ISE TACACS+ 服务器

Cisco ISE 是一个安全策略管理平台，可以提供对网络资源的安全访问。Cisco ISE 充当一个决策点，以使企业能够确保合规性，提高基础架构安全性并简化服务运维。

要将 ISE TACACS+ 服务器设置为 NSX Advanced Load Balancer 的远程身份验证和授权系统，请执行下面提供的步骤：

通常为 ISE 服务器配置了外部身份源（此处为 OpenLDAP）。

• 用于获取 LDAP 组以将其用于授权条件的 ISE LDAP 设置如下所示：
  
  
• 为 AD 组中的用户添加了 ISE 授权条件。
  
  
  
  
• ISE 服务器将所有 NSX Advanced Load Balancer 控制器 集群节点识别为有效的网络设备。
  
  
  
  
• 配置 ISE 时需要使用 Shell 配置文件和 TACACS+ 配置文件。
  
  
  
  
• 更新了 ISE 设备策略集默认条件，以根据组成员资格分配不同的 Shell 配置文件。
  
  

• 必须为 NSX Advanced Load Balancer TACACS+ 身份验证配置文件配置在 ISE 中分配给设备的相同共享密钥。通常需要使用“service”属性以标识和授权 NSX Advanced Load Balancer 用户。可以使用 TACACS+ 服务器中的授权属性将 NSX Advanced Load Balancer 用户映射到各种不同的角色和租户。

  对于 ACS 服务器，需要使用 service=avishell 进行用户授权；而对于 ISE 服务器，已知 service=avishell 会导致授权失败。

• 将 NSX Advanced Load Balancer TACACS+ 授权角色和租户映射配置为根据 TACACS+ 属性值分配不同的角色。

Shrubbery TAC_PLUS

• TAC_PLUS 服务器是简单得多的 ISE/ACS 替代方案。这与开发或测试环境相关。从概念上讲，用户分配给组，组具有请求和响应属性。
  
  
  
  

NSX Advanced Load Balancer TACACS+ 身份验证配置文件可以采用与 ISE 或 ACS 相同的方式进行配置。