المقدمة
يصف هذا المستند تكوين خادم RADIUS على ISE كخادم وكيل والتخويل. هنا يتم إستخدام خادمين ISE ويعمل أحدهما كخادم خارجي. ولكن، يمكن إستخدام أي خادم RADIUS متوافق مع RFC.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية ببروتوكول RADIUS
- الخبرة في تكوين سياسة محرك خدمات الهوية (ISE)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدارات 2.2 و 2.4 من Cisco ISE.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
![Network Diagram](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-00.png)
تكوين ISE (خادم الواجهة الأمامية)
الخطوة 1. يمكن تكوين خوادم RADIUS الخارجية المتعددة واستخدامها لمصادقة المستخدمين على ISE. لتكوين خوادم RADIUS الخارجية، انتقل إلى Administration > Network Resources > External RADIUS Servers > Add
، كما هو موضح في الصورة:
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-01.png)
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-02.png)
الخطوة 2. لاستخدام خادم RADIUS الخارجي الذي تم تكوينه، يجب تكوين تسلسل خادم RADIUS مماثل لتسلسل مصدر الهوية. لتكوين نفس الشيء، انتقل إلى Administration > Network Resources > RADIUS Server Sequences > Add
، كما هو موضح في الصورة.
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-03.png)
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-04.png)
ملاحظة: تتمثل إحدى الخيارات المتاحة أثناء إنشاء تسلسل الخادم في إختيار ما إذا كان يجب إجراء عملية المحاسبة محليا على ISE أو على خادم RADIUS الخارجي. واستنادا إلى الخيار المختار هنا، يقرر ISE ما إذا كان سيتم تفويض طلبات المحاسبة أو تخزين هذه السجلات محليا.
الخطوة 3. هناك قسم إضافي يوفر المزيد من المرونة حول كيفية تصرف ISE عندما يطلب وكيل تقنية المعلومات خوادم RADIUS الخارجية. يمكن العثور عليه في الأسفل Advance Attribute Settings
، كما هو موضح في الصورة.
![Configure Advanced Attribute Settings for Proxying Requests to External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-05.png)
- إعدادات متقدمة: يوفر خيارات لتجريد بداية أو نهاية اسم المستخدم في طلبات RADIUS بمحدد.
- تعديل السمة في الطلب: يوفر خيار تعديل أي سمة RADIUS في طلبات RADIUS. تعرض القائمة هنا السمات التي يمكن إضافتها/إزالتها/تحديثها:
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
متابعة نهج التخويل في Access-Accept: يوفر خيارا لاختيار ما إذا كان يجب على ISE إرسال قبول الوصول كما هو أو المتابعة لتوفير الوصول بناء على سياسات التخويل التي تم تكوينها على ISE بدلا من التخويل الذي يقدمه خادم RADIUS الخارجي. في حالة تحديد هذا الخيار، تتم الكتابة فوق الاعتماد المقدم من قبل خادم RADIUS الخارجي باستخدام الاعتماد المقدم من قبل ISE.
ملاحظة: يعمل هذا الخيار فقط إذا كان خادم RADIUS الخارجي يرسل Access-Accept
ردا على طلب وصول RADIUS للوكيل.
-
تعديل السمة قبل Access-Accept: مماثل ل Modify Attribute in the request
، يمكن إضافة/إزالة/تحديث السمات المذكورة سابقا الموجودة في Access-Accept التي تم إرسالها بواسطة خادم RADIUS الخارجي قبل إرسالها إلى جهاز الشبكة.
الخطوة 4. الجزء التالي هو تكوين مجموعات النهج لاستخدام تسلسل خادم RADIUS بدلا من البروتوكولات المسموح بها بحيث يتم إرسال الطلبات إلى خادم RADIUS الخارجي. يمكن تكوينها ضمن Policy > Policy Sets
. يمكن تكوين سياسات التخويل ضمن Policy Set
لكن فقط عندما Continue to Authorization Policy on Access-Accept
يتم إختيار الخيار. وإذا لم يكن الأمر كذلك، فإن ISE يعمل ببساطة كوكيل لطلبات RADIUS لمطابقة الشروط التي تم تكوينها لمجموعة النهج هذه.
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-06.png)
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-07.png)
تكوين خادم RADIUS الخارجي
الخطوة 1. في هذا المثال، يتم إستخدام خادم ISE آخر (الإصدار 2.2) كخادم RADIUS خارجي مسمى ISE_Backend_Server
. معيار ISE (ISE_Frontend_Server
) كجهاز شبكة أو ما يسمى تقليديا NAS في خادم RADIUS الخارجي (ISE_Backend_Server
في هذا المثال)، بما أن NAS-IP-Address
يتم إستبدال السمة في طلب الوصول الذي تتم إعادة توجيهه إلى خادم RADIUS الخارجي بعنوان IP الخاص بISE_Frontend_Server
. السر المشترك الذي سيتم تكوينه هو نفسه الذي تم تكوينه لخادم RADIUS الخارجي على ISE_Frontend_Server
.
![Configure ISE_Frontend_Server as a Network Device for ISE_Backend_Server (External RADIUS Server)](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-08.png)
الخطوة 2. يمكن تكوين خادم RADIUS الخارجي باستخدام سياسات المصادقة والتفويض الخاصة به لخدمة الطلبات التي يتم تكليفها بواسطة ISE. في هذا المثال، يتم تكوين نهج بسيط للتحقق من المستخدم في المستخدمين الداخليين ثم السماح بالوصول إذا تم التصديق.
![Configure Authentication and Authorization Policies on External RADIUS Server for Proxy Requests from ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-09.png)
التحقق من الصحة
الخطوة 1. تحقق من سجلات ISE المباشرة إذا تم تلقي الطلب، كما هو موضح في الصورة.
![Check ISE Live Logs for Received Requests](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-10.png)
الخطوة 2. تحقق مما إذا تم تحديد مجموعة النهج الصحيحة، كما هو موضح في الصورة.
![Verify Chosen Policy Set for Request in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-11.png)
الخطوة 3. تحقق مما إذا كان الطلب قد تمت إعادة توجيهه إلى خادم RADIUS الخارجي.
![Verify Forwarding of Request to External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-12.png)
4. إذا Continue to Authorization Policy on Access-Accept
يتم إختيار الخيار، تحقق من تقييم سياسة التخويل.
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-13.png)
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-14.png)
استكشاف الأخطاء وإصلاحها
السيناريو 1. الحدث - تم إسقاط طلب RADIUS ل 5405
- أهم شيء يجب التحقق منه هو الخطوات الواردة في تقرير المصادقة التفصيلي. إذا كانت الخطوات تقول
RADIUS-Client request timeout expired
، وبالتالي يعني أن ISE لم يتلق أي إستجابة من خادم RADIUS الخارجي الذي تم تكوينه. يمكن أن يحدث هذا عندما:
- هناك مشكلة في الاتصال بخادم RADIUS الخارجي. يتعذر على ISE الوصول إلى خادم RADIUS الخارجي على المنافذ التي تم تكوينها له.
- لم يتم تكوين ISE كجهاز شبكة أو NAS على خادم RADIUS الخارجي.
- يتم إسقاط الحزم بواسطة خادم RADIUS الخارجي إما حسب التكوين أو بسبب وجود مشكلة ما على خادم RADIUS الخارجي.
![Verify Steps in Authentication Report and Troubleshoot Connectivity Issues with External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-15.png)
تحقق من التقاط الحزمة أيضا لمعرفة ما إذا كانت رسالة خاطئة، أي أن ISE يستلم الحزمة من الخادم ولكن ما يزال يبلغ عن انتهاء مهلة الطلب.
![Verify Packet Captures for False Timeout Reports in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-16.png)
السيناريو 2. الحدث - فشلت مصادقة 5400
- في هذه الحالة، إذا كانت الخطوات تقول
11368 Please review logs on the External RADIUS Server to determine the precise failure reason
، ثم يعني ذلك أن المصادقة قد فشلت على خادم RADIUS الخارجي نفسه وأنها قد أرسلت رفض وصول.
- إذا كانت الخطوات تقول
15039 Rejected per authorization profile
وهو يعني أن ISE استلم قبول الوصول من خادم RADIUS الخارجي ولكن ISE يرفض التفويض استنادا إلى سياسات التخويل التي تم تكوينها.
- إذا
Failure Reason
فيما يتعلق ب ISE أي شيء آخر يختلف عن تلك المذكورة هنا في حالة فشل المصادقة، ثم قد يعني ذلك مشكلة محتملة مع التكوين أو مع ISE نفسه. يوصى بفتح حالة مركز المساعدة الفنية عند هذه النقطة.