IP-adreso Pordo Sekreta ŝlosilo

2. Ebligi TACACS+ Rajtigon en Sekura Reta Analizo
A, la uzantnomo DOMAIN-Azoe estas sendita al la servilo. Se vi ne agordas la kampon Prefikso, nur la uzantnomo estas sendita al la servilo.
Ĉi tiu kampo estas laŭvola. La sufikso ĉeno estas metata ĉe la fino de la uzantnomo. EkzempleampEkzemple, se la sufikso estas @miadomajno.com, la uzantonomo zoe@miadomajno.com estas sendita al la TACACS+ servilo. Se vi ne agordas la kampon Sufikso, nur la uzantonomo estas sendita al la servilo.
Uzu aŭ IPv4 aŭ IPv6 adresojn dum agordado de aŭtentigaj servoj.
Enigu iujn ajn nombrojn de 0 ĝis 65535, kiuj respondas al la koncerna pordo.
Enigu la sekretan ŝlosilon, kiu estis agordita por la koncerna servilo.

7. Alklaku Konservi. La nova TACACS+ servilo estas aldonita, kaj informoj pri la servilo montriĝas.
8. Alklaku la menuon Agoj por la TACACS+ servilo. 9. Elektu Ebligi Foran Rajtigon el la falmenuo. 10. Sekvu la surekranajn instrukciojn por ebligi TACACS+.

– 20 –

3. Testu Ensaluton de Malproksima TACACS+ Uzanto
3. Testu Ensaluton de Malproksima TACACS+ Uzanto
Uzu la jenajn instrukciojn por ensaluti en la Administranton. Por fora TACACS+ rajtigo, certigu, ke ĉiuj uzantoj ensalutas per la Administranto.
Por ensaluti rekte al aparato kaj uzi la Administradon de Aparatoj, ensalutu loke. 1. En la adreskampo de via retumilo, tajpu la jenon:
https:// followed by the IP address of your Manager.
2. Enigu la uzantnomon kaj pasvorton de fora TACACS+ uzanto. 3. Alklaku Ensaluti.
Se uzanto ne povas ensaluti en la Administranton, review la sekcio pri solvo de problemoj.

– 21 –

Solvado de problemoj

Solvado de problemoj
Se vi renkontas iun ajn el ĉi tiuj solvadscenaroj, kontaktu vian administranton por re-view la agordon kun la solvoj, kiujn ni provizis ĉi tie. Se via administranto ne povas solvi la problemojn, bonvolu kontakti Cisco-Subtenon.
Scenaroj

Scenaro Specifa TACACS+ uzanto ne povas ensaluti
Ĉiuj TACACS+ uzantoj ne povas ensaluti

Notoj
l Review la Kontrolprotokolon por malsukceso de uzanta ensaluto kun Neleĝaj Mapadoj aŭ Malvalida Kombinaĵo de Roloj. Tio povas okazi se la ŝelprogramo de la identecgrupofile inkluzivas Ĉefan Administranton kaj aldonajn rolojn, aŭ se la kombinaĵo de ne-administrantaj roloj ne plenumas la postulojn. Vidu Uzanto-Rolojn Superview por detaloj.
Certigu, ke la uzantnomo de TACACS+ ne estas la sama kiel loka (Secure Network Analytics) uzantnomo. Vidu Uzanto-Rolojn Superview por detaloj.
Kontrolu la TACACS+-agordon en Sekura Reta Analizo.
Kontrolu la agordon ĉe la TACACS+ servilo.
l Certigu, ke la TACACS+ servilo funkcias. l Certigu, ke la TACACS+ servo estas ebligita en
Sekura Reta Analizo: l Povas esti difinitaj pluraj aŭtentigaj serviloj, sed nur unu povas esti ebligita por rajtigo. Vidu 2.
Ebligi TACACS+ Rajtigon en Sekura Reta Analizo por detaloj. l Por ebligi rajtigon por specifa TACACS+ servilo, vidu 2. Ebligi
TACACS+ Rajtigo en Sekura Reta Analizo por detaloj.

– 22 –

Solvado de problemoj

Kiam uzanto ensalutas, ili povas aliri la Administranton nur loke.

Se uzanto ekzistas kun la sama uzantnomo en Secure Network Analytics (loka) kaj la TACACS+ servilo (malproksima), la loka ensaluto superregas la malproksiman ensaluton. Vidu Uzanto-Rolojn Superview por detaloj.

– 23 –

Kontaktante Subtenon
Kontaktante Subtenon
Se vi bezonas teknikan subtenon, bonvolu fari unu el la sekvaj: l Kontaktu vian lokan Cisco Partner l Kontaktu Cisco Support l Por malfermi kazon per webhttp://www.cisco.com/c/en/us/support/index.html l Por telefona subteno: 1-800-553-2447 (Usono) l Por tutmondaj subtenaj numeroj: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

– 24 –

Ŝanĝi Historion

Dokumenta Versio 1_0

Publikigita dato 21-a de aŭgusto 2025

Ŝanĝi Historion
Priskribo Komenca versio.

– 25 –

Kopirajtaj Informoj
Cisco kaj la Cisco-emblemo estas varmarkoj aŭ registritaj varmarkoj de Cisco kaj/aŭ ĝiaj filioj en Usono kaj aliaj landoj. Al view listo de Cisco-varmarkoj, iru al ĉi tio URL: https://www.cisco.com/go/trademarks. Triaj varmarkoj menciitaj estas la posedaĵo de siaj respektivaj posedantoj. La uzo de la vorto partnero ne implicas partneran rilaton inter Cisco kaj iu ajn alia kompanio. (1721R)
© 2025 Cisco Systems, Inc. kaj/aŭ ĝiaj filioj. Ĉiuj rajtoj rezervitaj.

Dokumentoj/Rimedoj

Cisco TACACS+ Sekura Reta Analizo [pdf] Uzantogvidilo
7.5.3, TACACS Sekura Reta Analizo, TACACS, Sekura Reta Analizo, Reta Analizo, Analizo

Referencoj

Uzanto Manlibro

Gvidilo por uzanto pri sekura reto-analizo de Cisco TACACS+

TACACS+ Sekura Reta Analizo

Specifoj

Produktaj Informoj

Produktaj Uzado-Instrukcioj

Enkonduko

Publiko

Terminologio

Kongrueco

Responda Administrado

Malsukceso

Oftaj Demandoj

Ĉu TACACS+ povas esti uzata kun la ebligita Konformeca Reĝimo?

Dokumentoj/Rimedoj

Referencoj

Lasu komenton

Nuligi respondon