Gabay sa Gumagamit ng Cisco TACACS+ Secure Network Analytics

Ang Cisco Secure Network Analytics, na kilala rin bilang Stealthwatch,
gumagamit ng Terminal Access Controller Access-Control System
(TACACS+) protocol para sa authentication at authorization services.
Nagbibigay-daan ito sa mga user na ma-access ang maramihang mga application na may isang set
ng mga kredensyal.

Mga Tagubilin sa Paggamit ng Produkto

Panimula

Upang i-configure ang TACACS+ para sa Cisco Secure Network Analytics, sundin
ang mga hakbang na nakabalangkas sa gabay na ito.

Madla

Ang gabay na ito ay inilaan para sa mga administrator at tauhan ng network
responsable para sa pag-install at pag-configure ng Secure Network Analytics
mga produkto. Para sa propesyonal na pag-install, makipag-ugnayan sa isang lokal na Cisco
Kasosyo o Cisco Support.

Terminolohiya

Ang gabay ay tumutukoy sa produkto bilang isang appliance, kabilang ang
mga virtual na produkto tulad ng Cisco Secure Network Analytics Flow
Sensor Virtual Edition. Ang mga cluster ay mga pangkat ng mga appliances na pinamamahalaan
ng Cisco Secure Network Analytics Manager.

Pagkakatugma

Tiyaking mag-log in ang lahat ng user sa pamamagitan ng Manager para sa TACACS+
pagpapatunay at awtorisasyon. Ang ilang mga tampok tulad ng FIPS at
Hindi available ang Compliance Mode kapag naka-enable ang TACACS+.

Pamamahala ng Tugon

I-configure ang Response Management sa Manager para makatanggap ng email
mga alerto, ulat, atbp. Kailangang i-configure ang mga user bilang mga lokal na user sa
ang Manager para sa feature na ito.

Failover

Kapag gumagamit ng Managers sa isang failover pair, tandaan na ang TACACS+ ay
available lang sa pangunahing Manager. Kung naka-configure sa pangunahing
Manager, ang TACACS+ ay hindi suportado sa pangalawang Manager. I-promote
ang pangalawang Manager hanggang pangunahin upang gumamit ng panlabas na pagpapatunay
mga serbisyo dito.

FAQ

Q: Maaari bang gamitin ang TACACS+ kung naka-enable ang Compliance Mode?

A: Hindi, hindi sinusuportahan ng TACACS+ authentication at authorization
Mode ng Pagsunod. Tiyaking naka-disable ang Compliance Mode kapag ginagamit
TACACS+.

“`

View Fullscreen

Cisco Secure Network Analytics
TACACS+ Configuration Guide 7.5.3

Talaan ng mga Nilalaman

Panimula

Madla

Terminolohiya

Pagkakatugma

Pamamahala ng Tugon

Failover

Paghahanda

Tapos na ang Mga Tungkulin ng Userview

Pag-configure ng Mga Pangalan ng User

Mga Pangalan ng User na Sensitibo sa Case

Mga Dobleng User Name

Mga Naunang Bersyon

Pag-configure ng Mga Pangkat ng Pagkakakilanlan at Mga User

Pangunahing Tungkulin ng Admin

Kumbinasyon ng Mga Tungkulin na Hindi Admin

Mga Halaga ng Katangian

Buod ng mga Tungkulin

Mga Tungkulin sa Data

Web Mga tungkulin

Mga Tungkulin ng Kliyente sa Desktop

Tapos na ang Prosesoview

1. I-configure ang TACACS+ sa ISE

Bago ka Magsimula

Mga Pangalan ng Gumagamit

Mga Tungkulin ng Gumagamit

1. I-enable ang Device Administration sa ISE

2. Lumikha ng TACACS+ Profiles

Pangunahing Tungkulin ng Admin

-2-

Kumbinasyon ng Mga Tungkulin na Hindi Admin

3. Map Shell Profiles sa Mga Grupo o User

4. Magdagdag ng Secure Network Analytics bilang isang Network Device

2. Paganahin ang TACACS+ Authorization sa Secure Network Analytics

3. Subukan ang Remote TACACS+ User Login

Pag-troubleshoot

Mga sitwasyon

Pakikipag-ugnayan sa Suporta

Kasaysayan ng Pagbabago

-3-

Panimula
Panimula
Ang Terminal Access Controller Access-Control System (TACACS+) ay isang protocol na sumusuporta sa authentication at authorization services at nagbibigay-daan sa isang user na mag-access ng maraming application gamit ang isang set ng mga kredensyal. Gamitin ang sumusunod na mga tagubilin para i-configure ang TACACS+ para sa Cisco Secure Network Analytics (dating Stealthwatch).
Madla
Ang nilalayong madla para sa gabay na ito ay kinabibilangan ng mga administrator ng network at iba pang mga tauhan na responsable sa pag-install at pag-configure ng mga produkto ng Secure Network Analytics.
Kung mas gusto mong magtrabaho kasama ang isang propesyonal na installer, mangyaring makipag-ugnayan sa iyong lokal na Cisco Partner o makipag-ugnayan sa Cisco Support.
Terminolohiya
Ginagamit ng gabay na ito ang terminong “appliance” para sa anumang produkto ng Secure Network Analytics, kabilang ang mga virtual na produkto tulad ng Cisco Secure Network Analytics Flow Sensor Virtual Edition.
Ang “cluster” ay ang iyong grupo ng mga Secure Network Analytics appliances na pinamamahalaan ng Cisco Secure Network Analytics Manager (dating Stealthwatch Management Console o SMC).
Sa v7.4.0, binago namin ang aming mga produkto ng Cisco Stealthwatch Enterprise sa Cisco Secure Network Analytics. Para sa kumpletong listahan, sumangguni sa Mga Tala sa Paglabas. Sa gabay na ito, makikita mo ang aming dating pangalan ng produkto, Stealthwatch, na ginagamit kapag kinakailangan upang mapanatili ang kalinawan, pati na rin ang mga terminolohiya tulad ng Stealthwatch Management Console at SMC.

-4-

Panimula
Pagkakatugma
Para sa TACACS+ authentication at authorization, tiyaking mag-log in ang lahat ng user sa pamamagitan ng Manager. Upang direktang mag-log in sa isang appliance at gamitin ang Appliance Administration, mag-log in nang lokal.
Hindi available ang mga sumusunod na feature kapag pinagana ang TACACS+: FIPS, Compliance Mode.
Pamamahala ng Tugon
Ang Pamamahala ng Tugon ay na-configure sa iyong Manager. Upang makatanggap ng mga alerto sa email, mga naka-iskedyul na ulat, atbp. tiyaking naka-configure ang user bilang lokal na user sa Manager. Pumunta sa Configure > Detection > Response Management, at sumangguni sa Help para sa mga tagubilin.
Failover
Pakitandaan ang sumusunod na impormasyon kung na-configure mo ang iyong mga Manager bilang isang failover pair:
l Ang TACACS+ ay magagamit lamang sa pangunahing Tagapamahala. Ang TACACS+ ay hindi suportado sa pangalawang Manager.
l Kung ang TACACS+ ay na-configure sa pangunahing Tagapamahala, ang impormasyon ng gumagamit ng TACACS+ ay hindi magagamit sa pangalawang Tagapamahala. Bago mo magamit ang naka-configure na panlabas na mga serbisyo sa pagpapatotoo sa isang pangalawang Manager, kailangan mong i-promote ang pangalawang Manager sa pangunahin.
l Kung i-promote mo ang pangalawang Tagapamahala sa pangunahin:
l I-enable ang TACACS+ at remote authorization sa pangalawang Manager. l Ang sinumang panlabas na user na naka-log in sa na-demote na pangunahing Manager ay mai-log
palabas. l Ang pangalawang Tagapamahala ay hindi nagpapanatili ng data ng gumagamit mula sa pangunahing Tagapamahala,
kaya ang anumang data na naka-save sa pangunahing Manager ay hindi available sa bagong (na-promote) pangunahing Manager. l Sa sandaling mag-log in ang malayuang user sa bagong pangunahing Tagapamahala sa unang pagkakataon, malilikha ang mga direktoryo ng user at mase-save ang data sa hinaharap.
l Review Failover Mga Tagubilin: Para sa karagdagang impormasyon, sumangguni sa Failover Configuration Guide.

-5-

Paghahanda

Paghahanda
Maaari mong i-configure ang TACACS+ sa Cisco Identity Services Engine (ISE).
Inirerekomenda namin ang paggamit ng Cisco Identity Services Engine (ISE) para sa sentralisadong pagpapatunay at awtorisasyon. Gayunpaman, maaari ka ring mag-deploy ng standalone na TACACS+ server o isama ang anumang iba pang compatible na server ng pagpapatunay ayon sa iyong mga partikular na pangangailangan.
Tiyaking mayroon ka ng lahat ng kailangan mo upang simulan ang pagsasaayos.

Kinakailangan ang Cisco Identity Services Engine (ISE) TACACS+ Server Desktop Client

Mga Detalye
I-install at i-configure ang ISE gamit ang mga tagubilin sa dokumentasyon ng ISE para sa iyong engine.
Kakailanganin mo ang IP address, port, at nakabahaging sikretong key para sa pagsasaayos. Kakailanganin mo rin ang lisensya ng Device Administration.
Kakailanganin mo ang IP address, port, at nakabahaging sikretong key para sa pagsasaayos.
Gagamitin mo ang Desktop Client para sa configuration na ito kung gusto mong gumamit ng mga custom na tungkulin sa desktop. Upang i-install ang Desktop Client, sumangguni sa Cisco Secure Network Analytics System Configuration Guide na tumutugma sa iyong bersyon ng Secure Network Analytics.

-6-

Tapos na ang Mga Tungkulin ng Userview
Tapos na ang Mga Tungkulin ng Userview
Kasama sa gabay na ito ang mga tagubilin para sa pag-configure ng iyong mga user ng TACACS+ para sa malayuang pagpapatunay at awtorisasyon. Bago mo simulan ang pagsasaayos, muliview ang mga detalye sa seksyong ito upang matiyak na na-configure mo nang tama ang iyong mga user.
Pag-configure ng Mga Pangalan ng User
Para sa malayuang pagpapatunay at awtorisasyon, maaari mong i-configure ang iyong mga user sa ISE. Para sa lokal na pagpapatotoo at awtorisasyon, i-configure ang iyong mga user sa Manager.
l Remote: Upang i-configure ang iyong mga user sa ISE, sundin ang mga tagubilin sa gabay sa pagsasaayos na ito.
l Lokal: Upang i-configure ang iyong mga user nang lokal lamang, mag-log in sa Manager. Mula sa pangunahing menu, piliin ang I-configure > Global > Pamamahala ng User. Piliin ang Tulong para sa mga tagubilin.
Mga Pangalan ng User na Sensitibo sa Case
Kapag nag-configure ka ng mga malalayong user, paganahin ang case-sensitivity sa remote server. Kung hindi mo pinagana ang case-sensitivity sa remote server, maaaring hindi ma-access ng mga user ang kanilang data kapag nag-log in sila sa Secure Network Analytics.
Mga Dobleng User Name
Kung i-configure mo ang mga user name nang malayuan (sa ISE) o lokal (sa Manager), tiyaking natatangi ang lahat ng user name. Hindi namin inirerekomenda ang pagdoble ng mga user name sa mga malalayong server at Secure Network Analytics.
Kung mag-log in ang isang user sa Manager, at mayroon silang parehong user name na naka-configure sa Secure Network Analytics at ISE, maa-access lang nila ang kanilang lokal na data ng Manager/Secure Network Analytics. Hindi nila maa-access ang kanilang malayuang data ng TACACS+ kung duplicate ang kanilang user name.
Mga Naunang Bersyon
Kung na-configure mo ang TACACS+ sa mas naunang bersyon ng Cisco Secure Network Analytics (Stealthwatch v7.1.1 at mas luma), tiyaking gagawa ka ng mga bagong user na may mga natatanging pangalan para sa v7.1.2 at mas bago. Hindi namin inirerekumenda ang paggamit o pag-duplicate ng mga user name mula sa mga naunang bersyon ng Secure Network Analytics.
Upang patuloy na gamitin ang mga user name na ginawa sa v7.1.1 at mas nauna, inirerekomenda naming baguhin ang mga ito sa lokal lamang sa iyong pangunahing Manager at sa Desktop Client. Sumangguni sa Tulong para sa mga tagubilin.

-7-

Tapos na ang Mga Tungkulin ng Userview

Pag-configure ng Mga Pangkat ng Pagkakakilanlan at Mga User
Para sa isang awtorisadong pag-login ng user, imamapa mo ang shell profiles sa iyong mga user. Para sa bawat shell profile, maaari mong italaga ang tungkulin ng Pangunahing Admin o lumikha ng kumbinasyon ng mga tungkuling hindi admin. Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan. Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi admin, tiyaking natutugunan nito ang mga kinakailangan.
Pangunahing Tungkulin ng Admin
Pwede ang Pangunahing Admin view lahat ng pag-andar at baguhin ang anuman. Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan.

Tungkulin na Pangunahing Admin

Halaga ng Katangian cisco-stealthwatch-master-admin

Kumbinasyon ng Mga Tungkulin na Hindi Admin
Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi admin para sa iyong shell profile, tiyaking kasama nito ang sumusunod:
l 1 Data role (lamang) l 1 o higit pa Web tungkulin l 1 o higit pang tungkulin ng Desktop Client
Para sa mga detalye, sumangguni sa talahanayan ng Mga Halaga ng Katangian.
Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan. Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi admin, tiyaking natutugunan nito ang mga kinakailangan.

-8-

Tapos na ang Mga Tungkulin ng Userview

Mga Halaga ng Katangian
Para sa higit pang impormasyon tungkol sa bawat uri ng tungkulin, i-click ang link sa column na Mga Kinakailangang Tungkulin.

Mga Kinakailangang Tungkulin 1 Data role (lamang)
1 o higit pa Web papel
1 o higit pang tungkulin ng Desktop Client

Halaga ng Katangian
l cisco-stealthwatch-all-data-read-and-write l cisco-stealthwatch-all-data-read-only
l cisco-stealthwatch-configuration-manager l cisco-stealthwatch-power-analyst l cisco-stealthwatch-analyst
l cisco-stealthwatch-desktop-stealthwatch-power-user l cisco-stealthwatch-desktop-configuration-manager l cisco-stealthwatch-desktop-network-engineer l cisco-stealthwatch-desktop-security-analyst

Buod ng mga Tungkulin
Nagbigay kami ng buod ng bawat tungkulin sa mga sumusunod na talahanayan. Para sa higit pang impormasyon tungkol sa mga tungkulin ng user sa Secure Network Analytics, mulingview ang pahina ng Pamamahala ng User sa Tulong.
Mga Tungkulin sa Data
Tiyaking pipili ka lamang ng isang tungkulin ng data.

Tungkulin ng Data

Mga Pahintulot

Lahat ng Data (Read Only)

Ang gumagamit ay maaaring view data sa anumang domain o host group, o sa anumang appliance o device, ngunit hindi makakagawa ng anumang mga configuration.

Lahat ng Data (Magbasa at Sumulat)

Ang gumagamit ay maaaring view at i-configure ang data sa anumang domain o host group, o sa anumang appliance o device.

Ang partikular na functionality (paghahanap ng daloy, pamamahala ng patakaran, pag-uuri ng network, atbp.) na magagawa ng user view at/o configure ay tinutukoy ng user web papel.

-9-

Tapos na ang Mga Tungkulin ng Userview

Web Mga tungkulin

Web Tungkulin

Mga Pahintulot

Power Analyst

Maaaring isagawa ng Power Analyst ang paunang pagsisiyasat sa trapiko at daloy pati na rin ang pag-configure ng mga patakaran at host group.

Tagapamahala ng Configuration

Ang Configuration Manager ay maaaring view pag-andar na nauugnay sa pagsasaayos.

Analyst

Maaaring isagawa ng Analyst ang paunang pagsisiyasat sa trapiko at daloy.

Mga Tungkulin ng Kliyente sa Desktop

Web Tungkulin

Mga Pahintulot

Tagapamahala ng Configuration

Ang Configuration Manager ay maaaring view lahat ng mga item sa menu at i-configure ang lahat ng appliances, device, at mga setting ng domain.

Network Engineer

Ang Network Engineer ay maaaring view lahat ng mga item sa menu na nauugnay sa trapiko sa loob ng Desktop Client, idagdag ang alarma at mga tala ng host, at isagawa ang lahat ng pagkilos ng alarma, maliban sa pagpapagaan.

Security Analyst

Maaari ang Security Analyst view lahat ng mga item sa menu na nauugnay sa seguridad, idagdag ang alarma at mga tala ng host, at isagawa ang lahat ng pagkilos ng alarma, kabilang ang pagpapagaan.

Secure na Network Analytics Power User

Magagawa ng Secure Network Analytics Power User view lahat ng mga item sa menu, kilalanin ang mga alarma, at idagdag ang alarma at mga tala ng host, ngunit walang kakayahang magbago ng anuman.

– 10 –

Tapos na ang Prosesoview
Tapos na ang Prosesoview
Maaari mong i-configure ang Cisco ISE upang magbigay ng TACACS+. Upang matagumpay na i-configure ang mga setting ng TACACS+ at pahintulutan ang TACACS+ sa Secure Network Analytics, tiyaking kumpletuhin mo ang mga sumusunod na pamamaraan:
1. I-configure ang TACACS+ sa ISE 2. I-enable ang TACACS+ Authorization sa Secure Network Analytics 3. Subukan ang Remote TACACS+ User Login

– 11 –

1. I-configure ang TACACS+ sa ISE
1. I-configure ang TACACS+ sa ISE
Gamitin ang sumusunod na mga tagubilin upang i-configure ang TACACS+ sa ISE. Ang pagsasaayos na ito ay nagbibigay-daan sa iyong malayuang TACACS+ na mga user sa ISE na mag-log in sa Secure Network Analytics.
Bago ka Magsimula
Bago mo simulan ang mga tagubiling ito, i-install at i-configure ang ISE gamit ang mga tagubilin sa dokumentasyon ng ISE para sa iyong engine. Kabilang dito ang pagtiyak na ang iyong mga certificate ay naka-set up nang tama.
Mga Pangalan ng Gumagamit
Kung i-configure mo ang mga user name nang malayuan (sa ISE) o lokal (sa Manager), tiyaking natatangi ang lahat ng user name. Hindi namin inirerekomenda ang pagdoble ng mga user name sa mga malalayong server at Secure Network Analytics.
Mga Duplicated na User Name: Kung mag-log in ang isang user sa Manager, at mayroon silang parehong user name na na-configure sa Secure Network Analytics at ISE, maa-access lang nila ang kanilang lokal na data ng Manager/Secure Network Analytics. Hindi nila maa-access ang kanilang malayuang data ng TACACS+ kung duplicate ang kanilang user name.
Mga Pangalan ng User na Sensitibo sa Kaso: Kapag nag-configure ka ng mga malalayong user, paganahin ang pagiging sensitibo sa kaso sa malayuang server. Kung hindi mo pinagana ang case-sensitivity sa remote server, maaaring hindi ma-access ng mga user ang kanilang data kapag nag-log in sila sa Secure Network Analytics.
Mga Tungkulin ng Gumagamit
Para sa bawat TACACS+ profile sa ISE, maaari kang magtalaga ng tungkuling Pangunahing Admin o lumikha ng kumbinasyon ng mga tungkuling hindi pang-admin.
Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan. Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi admin, tiyaking natutugunan nito ang mga kinakailangan. Para sa higit pang impormasyon tungkol sa mga tungkulin ng user, sumangguni sa User Role Overview.
1. I-enable ang Device Administration sa ISE
Gamitin ang sumusunod na mga tagubilin upang idagdag ang serbisyo ng TACACS+ sa ISE.
1. Mag-log in sa iyong ISE bilang admin. 2. Piliin ang Work Centers > Device Administration > Overview.

– 12 –

1. I-configure ang TACACS+ sa ISE
Kung ang Device Administration ay hindi ipinapakita sa Work Centers, pumunta sa Administration > System > Licensing. Sa seksyong Licensing, kumpirmahin ang Device Administration License ay ipinapakita. Kung hindi ito ipinapakita, idagdag ang lisensya sa iyong account. 3. Piliin ang Deployment.
4. Piliin ang Lahat ng Mga Node ng Serbisyo ng Patakaran o Mga Tukoy na Node. 5. Sa field ng TACACS Ports, ilagay ang 49.

6. I-click ang I-save.
2. Lumikha ng TACACS+ Profiles
Gamitin ang sumusunod na mga tagubilin upang magdagdag ng TACACS+ shell profiles sa ISE. Gagamitin mo rin ang mga tagubiling ito upang italaga ang mga kinakailangang tungkulin sa shell profile.
1. Piliin ang Work Centers > Device Administration > Policy Elements. 2. Piliin ang Mga Resulta > TACACS Profiles. 3. I-click ang Magdagdag. 4. Sa field na Pangalan, magpasok ng natatanging user name.
Para sa mga detalye tungkol sa mga user name ay sumangguni sa User Roles Overview.

– 13 –

1. I-configure ang TACACS+ sa ISE
5. Sa drop-down na Common Task Type, piliin ang Shell. 6. Sa seksyong Mga Custom na Katangian, i-click ang Magdagdag. 7. Sa Uri ng field, piliin ang Mandatory. 8. Sa field na Pangalan, ipasok ang tungkulin. 9. Sa field na Value, ilagay ang attribute value para sa Primary Admin o bumuo ng kumbinasyon
ng mga tungkuling hindi admin. l I-save: I-click ang icon na Suriin upang i-save ang tungkulin. l Kumbinasyon ng Mga Tungkulin na Hindi Admin: Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi pang-admin, ulitin ang mga hakbang 5 hanggang 8 hanggang sa magdagdag ka ng row para sa bawat kinakailangang tungkulin (Tungkulin ng data, Web tungkulin, at tungkulin ng Desktop Client).

– 14 –

1. I-configure ang TACACS+ sa ISE

Pangunahing Tungkulin ng Admin
Pwede ang Pangunahing Admin view lahat ng pag-andar at baguhin ang anuman. Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan.

Tungkulin na Pangunahing Admin

Halaga ng Katangian cisco-stealthwatch-master-admin

Mga Kinakailangang Tungkulin 1 Data role (lamang)
1 o higit pa Web papel
1 o higit pang tungkulin ng Desktop Client

Kung itatalaga mo ang tungkulin ng Pangunahing Admin sa isang shell profile, walang mga karagdagang tungkulin ang pinahihintulutan. Kung gagawa ka ng kumbinasyon ng mga tungkuling hindi admin, tiyaking natutugunan nito ang mga kinakailangan.
10. I-click ang I-save. 11. Ulitin ang mga hakbang sa 2. Lumikha ng TACACS+ Profiles upang magdagdag ng anumang karagdagang TACACS+
shell profiles sa ISE.

– 15 –

1. I-configure ang TACACS+ sa ISE
Bago ka magpatuloy sa 3. Map Shell Profiles sa Mga Grupo o User, kailangan mong lumikha ng Mga User, User Identity Group (opsyonal), at TACACS+ command set. Para sa mga tagubilin kung paano gumawa ng Mga User, User Identity Group, at TACACS+ command set, sumangguni sa dokumentasyon ng ISE para sa iyong engine.
3. Map Shell Profiles sa Mga Grupo o User
Gamitin ang mga sumusunod na tagubilin para imapa ang iyong shell profiles sa iyong mga panuntunan sa pagpapahintulot.
1. Piliin ang Work Centers > Device Administration > Device Admin Policy Sets. 2. Hanapin ang pangalan ng iyong policy set. I-click ang icon na Arrow. 3. Hanapin ang iyong patakaran sa pagpapahintulot. I-click ang icon na Arrow. 4. I-click ang icon na + Plus.

5. Sa field na Mga Kundisyon, i-click ang icon na + Plus. I-configure ang mga kundisyon ng patakaran.
l Grupo ng Pagkakakilanlan ng Gumagamit: Kung na-configure mo ang isang pangkat ng pagkakakilanlan ng gumagamit, maaari kang lumikha ng kundisyon gaya ng "InternalUser.IdentityGroup".
Para kay example, “InternalUser.IdentityGroup EQUALS ” upang tumugma sa isang partikular na pangkat ng pagkakakilanlan ng user.
l Indibidwal na User: Kung na-configure mo ang isang indibidwal na user, maaari kang lumikha ng kundisyon gaya ng "InternalUser.Name".
Para kay example, “InternalUser.Name EQUALS ” upang tumugma sa isang partikular na user.

– 16 –

1. I-configure ang TACACS+ sa ISE
Tulong: Para sa mga tagubilin sa Conditions Studio, i-click ang ? Icon ng tulong.
6. Sa Shell Profiles field, piliin ang shell profile ginawa mo sa 2. Lumikha ng TACACS+ Profiles.
7. Ulitin ang mga hakbang sa 3. Map Shell Profiles sa Mga Grupo o Gumagamit hanggang sa ma-map mo ang lahat ng shell profiles sa iyong mga panuntunan sa pagpapahintulot.

– 17 –

1. I-configure ang TACACS+ sa ISE
4. Magdagdag ng Secure Network Analytics bilang isang Network Device
1. Piliin ang Administration > Network Resources > Network Devices. 2. Piliin ang Mga Network Device, i-click ang +Idagdag. 3. Kumpletuhin ang impormasyon para sa iyong pangunahing Tagapamahala, kabilang ang mga sumusunod na field:
l Pangalan: Ilagay ang pangalan ng iyong Manager. l IP Address: Ipasok ang Manager IP address. l Shared Secret: Ilagay ang shared secret key. 4. I-click ang I-save. 5. Kumpirmahin na ang network device ay naka-save sa listahan ng Network Devices.
6. Pumunta sa 2. Paganahin ang TACACS+ Authorization sa Secure Network Analytics.

– 18 –

2. Paganahin ang TACACS+ Authorization sa Secure Network Analytics

2. Paganahin ang TACACS+ Authorization sa Secure Network Analytics
Gamitin ang sumusunod na mga tagubilin upang idagdag ang TACACS+ server sa Secure Network Analytics at paganahin ang malayuang awtorisasyon.
Isang Pangunahing Admin lamang ang maaaring magdagdag ng TACACS+ server sa Secure Network Analytics.

Maaari ka lamang magdagdag ng isang TACACS+server sa TACACS+ authentication service.
1. Mag-log in sa iyong pangunahing Manager. 2. Mula sa pangunahing menu, piliin ang I-configure > Pandaigdigan > Pamamahala ng User. 3. I-click ang tab na Authentication at Authorization. 4. I-click ang Gumawa. Piliin ang Authentication Service. 5. I-click ang drop-down na Serbisyo ng Authentication. Piliin ang TACACS+. 6. Kumpletuhin ang mga patlang:

Paglalarawan ng Pangalan ng Serbisyo ng Field Authentication
Cache Timeout (Segundo)
Prefix

Mga Tala
Maglagay ng natatanging pangalan upang makilala ang server.
Maglagay ng paglalarawan na tumutukoy kung paano o bakit ginagamit ang server.
Ang tagal ng oras (sa mga segundo) na ang isang user name o password ay itinuturing na wasto bago kailanganin ng Secure Network Analytics ang muling pagpasok ng impormasyon.
Opsyonal ang field na ito. Ang prefix string ay inilalagay sa simula ng user name kapag ang pangalan ay ipinadala sa RADIUS o TACACS+ server. Para kay example, kung ang user name ay zoe at ang realm prefix ay DOMAIN-

– 19 –

Suffix
Server IP Address Port Secret Key

2. Paganahin ang TACACS+ Authorization sa Secure Network Analytics
A, ang user name na DOMAIN-Azoe ay ipinadala sa server. Kung hindi mo iko-configure ang field ng Prefix, tanging ang user name lang ang ipapadala sa server.
Opsyonal ang field na ito. Ang suffix string ay inilalagay sa dulo ng user name. Para kay exampOo, kung ang suffix ay @mydomain.com, ang username na zoe@mydomain.com ay ipapadala sa TACACS+ server. Kung hindi mo iko-configure ang field ng Suffix, tanging ang user name lang ang ipapadala sa server.
Gamitin ang alinman sa IPv4 o IPv6 address kapag nagko-configure ng mga serbisyo sa pagpapatunay.
Maglagay ng anumang numero mula 0 hanggang 65535 na tumutugma sa naaangkop na port.
Ilagay ang sikretong key na na-configure para sa naaangkop na server.

7. I-click ang I-save. Ang bagong TACACS+ server ay idinagdag, at ang impormasyon para sa server ay nagpapakita.
8. I-click ang Actions menu para sa TACACS+ server. 9. Piliin ang I-enable ang Remote Authorization mula sa drop-down na menu. 10. Sundin ang on-screen na mga senyas upang paganahin ang TACACS+.

– 20 –

3. Subukan ang Remote TACACS+ User Login
3. Subukan ang Remote TACACS+ User Login
Gamitin ang sumusunod na mga tagubilin upang mag-log in sa Manager. Para sa malayuang TACACS+ awtorisasyon, tiyaking mag-log in ang lahat ng user sa pamamagitan ng Manager.
Upang direktang mag-log in sa isang appliance at gamitin ang Appliance Administration, mag-log in nang lokal. 1. Sa address field ng iyong browser, i-type ang sumusunod:
https:// followed by the IP address of your Manager.
2. Ilagay ang user name at password ng isang remote na TACACS+ user. 3. I-click ang Mag-sign In.
Kung hindi makapag-log in ang isang user sa Manager, mulingview ang seksyong Pag-troubleshoot.

– 21 –

Pag-troubleshoot

Pag-troubleshoot
Kung makatagpo ka ng alinman sa mga sitwasyong ito sa pag-troubleshoot, makipag-ugnayan sa iyong administrator upang mulingview ang configuration kasama ang mga solusyon na ibinigay namin dito. Kung hindi malutas ng iyong admin ang mga isyu, mangyaring makipag-ugnayan sa Cisco Support.
Mga sitwasyon

Sitwasyon Ang isang partikular na user ng TACACS+ ay hindi makakapag-log in
Hindi makapag-log in ang lahat ng TACACS+ user

Mga Tala
l Review ang Audit Log para sa pagkabigo sa pag-log in ng user gamit ang Illegal Mappings o Invalid Combination of Role. Ito ay maaaring mangyari kung ang identity group shell profile kasama ang Pangunahing Admin at mga karagdagang tungkulin, o kung ang kumbinasyon ng mga tungkuling hindi admin ay hindi nakakatugon sa mga kinakailangan. Sumangguni sa User Role Overview para sa mga detalye.
l Siguraduhin na ang TACACS+ user name ay hindi katulad ng isang lokal na (Secure Network Analytics) user name. Sumangguni sa User Role Overview para sa mga detalye.
l Suriin ang configuration ng TACACS+ sa Secure Network Analytics.
l Suriin ang configuration sa TACACS+ server.
l Tiyaking tumatakbo ang TACACS+ server. l Tiyaking naka-enable ang serbisyo ng TACACS+
Secure Network Analytics: l Maaaring maraming mga server ng pagpapatunay na tinukoy, ngunit isa lamang ang maaaring paganahin para sa awtorisasyon. Sumangguni sa 2.
I-enable ang TACACS+ Authorization sa Secure Network Analytics para sa mga detalye. l Upang paganahin ang awtorisasyon para sa isang partikular na TACACS+ server, sumangguni sa 2. Paganahin
TACACS+ Authorization sa Secure Network Analytics para sa mga detalye.

– 22 –

Pag-troubleshoot

Kapag nag-log in ang isang user, maa-access lang nila ang Manager nang lokal

Kung mayroong isang user na may parehong user name sa Secure Network Analytics (lokal) at ang TACACS+ server (remote), ang lokal na pag-login ay na-override ang malayuang pag-login. Sumangguni sa User Role Overview para sa mga detalye.

– 23 –

Pakikipag-ugnayan sa Suporta
Pakikipag-ugnayan sa Suporta
Kung kailangan mo ng teknikal na suporta, mangyaring gawin ang isa sa mga sumusunod: l Makipag-ugnayan sa iyong lokal na Cisco Partner l Makipag-ugnayan sa Cisco Support l Upang magbukas ng kaso sa pamamagitan ng web: http://www.cisco.com/c/en/us/support/index.html l Para sa suporta sa telepono: 1-800-553-2447 (US) l Para sa mga numero ng suporta sa buong mundo: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

– 24 –

Kasaysayan ng Pagbabago

Bersyon ng Dokumento 1_0

Petsa ng Na-publish Agosto 21, 2025

Kasaysayan ng Pagbabago
Paglalarawan Paunang bersyon.

– 25 –

Impormasyon sa Copyright
Ang Cisco at ang logo ng Cisco ay mga trademark o nakarehistrong trademark ng Cisco at/o mga kaakibat nito sa US at iba pang mga bansa. Upang view isang listahan ng mga trademark ng Cisco, pumunta dito URL: https://www.cisco.com/go/trademarks. Ang mga trademark ng third-party na binanggit ay pag-aari ng kani-kanilang mga may-ari. Ang paggamit ng salitang kasosyo ay hindi nagpapahiwatig ng pakikipagsosyo sa pagitan ng Cisco at anumang iba pang kumpanya. (1721R)
© 2025 Cisco Systems, Inc. at/o mga kaakibat nito. Lahat ng karapatan ay nakalaan.

Mga Dokumento / Mga Mapagkukunan

Cisco TACACS+ Secure Network Analytics [pdf] Gabay sa Gumagamit
7.5.3, TACACS Secure Network Analytics, TACACS, Secure Network Analytics, Network Analytics, Analytics

Mga sanggunian

User Manual

Gabay sa Gumagamit ng Cisco TACACS+ Secure Network Analytics

TACACS+ Secure Network Analytics

Mga pagtutukoy

Impormasyon ng Produkto

Mga Tagubilin sa Paggamit ng Produkto

Panimula

Madla

Terminolohiya

Pagkakatugma

Pamamahala ng Tugon

Failover

FAQ

Q: Maaari bang gamitin ang TACACS+ kung naka-enable ang Compliance Mode?

Mga Dokumento / Mga Mapagkukunan

Mga sanggunian

Mag-iwan ng komento

Kanselahin ang tugon