تكوين مصادقة الشهادة و AMP؛ مصادقة DUO SAML

تم التحديث:٢٠ يوليو ٢٠٢٣
معرّف المستند:220600

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند مثالا لتنفيذ المصادقة المستندة إلى الشهادة ومصادقة SAML الثنائية.

    المتطلبات الأساسية

    الأدوات والأجهزة المستخدمة في الدليل هي:

    • الدفاع ضد تهديد FirePOWER (FTD) من Cisco 
    • مركز إدارة Firepower ‏(FMC)
    • جهة منح الشهادة الداخلية (CA)
    • حساب Cisco Duo Premier
    • وكيل مصادقة DUO من Cisco
    • العميل الآمن من Cisco (CSC)

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • شبكة خاصة ظاهرية (VPN) أساسية،
    • SSL/TLS
    • البنية الأساسية للمفتاح العام
    • تجربة مع FMC
    • Cisco Secure Client
    • رمز FTD 7.2.0 أو أعلى
    • وكيل مصادقة DUO من Cisco

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco FTD (7.3.1)
    • Cisco FMC (7.3.1)
    • Cisco Secure Client (5.0.02075)
    • وكيل المصادقة الثنائي من Cisco (6.0.1)
    • Mac OS (13.4.1)
    • الدليل النشط

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    تكوين الخطوات على ثنائي

    يصف هذا القسم خطوات تكوين تسجيل الدخول الأحادي ل Cisco DUO (SSO). قبل البدء، تأكد من تنفيذ وكيل المصادقة.

    warning-icon

    تحذير: في حالة عدم تنفيذ وكيل مصادقة، يحتوي هذا الارتباط على دليل هذه المهمة. دليل وكيل المصادقة الثنائي

    إنشاء نهج حماية التطبيقات

    الخطوة 1. قم بتسجيل الدخول إلى لوحة الإدارة من خلال هذا الارتباط Cisco Duo

    Cisco DUO homepageالصفحة الرئيسية ل Cisco DUO

    الخطوة 2. انتقل إلى لوحة المعلومات > تطبيقات > حماية تطبيق.

    في شريط البحث، أدخل Cisco Firepower Threat Defense VPN" وحدد حماية".

    Protect an application screenshotحماية لقطة شاشة تطبيق

    حدد الخيار مع نوع الحماية فقط 2FA مع SSO الذي يستضيفه Duo".

    الخطوة 3: انسخ معلومات عنوان URL هذا تحت بيانات التعريف.

    • معرف كيان موفر الهوية
    • URL الخاص ب SSO
    • عنوان URL لتسجيل الخروج

    Example of information to copyمثال على المعلومات المطلوب نسخها

    note-iconملاحظة: تم حذف الارتباطات من لقطة الشاشة.

    الخطوة 4. حدد تنزيل الشهادة" لتنزيل شهادة موفر الهوية ضمن التنزيلات.

    الخطوة 5. تعبئة معلومات مزود الخدمة

    عنوان URL لقاعدة FirePOWER من Cisco- يتم إستخدام FQDN للوصول إلى FTD

    اسم ملف تعريف الاتصال- اسم مجموعة النفق

    إنشاء سياسة تطبيق

    الخطوة 1: لإنشاء نهج تطبيق ضمن النهج حدد "تطبيق سياسة على جميع المستخدمين" ثم حدد "أو، إنشاء سياسة جديدة" كما هو موضح في الصورة.

    Example of creating an application policyمثال على إنشاء سياسة تطبيق

    Example of creating an application policyمثال على إنشاء سياسة تطبيق

    الخطوة 2. تحت اسم النهج، قم بإدخال الاسم المرغوب، حدد نهج المصادقة" ضمن المستخدمين، وحدد "فرض 2FA." ثم احفظ مع إنشاء نهج."

    Example of creating an application policyمثال على إنشاء سياسة تطبيق

    الخطوة 3. قم بتطبيق النهج باستخدام تطبيق النهج" في الإطار التالي. ثم قم بالتمرير إلى أسفل الصفحة وحدد حفظ" لإنهاء عمليات التهيئة الثنائية

    خطوات تكوين FMC

    نشر شهادة الهوية إلى FTD

    يصف هذا القسم تكوين شهادة الهوية ونشرها إلى FTD المطلوبة لمصادقة الشهادة. قبل البدء، تأكد من نشر جميع التكوينات.

    الخطوة 1. انتقل إلى الأجهزة > الشهادات واخترAdd، كما هو موضح في الصورة.

    Screenshot of Devices/Certificatesلقطة شاشة للأجهزة/الشهادات

    الخطوة 2: أختر جهاز FTD من القائمة المنسدلة للأجهزة. انقر على أيقونة + لإضافة أسلوب تسجيل شهادة جديد.

    Screenshot of Add New Certificateلقطة شاشة لإضافة شهادة جديدة

    الخطوة 3: أختر الخيار الذي هو الطريقة المفضلة للحصول على الشهادات في البيئة عبر نوع التسجيل"، كما هو موضح في الصورة.

    tcoutrie_1-1689786001509لقطة شاشة لصفحة تسجيل الشهادة الجديدة

    tcoutrie_0-1689785460404

    تلميح: الخيارات المتاحة هي: شهادة موقعة ذاتيا - إنشاء شهادة جديدة محليا، SCEP - إستخدام بروتوكول تسجيل الشهادة البسيط للحصول على شهادة من CA، الدليل- تثبيت شهادة الجذر والهوية يدويا، PKCS12 - تحميل حزمة الشهادة المشفرة بالجذر والهوية والمفتاح الخاص.

    نشر شهادة IDP إلى FTD 

    يصف هذا القسم تكوين شهادة IDP ونشرها في FTD. قبل البدء، تأكد من نشر جميع التكوينات.

    الخطوة 1: انتقل إلى الأجهزة > الشهادة واختر إضافة."

    الخطوة 2: أختر جهاز FTD من القائمة المنسدلة للأجهزة. انقر على أيقونة + لإضافة أسلوب تسجيل شهادة جديد.

    الخطوة 3: قم بإدخال المعلومات المطلوبة، كما هو موضح في الصورة، ثم قم بإدخال حفظ" كما هو موضح في الصورة.

    • الاسم: اسم الكائن
    • نوع التسجيل: يدوي
    • خانة الاختيار ممكنة: CA فقط
    • شهادة CA: تنسيق PEM للشهادة

    Example of creating a certificate enrollment objectمثال على إنشاء كائن تسجيل شهادة

    caution-icon

    تحذير: يمكن إستخدام "تخطي التحقق من علامة CA في القيود الأساسية لشهادة CA" إذا لزم الأمر. أستخدم هذا الخيار بحذر.

    الخطوة 4: حدد كائن تسجيل الشهادة الذي تم إنشاؤه حديثا تحت تسجيل الشهادات*" ثم حدد إضافة" كما هو موضح في الصورة.

    Screenshot of added certificate enrollment object and deviceلقطة شاشة لكائن وجهاز تسجيل الشهادة المضاف

    note-icon

    ملاحظة: بمجرد إضافة الشهادة، يتم نشرها على الفور.

    إنشاء كائن SAML SSO

    يصف هذا القسم خطوات تكوين SAML SSO عبر FMC. قبل البدء، تأكد من نشر جميع التكوينات.

    الخطوة 1. انتقل إلى كائنات > خادم AAA > خادم تسجيل الدخول الأحادي وحدد إضافة خادم تسجيل الدخول الأحادي".

    example of creating a new SSO objectمثال على إنشاء كائن SSO جديد

    الخطوة 2. إدخال المعلومات المطلوبة من إنشاء نهج حماية التطبيقات"

    ". للمتابعة بمجرد الاكتمال، حدد حفظ."

    • الاسم*: اسم الكائن
    • معرف كيان موفر الهوية*: معرف الكيان من الخطوة 3
    • SSO URL*: تم نسخ عنوان URL لتسجيل الدخول من الخطوة 3
    • عنوان URL لتسجيل الخروج: عنوان URL لتسجيل الخروج منسوخ من الخطوة 3
    • عنوان URL الأساسي: أستخدم FQDN نفسه ك "عنوان URL الخاص بقاعدة FirePOWER من Cisco" في الخطوة 5
    • شهادة موفر الهوية*: شهادة IDP المنشورة
    • شهادة مزود الخدمة: شهادة على الواجهة الخارجية ل FTD

    Example of new SSO object.مثال على كائن SSO جديد.

    note-icon

    ملاحظة: تم حذف معرف الوحدة وعنوان URL الخاص ب SSO وارتباطات عنوان URL لتسجيل الخروج من لقطة الشاشة

    إنشاء تكوين شبكة الوصول عن بعد الخاصة الظاهرية (RAVPN)

    يصف هذا القسم الخطوات لتكوين RAPN باستخدام المعالج.

    الخطوة 1. انتقل إلى الأجهزة > الوصول عن بعد حدد إضافة.

    الخطوة 2. في المعالج، أدخل اسم معالج نهج RAVPN الجديد، حدد SSL ضمن بروتوكولات VPN: أضف الأجهزة المستهدفة، كما هو موضح في الصورة. حدد التالي" بمجرد اكتماله.

    Step 1 of the RAVPN wizardالخطوة 1 من معالج RAVPN

    الخطوة 2. بالنسبة لملف تعريف الاتصال، قم بتعيين الخيارات (كما هو موضح هنا): حدد التالي" بمجرد اكتماله.

    • اسم ملف تعريف الاتصال: أستخدم اسم مجموعة النفق في الخطوة 5 من "إنشاء نهج حماية للتطبيق."

    المصادقة والتفويض والمحاسبة (AAA):

    • شهادة العميل و SAML
    • خادم المصادقة:*حدد كائن SSO الذي تم إنشاؤه أثناء "إنشاء كائن SAML SSO."
      •

    تعيين عنوان العميل:

    • إستخدام خادم AAA (النطاق أو RADIUS فقط)- RADIUS أو LDAP
    • إستخدام خوادم DHCP- خادم DHCP
    • إستخدام تجمعات عناوين IP- التجمع المحلي على FTD
    Step 2 of RAVPN wizardالخطوة 2 من معالج RAVPN

    تلميح: لهذا المختبر، يتم إستخدام خادم DHCP.

    الخطوة 3. حدد +" لتحميل صورة نشر عبر الويب ل Cisco Secure Client الذي سيتم نشره. ثم حدد خانة الاختيار لصورة CSC المراد نشرها. كما هو موضح في الصورة. حدد التالي" بمجرد اكتماله.

    tcoutrie_5-1689774962848معالج الخطوة 3 RAVPN

    الخطوة 4. ضبط تلك الكائنات (كما ترى في الصورة): حدد التالي" بمجرد إكماله.

    مجموعة الواجهة/منطقة الأمان:*: الواجهة الخارجية

    "تسجيل الشهادة:*": شهادة التعريف التي تم إنشاؤها أثناء "نشر شهادة الهوية إلى الجزء الخاص ب FTD" من هذا الدليل

    tcoutrie_6-1689775004935الخطوة 4 من معالج RAVPN

    تلميح: إذا لم يتم إنشاء هذا، فقم بإضافة كائن تسجيل شهادة جديد عن طريق تحديد +.

    الخطوة 6. ملخص

    تحقق من جميع المعلومات. إذا كان كل شيء صحيحا، تابع مع 'إنهاء.

    tcoutrie_7-1689775076011صفحة الملخص

    الخطوة 7. قم بنشر التكوينات التي تمت إضافتها حديثا.

    التحقق من الصحة

    يوضح هذا القسم التحقق من محاولة اتصال ناجحة.

    افتح Cisco Secure Client وأدخل FTD و Connect.

    أدخل بيانات الاعتماد على صفحة SSO.

    tcoutrie_1-1689775208102صفحة SSO عبر Cisco Secure Client

    اقبل دفع الثنائي إلى الجهاز المسجل.

    tcoutrie_0-1689775181360دفع ثنائي

    اتصال ناجح.

    Connected to FTDمتصل ب FTD

    التحقق من الاتصال على FTD باستخدام الأمر: show vpn-sessionDB detail AnyConnect

    Some information has been omitted from the output exampleتم حذف بعض المعلومات من مثال المخرجات

    استكشاف الأخطاء وإصلاحها

    وهذه مسائل محتملة تنشأ بعد التنفيذ.

    المشكلة 1: فشل مصادقة الشهادة.

    تأكد من تثبيت الشهادة الجذر على FTD؛

    أستخدم تصحيح الأخطاء التالي:

    debug crypto ca 14

    debug aaa shim 128

    debug aaa شائع 128

    الإصدار 2: حالات فشل SAML

    يمكن تمكين عمليات تصحيح الأخطاء هذه لاستكشاف الأخطاء وإصلاحها:

    debug aaa shim 128

    debug aaa شائع 128

    debug webVPN AnyConnect 128

    debug webVPN saml 255

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    21-Jul-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Terrell Coutrier
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات