تكوين ISE 3.2 لتعيين علامات مجموعة أمان لجلسات عمل PassiveID

خيارات التنزيل

  • PDF     (1.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٥ فبراير ٢٠٢٣
معرّف المستند:218315

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين علامات مجموعة الأمان (SGTs) وتخصيصها لجلسات عمل معرف الخامل من خلال سياسات التخويل في ISE 3.2.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • Cisco ISE 3.2
    • Passive ID و TrustSec و PxGrid

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco ISE 3.2
    • FMC 7.0.1
    • WS-C3850-24P التي تشغل الإصدار 16.12.1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    Cisco Identity Services Engine (ISE) 3.2 هو الإصدار الأدنى الذي يدعم هذه القدرة. لا يغطي هذا المستند تكوين PassiveID و PxGrid و SXP. للحصول على معلومات ذات صلة، راجع دليل الإدارة.

    في إصدارات ISE 3. 1 أو الإصدارات الأقدم، يمكن تعيين رقم مجموعة أمان (SGT) فقط لجلسة عمل RADIUS أو المصادقة النشطة مثل 802. 1x و MAB. مع ISE 3.2، يمكننا تكوين سياسات التخويل لجلسات عمل PassiveID بحيث أنه عندما يستقبل Identity Services Engine (ISE) أحداث تسجيل دخول المستخدم من موفر مثل Active Directory Domain Controllers (AD DC) WMI أو وكيل AD، فإنه يعين علامة مجموعة أمان (SGT) لجلسة عمل PassiveID استنادا إلى عضوية مجموعة Active Directory (AD) للمستخدم. يمكن نشر تفاصيل تعيين IP-Sgt ومجموعة الإعلانات الخاصة ب PassiveID إلى مجال TrustSec عبر بروتوكول تبادل الرقيب (SXP) و/أو إلى مشتركي شبكة تبادل النظام الأساسي (PXgrid) مثل مركز إدارة الطاقة النارية (FMC) من Cisco وتحليلات الشبكة الآمنة (Stealthwatch) من Cisco.

    التكوين

    الرسم التخطيطي للتدفق

    PassiveID TrustSec SGT Assignment Flowالرسم التخطيطي للتدفق

    التكوينات

    تمكين تدفق التخويل:

    انتقل إلى Active Directory > Advanced Settings > PassiveID Settings  وتحقق من Authorization Flow خانة الاختيار لتكوين سياسات التخويل لمستخدمي تسجيل الدخول إلى PassiveID. هذا خيار أعجزت افتراضيا.

    PassiveID Authorization Flow Settingتمكين تدفق التخويل

    ملاحظة: لكي تعمل هذه الميزة، تأكد من تشغيل خدمات PassiveID و PxGrid و SXP في عملية النشر الخاصة بك. يمكنك التحقق من هذا ضمن Administration > System > Deployment .

    تكوين مجموعة النهج:

    1. إنشاء مجموعة نهج منفصلة ل PassiveID (مستحسن).
    2. للشروط، أستخدم السمة PassiveID·PassiveID_Provider  وحدد نوع الموفر الخاص بك.

    PassiveID Authorization Conditionمجموعات النهج

    1. تكوين قواعد التفويض لمجموعة النهج التي تم إنشاؤها في الخطوة 1.
    • قم بإنشاء شرط لكل قاعدة واستخدم قاموس PassiveID بناء على مجموعات AD أو أسماء المستخدمين أو كليهما.
    • قم بتعيين علامة مجموعة أمان لكل قاعدة وقم بحفظ التكوينات.

    PassiveID Authorization Policy for SGT assignmentسياسة التخويل

    ملاحظة: نهج المصادقة غير ذي صلة لأنه غير مستخدم في هذا التدفق.

    ملاحظة: يمكنك إستخدام PassiveID_Username, PassiveID_Groups, أو PassiveID_Provider سمات لإنشاء قواعد التخويل.

    4. انتقل إلى Work Centers > TrustSec > Settings > SXP Settings لتمكين Publish SXP bindings on pxGrid و Add RADIUS and PassiveID Mappings into SXP IP SGT Mapping Table لمشاركة تعيينات PassiveID مع مشتركي PxGrid وتضمينهم في جدول تعيينات SXP على ISE.

    Publishing SXP Bindings over PxGridإعدادات SXP

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    التحقق من ISE

    بمجرد إرسال أحداث تسجيل دخول المستخدم إلى ISE من موفر مثل WMI أو وكيل AD لوحدات تحكم مجال خدمة Active Directory (AD DC)، انتقل إلى فحص سجلات Live. انتقل إلى Operations > Radius > Live Logs.

    Verify PassiveID Authorization Flow in live sessions.سجلات Radius المباشرة

    انقر فوق رمز المكبر في عمود التفاصيل لعرض تقرير مفصل لمستخدم، في هذا المثال (Smith (Domain Users) كما هو موضح هنا.

    Live Log details user1

    تقرير مفصل لمستخدم آخر (مسؤولو المجال). وكما هو موضح هنا، يتم تعيين مساعد رقيب مختلف وفقا لسياسة التخويل التي تم تكوينها.

    Live Log details user2

    تحقق من جدول تعيين الرقيب/IP في ISE. انتقل إلى Work Centers >TrustSec > All SXP Mappings.

    View SXP Bindings on ISEجدول تعيينات SXP

    ملاحظة: لا يمكن نشر أحداث PassiveID من موفر API إلى نظراء SXP. ومع ذلك، يمكن نشر تفاصيل الرقيب لهؤلاء المستخدمين من خلال pxGrid.

    التحقق من مشترك PxGrid

    يتحقق قصاصة واجهة سطر الأوامر (CLI) هذه من أن وحدة التحكم في الإدارة الأساسية (FMC) قد تعلمت تعيينات IP-SGT لجلسات PassiveID المذكورة سابقا من ISE.

    Verify SXP Binding on FMCالتحقق من واجهة سطر الأوامر (CLI) ل FMC

    التحقق من نظير TrustSec SXP

    لقد تعلم المحول تعيينات IP-Sgt لجلسات عمل PassiveID من ISE، كما هو موضح في مقتبس واجهة سطر الأوامر هذا.

    Verify source of TAG on FMCالتحقق من واجهة سطر الأوامر (CLI) للمحول

    ملاحظة: يقع تكوين المحول ل AAA و TrustSec خارج نطاق هذا المستند. الرجاء التحقق من دليل Cisco TrustSec للحصول على عمليات التكوين ذات الصلة.

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    تمكين تصحيح الأخطاء على ISE

    انتقل إلى Administration > System > Logging > Debug Log Configuration لتعيين المكونات التالية إلى المستوى المحدد.

    عقدة

    اسم المكون

     مستوى التسجيل

    اسم ملف السجل

    PassiveID

    خوامل

    أثر

    passiveid-*.log

    PxGrid

    pxgrid

    أثر

    pxgrid-server.log

    SXP

    sxp

    تصحيح الأخطاء

    sxp.log

    ملاحظة: عند الانتهاء من أستكشاف الأخطاء وإصلاحها، تذكر إعادة تعيين تصحيح الأخطاء وتحديد العقدة ذات الصلة وانقر فوق Reset to Default.

    قصاصات السجلات

    1. يستلم ISE أحداث تسجيل الدخول من الموفر:

    Passiveid-*.log file:

    ADI debugs on FMCملف Passiveid-*.log

    2. يقوم ISE بتعيين الرقيب وفقا لسياسة التخويل التي تم تكوينها ويقوم بنشر مخطط IP-SGT لمستخدمي PassiveID إلى مشتركي PxGrid ونظراء SXP:

    ملف sxp.log:

    ADI debugs on FMC2ملف sxp.log

    pxgrid-server.log file:

    Verify logs on FMCملف pxgrid-server.log

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    15-Feb-2023
    الإصدار الأولي
    1.0
    09-Feb-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Romeo Migisha
      Cisco Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا