วิธีการ Configure TACACS+ บน Cisco ISE กับ Cisco APIC

ในระบบเครือข่ายระดับองค์กร การควบคุมสิทธิ์การเข้าถึงของผู้ดูแลระบบ (Administrator) ถือเป็นสิ่งสำคัญอย่างยิ่ง โดยเฉพาะเมื่อมีการใช้งานโซลูชัน Cisco ACI (Application Centric Infrastructure) ที่มี APIC (Application Policy Infrastructure Controller) เป็นศูนย์กลางควบคุมระบบเครือข่ายทั้งหมด

เพื่อให้การจัดการสิทธิ์ของผู้ดูแลระบบมีความ ปลอดภัย ยืดหยุ่น และตรวจสอบได้ องค์กรมักเลือกใช้โปรโตคอล TACACS+ ร่วมกับ Cisco ISE (Identity Services Engine) ในการบริหารจัดการการพิสูจน์ตัวตน (Authentication), การอนุญาตสิทธิ์ (Authorization) และการบันทึกกิจกรรม (Accounting) หรือที่เรียกกันว่า AAA

ในบทความนี้ เราจะพาคุณไปดูวิธีการ ตั้งค่า Cisco ISE ให้ทำงานร่วมกับ Cisco APIC ผ่านโปรโตคอล TACACS+ อย่างละเอียด พร้อมทั้งแนวทางการ Mapping Roles, การตั้งค่าบน ISE, และการตรวจสอบการทำงาน ครับผม

TACACS + คือ ???

TACACS+ (Terminal Access Controller Access-Control System Plus) คือโปรโตคอลที่ไว้ใช้ในการ Control Access อุปกรณ์ ของผู้ใช้ โดยใช้หลักการ AAA (Authentication, Authorization และ Accounting) ไม่ว่าจะเป็น Switch Firewall Router หรืออุปกรณ์อื่นๆ ที่รองรับ ก็สามารถใช้งานร่วมกับโปรโตคอลนี้ได้เช่นกัน

โดย Protocol นี้ ถูกพัฒนาโดย Cisco ซึ่งจะใช้ Port TCP 49 ในการคุยกัน ระหว่างอุปกรณ์เครื่อข่าย กับ TACACS+ Server ซึ่งโปรโตคอล TACACS+  มีข้อดีคือ เราสามารถสร้าง User เพื่อกำหนดสิทธิ์ในการเข้าใช้งานอุปกรณ์เครือข่ายได้ เช่น user admin สามารถใช้งานได้ทุกคำสั่ง สามารถเข้าไปแก้ไข คอนฟิก และ ดู คอนฟิกได้ | user helpdesk สามารถดูได้อย่างเดียว ไม่สามารถ config ได้ เป็นต้น

 

โดยตัวอย่างของเราในวันนี้ จะสร้างเป็น 2 User คือ admin และ helpdesk

admin = สามารถ show คอนฟิกต่างๆ และ สามารถแก้ไข คอนฟิก ได้

helpdesk = สามารถ show คอนฟิกต่างๆได้อย่างเดียว ไม่สามารถแก้ไข คอนฟิกได้

 

โดย Step จะมีดังนี้

1.) Configure TACACS+ บน APIC

2.) Configure บน Cisco ISE

3.) เทสผลลัพธ์การทำงาน

 

1.) Configure TACACS+ บน APIC

1.1) เพิ่ม ISE server บน APIC

1.1.1) เลือกเมนู admin —> AAA –> Providers –> Actions –> Create Provider

1.1.2) ใส่ IP ของ Cisco ISE หรือ Hostname –> เปลี่ยน realm เป็น TACACS+ –> ใส่ Share Secret ที่กำหนดเอาไว้ –> เลือก Reachability EPG (จะเลือกเป็นขา INB หรือ OOB ก็ตาม Design ได้เลยนะครับ แต่ในที่นี้เลือกเป็นขา OOB ครับ) –> Save

1.2) ตั้งค่า Login Domains

1.2.1) เลือก Login Domains –> Actions –> Create Login Domain

1.2.2) ตั้งชื่อ Login Domains –> เลือก Realm เป็น TACACS+ –> Add TACACS Server เข้ามา

1.2.3) ปรับแต่ง Priority ได้ตามต้องการ –> เลือก save

2.) Configure บน Cisco ISE

2.1) เปิดใช้งาน Device Admin Service

เลือก Administration –> Deployment –> Enable Device Admin Service –> Save

2.2) Add APIC เข้ามาบน Cisco ISE

2.2.1) เลือก Administration –> Network Devices –> Add

 

 

2.2.2) ตั้งชื่อ Devices –> ใส่ IP ของอุปกรณ์ –> ตั้งค่า Location, IPSEC, Device Type (จะเลือกเป็น Default เลยก็ได้นะครับ) –> ตั้งค่า Share Secret (ตั้งให้ตรงกันกับ ข้อ 1.1.2 นะครับ) –> Submit

2.3) สร้าง Group ของ User + สร้าง User บน Cisco ISE

เราจะสร้างเป็น 2 Group ตามโจทย์ของเรา คือ admin และ helpdesk โดย Group ของ admin = APIC_RW, helpdesk = APIC_RO

2.3.1) ไปที่ Work Centers –> User Identity Groups –> Add –> สร้างเป็น 2 Group ตามโจทย์

2.3.2) ไปที่แถบ Identities เพื่อสร้าง User ในแต่ละ Group –> Add –> ใส่ข้อมูลต่างๆ เลือก Group ให้ถูกต้อง –> Save

2.4) สร้าง TACACS Profiles ให้กับ admin / helpdesk user

2.4.1) ไปที่ Work Centers –> Policy Elements –> Results –> TACACS Profiles –> Add

2.4.2) TACACS Profiles ให้กับ helpdesk โดย Profile Attributes ให้ใส่เป็น cisco-av-pair=shell:domains=all//read-all

2.4.3) TACACS Profiles ให้กับ admin โดย Profile Attributes ให้ใส่เป็น cisco-av-pair=shell:domains=all/admin/

2.5) สร้าง Device Admin Policy Set

2.5.1) ไปที่ Work Centers –> Device Admin Policy Sets

2.5.2) เลือกไปที่ Default Policy ได้เลยครับ

2.5.3) เราจะ Focus ที่การตั้งค่า Authorization Policy นะครับ เนื่องจาก Authentication เราได้ใช้ User จาก Local อยู่แล้ว ซึ่งไม่ต้อง คอนฟิก อะไรเพิ่มเติมครับ

สร้าง Authorization Policy 2 Policies โดยมี Condition ดังนี้

Helpdesk –> IdentityGroup = APIC_RO –> Shell Profile –> APIC ReadOnly Profile

Admin –> IdentityGroup = APIC_RW –> Shell Profile –> APIC ReadWrite Profile

3.) เทสผลลัพธ์การทำงาน

3.1) ทำการ Login เข้า APIC GUI ด้วย username/password ที่ได้ตั้งค่าไว้ โดยใช้สิทธิ Admin และ Helpdesk ซึ่งจะเห็นว่า มี Log เข้ามาบน Cisco ISE ว่า Login ผ่านแล้ว

3.2) เช็คสิทธิ์ของ helpdesk user ว่าไม่สามารถ คอนฟิก ได้ จริงไหม โดยทำการสร้าง Interface Policy Group ซึ่งจะเห็นว่า ไม่สามารถสร้างได้ เพราะถูกจำกัดสิทธิ์ไว้แค่ show นั่นเอง

สำหรับเพื่อนๆที่ต้องการเข้าใช้งาน APIC หรือ LEAF, SPINE Switch แบบ CLI เราสามารถใช้คำสั่งนี้ได้เลยครับ (Spine / Leaf Switch ก็ต้อง Add Devices เข้าไปใน ISE ด้วยนะครับ)

apic#Login_Domains(ชื่อตามข้อที่ 1.2)\\username

จบกันไปแล้วนะครับ สำหรับบทความ วิธีการ Configure TACACS+ บน Cisco ISE กับ Cisco APIC หวังว่าจะเป็นประโยชน์กับเพื่อนๆ ไม่มาก ก็น้อย ในการเริ่มต้น คอนฟิก TACACS+ บน Cisco ISE กันนะครับ

โดยใน EP ต่อไป เราจะมานำเสนอวิธีการ คอนฟิก TACACS+ บน Cisco ISE กับ อุปกรณ์ Cisco 3 ตัวอย่าง (Router (IOS-XE), Switch (NXOS), Switch (IOS-XE)) กันนะครับ ขอบคุณครับผม

Ref : https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/basic-configuration/cisco-apic-basic-configuration-guide-60x/user-access-authentication-and-accounting-60x.html#task_D0D8572AB60745F1BFEFE0A2800A1749

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-32/220433-configure-apic-for-device-administration.html

#TACACS+ #Cisco_ISE #ISE #ACI #APIC