Uporabniški priročnik za Cisco TACACS+ Secure Network Analytics

Cisco Secure Network Analytics, znan tudi kot Stealthwatch,
uporablja sistem za nadzor dostopa Terminal Access Controller
(TACACS+) protokol za storitve preverjanja pristnosti in avtorizacije.
Uporabnikom omogoča dostop do več aplikacij z enim samim naborom
poverilnic.

Navodila za uporabo izdelka

Uvod

Za konfiguracijo TACACS+ za Cisco Secure Network Analytics sledite
korake, opisane v tem priročniku.

Občinstvo

Ta priročnik je namenjen omrežnim skrbnikom in osebju
odgovoren za namestitev in konfiguracijo varne omrežne analitike
izdelkov. Za profesionalno namestitev se obrnite na lokalnega Ciscovega serviserja.
Podpora partnerja ali Cisco.

Terminologija

V priročniku se izdelek nanaša na aparat, vključno z
virtualni izdelki, kot je Cisco Secure Network Analytics Flow
Sensor Virtual Edition. Gruče so skupine naprav, ki jih upravljate
s strani upravitelja analitike varnega omrežja Cisco.

Združljivost

Zagotovite, da se vsi uporabniki prijavijo prek upravitelja za TACACS+
preverjanje pristnosti in avtorizacije. Nekatere funkcije, kot sta FIPS in
Način skladnosti ni na voljo, ko je omogočen TACACS+.

Upravljanje odzivov

Konfigurirajte upravljanje odgovorov v upravitelju za prejemanje e-pošte
opozorila, poročila itd. Uporabniki morajo biti konfigurirani kot lokalni uporabniki na
Upravitelj za to funkcijo.

Failover

Pri uporabi upraviteljev v paru za preklop v primeru okvare upoštevajte, da je TACACS+
na voljo samo v primarnem upravitelju. Če je konfigurirano v primarnem
Upravitelj, TACACS+ ni podprt na sekundarnem upravitelju. Povišaj
sekundarnega upravitelja na primarnega za uporabo zunanje avtentikacije
storitve na njem.

pogosta vprašanja

V: Ali se lahko TACACS+ uporablja z omogočenim načinom skladnosti?

O: Ne, preverjanje pristnosti in avtorizacija TACACS+ ne podpirata
Način skladnosti. Prepričajte se, da je način skladnosti onemogočen, ko uporabljate
TACACS+.

“`

View Fullscreen

Cisco Secure Network Analytics
Konfiguracijski vodnik TACACS+ 7.5.3

Kazalo

Uvod

Občinstvo

Terminologija

Združljivost

Upravljanje odzivov

Failover

Priprava

Uporabniške vlogeview

Konfiguriranje uporabniških imen

Uporabniška imena, ki razlikujejo med velikimi in malimi črkami

Podvojena uporabniška imena

Starejše različice

Konfiguriranje skupin identitet in uporabnikov

Primarna skrbniška vloga

Kombinacija neskrbniških vlog

Vrednosti atributov

Povzetek vlog

Vloge podatkov

Web Vloge

Vloge namiznih odjemalcev

Proces Konecview

1. Konfigurirajte TACACS+ v ISE

Preden začnete

Uporabniška imena

Uporabniške vloge

1. Omogočite upravljanje naprav v ISE

2. Ustvarite TACACS+ Profiles

Primarna skrbniška vloga

-2-

Kombinacija neskrbniških vlog

3. Zemljevid lupine Profiles skupinam ali uporabnikom

4. Dodajte varno omrežno analitiko kot omrežno napravo

2. Omogočite avtorizacijo TACACS+ v storitvi Secure Network Analytics

3. Preizkusite oddaljeno prijavo uporabnika TACACS+

Odpravljanje težav

Scenariji

Stik s podporo

Zgodovina sprememb

-3-

Uvod
Uvod
Sistem za nadzor dostopa terminalskega dostopa (TACACS+) je protokol, ki podpira storitve preverjanja pristnosti in avtorizacije ter uporabniku omogoča dostop do več aplikacij z enim nizom poverilnic. Za konfiguracijo TACACS+ za Cisco Secure Network Analytics (prej Stealthwatch) uporabite naslednja navodila.
Občinstvo
Ta priročnik je namenjen skrbnikom omrežja in drugemu osebju, ki je odgovorno za namestitev in konfiguriranje izdelkov za varno omrežno analitiko.
Če želite sodelovati s profesionalnim monterjem, se obrnite na lokalnega Ciscovega partnerja ali na Ciscovo podporo.
Terminologija
V tem priročniku se izraz »naprava« uporablja za kateri koli izdelek Secure Network Analytics, vključno z virtualnimi izdelki, kot je Cisco Secure Network Analytics Flow Sensor Virtual Edition.
»Gruča« je vaša skupina naprav Secure Network Analytics, ki jih upravlja Cisco Secure Network Analytics Manager (prej Stealthwatch Management Console ali SMC).
V različici 7.4.0 smo izdelke Cisco Stealthwatch Enterprise preimenovali v Cisco Secure Network Analytics. Celoten seznam najdete v opombah ob izdaji. V tem priročniku boste videli naše prejšnje ime izdelka, Stealthwatch, ki se uporablja, kadar koli je to potrebno zaradi jasnosti, ter terminologijo, kot sta Stealthwatch Management Console in SMC.

-4-

Uvod
Združljivost
Za preverjanje pristnosti in avtorizacijo TACACS+ se prepričajte, da so vsi uporabniki prijavljeni prek Upravitelja. Če se želite neposredno prijaviti v napravo in uporabljati Skrbništvo naprav, se prijavite lokalno.
Naslednje funkcije niso na voljo, ko je omogočen TACACS+: FIPS, način skladnosti.
Upravljanje odzivov
Upravljanje odzivov je konfigurirano v programu Manager. Če želite prejemati e-poštna opozorila, načrtovana poročila itd., se prepričajte, da je uporabnik v programu Manager konfiguriran kot lokalni uporabnik. Pojdite v Konfiguriraj > Zaznavanje > Upravljanje odzivov in za navodila glejte pomoč.
Failover
Če ste upravitelje konfigurirali kot par za preklop v primeru okvare, upoštevajte naslednje informacije:
TACACS+ je na voljo samo v primarnem upravitelju. TACACS+ ni podprt v sekundarnem upravitelju.
Če je TACACS+ konfiguriran v primarnem upravitelju, uporabniški podatki TACACS+ niso na voljo v sekundarnem upravitelju. Preden lahko uporabite konfigurirane zunanje storitve preverjanja pristnosti v sekundarnem upravitelju, morate sekundarnega upravitelja povišati v primarnega.
Če sekundarnega upravitelja povišate v primarnega:
l Omogočite TACACS+ in oddaljeno avtorizacijo v sekundarnem upravitelju. l Vsi zunanji uporabniki, prijavljeni v znižanega primarnega upravitelja, bodo zabeleženi.
ven. l Sekundarni upravitelj ne hrani uporabniških podatkov primarnega upravitelja,
zato podatki, shranjeni v primarnem upravitelju, niso na voljo v novem (povišanem) primarnem upravitelju. l Ko se oddaljeni uporabnik prvič prijavi v novega primarnega upravitelja, bodo ustvarjeni uporabniški imeniki in podatki bodo shranjeni od takrat naprej.
l Review Navodila za preklop ob okvari: Za več informacij glejte Vodnik za konfiguracijo preklopa ob okvari.

-5-

Priprava

Priprava
TACACS+ lahko konfigurirate v storitvi Cisco Identity Services Engine (ISE).
Za centralizirano preverjanje pristnosti in avtorizacije priporočamo uporabo Cisco Identity Services Engine (ISE). Lahko pa namestite tudi samostojni strežnik TACACS+ ali integrirate kateri koli drug združljiv strežnik za preverjanje pristnosti glede na vaše specifične zahteve.
Prepričajte se, da imate vse, kar potrebujete za začetek konfiguracije.

Zahteva Cisco Identity Services Engine (ISE) TACACS+ Server Desktop Client

Podrobnosti
Namestite in konfigurirajte ISE z uporabo navodil v dokumentaciji ISE za vaš mehanizem.
Za konfiguracijo boste potrebovali IP-naslov, vrata in skupni tajni ključ. Potrebovali boste tudi licenco za upravljanje naprav.
Za konfiguracijo boste potrebovali IP-naslov, vrata in skupni tajni ključ.
Za to konfiguracijo boste uporabili namizni odjemalec, če želite uporabljati vloge po meri za namizne računalnike. Če želite namestiti namizni odjemalec, glejte Vodnik za konfiguracijo sistema Cisco Secure Network Analytics, ki ustreza vaši različici Secure Network Analytics.

-6-

Uporabniške vlogeview
Uporabniške vlogeview
Ta priročnik vsebuje navodila za konfiguriranje uporabnikov TACACS+ za oddaljeno preverjanje pristnosti in avtorizacijo. Preden začnete s konfiguracijo, ponovnoview podrobnosti v tem razdelku, da zagotovite pravilno konfiguracijo uporabnikov.
Konfiguriranje uporabniških imen
Za oddaljeno preverjanje pristnosti in avtorizacijo lahko uporabnike konfigurirate v ISE. Za lokalno preverjanje pristnosti in avtorizacijo konfigurirajte uporabnike v Upravitelju.
l Oddaljeno: Če želite konfigurirati uporabnike v ISE, sledite navodilom v tem konfiguracijskem priročniku.
Lokalno: Če želite uporabnike konfigurirati samo lokalno, se prijavite v Upravitelja. V glavnem meniju izberite Konfiguriraj > Globalno > Upravljanje uporabnikov. Za navodila izberite Pomoč.
Uporabniška imena, ki razlikujejo med velikimi in malimi črkami
Ko konfigurirate oddaljene uporabnike, omogočite razlikovanje med velikimi in malimi črkami na oddaljenem strežniku. Če na oddaljenem strežniku ne omogočite razlikovanja med velikimi in malimi črkami, uporabniki morda ne bodo mogli dostopati do svojih podatkov, ko se prijavijo v storitev Secure Network Analytics.
Podvojena uporabniška imena
Ne glede na to, ali uporabniška imena konfigurirate na daljavo (v ISE) ali lokalno (v Managerju), se prepričajte, da so vsa uporabniška imena enolična. Ne priporočamo podvajanja uporabniških imen na oddaljenih strežnikih in v storitvi Secure Network Analytics.
Če se uporabnik prijavi v program Manager in ima v storitvah Secure Network Analytics in ISE konfigurirano isto uporabniško ime, bo dostopal le do svojih lokalnih podatkov v programu Manager/Secure Network Analytics. Do svojih oddaljenih podatkov TACACS+ ne bo mogel dostopati, če je njegovo uporabniško ime podvojeno.
Starejše različice
Če ste konfigurirali TACACS+ v starejši različici programa Cisco Secure Network Analytics (Stealthwatch v7.1.1 in starejše različice), poskrbite, da boste za različico v7.1.2 in novejše ustvarili nove uporabnike z edinstvenimi imeni. Ne priporočamo uporabe ali podvajanja uporabniških imen iz starejših različic programa Secure Network Analytics.
Če želite še naprej uporabljati uporabniška imena, ki so bila ustvarjena v različici 7.1.1 in starejših, priporočamo, da jih v primarnem upravitelju in namiznem odjemalcu spremenite v lokalna. Za navodila glejte pomoč.

-7-

Uporabniške vlogeview

Konfiguriranje skupin identitet in uporabnikov
Za prijavo pooblaščenega uporabnika boste preslikali shell profileza vaše uporabnike. Za vsakega lupinskega strokovnjakafile, lahko dodelite vlogo primarnega skrbnika ali ustvarite kombinacijo vlog, ki niso skrbniki. Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene. Če ustvarite kombinacijo vlog, ki niso skrbniške, se prepričajte, da izpolnjuje zahteve.
Primarna skrbniška vloga
Glavni skrbnik lahko view vse funkcionalnosti in karkoli spremeniti. Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene.

Vloga glavnega skrbnika

Vrednost atributa cisco-stealthwatch-master-admin

Kombinacija neskrbniških vlog
Če za svoj shell pro ustvarite kombinacijo neskrbniških vlogfile, se prepričajte, da vključuje naslednje:
l 1 Podatkovna vloga (samo) l 1 ali več Web vloga l 1 ali več vlog namiznega odjemalca
Za podrobnosti glejte tabelo Vrednosti atributov.
Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene. Če ustvarite kombinacijo vlog, ki niso skrbniške, se prepričajte, da izpolnjuje zahteve.

-8-

Uporabniške vlogeview

Vrednosti atributov
Za več informacij o posamezni vrsti vloge kliknite povezavo v stolpcu Zahtevane vloge.

Zahtevane vloge 1 Vloga podatkov (samo)
1 ali več Web vlogo
1 ali več vlog namiznega odjemalca

Vrednost atributa
l cisco-stealthwatch-vsi-podatki-branje-in-pisanje l cisco-stealthwatch-vsi-podatki-samo-branje
l cisco-stealthwatch-configuration-manager l cisco-stealthwatch-power-analyst l cisco-stealthwatch-analyst
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-configuration-manager l cisco-stealthwatch-desktop-network-engineer l cisco-stealthwatch-desktop-security-analyst

Povzetek vlog
V naslednjih tabelah smo podali povzetek vsake vloge. Za več informacij o uporabniških vlogah v storitvi Secure Network Analytics glejteview stran Upravljanje uporabnikov v pomoči.
Vloge podatkov
Prepričajte se, da izberete samo eno podatkovno vlogo.

Vloga podatkov

Dovoljenja

Vsi podatki (samo za branje)

Uporabnik lahko view podatke v kateri koli domeni ali skupini gostiteljev ali na kateri koli napravi, vendar ne more izvajati nobenih konfiguracij.

Vsi podatki (branje in pisanje)

Uporabnik lahko view in konfigurirajte podatke v kateri koli domeni ali skupini gostiteljev ali na kateri koli napravi.

Specifične funkcionalnosti (iskanje pretoka, upravljanje pravilnikov, klasifikacija omrežja itd.), ki jih lahko uporabnik view in/ali konfiguracijo določa uporabnik web vlogo.

-9-

Uporabniške vlogeview

Web Vloge

Web Vloga

Dovoljenja

Analitik moči

Power Analyst lahko izvede začetno preiskavo prometa in tokov ter konfigurira pravilnike in skupine gostiteljev.

Upravitelj konfiguracije

Upravitelj konfiguracije lahko view funkcionalnost, povezana s konfiguracijo.

analitik

Analitik lahko opravi začetno preiskavo prometa in pretokov.

Vloge namiznih odjemalcev

Web Vloga

Dovoljenja

Upravitelj konfiguracije

Upravitelj konfiguracije lahko view vse elemente menija in konfigurirajte vse naprave, naprave in nastavitve domene.

Omrežni inženir

Omrežni inženir lahko view vse elemente menija, povezane s prometom, v namiznem odjemalcu, dodajanje opomb alarma in gostitelja ter izvajanje vseh dejanj alarma, razen blaženja.

Varnostni analitik

Varnostni analitik lahko view vse elemente menija, povezane z varnostjo, dodajanje opomb alarma in gostitelja ter izvajanje vseh dejanj alarma, vključno z blaženjem.

Uporabnik z visoko stopnjo znanja o varni omrežni analitiki

Uporabnik programa Secure Network Analytics Power User lahko view vse elemente menija, potrjevanje alarmov in dodajanje opomb alarma in gostitelja, vendar brez možnosti spreminjanja česar koli.

– 10 –

Proces Konecview
Proces Konecview
Cisco ISE lahko konfigurirate tako, da zagotavlja TACACS+. Če želite uspešno konfigurirati nastavitve TACACS+ in avtorizirati TACACS+ v storitvi Secure Network Analytics, morate izvesti naslednje postopke:
1. Konfigurirajte TACACS+ v ISE 2. Omogočite avtorizacijo TACACS+ v Secure Network Analytics 3. Preizkusite oddaljeno prijavo uporabnika TACACS+

– 11 –

1. Konfigurirajte TACACS+ v ISE
1. Konfigurirajte TACACS+ v ISE
Za konfiguracijo storitve TACACS+ v storitvi ISE uporabite naslednja navodila. Ta konfiguracija omogoča oddaljenim uporabnikom storitve TACACS+ v storitvi ISE prijavo v storitev Secure Network Analytics.
Preden začnete
Preden začnete s temi navodili, namestite in konfigurirajte ISE z uporabo navodil v dokumentaciji ISE za vaš mehanizem. To vključuje tudi preverjanje, ali so vaša potrdila pravilno nastavljena.
Uporabniška imena
Ne glede na to, ali uporabniška imena konfigurirate na daljavo (v ISE) ali lokalno (v Managerju), se prepričajte, da so vsa uporabniška imena enolična. Ne priporočamo podvajanja uporabniških imen na oddaljenih strežnikih in v storitvi Secure Network Analytics.
Podvojena uporabniška imena: Če se uporabnik prijavi v program Manager in ima v storitvah Secure Network Analytics in ISE konfigurirano isto uporabniško ime, bo dostopal le do svojih lokalnih podatkov v programu Manager/Secure Network Analytics. Če je njegovo uporabniško ime podvojeno, ne bo mogel dostopati do svojih oddaljenih podatkov TACACS+.
Uporabniška imena, ki razlikujejo velike in male črke: Ko konfigurirate oddaljene uporabnike, omogočite razlikovanje med velikimi in malimi črkami na oddaljenem strežniku. Če na oddaljenem strežniku ne omogočite razlikovanja med velikimi in malimi črkami, uporabniki morda ne bodo mogli dostopati do svojih podatkov, ko se prijavijo v storitev Secure Network Analytics.
Uporabniške vloge
Za vsak TACACS+ profile V ISE lahko dodelite vlogo primarnega skrbnika ali ustvarite kombinacijo vlog, ki niso skrbniki.
Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene. Če ustvarite kombinacijo neskrbniških vlog, se prepričajte, da izpolnjuje zahteve. Za več informacij o uporabniških vlogah glejte Uporabniške vloge nadview.
1. Omogočite upravljanje naprav v ISE
Za dodajanje storitve TACACS+ v ISE uporabite naslednja navodila.
1. Prijavite se v svoj ISE kot skrbnik. 2. Izberite Delovni centri > Upravljanje naprav > Prekoview.

– 12 –

1. Konfigurirajte TACACS+ v ISE
Če možnost Skrbništvo naprav ni prikazana v razdelku Delovni centri, pojdite na Skrbništvo > Sistem > Licenciranje. V razdelku Licenciranje potrdite, da je prikazana licenca za skrbništvo naprav. Če ni prikazana, jo dodajte v svoj račun. 3. Izberite Uvajanje.
4. Izberite Vsa vozlišča storitev pravilnikov ali Določena vozlišča. 5. V polje Vrata TACACS vnesite 49.

6. Kliknite Shrani.
2. Ustvarite TACACS+ Profiles
Za dodajanje TACACS+ shell pro uporabite naslednja navodilafiles do ISE. Ta navodila boste uporabili tudi za dodelitev zahtevanih vlog lupinskemu strokovnjakufile.
1. Izberite Delovni centri > Upravljanje naprav > Elementi pravilnika. 2. Izberite Rezultati > TACACS Profile3. Kliknite Dodaj. 4. V polje Ime vnesite enolično uporabniško ime.
Za podrobnosti o uporabniških imenih glejte Uporabniške vloge nadview.

– 13 –

1. Konfigurirajte TACACS+ v ISE
5. V spustnem meniju Vrsta običajne naloge izberite Lupina. 6. V razdelku Atributi po meri kliknite Dodaj. 7. V polju Vrsta izberite Obvezno. 8. V polje Ime vnesite vlogo. 9. V polje Vrednost vnesite vrednost atributa za primarnega skrbnika ali ustvarite kombinacijo.
neskrbniških vlog. l Shrani: Kliknite ikono za preverjanje, da shranite vlogo. l Kombinacija neskrbniških vlog: Če ustvarite kombinacijo neskrbniških vlog, ponavljajte korake od 5 do 8, dokler ne dodate vrstice za vsako zahtevano vlogo (vloga podatkov, Web vloga in vloga namiznega odjemalca).

– 14 –

1. Konfigurirajte TACACS+ v ISE

Primarna skrbniška vloga
Glavni skrbnik lahko view vse funkcionalnosti in karkoli spremeniti. Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene.

Vloga glavnega skrbnika

Vrednost atributa cisco-stealthwatch-master-admin

Kombinacija neskrbniških vlog
Če za svoj shell pro ustvarite kombinacijo neskrbniških vlogfile, se prepričajte, da vključuje naslednje:
l 1 Podatkovna vloga (samo): izberite samo eno podatkovno vlogo l 1 ali več Web vloga l 1 ali več vlog namiznega odjemalca

Zahtevane vloge 1 Vloga podatkov (samo)
1 ali več Web vlogo
1 ali več vlog namiznega odjemalca

Če vlogo primarnega skrbnika dodelite strokovnjaku za lupinofile, dodatne vloge niso dovoljene. Če ustvarite kombinacijo vlog, ki niso skrbniške, se prepričajte, da izpolnjuje zahteve.
10. Kliknite Shrani. 11. Ponovite korake v 2. Ustvarite TACACS+ Profileza dodajanje dodatnih TACACS+
lupina profiles do ISE.

– 15 –

1. Konfigurirajte TACACS+ v ISE
Preden nadaljujete s 3. Map Shell ProfileZa pretvorbo v skupine ali uporabnike morate ustvariti uporabnike, skupino uporabniških identitet (neobvezno) in nabore ukazov TACACS+. Za navodila o ustvarjanju uporabnikov, skupin uporabniških identitet in naborov ukazov TACACS+ glejte dokumentacijo ISE za vaš mehanizem.
3. Zemljevid lupine Profiles skupinam ali uporabnikom
Za mapiranje vašega Shell Pro uporabite naslednja navodilafiles pravili za avtorizacijo.
1. Izberite Delovni centri > Upravljanje naprav > Nabori pravilnikov za skrbnike naprav. 2. Poiščite ime nabora pravilnikov. Kliknite ikono puščice. 3. Poiščite pravilnik za avtorizacijo. Kliknite ikono puščice. 4. Kliknite ikono + Plus.

5. V polju Pogoji kliknite ikono + Plus. Konfigurirajte pogoje pravilnika.
l Skupina uporabniških identitet: Če ste konfigurirali skupino uporabniških identitet, lahko ustvarite pogoj, kot je »InternalUser.IdentityGroup«.
Na primerample, »InternalUser.IdentityGroup JE ENAKO« ", da se ujema z določeno skupino uporabniških identitet.
l Posamezni uporabnik: Če ste konfigurirali posameznega uporabnika, lahko ustvarite pogoj, kot je »ImeInternegaUporabnika«.
Na primerample, »NotranjeUporabniškoIme JE ENAKO« ", da se ujema z določenim uporabnikom.

– 16 –

1. Konfigurirajte TACACS+ v ISE
Pomoč: Za navodila za Conditions Studio kliknite ikono ? Pomoč.
6. V Shell ProfileV polju s izberite lupino profile ustvarili ste v 2. Ustvarite TACACS+ Profiles.
7. Ponovite korake v 3. koraku. Map Shell Profilev skupine ali uporabnike, dokler ne preslikate vseh shell profiles pravili za avtorizacijo.

– 17 –

1. Konfigurirajte TACACS+ v ISE
4. Dodajte varno omrežno analitiko kot omrežno napravo
1. Izberite Skrbništvo > Omrežni viri > Omrežne naprave. 2. Izberite Omrežne naprave in kliknite +Dodaj. 3. Izpolnite podatke za svojega primarnega upravitelja, vključno z naslednjimi polji:
l Ime: Vnesite ime svojega upravitelja. l Naslov IP: Vnesite naslov IP upravitelja. l Deljena skrivnost: Vnesite deljeni tajni ključ. 4. Kliknite Shrani. 5. Potrdite, da je omrežna naprava shranjena na seznam Omrežne naprave.
6. Pojdite na 2. Omogočite avtorizacijo TACACS+ v storitvi Secure Network Analytics.

– 18 –

2. Omogočite avtorizacijo TACACS+ v storitvi Secure Network Analytics

2. Omogočite avtorizacijo TACACS+ v storitvi Secure Network Analytics
Za dodajanje strežnika TACACS+ v storitev Secure Network Analytics in omogočanje oddaljene avtorizacije uporabite naslednja navodila.
Samo primarni skrbnik lahko doda strežnik TACACS+ v storitev Secure Network Analytics.

Storitvi za preverjanje pristnosti TACACS+ lahko dodate samo en strežnik TACACS+.
1. Prijavite se v svojega glavnega upravitelja. 2. V glavnem meniju izberite Konfiguriraj > Globalno > Upravljanje uporabnikov. 3. Kliknite zavihek Preverjanje pristnosti in avtorizacija. 4. Kliknite Ustvari. Izberite Storitev preverjanja pristnosti. 5. Kliknite spustni meni Storitev preverjanja pristnosti. Izberite TACACS+. 6. Izpolnite polja:

Ime storitve preverjanja pristnosti polja Opis
Časovna omejitev predpomnilnika (sekunde)
Predpona

Opombe
Vnesite enolično ime za identifikacijo strežnika.
Vnesite opis, ki določa, kako ali zakaj se strežnik uporablja.
Čas (v sekundah), ki ga uporabniško ime ali geslo šteje za veljavno, preden storitev Secure Network Analytics zahteva ponovni vnos podatkov.
To polje je neobvezno. Predpona se vstavi na začetek uporabniškega imena, ko je ime poslano strežniku RADIUS ali TACACS+. Na primerampče je uporabniško ime zoe in je predpona domene DOMAIN-

– 19 –

Pripona
Naslov IP strežnika Vrata Skrivni ključ

2. Omogočite avtorizacijo TACACS+ v storitvi Secure Network Analytics
A, uporabniško ime DOMAIN-Azoe se pošlje strežniku. Če ne konfigurirate polja Predpona, se strežniku pošlje samo uporabniško ime.
To polje je neobvezno. Pripona se namesti na konec uporabniškega imena. Na primerampČe je pripona @mydomain.com, se strežniku TACACS+ pošlje uporabniško ime zoe@mydomain.com. Če polja Pripona ne konfigurirate, se strežniku pošlje samo uporabniško ime.
Pri konfiguriranju storitev preverjanja pristnosti uporabite naslove IPv4 ali IPv6.
Vnesite poljubne številke od 0 do 65535, ki ustrezajo ustreznim vratom.
Vnesite tajni ključ, ki je bil konfiguriran za ustrezni strežnik.

7. Kliknite Shrani. Dodan je nov strežnik TACACS+ in prikazane so informacije o strežniku.
8. Kliknite meni Dejanja za strežnik TACACS+. 9. V spustnem meniju izberite Omogoči oddaljeno avtorizacijo. 10. Sledite pozivom na zaslonu, da omogočite TACACS+.

– 20 –

3. Preizkusite oddaljeno prijavo uporabnika TACACS+
3. Preizkusite oddaljeno prijavo uporabnika TACACS+
Za prijavo v program Manager sledite naslednjim navodilom. Za oddaljeno avtorizacijo TACACS+ se prepričajte, da se vsi uporabniki prijavijo prek programa Manager.
Če se želite neposredno prijaviti v napravo in uporabljati skrbništvo naprav, se prijavite lokalno. 1. V naslovno polje brskalnika vnesite naslednje:
https:// followed by the IP address of your Manager.
2. Vnesite uporabniško ime in geslo oddaljenega uporabnika TACACS+. 3. Kliknite Prijava.
Če se uporabnik ne more prijaviti v Upravitelja,view razdelek Odpravljanje težav.

– 21 –

Odpravljanje težav

Odpravljanje težav
Če naletite na katerega od teh scenarijev odpravljanja težav, se obrnite na skrbnika, da vamview konfiguracijo z rešitvami, ki smo jih navedli tukaj. Če vaš skrbnik ne more odpraviti težav, se obrnite na podporo Cisco.
Scenariji

Scenarij Določen uporabnik TACACS+ se ne more prijaviti
Vsi uporabniki TACACS+ se ne morejo prijaviti

Opombe
l Review dnevnik nadzora za neuspešno prijavo uporabnika z neveljavnimi preslikavami ali neveljavno kombinacijo vlog. To se lahko zgodi, če je skupina identitet shell profile vključuje glavnega skrbnika in dodatne vloge ali če kombinacija neskrbniških vlog ne izpolnjuje zahtev. Glejte uporabniške vloge zgoraj.view za podrobnosti.
Prepričajte se, da uporabniško ime TACACS+ ni enako lokalnemu uporabniškemu imenu (Secure Network Analytics). Glejte uporabniške vloge zgoraj.view za podrobnosti.
Preverite konfiguracijo TACACS+ v razdelku Secure Network Analytics.
Preverite konfiguracijo na strežniku TACACS+.
l Prepričajte se, da strežnik TACACS+ deluje. l Prepričajte se, da je storitev TACACS+ omogočena v
Varna omrežna analitika: l Definiranih je lahko več strežnikov za preverjanje pristnosti, vendar je za avtorizacijo mogoče omogočiti le enega. Glejte 2.
Za podrobnosti omogočite avtorizacijo TACACS+ v razdelku Secure Network Analytics. l Če želite omogočiti avtorizacijo za določen strežnik TACACS+, glejte 2. Omogočanje
Za podrobnosti glejte avtorizacijo TACACS+ v razdelku Secure Network Analytics.

– 22 –

Odpravljanje težav

Ko se uporabnik prijavi, lahko do Upravitelja dostopa samo lokalno.

Če v storitvi Secure Network Analytics (lokalno) in strežniku TACACS+ (oddaljeno) obstaja uporabnik z istim uporabniškim imenom, lokalna prijava preglasi oddaljeno prijavo. Glejte razdelek Uporabniške vloge.view za podrobnosti.

– 23 –

Stik s podporo
Stik s podporo
Če potrebujete tehnično podporo, naredite nekaj od naslednjega: l Obrnite se na lokalnega Ciscovega partnerja l Obrnite se na Cisco podporo l Če želite odpreti primer do web: http://www.cisco.com/c/en/us/support/index.html l Za telefonsko podporo: 1-800-553-2447 (ZDA) l Za številke podpore po vsem svetu: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

– 24 –

Zgodovina sprememb

Različica dokumenta 1_0

Datum objave: 21. avgust 2025

Zgodovina sprememb
Opis Začetna različica.

– 25 –

Informacije o avtorskih pravicah
Cisco in logotip Cisco sta blagovni znamki ali registrirani blagovni znamki družbe Cisco in/ali njenih podružnic v ZDA in drugih državah. Za view seznam blagovnih znamk Cisco, pojdite na to URL: https://www.cisco.com/go/trademarks. Omenjene blagovne znamke tretjih oseb so last njihovih lastnikov. Uporaba besede partner ne pomeni partnerskega odnosa med Ciscom in katerim koli drugim podjetjem. (1721R)
© 2025 Cisco Systems, Inc. in/ali njegove podružnice. Vse pravice pridržane.

Dokumenti / Viri

Cisco TACACS+ varna omrežna analitika [pdf] Uporabniški priročnik
7.5.3, TACACS varna omrežna analitika, TACACS, varna omrežna analitika, omrežna analitika, analitika

Reference

Uporabniški priročnik

Uporabniški priročnik za Cisco TACACS+ Secure Network Analytics

TACACS+ varna omrežna analitika

Specifikacije

Informacije o izdelku

Navodila za uporabo izdelka

Uvod

Občinstvo

Terminologija

Združljivost

Upravljanje odzivov

Failover

pogosta vprašanja

V: Ali se lahko TACACS+ uporablja z omogočenim načinom skladnosti?

Dokumenti / Viri

Reference

Pustite komentar

Prekliči odgovor