تكوين خوادم RADIUS الخارجية على ISE

المقدمة

يصف هذا المستند تكوين خادم RADIUS على ISE كخادم وكيل والتخويل. هنا يتم إستخدام خادمين ISE ويعمل أحدهما كخادم خارجي. ولكن، يمكن إستخدام أي خادم RADIUS متوافق مع RFC.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• معرفة أساسية ببروتوكول RADIUS
• الخبرة في تكوين سياسة محرك خدمات الهوية (ISE)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدارات 2.2 و 2.4 من Cisco ISE.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

تكوين ISE (خادم الواجهة الأمامية)

الخطوة 1. يمكن تكوين خوادم RADIUS الخارجية المتعددة واستخدامها لمصادقة المستخدمين على ISE. لتكوين خوادم RADIUS الخارجية، انتقل إلى Administration > Network Resources > External RADIUS Servers > Add، كما هو موضح في الصورة:

الخطوة 2. لاستخدام خادم RADIUS الخارجي الذي تم تكوينه، يجب تكوين تسلسل خادم RADIUS مماثل لتسلسل مصدر الهوية. لتكوين نفس الشيء، انتقل إلى Administration > Network Resources > RADIUS Server Sequences > Add، كما هو موضح في الصورة.

ملاحظة: تتمثل إحدى الخيارات المتاحة أثناء إنشاء تسلسل الخادم في إختيار ما إذا كان يجب إجراء عملية المحاسبة محليا على ISE أو على خادم RADIUS الخارجي. واستنادا إلى الخيار المختار هنا، يقرر ISE ما إذا كان سيتم تفويض طلبات المحاسبة أو تخزين هذه السجلات محليا.

الخطوة 3. هناك قسم إضافي يوفر المزيد من المرونة حول كيفية تصرف ISE عندما يطلب وكيل تقنية المعلومات خوادم RADIUS الخارجية. يمكن العثور عليه في الأسفل Advance Attribute Settings، كما هو موضح في الصورة.

• إعدادات متقدمة: يوفر خيارات لتجريد بداية أو نهاية اسم المستخدم في طلبات RADIUS بمحدد.
• تعديل السمة في الطلب: يوفر خيار تعديل أي سمة RADIUS في طلبات RADIUS. تعرض القائمة هنا السمات التي يمكن إضافتها/إزالتها/تحديثها:
  
  

  User-Name--[1]
  NAS-IP-Address--[4]
  NAS-Port--[5]
  Service-Type--[6]
  Framed-Protocol--[7] 
  Framed-IP-Address--[8]
  Framed-IP-Netmask--[9]
  Filter-ID--[11]
  Framed-Compression--[13]
  Login-IP-Host--[14]
  Callback-Number--[19]
  State--[24]
  VendorSpecific--[26]
  Called-Station-ID--[30]
  Calling-Station-ID--[31]
  NAS-Identifier--[32]
  Login-LAT-Service--[34]
  Login-LAT-Node--[35]
  Login-LAT-Group--[36]
  Event-Timestamp--[55] 
  Egress-VLANID--[56]
  Ingress-Filters--[57]
  Egress-VLAN-Name--[58]
  User-Priority-Table--[59]
  NAS-Port-Type--[61]
  Port-Limit--[62]
  Login-LAT-Port--[63]
  Password-Retry--[75] 
  Connect-Info--[77] 
  NAS-Port-Id--[87]
  Framed-Pool--[88]
  NAS-Filter-Rule--[92]
  NAS-IPv6-Address--[95] 
  Framed-Interface-Id--[96]
  Framed-IPv6-Prefix--[97]
  Login-IPv6-Host--[98]
  Error-Cause--[101]
  Delegated-IPv6-Prefix--[123]
  Framed-IPv6-Address--[168]
  DNS-Server-IPv6-Address--[169]
  Route-IPv6-Information--[170]
  Delegated-IPv6-Prefix-Pool--[171]
  Stateful-IPv6-Address-Pool--[172]

• متابعة نهج التخويل في Access-Accept: يوفر خيارا لاختيار ما إذا كان يجب على ISE إرسال قبول الوصول كما هو أو المتابعة لتوفير الوصول بناء على سياسات التخويل التي تم تكوينها على ISE بدلا من التخويل الذي يقدمه خادم RADIUS الخارجي. في حالة تحديد هذا الخيار، تتم الكتابة فوق الاعتماد المقدم من قبل خادم RADIUS الخارجي باستخدام الاعتماد المقدم من قبل ISE.
  

  ملاحظة: يعمل هذا الخيار فقط إذا كان خادم RADIUS الخارجي يرسل Access-Accept  ردا على طلب وصول RADIUS للوكيل.

• تعديل السمة قبل Access-Accept: مماثل ل Modify Attribute in the request، يمكن إضافة/إزالة/تحديث السمات المذكورة سابقا الموجودة في Access-Accept التي تم إرسالها بواسطة خادم RADIUS الخارجي قبل إرسالها إلى جهاز الشبكة.

الخطوة 4. الجزء التالي هو تكوين مجموعات النهج لاستخدام تسلسل خادم RADIUS بدلا من البروتوكولات المسموح بها بحيث يتم إرسال الطلبات إلى خادم RADIUS الخارجي. يمكن تكوينها ضمن Policy > Policy Sets. يمكن تكوين سياسات التخويل ضمن Policy Set  لكن فقط عندما Continue to Authorization Policy on Access-Accept  يتم إختيار الخيار. وإذا لم يكن الأمر كذلك، فإن ISE يعمل ببساطة كوكيل لطلبات RADIUS لمطابقة الشروط التي تم تكوينها لمجموعة النهج هذه.

تكوين خادم RADIUS الخارجي 

الخطوة 1. في هذا المثال، يتم إستخدام خادم ISE آخر (الإصدار 2.2) كخادم RADIUS خارجي مسمى ISE_Backend_Server. معيار ISE (ISE_Frontend_Server) كجهاز شبكة أو ما يسمى تقليديا NAS في خادم RADIUS الخارجي (ISE_Backend_Server في هذا المثال)، بما أن NAS-IP-Address يتم إستبدال السمة في طلب الوصول الذي تتم إعادة توجيهه إلى خادم RADIUS الخارجي بعنوان IP الخاص بISE_Frontend_Server. السر المشترك الذي سيتم تكوينه هو نفسه الذي تم تكوينه لخادم RADIUS الخارجي على ISE_Frontend_Server.

الخطوة 2. يمكن تكوين خادم RADIUS الخارجي باستخدام سياسات المصادقة والتفويض الخاصة به لخدمة الطلبات التي يتم تكليفها بواسطة ISE. في هذا المثال، يتم تكوين نهج بسيط للتحقق من المستخدم في المستخدمين الداخليين ثم السماح بالوصول إذا تم التصديق.

التحقق من الصحة

الخطوة 1. تحقق من سجلات ISE المباشرة إذا تم تلقي الطلب، كما هو موضح في الصورة.

الخطوة 2. تحقق مما إذا تم تحديد مجموعة النهج الصحيحة، كما هو موضح في الصورة.

الخطوة 3. تحقق مما إذا كان الطلب قد تمت إعادة توجيهه إلى خادم RADIUS الخارجي.

4. إذا Continue to Authorization Policy on Access-Accept يتم إختيار الخيار، تحقق من تقييم سياسة التخويل.

استكشاف الأخطاء وإصلاحها

السيناريو 1. الحدث - تم إسقاط طلب RADIUS ل 5405

• أهم شيء يجب التحقق منه هو الخطوات الواردة في تقرير المصادقة التفصيلي. إذا كانت الخطوات تقول RADIUS-Client request timeout expired، وبالتالي يعني أن ISE لم يتلق أي إستجابة من خادم RADIUS الخارجي الذي تم تكوينه. يمكن أن يحدث هذا عندما:

1. هناك مشكلة في الاتصال بخادم RADIUS الخارجي. يتعذر على ISE الوصول إلى خادم RADIUS الخارجي على المنافذ التي تم تكوينها له.
2. لم يتم تكوين ISE كجهاز شبكة أو NAS على خادم RADIUS الخارجي.
3. يتم إسقاط الحزم بواسطة خادم RADIUS الخارجي إما حسب التكوين أو بسبب وجود مشكلة ما على خادم RADIUS الخارجي.
   
   

تحقق من التقاط الحزمة أيضا لمعرفة ما إذا كانت رسالة خاطئة، أي أن ISE يستلم الحزمة من الخادم ولكن ما يزال يبلغ عن انتهاء مهلة الطلب.

• إذا كانت الخطوات تقول Start forwarding request to remote RADIUS server  والخطوة الفورية هي No more external RADIUS servers; can't perform failover، وبالتالي، فهذا يعني أن جميع خوادم RADIUS الخارجية التي تم تكوينها قد تم وضع علامة عليها كخادمات ميتة حاليا ويتم تقديم الطلبات فقط بعد انتهاء صلاحية المؤقت المؤقت.
  
  

  
  
  

  ملاحظة: وقت انتهاء الصلاحية الافتراضي لخوادم RADIUS الخارجية في ISE هو 5 دقائق. تم ترميز هذه القيمة بشكل ثابت ولا يمكن تعديلها اعتبارا من هذا الإصدار.

• إذا كانت الخطوات تقول RADIUS-Client encountered error during processing flow ويتبعها Failed to forward request to current remote RADIUS server; an invalid response was received،وهذا يعني أن ISE واجه مشكلة أثناء إعادة توجيه الطلب إلى خادم RADIUS الخارجي. وهذا يظهر عادة عندما لا يحتوي طلب RADIUS الذي يتم إرساله من جهاز الشبكة/NAS إلى ISE على NAS-IP-Address  كواحدة من السمات. إذا لم يكن هناك NAS-IP-Address السمة وإذا لم تكن خوادم RADIUS الخارجية قيد الاستخدام، يقوم ISE بملء NAS-IP-Address حقل مع IP المصدر للحزمة. ومع ذلك، لا ينطبق هذا عندما يكون خادم RADIUS الخارجي قيد الاستخدام.
  

السيناريو 2. الحدث - فشلت مصادقة 5400

• في هذه الحالة، إذا كانت الخطوات تقول 11368 Please review logs on the External RADIUS Server to determine the precise failure reason، ثم يعني ذلك أن المصادقة قد فشلت على خادم RADIUS الخارجي نفسه وأنها قد أرسلت رفض وصول.
  
  
• إذا كانت الخطوات تقول 15039 Rejected per authorization profileوهو يعني أن ISE استلم قبول الوصول من خادم RADIUS الخارجي ولكن ISE يرفض التفويض استنادا إلى سياسات التخويل التي تم تكوينها.
  
  
• إذا Failure Reason  فيما يتعلق ب ISE أي شيء آخر يختلف عن تلك المذكورة هنا في حالة فشل المصادقة، ثم قد يعني ذلك مشكلة محتملة مع التكوين أو مع ISE نفسه. يوصى بفتح حالة مركز المساعدة الفنية عند هذه النقطة.