يصف هذا المستند كيفية تكوين محرك خدمات الهوية من Cisco (ISE) لاستخدام سمة VSA الخاصة ببائع RADIUS من نوع العميل (VSA) للتمييز بين أنواع متعددة من المصادقة المستخدمة على جهاز الأمان القابل للتكيف (ASA) من Cisco. غالبا ما تتطلب المؤسسات قرارات تتعلق بالسياسات استنادا إلى الطريقة التي تتم بها مصادقة المستخدم على ASA. وهذا يتيح لك أيضا تطبيق السياسة على إتصالات الإدارة المستلمة على ASA، والتي تتيح لنا إستخدام RADIUS بدلا من TACACS+، عندما يكون ذلك حكيما.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
مصادقة ISE والتخويل.
طرق مصادقة ASA وتكوين RADIUS.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
جهاز Cisco Adaptive Security Appliance، الإصدار 8.4.3.
محرك خدمات تعريف Cisco الإصدار 1.1.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
تمت إضافة السمة نوع العميل في الإصدار 8.4.3 من ASA، والذي يسمح ل ASA بإرسال نوع العميل الذي يصدق على ISE في حزم طلب الوصول (و accounting-request)، ويسمح ل ISE باتخاذ قرارات السياسة استنادا إلى هذه السمة. لا تتطلب هذه السمة أي تكوين على ASA، ويتم إرسالها تلقائيا.
تم تعريف السمة Client-Type حاليا مع قيم العدد الصحيح التالية:
عميل Cisco VPN (إصدار تبادل مفتاح الإنترنت (IKEv1)
AnyConnect Client SSL VPN
ClientWithout SSL VPN
بروكسي قطع
L2TP/IPsec SSL VPN
AnyConnect Client IPsec VPN (IKEv2)
في هذا القسم، يتم توفير المعلومات التي تحتاج إليها لتكوين ISE لاستخدام سمة نوع العميل الموضحة في هذا المستند.
لإضافة قيم سمة نوع العميل إلى ISE، قم بإنشاء السمة وتعميم قيمها كقاموس مخصص.
على ISE، انتقل إلى السياسة > عناصر السياسة > القواميس > النظام.
ضمن قواميس النظام، انتقل إلى RADIUS > بائعي RADIUS>Cisco-VPN3000.
يجب أن يكون معرف المورد على الشاشة هو 3076. انقر على صفحة خصائص القاموس.
انقر فوق إضافة (راجع الشكل 1).
شكل 1: خصائص القاموس
ملء الحقول الموجودة في نموذج سمة مورد RADIUS المخصص كما هو موضح في الشكل 2.
شكل 2: سمة مورد RADIUS
انقر فوق زر حفظ في أسفل الشاشة.
لاستخدام السمة الجديدة لقرارات النهج، قم بإضافة السمة إلى قاعدة تخويل في قسم الشروط.
في ISE، انتقل إلى السياسة > التفويض.
إنشاء قاعدة جديدة أو تعديل سياسة موجودة.
في قسم الشروط من القاعدة، قم بتوسيع جزء الشروط وحدد إما إنشاء شرط جديد (لقاعدة جديدة) أو إضافة سمة/قيمة (لقاعدة موجودة مسبقا).
في حقل تحديد سمة، انتقل إلى Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-client-type.
أختر المشغل المناسب (يساوي أو لا يساوي) لبيئتك.
أختر نوع المصادقة الذي تريد مطابقته.
قم بتعيين نتيجة تخويل مناسبة للنهج الخاص بك.
طقطقة تم.
طقطقة حفظ.
بعد إنشاء القاعدة، يجب أن يبدو شرط التخويل مماثلا للمثال الموجود في الشكل 3.
الشكل 3: مثال حالة التخويل
للتحقق من أن السمة Client-Type قيد الاستخدام، قم بفحص المصادقة من ASA في ISE.
انتقل إلى العمليات > المصادقة
طقطقت التفاصيل زر للمصادقة من ال ASA.
قم بالتمرير إلى سمات أخرى وابحث عن CVPN3000/ASA/PIX7x-client-type= (راجع الشكل 4)
الشكل 4: تفاصيل السمات الأخرى
يجب أن يشير حقل السمات الأخرى إلى القيمة المستلمة للمصادقة. يجب أن تتطابق القاعدة مع السياسة المحددة في الخطوة 2 من قسم التكوين.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
03-Mar-2013 |
الإصدار الأولي |