אינהאַלט באַהאַלטן
1 סיסקאָ טאַקאַקס+ זיכער נעץ אַנאַליטיקס
2 הקדמה
3 צוגרייטונג
4 באַניצער ראָלעס איבערview
5 פּראָצעס איבערview
6 טראָובלעשאָאָטינג
7 FAQ
8 דאָקומענטן / רעסאָורסעס
8.1 רעפערענצן

סיסקאָ-לאָגאָ

סיסקאָ טאַקאַקס+ זיכער נעץ אַנאַליטיקס

סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס-פּראָדוקט

הקדמה

טערמינאַל אַקסעס קאָנטראָללער אַקסעס-קאָנטראָל סיסטעם (TACACS+) איז אַ פּראָטאָקאָל וואָס שטיצט אָטענטאַקיישאַן און אויטאָריזאַציע באַדינונגען און אַלאַוז אַ באַניצער צו אַקסעס קייפל אַפּלאַקיישאַנז מיט איין סעט פון קראַדענטשאַלז. ניצט די פאלגענדע אינסטרוקציעס צו קאַנפיגיער TACACS+ פֿאַר Cisco Secure Network Analytics (פריער Stealth watch).

וילעם
די געוואָלטע צילגרופּע פֿאַר דעם גייד כולל נעץ אַדמיניסטראַטאָרן און אַנדערע פּערסאָנעל וואָס זענען פאַראַנטוואָרטלעך פֿאַר אינסטאַלירן און קאָנפיגורירן זיכער נעץ אַנאַליטיקס פּראָדוקטן. אויב איר בעסער צו אַרבעטן מיט אַ פאַכמאַן ינסטאַללער, ביטע קאָנטאַקט דיין היגע סיסקאָ שוטעף אָדער קאָנטאַקט סיסקאָ שטיצע.

טערמינאָלאָגיע
די גייד ניצט דעם טערמין "אַפּפּליאַנס" פֿאַר יעדן Secure Network Analytics פּראָדוקט, אַרייַנגערעכנט ווירטואַלע פּראָדוקטן ווי די Cisco Secure Network Analytics Flow Sensor Virtual Edition. א "קלאַסטער" איז אייער גרופּע פון ​​Secure Network Analytics אַפּפּליאַנסעס וואָס ווערן געראטן דורך די Cisco Secure Network Analytics Manager (פריער Steal thwatch Management Console אדער SMC).

אין v7.4.0 האבן מיר איבערגעבראנדעט אונזערע Cisco Stealth watch Enterprise פּראָדוקטן צו Cisco Secure Network Analytics. פאר א פולשטענדיגע ליסטע, זעט די Release Notes. אין דעם גייד וועט איר זען אונזער פריערדיגן פּראָדוקט נאָמען Stealth watch, גענוצט ווען נויטיק צו האַלטן קלארקייט, ווי אויך טערמינאָלאָגיע ווי Stealth watch Management Console און SMC.

קאַמפּאַטאַבילאַטי
פֿאַר TACACS+ אויטענטיפיקאַציע און אויטאָריזאַציע, מאַכט זיכער אַז אַלע באַניצער לאָגין זיך אַרײַן דורך דעם מענעדזשער. כּדי זיך אַרײַנצולאָגן אין אַן אַפּפּליאַנס גלייך און נוצן די אַפּפּליאַנס אַדמיניסטראַציע, לאָגין זיך אַרײַן לאָקאַל. די פֿאָלגנדיקע פֿעיִקייטן זענען נישט פֿאַראַן ווען TACACS+ איז ענייבאַלד: FIPS, קאָמפּליאַנס מאָדע.

רעספּאָנס פאַרוואַלטונג
רעספּאָנס מאַנאַגעמענט איז קאָנפיגורירט אין אייער מענעדזשער. כּדי צו באַקומען אימעיל וואָרענונגען, געפּלאַנטע באַריכטן, אאַ"וו, מאַכט זיכער אַז דער באַניצער איז קאָנפיגורירט ווי אַ לאָקאַלער באַניצער אויף דעם מענעדזשער. גייט צו קאָנפיגורירן > דעטעקציע > רעספּאָנס מאַנאַגעמענט, און זעט די הילף פֿאַר אינסטרוקציעס.

פיילאָווער
ביטע באַמערק די פאלגענדע אינפֿאָרמאַציע אויב איר האָט קאָנפיגורירט אייערע מאַנאַדזשערס ווי אַ פיילאָוווער פּאָר:

  • TACACS+ איז נאָר פֿאַראַן אויף דעם הויפּט מאַנאַדזשער. TACACS+ ווערט נישט געשטיצט אויף דעם צווייטן מאַנאַדזשער.
  • אויב TACACS+ איז קאָנפיגורירט אויף דעם ערשטיקן מענעדזשער, איז די TACACS+ באַניצער אינפֿאָרמאַציע נישט פֿאַראַן אויף דעם צווייטן מענעדזשער. איידער איר קענט נוצן קאָנפיגורירטע עקסטערנע אויטענטיפיקאַציע סערוויסעס אויף אַ צווייטן מענעדזשער, דאַרפֿט איר פּראָמאָוויִרן דעם צווייטן מענעדזשער צו ערשטיקן.
  • אויב איר פּראָמאָווירט דעם צווייטן מענעדזשער צו ערשטיקן:
  • אקטיוויזירן TACACS+ און ווייטערע אויטאריזאציע אויף דעם צווייטן מענעדזשער.
  • יעדער עקסטערנער באַניצער וואָס איז איינגעלאָגט אין דעם דעמאָטירטן ערשטיקן פאַרוואַלטער וועט ווערן אויסגעלאָגט.
  • דער צווייטער מענעדזשער האַלט נישט קיין באַניצער דאַטן פֿונעם ערשטיקן מענעדזשער, אַזוי קיין דאַטן וואָס זענען געראַטעוועט אויף דעם ערשטיקן מענעדזשער איז נישט פֿאַראַן אויף דעם נײַעם (פּראָמאָווירטן) ערשטיקן מענעדזשער.
  • אזוי שנעל ווי דער ווייטער באַניצער לאָגט זיך איין אין דעם נייעם ערשטן מענעדזשער צום ערשטן מאָל, וועלן די באַניצער דירעקטאָריעס ווערן באשאפן און די דאַטן ווערן געהיט פון ווייטער.
  • Review פיילאָוווער אינסטרוקציעס: פֿאַר מער אינפֿאָרמאַציע, זעט די פיילאָוווער קאָנפיגוראַציע גייד.

צוגרייטונג

איר קענט קאָנפיגורירן TACACS+ אויף Cisco Identity Services Engine (ISE). מיר רעקאָמענדירן צו נוצן Cisco Identity Services Engine (ISE) פֿאַר צענטראַליזירטע אויטענטיפיקאַציע און אויטאָריזאַציע. אָבער, איר קענט אויך דיפּלויען אַ באַזונדערן TACACS+ סערווער אָדער אינטעגרירן יעדן אַנדערן קאָמפּאַטיבלן אויטענטיפיקאַציע סערווער לויט אייערע ספּעציפֿישע באַדערפענישן.

זייט זיכער אַז איר האָט אַלץ וואָס איר דאַרפט צו אָנהייבן די קאָנפיגוראַציע.

פאָדערונג דעטאַילס
Cisco Identity Services Engine (ISE) אינסטאַלירן און קאָנפיגורירן ISE לויט די אינסטרוקציעס אין די ISE דאָקומענטאַציע פֿאַר דיין מאָטאָראיר וועט דאַרפֿן די IP אַדרעס, פּאָרט, און שערד סוד שליסל פֿאַר די קאָנפיגוראַציע. איר וועט אויך דאַרפֿן די דעווייס אַדמיניסטראַטיאָן ליצענץ.
TACACS + סערווירער איר וועט דאַרפֿן די IP אַדרעס, פּאָרט, און שערד סוד שליסל פֿאַר די קאָנפיגוראַציע.
דעסקטאָפּ קליענט איר וועט ניצן דעם דעסקטאָפּ קליענט פֿאַר דעם קאָנפיגוראַציע אויב איר ווילט ניצן מנהג דעסקטאָפּ ראָלעס. צו ינסטאַלירן דעם דעסקטאָפּ קליענט, זעט די Cisco Secure Network Analytics סיסטעם קאַנפיגיעריישאַן גייד וואָס פּאַסט צו אייער סעקיור נעטוואָרק אַנאַליטיקס ווערסיע.

באַניצער ראָלעס איבערview

די אנווייזונג כולל אינסטרוקציעס פארן קאנפיגורירן אייערע TACACS+ באניצער פאר ווייטערע אויטענטיפיקאציע און אויטאריזאציע. איידער איר הייבט אן די קאנפיגוראציע, רע...view די פרטים אין דעם אָפּטייל צו זיכער מאַכן אַז איר קאָנפיגורירט אייערע באַניצער ריכטיק.

קאָנפיגורירן באַניצער נעמען
פֿאַר ווײַט־אויטענטיפיקאַציע און אויטאָריזאַציע, קענט איר קאָנפיגורירן אײַערע באַניצער אין ISE. פֿאַר לאָקאַלע אויטענטיפיקאַציע און אויטאָריזאַציע, קאָנפיגורירט אײַערע באַניצער אין דעם מענעדזשער.

  • ווײַט: צו קאָנפיגורירן אײַערע באַניצער אין ISE, פֿאָלגט די אינסטרוקציעס אין דעם קאָנפיגוראַציע גייד.
  • לאקאל: כדי צו קאנפיגורירן אייערע באניצער נאר לאקאל, לאגט אריין אין מענעדזשער. פון הויפט מעניו, סעלעקטירט קאנפיגורירן > גלאבאל > באניצער מענעדזשמענט. סעלעקטירט הילף פאר אינסטרוקציעס.

גרויס-הויז-סענסיטיוו באַניצער נעמען
ווען איר קאנפיגורירט ווייטערע באניצער, זאלט ​​איר אקטיוויזירן קעיס-סענסיטיוויטי אויף דעם ווייטערן סערווער. אויב איר אקטיוויזירט נישט קעיס-סענסיטיוויטי אויף דעם ווייטערן סערווער, קענען באניצער מעגליך נישט צוקומען צו זייערע דאטן ווען זיי לאגן זיך איין אין סעקיור נעטווארק אנאליטיקס.

דופליקירטע באַניצער נעמען

  • צי איר קאָנפיגורירט באַניצער נעמען ווייט (אין ISE) צי לאָקאַל (אין דעם מאַנאַדזשער), מאַכט זיכער אַז אַלע באַניצער נעמען זענען יינציק. מיר רעקאָמענדירן נישט צו דופּליקירן באַניצער נעמען איבער ווייטע סערווערס און Secure Network Analytics.
  • אויב אַ באַניצער לאָגט זיך אַרײַן אין דעם מענעדזשער, און זיי האָבן דעם זעלבן באַניצער נאָמען קאָנפיגורירט אין סעקיור נעטוואָרק אַנאַליטיקס און ISE, וועלן זיי נאָר צוטריטן צו זייער לאָקאַלן מענעדזשער/סעקיור נעטוואָרק אַנאַליטיקס דאַטן. זיי קענען נישט צוטריטן צו זייערע ווייטע TACACS+ דאַטן אויב זייער באַניצער נאָמען איז דופּליקירט.

פריערע ווערסיעס

  • אויב איר האָט קאָנפיגורירט TACACS+ אין אַ פריערדיקער ווערסיע פון ​​Cisco Secure Network Analytics (Steal thwatch v7.1.1 און פריער), מאַכט זיכער אַז איר שאַפט נייע באַניצער מיט אייגענאַרטיקע נעמען פֿאַר v7.1.2 און שפּעטער. מיר רעקאָמענדירן נישט צו נוצן אָדער דופּליקירן די באַניצער נעמען פון פריערדיקע ווערסיעס פון Secure Network Analytics.
  • כדי ווייטער צו ניצן באַניצער נעמען וואָס זענען באשאפן געוואָרן אין ווערסיע 7.1.1 און פריער, רעקאָמענדירן מיר זיי צו טוישן צו נאָר לאָקאַל אין אייער הויפּט פאַרוואַלטער און דעם דעסקטאָפּ קליענט. זעט די הילף פֿאַר אינסטרוקציעס.

קאָנפיגורירן אידענטיטעט גרופּעס און באַניצער
פֿאַר אַן אָטערייזד באַניצער לאָגין, וועט איר מאַפּן שאָל פּראָfileס צו אייערע באַניצער. פֿאַר יעדן שאָל פּראָfile, קענט איר צוטיילן די הויפּט אַדמין ראָלע אָדער שאַפֿן אַ קאָמבינאַציע פון ​​נישט-אַדמין ראָלעס. אויב איר צוטיילט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט. אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס, מאַכט זיכער אַז עס טרעפֿט די באַדערפֿנישן.

הויפּט אַדמין ראָלע
הויפּט אַדמין קען view אַלע פונקציאָנאַליטעט און טוישן עפּעס. אויב איר צוטיילט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט.

ראָלע אַטריביוט ווערט
הויפּט אַדמין סיסקאָ-סטעלט וואַטש-מאַסטער-אַדמין

קאָמבינאַציע פון ​​נישט-אַדמיניסטראַטיווע ראָלעס
אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס פֿאַר אייער שאָל פּראָfile, מאַכט זיכער אַז עס כולל די פאלגענדע:

  • 1 דאַטן ראָלע (נאָר)
  • 1 אָדער מער Web ראָלע
  • 1 אדער מער דעסקטאָפּ קליענט ראָלעס

פֿאַר פרטים, זעט די אַטריביוט ווערטן טאַבעלע.

אויב איר באַשטימט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט. אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס, מאַכט זיכער אַז עס טרעפֿט די באַדערפֿנישן.

אַטריביוט ווערטן
פֿאַר מער אינפֿאָרמאַציע וועגן יעדן טיפּ ראָלע, גיט אַ קליק אויף דעם לינק אין דער "פארלאנגטע ראָלעס" קאָלום.

פארלאנגטע ראָלעס אַטריביוט ווערט
1 דאַטן ראָלע (נאָר)
  •  סיסקאָ-סטעלט וואַך-אַלע-דאַטן-לייענען-און-שרייבן
  • סיסקאָ-סטעלט וואַך-אַלע-דאַטן-נאָר-לייענען
1 אָדער מער Web ראָלע
  • סיסקאָ-סטעלט וואַך-קאָנפֿיגוראַציע-מענעדזשער
  • סיסקאָ-סטעלט וואַך-מאַכט-אַנאַליסט
  • סיסקאָ-סטעלט וואַך-אַנאַליסט
1 אדער מער דעסקטאָפּ קליענט ראָלעס
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-סטעלט וואַך-מאַכט-באַניצער
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-קאָנפיגוראַציע-פאַרוואַלטער
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-נעטוואָרק-אינזשעניר
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-זיכערהייט-אַנאַליסט

ראָלעס קיצער
מיר האָבן צוגעשטעלט אַ קיצור פֿון יעדער ראָלע אין די פֿאָלגנדיקע טאַבעלעס. פֿאַר מער אינפֿאָרמאַציע וועגן באַניצער ראָלעס אין זיכער נעטוואָרק אַנאַליטיקס, זעטview די באַניצער פאַרוואַלטונג בלאַט אין הילף.

דאַטן ראָלעס
זייט זיכער אז איר קלייַבט נאָר איין דאַטן ראָלע.

דאַטן ראָלע פּערמישאַנז
 

אַלע דאַטן (נאָר לייענען)

 דער באַניצער קענען view דאַטן אין יעדן דאָמעין אָדער האָסט גרופּע, אָדער אויף יעדן אַפּפּליאַנס אָדער מיטל, אָבער קען נישט מאַכן קיין קאָנפיגוראַציעס.
 

אַלע דאַטן (לייענען און שרייבן)

 דער באַניצער קענען view און קאָנפיגורירן דאַטן אין יעדער דאָמעין אָדער האָסט גרופּע, אָדער אויף יעדער אַפּפּליאַנס אָדער מיטל.

די ספעציפישע פונקציאנאליטעט (פלוס זוכן, פאליסי פארוואלטונג, נעץ קלאסיפיקאציע, א.א.וו.) וואס דער באניצער קען view און/אדער קאָנפיגורירן ווערט באַשטימט דורך דעם באַניצער'ס web ראָלע.

Web ראָלעס

Web ראָלע פּערמישאַנז
מאַכט אַנאַליסט דער מאַכט אַנאַליסט קען דורכפירן די ערשטע אויספאָרשונג וועגן טראַפיק און פלאָוז, ווי אויך קאָנפיגורירן פּאָליטיקס און האָסט גרופּעס.
קאָנפיגוראַטיאָן מאַנאַגער דער קאָנפיגוראַציע מאַנאַדזשער קען view קאָנפיגוראַציע-פֿאַרבונדענע פֿונקציאָנאַליטעט.
אַנאַליסט דער אנאליסט קען דורכפירן די ערשטע אויספארשונג איבער טרעפיק און שטראמען.

דעסקטאָפּ קליענט ראָלעס

Web ראָלע פּערמישאַנז
קאָנפיגוראַטיאָן מאַנאַגער דער קאָנפיגוראַציע מאַנאַדזשער קען view אַלע מעניו זאכן און קאָנפיגורירן אַלע אַפּפּליאַנסעס, דעוויסעס און דאָמעין סעטטינגס.
נעץ ינזשעניר דער נעץ אינזשעניר קען view אַלע טראַפיק-פֿאַרבונדענע מעניו זאכן אין די דעסקטאָפּ קליענט, צולייגן אַלאַרם און האָסט הערות, און דורכפירן אַלע אַלאַרם אַקשאַנז, אַחוץ מיטיגאַציע.
זיכערהייט אַנאַליסט דער זיכערהייט אנאליסט קען view אַלע זיכערהייט-פֿאַרבונדענע מעניו זאכן, צולייגן אַלאַרם און האָסט הערות, און דורכפירן אַלע אַלאַרם אַקשאַנז, אַרייַנגערעכנט מיטיגאַציע.
זיכער נעטוואָרק אַנאַליטיקס מאַכט באַניצער דער זיכערער נעטוואָרק אַנאַליטיקס פּאַוער יוזער קען view אַלע מעניו זאכן, באַשטעטיקן אַלאַרמס, און צולייגן אַלאַרם און האָסט הערות, אָבער אָן די מעגלעכקייט צו ענדערן עפּעס.

פּראָצעס איבערview

איר קענט קאָנפיגורירן Cisco ISE צו צושטעלן TACACS+. כּדי צו הצלחה קאָנפיגורירן TACACS+ סעטטינגס און אָטערייזירן TACACS+ אין Secure Network Analytics, מאַכט זיכער אַז איר פֿאַרענדיקט די פֿאָלגנדיקע פּראָצעדורן:

קאָנפיגורירן TACACS+ אין ISE
ניצט די פאלגענדע אינסטרוקציעס צו קאנפיגורירן TACACS+ אויף ISE. די קאנפיגוראציע ערמעגליכט אייערע ווייטערע TACACS+ באניצער אויף ISE זיך אריינצולאגן אין Secure Network Analytics.

איידער איר אָנהייבן
איידער איר הייבט אן די אינסטרוקציעס, אינסטאלירט און קאנפיגורירט ISE ניצנדיק די אינסטרוקציעס אין די ISE דאקומענטאציע פאר אייער מאטאר. דאס נעמט אריין זיכער מאכן אז אייערע סערטיפיקאטן זענען ריכטיג אויפגעשטעלט.

באַניצער נעמען

  • צי איר קאָנפיגורירט באַניצער נעמען ווייט (אין ISE) צי לאָקאַל (אין דעם מאַנאַדזשער), מאַכט זיכער אַז אַלע באַניצער נעמען זענען יינציק. מיר רעקאָמענדירן נישט צו דופּליקירן באַניצער נעמען אַריבער ווייט סערווערס און Secure Network Analytics.
  • דופליקירטע באַניצער נעמען: אויב אַ באַניצער לאָגט זיך אַרײַן אין דעם מענעדזשער, און זיי האָבן דעם זעלבן באַניצער נאָמען קאָנפיגורירט אין סעקיור נעטוואָרק אַנאַליטיקס און ISE, וועלן זיי נאָר צוטריטן צו זייער לאָקאַלן מענעדזשער/סעקיור נעטוואָרק.
  • אנאליטיקס דאטן. זיי קענען נישט צוקומען צו זייערע ווייטערע TACACS+ דאטן אויב זייער באניצער נאמען איז דופליקירט.
  • באַניצער נעמען וואָס זענען סענסיטיוו צו גרויסע אותיות: ווען איר קאָנפיגורירט ווייטע באַניצער, זאָלט איר אַקטיווירן די סענסיטיוויטי צו גרויסע אותיות אויף דעם ווייטן סערווער. אויב איר אַקטיווירט נישט די סענסיטיוויטי צו גרויסע אותיות אויף דעם ווייטן סערווער, קען עס זײַן אַז באַניצער וועלן נישט קענען צוקומען צו זייערע דאַטן ווען זיי לאָגין זיך אַרײַן אין Secure Network Analytics.

באַניצער ראָלעס
פֿאַר יעדן TACACS+ פּראָfile אין ISE, קענט איר צוטיילן די פּרימערי אַדמין ראָלע אָדער שאַפֿן אַ קאָמבינאַציע פון ​​נישט-אַדמין ראָלעס.

אויב איר באַשטימט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט. אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס, מאַכט זיכער אַז עס טרעפֿט די באַדערפֿנישן. פֿאַר מער אינפֿאָרמאַציע וועגן באַניצער ראָלעס, זעט באַניצער ראָלעס איבערview.

אַקטיווירן דיווייס אַדמיניסטראַציע אין ISE
ניצט די פאלגענדע אינסטרוקציעס צו לייגן צו די TACACS+ סערוויס צו ISE.

  1. לאָגט זיך איין אין אייער ISE ווי אַן אַדמין.
  2. אויסקלייבן ארבעט צענטערס > דעווייס אדמיניסטראציע > איבערview.
    אויב דעווייס אדמיניסטראציע ווערט נישט געוויזן אין ארבעט צענטערס, גייט צו אדמיניסטראציע סיסטעם > לייסענסינג. אין דער לייסענסינג סעקציע, באשטעטיגט אז די דעווייס אדמיניסטראציע לייסענס ווערט געוויזן. אויב עס ווערט נישט געוויזן, לייגט צו די לייסענס צו אייער אקאונט.
  3.  אויסקלײַבן דיפּלוימאַנט.סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (1)
  4. אויסקלייבן אלע פאליסי סערוויס נאָודז אדער ספעציפישע נאָודז.
  5. אין דעם TACACS פּאָרטן פעלד, אַרייַן 49. סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (2)
  6. דריקט היט.

 שאַפֿן TACACS+ פּראָfiles
ניצט די פאלגענדע אינסטרוקציעס צו לייגן צו TACACS+ shell profiles צו ISE. איר וועט אויך נוצן די אינסטרוקציעס צו צוטיילן די פארלאנגטע ראלעס צום שאָל פּראָfile.

  1. אויסקלייבן ארבעט צענטערס > דעווייס אדמיניסטראציע > פאליסי עלעמענטן.
  2. אויסקלייבן רעזולטאַטן > TACACS פּראָfiles.
  3. דריקט לייג.
  4. אין דעם נאָמען פעלד, אַרייַן אַ יינציק באַניצער נאָמען.
    פֿאַר פרטים וועגן באַניצער נעמען זעט באַניצער ראָלעס איבערview. סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (3)
  5. אין דער "Common Task Type" אויסוואל-קלאַס, סעלעקטיר "Shell".
  6. אין דער אָפּטיילונג "מנהג אַטריביוטן", גיט אויף "צולייגן".
  7. אין דעם "טיפ" פעלד, סעלעקטיר "פארפליכטעט".
  8. אין דעם נאָמען פעלד, אַרייַן ראָלע.
  9. אין דעם ווערט פעלד, אַרייַן דעם אַטריביוט ווערט פֿאַר פּריימערי אַדמין אָדער בויען אַ קאָמבינאַציע פון ​​ניט-אַדמין ראָלעס.
    • ראַטעווען: דריקט דעם טשעק איקאָן צו ראַטעווען די ראָלע.
    • קאָמבינאַציע פֿון נישט-אַדמין ראָלעס: אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס, איבערחזרט טריט 5 ביז 8 ביז איר האָט צוגעגעבן אַ שורה פֿאַר יעדער פארלאנגטער ראָלע (דאַטן ראָלע, Web ראָלע, און דעסקטאָפּ קליענט ראָלע).

סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (4)

הויפּט אַדמין ראָלע
הויפּט אַדמין קען view אַלע פונקציאָנאַליטעט און טוישן עפּעס. אויב איר צוטיילט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט.

ראָלע אַטריביוט ווערט
הויפּט אַדמין סיסקאָ-סטעלט וואַטש-מאַסטער-אַדמין

קאָמבינאַציע פון ​​נישט-אַדמיניסטראַטיווע ראָלעס

אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס פֿאַר אייער שאָל פּראָfile, מאַכט זיכער אַז עס כולל די פאלגענדע:

  • 1 דאַטן ראָלע (נאָר): מאַכט זיכער אַז איר קלייַבט נאָר איין דאַטן ראָלע
  • 1 אָדער מער Web ראָלע
  • 1 אדער מער דעסקטאָפּ קליענט ראָלעס
פארלאנגטע ראָלעס אַטריביוט ווערט
 

1 דאַטן ראָלע (נאָר)
  • סיסקאָ-סטעלט וואַך-אַלע-דאַטן-לייענען-און-שרייבן
  • סיסקאָ-סטעלט וואַך-אַלע-דאַטן-נאָר-לייענען
 

1 אָדער מער Web ראָלע
  • סיסקאָ-סטעלט וואַך-קאָנפֿיגוראַציע-מענעדזשער
  • סיסקאָ-סטעלט וואַך-מאַכט-אַנאַליסט
  • סיסקאָ-סטעלט וואַך-אַנאַליסט
 

1 אדער מער דעסקטאָפּ קליענט ראָלעס
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-סטעלט וואַך-מאַכט-באַניצער
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-קאָנפיגוראַציע-פאַרוואַלטער
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-נעטוואָרק-אינזשעניר
  • סיסקאָ-סטעלט וואַך-דעסקטאַפּ-זיכערהייט-אַנאַליסט

אויב איר באַשטימט די הויפּט אַדמין ראָלע צו אַ שאָל פּראָfile, קיין נאָך ראָלעס זענען נישט ערלויבט. אויב איר שאַפֿט אַ קאָמבינאַציע פֿון נישט-אַדמין ראָלעס, מאַכט זיכער אַז עס טרעפֿט די באַדערפֿנישן.

דריקט היט.

  1. איבערחזרן די טריט אין 2. שאַפֿן TACACS+ Profileצו לייגן צו יעדע נאָך TACACS+ שאָל פּראָfileס צו ISE.

איידער איר גייט ווייטער צו 3. מאַפּ שעל פּראָfileצו גרופּעס אדער באַניצער, דאַרפֿט איר שאַפֿן באַניצער, באַניצער אידענטיטעט גרופּע (אויב איר ווילט), און TACACS+ באַפֿעלן סעטן. פֿאַר אינסטרוקציעס ווי אַזוי צו שאַפֿן באַניצער, באַניצער אידענטיטעט גרופּע, און TACACS+ באַפֿעלן סעטן, זעט די ISE דאָקומענטאַציע פֿאַר אייער מאָטאָר.

 מאַפּע שעל פּראָfileצו גרופּעס אדער באַניצער
ניצט די פאלגענדע אינסטרוקציעס צו מאַפּן אייער שאָל פּראָfileס צו אייערע אויטאריזאציע כּללים.

  1. אויסקלייבן ארבעט צענטערס > דעווייס אדמיניסטראציע > דעווייס אדמין פאליסי סעטס.
  2. געפינט דעם נאמען פון אייער פאליסי סעט. דריקט אויף די סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (5)פײַל איקאָן.
  3. געפינט אייער אויטאריזאציע פאליסי. דריקט אויף דיסיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (5)פײַל איקאָן.
  4. דריקט דעם + פּלוס בילדל.סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (6)
  5. אין דעם באדינגונגען פעלד, גיט א קליק אויף דעם + פּלוס בילדל. קאָנפיגורירט די פּאָליטיק באדינגונגען.
    • באַניצער אידענטיטעט גרופּע: אויב איר האָט קאָנפיגורירט אַ באַניצער אידענטיטעט גרופּע, קענט איר שאַפֿן אַ באַדינגונג ווי "אינערלעכע באַניצער.אידענטיטעט גרופּע".
      פֿאַר עקסampלע, "אינערלעכער באַניצער. אידענטיטעט גרופּע איז גלייך "צו פּאַסן צו אַ ספּעציפֿישע באַניצער אידענטיטעט גרופּע.
    • יחיד באַניצער: אויב איר האָט קאָנפיגורירט אַן יחיד באַניצער, קענט איר שאַפֿן אַ באַדינגונג ווי "אינטערנער באַניצער נאָמען".
      פֿאַר עקסampלע, "אינערלעכער באַניצער. נאָמען איז גלייך "צו פּאַסן צו אַ ספּעציפֿישן באַניצער.
      הילף: פֿאַר קאָנדישאַנז סטודיאָ אינסטרוקציעס, גיט די ? הילף בילדל.
  6. אין די שעל פּראָfileס פעלד, אויסקלייבן די שאָל פּראָfile דו האסט באשאפן אין 2. שאפן TACACS+ Profiles.
  7. איבערחזרן די טריט אין 3. מאַפּ שעל פּראָfiles צו גרופּעס אדער באַניצער ביז איר האָט מאַפּט אַלע שאָל פּראָfileס צו אייערע אויטאריזאציע כּללים.

לייג צו זיכערע נעטוואָרק אַנאַליטיקס ווי אַ נעטוואָרק מיטל

  1. אויסקלייבן אַדמיניסטראַציע > נעץ רעסורסן > נעץ דעוויסעס.
  2. אויסקלײַבן נעץ דעוויסעס, גיט +צולייגן.
  3. פֿאַרענדיקט די אינפֿאָרמאַציע פֿאַר אייער הויפּט מענעדזשער, אַרייַנגערעכנט די פֿאָלגנדיקע פֿעלדער:
    • נאָמען: אַרייַן דעם נאָמען פֿון אייער מענעדזשער.
    • IP אַדרעס: אַרייַן די מאַנאַדזשער'ס IP אַדרעס.
    • געטיילט סוד: אַרייַן דעם געטיילטן סוד שליסל.
  4. דריקט היט.
  5. באַשטעטיקן אַז די נעץ דעווייס איז געראַטעוועט אין דער נעץ דעווייסעס רשימה.סיסקאָ-טאַקאַקס+-זיכער-נעטוואָרק-אַנאַליטיקס- (7)
  6. גיי צו 2. אקטיוויזיר TACACS+ אויטאריזאציע אין סעקיור נעטווארק אנאליטיקס.

אַקטיווירן TACACS+ אויטאָריזאַציע אין זיכער

נעץ אַנאַליטיקס
ניצט די פאלגענדע אינסטרוקציעס צו לייגן צו דעם TACACS+ סערווער צו Secure Network Analytics און ענעיבלען ווייטערע אויטאריזאציע.
נאָר אַ פּרימערי אַדמין קען צולייגן דעם TACACS+ סערווער צו סעקיור נעטוואָרק אַנאַליטיקס.
איר קענט צולייגן נאָר איין TACACS+ סערווער צום TACACS+ אויטענטיפיקאציע סערוויס.

  1. לאָגין זיך אַרײַן אין אײַער הויפּט מענעדזשער.
  2. פֿון הויפּט מעניו, אויסקלײַבן קאָנפֿיגורירן > גלאָבאַל > באַניצער פאַרוואַלטונג.
  3. דריקט דעם "אויטענטיפיקאציע און אויטאריזאציע" קוויטל.
  4. דריקט שאַפֿן. סעלעקטירט אויטענטיקאַציע סערוויס.
  5. דריקט דעם אויטענטיקאציע סערוויס אויספאל-קנעפל. סעלעקטירט TACACS+.
  6. פֿאַרענדיקט די פֿעלדער:
    פעלד הערות
    אויטענטיפֿיקאַציע סערוויס
    נאָמען אַרייַן אַ יינציק נאָמען צו ידענטיפיצירן דעם סערווער.
    באַשרייַבונג אַרייַן אַ באַשרייַבונג וואָס ספּעציפֿיצירט ווי אָדער פאַרוואָס דער סערווער ווערט גענוצט.
    קאַש טיימאַוט (סעקונדעס) די צייט (אין סעקונדעס) וואָס אַ באַניצער נאָמען אָדער פּאַראָל ווערט באַטראַכט ווי גילטיק איידער סעקיור נעטוואָרק אַנאַליטיקס פארלאנגט ווידער-אַרייַנשרייַבן די אינפֿאָרמאַציע.
    פּרעפיקס דאס פעלד איז אפציאנאל. די פרעפיקס שטריקל ווערט געשטעלט אין אנפאנג פונעם באניצער נאמען ווען דער נאמען ווערט געשיקט צום RADIUS אדער TACACS+ סערווער. למשלampלע, אויב דער באַניצער נאָמען איז זאָוי און דער רעאלם פּרעפיקס איז דאָמעין-
    A\, דער באַניצער נאָמען DOMAIN-A\zoe ווערט געשיקט צום סערווער. אויב איר קאָנפיגורירט נישט דאָס פּרעפיקס פעלד, ווערט נאָר דער באַניצער נאָמען געשיקט צום סערווער.
    סאַפיקס דאס פעלד איז אפציאנאל. די סופֿיקס סטרינג ווערט געשטעלט אין סוף פונעם באַניצער נאָמען. למשלampלע, אויב דער סופֿיקס איז  מיין דאָמעין.com, דער באַניצער נאָמען zoe@mydomain.com ווערט געשיקט צום TACACS+ סערווער. אויב איר קאנפיגורירט נישט דאס סופיקס פעלד, ווערט נאר דער באניצער נאמען געשיקט צום סערווער.
    סערווירער
    IP אַדרעס ניצט אָדער IPv4 אָדער IPv6 אַדרעסן ווען איר קאָנפיגורירט אויטענטיפיקאַציע סערוויסעס.
    פּאָרט אַרייַן אַלע נומערן פון 0 ביז 65535 וואָס קאָרעספּאָנדירן צו די צוגעפּאַסטע פּאָרט.
    סוד שליסל אַרייַן דעם סוד שליסל וואָס איז קאָנפיגורירט געוואָרן פֿאַר דעם צוגעפּאַסטן סערווער.
  7.  דריקט היט.
    דער נײַער TACACS+ סערווער ווערט צוגעגעבן, און אינפֿאָרמאַציע פֿאַרן סערווער ווערט געוויזן.
  8.  דריקט דעם "אקציעס" מעניו פארן TACACS+ סערווער.
  9. אויסקלייבן "Enable Remote Authorization" פֿון דעם אויספֿאַל מעניו.
  10. פֿאָלגט די אינסטרוקציעס אויף דעם עקראַן צו אַקטיוויזירן TACACS+.

טעסט ווייט TACACS+ באַניצער לאָגין
ניצט די פאלגנדע אינסטרוקציעס צו זיך אריינלאגירן אין מענעדזשער. פאר ווייטערע TACACS+ אויטאריזאציע, מאכט זיכער אז אלע באניצער לאגן זיך אריין דורך דעם מענעדזשער.

כדי זיך אריינצולאָגירן אין אַן אַפּפּליאַנס גלייך און ניצן די אַפּפּליאַנס אַדמיניסטראַציע, לאָגירט זיך אריין לאָקאַל.

  1. אין דעם אַדרעס פעלד פון אייער בלעטערער, ​​טיפּ די פאלגענדע: https:// נאכגעפאָלגט דורך די IP אַדרעס פון אייער מענעדזשער.
  2. אַרייַן דעם באַניצער נאָמען און פּאַראָל פון אַ ווײַטן TACACS+ באַניצער.
  3. אויב אַ באַניצער קען זיך נישט אַרײַנלאָגירן אין דעם מענעדזשער,view די טראָובלעשאָאָטינג אָפּטיילונג.

טראָובלעשאָאָטינג

אויב איר טרעפט איינע פון ​​די פראבלעם-פארלעשונג סצענארן, קאנטאקט אייער אדמיניסטראטאר צו עס לייזןview די קאָנפיגוראַציע מיט די לייזונגען וואָס מיר האָבן דאָ צוגעשטעלט. אויב אייער אַדמין קען נישט לייזן די פּראָבלעמען, ביטע קאָנטאַקטירט סיסקאָ שטיצע.

סצענאַריעס

סצענאַר הערות
א ספעציפישע TACACS+ באַניצער קען זיך נישט אַרײַנלאָגירן
  •  Review דער אוידיט לאג פאר באניצער לאגין דורכפאל מיט אומלעגאַלע מאַפּינגס or אומגילטיק קאָמבינאַציע פון ​​ראָלעסדאָס קען פּאַסירן אויב די אידענטיטעט גרופּע שאָל פּראָfile כולל הויפּט אַדמין און נאָך ראָלעס, אָדער אויב די קאָמבינאַציע פון ​​נישט-אַדמין ראָלעס טרעפט נישט די באדערפענישן. זעט באַניצער ראָלעס איבערview פֿאַר פרטים.
  •  זייט זיכער אז דער TACACS+ באַניצער נאָמען איז נישט דער זעלביקער ווי אַ לאָקאַל (Secure Network Analytics) באַניצער נאָמען. זעט באַניצער ראָלעס איבערview פֿאַר פרטים.
אַלע TACACS+ באַניצער קענען זיך נישט אַרײַנלאָגירן
  •  טשעק די TACACS+ קאָנפיגוראַציע אין סעקיור נעטוואָרק אַנאַליטיקס.
  •  קאָנטראָלירט די קאָנפיגוראַציע אויף דעם TACACS+ סערווער.
  •  זייט זיכער אז דער TACACS+ סערווער לויפט.
  •  זייט זיכער אז דער TACACS+ סערוויס איז ענייבאַלד אין סעקיור נעטוואָרק אַנאַליטיקס:
  •  עס קענען זיין דעפינירט קייפל אויטענטיפיקאציע סערווערס, אבער נאר איינער קען זיין ענייבאַלד פֿאַר אויטאָריזאַציע. זעט 2. אַקטיווירן TACACS+ אויטאָריזאַציע אין זיכער נעטוואָרק אַנאַליטיקס פֿאַר פרטים.
  •  כדי צו געבן דערלויבעניש פאר א ספעציפישן TACACS+ סערווער, זעהט 2. געבן TACACS+ אויטאָריזאַציע אין זיכער נעץ אַנאַליטיקס פֿאַר פרטים.
 

ווען אַ באַניצער לאָגט זיך אַרײַן, קען ער נאָר צוטריטן צום מענעדזשער לאָקאַל.

 אויב אַ באַניצער עקזיסטירט מיטן זעלבן באַניצער נאָמען אין Secure Network Analytics (לאָקאַל) און דעם TACACS+ סערווער (ווייט), איבערשרייבט דער לאָקאַלער לאָגין דעם ווייטן לאָגין. זעט באַניצער ראָלעס איבערview פֿאַר פרטים.

קאָנטאַקט שטיצן
אויב איר דאַרפֿן טעכניש שטיצן, ביטע טאָן איינער פון די פאלגענדע:

טוישן געשיכטע

דאָקומענט ווערסיע פֿאַרעפֿנטלעכט טאָג באַשרייַבונג
1_0 21 אויגוסט 2025 ערשט ווערסיע.

דרוקרעכט אינפֿאָרמאַציע
סיסקאָ און די סיסקאָ לאָגאָ זענען טריידמאַרקס אָדער רעגיסטרירט טריידמאַרקס פון סיסקאָ און / אָדער זייַן אַפיליאַץ אין די יו. עס. און אנדערע לענדער. צו view אַ רשימה פון סיסקאָ טריידמאַרקס, גיין צו דעם URL: https://www.cisco.com/go/trademarks. דריט-פּאַרטיי טריידמאַרקס דערמאנט זענען די פאַרמאָג פון זייער ריספּעקטיוו אָונערז. די נוצן פון דעם וואָרט שוטעף טוט נישט מיינען אַ שוטפעס שייכות צווישן Cisco און קיין אנדערע פירמע. (1721ר)

© 2025 Cisco Systems, Inc. און / אָדער זייַן אַפיליאַץ. אלע רעכטן רעזערווירט.

FAQ

קען מען ניצן TACACS+ מיט קאמפלייענס מאָד ענייבאַלד?

ניין, TACACS+ אויטענטיפיקאציע און אויטאריזאציע שטיצן נישט קאמפלייענס מאָד. זיכערט זיך אז קאמפלייענס מאָד איז אפגעשטעלט ווען איר ניצט TACACS+.

דאָקומענטן / רעסאָורסעס

סיסקאָ טאַקאַקס+ זיכער נעץ אַנאַליטיקס [pdfבאַניצער גייד
7.5.3, טאַקאַקס זיכערע נעץ אַנאַליטיקס, טאַקאַקס, זיכערע נעץ אַנאַליטיקס, נעץ אַנאַליטיקס, אַנאַליטיקס

רעפערענצן

לאָזן אַ באַמערקונג

דיין בליצפּאָסט אַדרעס וועט נישט זיין ארויס. פארלאנגט פעלדער זענען אנגעצייכנט *