تكوين خوادم TACACS الخارجية واستكشاف أخطائها وإصلاحها على ISE

خيارات التنزيل

  • PDF     (915.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (802.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (458.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٥ ديسمبر ٢٠١٦
معرّف المستند:200890

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند الميزة لاستخدام خادم TACACS+ الخارجي في عملية نشر باستخدام Identity Service Engine (ISE) كوكيل.

المتطلبات الأساسية

المتطلبات

  • الفهم الأساسي لإدارة الأجهزة على ISE.
  • يستند هذا المستند إلى الإصدار 2.0 من Identity Service Engine، القابل للتطبيق على أي إصدار من Identity Service Engine أعلى من 2.0.

المكونات المستخدمة

ملاحظة: يمكن تفسير أي مرجع إلى ACS في هذا المستند ليكون مرجعا إلى أي خادم TACACS+ خارجي. ومع ذلك، قد يختلف التكوين على ACS والتكوين على أي خادم TACACS آخر.

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • Identity Service Engine 2.0
  • نظام التحكم بالوصول (ACS) 5.7

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي تغيير في التكوين.

التكوين

يساعد هذا القسم على تكوين ISE لطلبات TACACS+ للوكيل إلى ACS.

الرسم التخطيطي للشبكة

200890-Configure-and-Troubleshoot-External-TACA-00.png

تكوين ISE

  1. يمكن تكوين خوادم TACACS الخارجية المتعددة على ISE ويمكن إستخدامها لمصادقة المستخدمين. من أجل تكوين خادم TACACS+ الخارجي على ISE، انتقل إلى مراكز العمل > إدارة الأجهزة > موارد الشبكة > خوادم TACACS الخارجية. انقر فوق إضافة وتعبئة تفاصيل الخادم الخارجي.

200890-Configure-and-Troubleshoot-External-TACA-01.png

يجب أن يكون السر المشترك المتوفر في هذا القسم هو نفسه السر المستخدم في ACS.

  1. لاستخدام خادم TACACS الخارجي الذي تم تكوينه، يجب إضافته في تسلسل خادم TACACS لاستخدامه في مجموعات النهج. in order to شكلت TACACS نادل تسلسل، انتقل إلى مراكز عمل > أداة إدارة > شبكة مورد > TACACS نادل تسلسل. انقر فوق إضافة، قم بتعبئة التفاصيل واختر الخوادم المطلوبة لاستخدامها في هذا التسلسل.

200890-Configure-and-Troubleshoot-External-TACA-02.png

بالإضافة إلى تسلسل الخادم، تم توفير خيارين آخرين. التحكم في التسجيل وتعرية اسم المستخدم.

يعطي التحكم في التسجيل خيارا إما لتسجيل طلبات المحاسبة محليا على ISE أو لتسجيل طلبات المحاسبة إلى الخادم الخارجي الذي يتعامل مع المصادقة أيضا.

يتم إستخدام تجريد اسم المستخدم لشطب البادئة أو اللاحقة عن طريق تحديد محدد قبل إعادة توجيه الطلب إلى خادم TACACS خارجي.

  1. لاستخدام تسلسل خادم TACACS الخارجي الذي تم تكوينه، يجب تكوين مجموعات النهج لاستخدام التسلسل الذي تم إنشاؤه. لتكوين مجموعات السياسات لاستخدام تسلسل الخادم الخارجي، انتقل إلى مراكز العمل > إدارة الأجهزة > مجموعات سياسات إدارة الأجهزة > [حدد مجموعة السياسات]. تبديل الزر اللاسلكي الذي يقول تسلسل الوكيل. أختر تسلسل الخادم الخارجي الذي تم إنشاؤه.

200890-Configure-and-Troubleshoot-External-TACA-03.png

تكوين ACS

بالنسبة ل ACS، يعد ISE مجرد جهاز شبكة آخر سيقوم بإرسال طلب TACACS. لتكوين ISE كجهاز شبكة في ACS، انتقل إلى موارد الشبكة > أجهزة الشبكة وعملاء AAA. انقر فوق إنشاء وتعبئة تفاصيل خادم ISE باستخدام نفس السر المشترك كما تم تكوينه على ISE.

200890-Configure-and-Troubleshoot-External-TACA-04.png

قم بتكوين معلمات إدارة الأجهزة على ACS الموجودة وتوصيفات shell ومجموعات الأوامر. لتكوين توصيفات Shell، انتقل إلى عناصر النهج > التخويل والأذونات > إدارة الأجهزة > توصيفات Shell. انقر فوق إنشاء وتكوين الاسم والمهام المشتركة والسمات المخصصة وفقا للمتطلبات.

200890-Configure-and-Troubleshoot-External-TACA-05.png

لتكوين مجموعات الأوامر، انتقل إلى عناصر النهج > التخويل والأذونات > إدارة الجهاز > مجموعات الأوامر. انقر فوق إنشاء وتعبئة التفاصيل حسب المتطلب.

200890-Configure-and-Troubleshoot-External-TACA-06.png

قم بتكوين خدمة الوصول المحددة في قاعدة تحديد الخدمة وفقا للمتطلبات.لتكوين قواعد خدمة الوصول، انتقل إلى سياسات الوصول > خدمات الوصول >مسؤول الجهاز الافتراضي > الهوية حيث يمكن تحديد مخزن الهوية الذي يلزم إستخدامه للمصادقة. يمكن تكوين قواعد التخويل من خلال الانتقال إلى سياسات الوصول > خدمات الوصول >مسؤول الجهاز الافتراضي > التفويض.

ملاحظة: قد يختلف تكوين سياسات التخويل وواجهات shell الخاصة بأجهزة معينة وذلك خارج نطاق هذا المستند.

التحقق من الصحة

أستخدم هذا القسم للتأكد من أن التكوين يعمل بشكل صحيح.

ويمكن التحقق من الصحة على كل من ISE و ACS. وأي خطأ في تكوين ISE أو ACS سيؤدي إلى فشل المصادقة. ACS هو الخادم الأساسي الذي سيتولى معالجة طلبات المصادقة والتفويض، ويتحمل ISE المسؤولية تجاه خادم ACS ومنه، كما يعمل كوكيل للطلبات. بما أن الحزمة تعبر من خلال كلا الخادمين، فإن التحقق من المصادقة أو طلب التخويل يمكن أن يتم على كلا الخادمين.

يتم تكوين أجهزة الشبكة باستخدام ISE كخادم TACACS وليس ACS. وبالتالي يصل الطلب إلى ISE أولا، واستنادا إلى القواعد التي تم تكوينها، يقرر ISE ما إذا كان الطلب بحاجة إلى إعادة توجيهه إلى خادم خارجي. يمكن التحقق من هذا الإجراء في سجلات TACACS Live على ISE.

لعرض السجلات المباشرة على ISE، انتقل إلى العمليات > TACACS > السجلات المباشرة. يمكن مشاهدة التقارير المباشرة على هذه الصفحة ويمكن مراجعة تفاصيل طلب معين بالنقر فوق رمز العدسة المكبرة المتعلق بذلك الطلب المحدد ذي الأهمية.

                                        200890-Configure-and-Troubleshoot-External-TACA-07.png

لعرض تقارير المصادقة على ACS، انتقل إلى المراقبة والتقارير > مراقبة بدء التشغيل وعارض التقارير > المراقبة والتقارير > بروتوكول المصادقة والتفويض والمحاسبة (AAA) > مصادقة TACACS. مثل ISE، يمكن مراجعة تفاصيل طلب معين بالنقر فوق أيقونة العدسة المكبرة المتعلقة بذلك الطلب المحدد الذي له أهمية 

200890-Configure-and-Troubleshoot-External-TACA-08.png

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها

1. إذا أظهرت تفاصيل التقرير على ISE رسالة الخطأ الموضحة في الشكل، فإنها تشير إلى سر مشترك غير صالح تم تكوينه على ISE أو جهاز الشبكة (NAD).

200890-Configure-and-Troubleshoot-External-TACA-09.png

 2. في حالة عدم وجود تقرير مصادقة لطلب على ISE ولكن يتم رفض وصول المستخدم النهائي إلى جهاز الشبكة، يشير ذلك عادة إلى عدة أمور.

  • لم يصل الطلب نفسه إلى خادم ISE.
  • إذا تم تعطيل شخص إدارة الأجهزة على ISE، فسيتم إسقاط أي طلب من TACACS+ إلى ISE بصمت. لن يتم عرض أي سجلات تشير إلى نفس ذلك في التقارير أو سجلات Live. للتحقق من ذلك، انتقل إلى إدارة > نظام > نشر > [حدد العقدة]. انقر فوق تحرير ولاحظ خانة الاختيار تمكين خدمة إدارة الأجهزة" أسفل علامة التبويب الإعدادات العامة كما هو موضح في الشكل. يجب التحقق من خانة الاختيار هذه لكي تعمل "إدارة الأجهزة" على ISE.

200890-Configure-and-Troubleshoot-External-TACA-10.png

  • إذا لم يكن ترخيص إدارة الجهاز موجودا بعد انتهاء مدة صلاحيته، فسيتم إسقاط جميع طلبات TACACS+ بصمت. لا يتم عرض أي سجلات في واجهة المستخدم الرسومية ل نفسه. انتقل إلى إدارة > نظام > ترخيص للتحقق من ترخيص إدارة الجهاز.

200890-Configure-and-Troubleshoot-External-TACA-11.png

  • إذا لم يتم تكوين جهاز الشبكة أو إذا تم تكوين IP لجهاز شبكة غير صحيح على ISE، فسيقوم ISE بإسقاط الحزمة بصمت. لم يتم إرسال أي إستجابة إلى العميل ولا يتم عرض أي سجلات في واجهة المستخدم الرسومية. وهذا تغير في سلوك ISE ل TACACS+ عند مقارنته بسلوك ACS الذي يعلم بأن الطلب جاء من جهاز شبكة غير معروف أو عميل AAA.
  • وصل الطلب إلى ACS ولكن الاستجابة لم تعد إلى ISE. يمكن التحقق من هذا السيناريو من التقارير المتعلقة بمصدر المحتوى الإضافي كما هو موضح في الشكل. وعادة ما يكون ذلك بسبب سر مشترك غير صالح إما على ACS الذي تم تكوينه ل ISE أو على ISE الذي تم تكوينه ل ACS.

200890-Configure-and-Troubleshoot-External-TACA-12.png

  • لن يتم إرسال الاستجابة حتى إذا لم يتم تكوين ISE أو لم يتم تكوين عنوان IP الخاص بواجهة إدارة ISE على ACS في تكوين جهاز الشبكة. في مثل هذا القطاع، يمكن ملاحظة الرسالة في الشكل على ال‍ ACS.

200890-Configure-and-Troubleshoot-External-TACA-13.png

  • إذا تم الاطلاع على تقرير مصادقة ناجح على ACS ولكن لا يتم مشاهدة أي تقارير على ISE ويتم رفض المستخدم، فقد يكون ذلك مشكلة في الشبكة. يمكن التحقق من هذا الإجراء من خلال التقاط حزمة على ISE باستخدام عوامل التصفية الضرورية. لتجميع التقاط حزمة على ISE، انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > أدوات عامة > تفريغ TCP.

200890-Configure-and-Troubleshoot-External-TACA-14.png

3. إذا كان يمكن عرض التقارير على ISE ولكن ليس على ACS، فقد يعني ذلك إما أن الطلب لم يصل إلى ACS بسبب تكوين خاطئ لمجموعات السياسات على ISE والتي يمكن أستكشاف الأخطاء وإصلاحها استنادا إلى التقرير التفصيلي عن ISE أو بسبب مشكلة في الشبكة يمكن تحديدها بواسطة التقاط حزمة على ACS.

4. إذا تم الاطلاع على التقارير على كل من ISE و ACS ولكن لا يزال المستخدم ممنوعا من الوصول، فإنها تكون في الغالب مشكلة في تكوين سياسات الوصول على ACS والتي يمكن أستكشاف الأخطاء وإصلاحها استنادا إلى التقرير التفصيلي حول ACS. كما يجب السماح بحركة المرور العائدة من ISE إلى جهاز الشبكة.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
15-Dec-2016
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Surendra Reddy
    Cisco TAC Engineer

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات