تكوين مصادقة EAP-TLS باستخدام ISE

المقدمة

يصف هذا المستند التكوين الأولي لتقديم مصادقة بروتوكول نقل الطبقة القابل للتوسع مع Cisco ISE.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الفهم الأساسي ل EAP و RADIUS تدفق الاتصالات.
• معرفة مصادقة RADIUS الأساسية مع طرق المصادقة المستندة إلى الشهادة فيما يتعلق بتدفق الاتصال.
• فهم الفروق بين تجاوز مصادقة Dot1x وMAC (MAB).
• الفهم الأساسي للبنية الأساسية للمفتاح العام (PKI).
• إلمام بكيفية الحصول على شهادات موقعة من مرجع مصدق (CA) وإدارة الشهادات على نقطة (نقاط) النهاية.
• تكوين الإعدادات المرتبطة بالمصادقة والتفويض والمحاسبة (AAA) (RADIUS) على جهاز الشبكة (سلكي أو لاسلكي).
• تكوين المطالب (على نقطة النهاية) للاستخدام مع RADIUS/802.1x.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• محرك خدمات الهوية (ISE)، الإصدار 3.x.
• CA - لإصدار الشهادات (يمكن أن يكون Enterprise CA أو جهة خارجية/CA عامة أو إستخدام مدخل توفير الشهادات).
• خدمة Active Directory (مصدر هوية خارجي) - من Windows Server، حيث يتوافق مع خدمة ISE.
• جهاز الوصول إلى الشبكة (NAD) - يمكن أن يكون محول (سلكية) أو وحدة تحكم في الشبكة المحلية اللاسلكية (WLC) (لاسلكي) تم تكوينها ل 802. 1x/AAA.
• نقطة النهاية - الشهادات الصادرة لهوية (المستخدم) وتكوين العميل التي يمكن مصادقتها للوصول إلى الشبكة عبر RADIUS/802.1x: مصادقة المستخدم. من الممكن الحصول على شهادة جهاز، لكنها غير مستخدمة في هذا المثال.

ملاحظة: نظرا لأن هذا الدليل يستخدم الإصدار 3.1 من ISE، تستند جميع مراجع الوثائق إلى هذا الإصدار. ومع ذلك، يكون التكوين نفسه/المماثل ممكنا ومدعوما بالكامل في الإصدارات السابقة من Cisco ISE.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

وينصب التركيز الرئيسي على تكوين ISE الذي يمكن تطبيقه على سيناريوهات متعددة مثل المصادقة (وليس حصرا على) مع هاتف/نقطة نهاية IP متصلة عبر سلكي أو لاسلكي.

لنطاق هذا الدليل، من المهم فهم هذه المراحل من تدفق مصادقة ISE (RADIUS):

• المصادقة - قم بتعريف الهوية النهائية (الجهاز والمستخدم وما إلى ذلك) التي تتطلب الوصول إلى الشبكة والتحقق من صحتها.

• التفويض - تحديد الأذونات/الوصول إلى الهوية النهائية التي يمكن منحها على الشبكة.

• المحاسبة - الإبلاغ عن نشاط شبكة الهوية النهائية وتعقبه بعد تحقيق الوصول إلى الشبكة.

التكوين

الحصول على شهادات الخادم والعميل

الخطوة 1. إنشاء طلب توقيع شهادة من ISE

تتمثل الخطوة الأولى في إنشاء طلب توقيع شهادة (CSR) من ISE وإرساله إلى CA (الخادم) للحصول على الشهادة الموقعة الصادرة إلى ISE، كشهادة نظام. يمكن تقديم هذه الشهادة كشهادة خادم بواسطة ISE أثناء مصادقة بروتوكول نقل طبقة المصادقة المتوسع (EAP-TLS). يتم تنفيذ هذا في واجهة مستخدم ISE. انتقل إلى Administration > System: Certificates > Certificate Management > Certificate Signing Requests. تحت Certificate Signing Requests، انقر فوق Generate Certificate Signing Requests (CSR) كما هو موضح في هذه الصورة.

تتطلب أنواع الشهادات إستخدامات مفتاح موسعة مختلفة. تحدد هذه القائمة إستخدامات المفاتيح الموسعة المطلوبة لكل نوع شهادة:

شهادات هوية ISE

• الاستخدام المتعدد (الإدارة و EAP و Portal و pxGrid) - مصادقة العميل والخادم
• Admin - مصادقة الخادم
• مصادقة EAP - مصادقة الخادم
• مصادقة طبقة نقل البيانات (DTLS) - مصادقة الخادم
• البوابة - مصادقة الخادم
• pxGrid - مصادقة العميل والخادم
• لغة ترميز تأكيد الأمان (SAML) - شهادة توقيع SAML
• خدمة مراسلات ISE - إنشاء شهادة توقيع أو إنشاء شهادة مراسلة جديدة تماما

وبشكل افتراضي، تكون شهادة نظام خدمة مراسلة ISE خاصة بنسخ البيانات عبر كل عقدة ISE في النشر وتسجيل العقد والاتصالات الأخرى بين العقد، وتكون موجودة وتم إصدارها بواسطة خادم المرجع الداخلي للشهادة (CA) ISE (داخلي إلى ISE). لا يلزم إتمام أي إجراء مع هذه الشهادة.

يتم إستخدام "شهادة نظام Admin" لتعريف كل عقدة ISE مثل وقت إستخدام واجهة برمجة تطبيقات (API) المقترنة بواجهة مستخدم Admin (Management)، ولبعض الاتصالات بين العقد. لإعداد ISE لأول مرة، قم بوضع شهادة نظام الإدارة. لا يرتبط هذا الإجراء مباشرة بدليل التكوين هذا.

لتنفيذ IEEE 802.1x عبر EAP-TLS (مصادقة مستندة إلى شهادة)، اتخذ إجراء لشهادة نظام مصادقة EAP حيث يتم إستخدامها كشهادة الخادم المقدمة إلى نقطة النهاية/العميل أثناء تدفق EAP-TLS، ونتيجة لذلك يتم تأمين النتيجة داخل نفق TLS. للبدء، قم بإنشاء CSR لإنشاء شهادة نظام مصادقة EAP وإعطائها للموظفين الذين يديرون خادم (خوادم) CA في مؤسستك (أو موفر CA العام) للتوقيع. النتيجة النهائية هي الشهادة الموقعة من قبل CA التي ترتبط ب CSR وتقترن ب ISE مع هذه الخطوات.

في نموذج طلب توقيع الشهادة (CSR)، أختر هذه الخيارات من أجل إكمال CSR والحصول على محتوياتها:

• إستخدام الشهادة، لمثال التكوين هذا، أختر EAP Authentication.
  
  
• إذا كنت تخطط لاستخدام عبارة حرف بدل في الشهادة، *.example.com، ثم يجب عليك أيضا التحقق من Allow Wildcard Certificate خانة الاختيار. أفضل موقع هو حقل شهادة الاسم البديل للموضوع (SAN) للتوافق مع أي إستخدام وعبر أنواع مختلفة متعددة من أنظمة تشغيل نقاط النهاية التي يمكن أن تكون موجودة في البيئة.
  
  
• إذا لم تختر وضع عبارة حرف بدل في الشهادة، أختر عقد ISE التي ترغب في إقران الشهادة الموقعة ب CA (بعد التوقيع).

  ملاحظة: عند ربط الشهادة الموقعة من قبل CA التي تحتوي على عبارة حرف البدل بعقد متعددة داخل CSR، يتم توزيع الشهادة على كل عقدة ISE (أو على العقد المحددة) في نشر ISE، ويمكن إعادة تشغيل الخدمات. ومع ذلك، فإن إعادة تشغيل الخدمات تقتصر تلقائيا على عقدة واحدة في كل مرة. مراقبة إعادة تشغيل الخدمات عبر show application status ise أمر ISE CLI.

  بعد ذلك، يجب عليك إكمال النموذج من أجل تحديد الموضوع. يشمل ذلك حقول شهادات الاسم المشترك (CN)، والوحدة التنظيمية (OU)، والتنظيم (O)، والمدينة (L)، والدولة (ST)، والبلد (C). المتغير $FQDN$ هو القيمة التي تمثل اسم المجال المؤهل بالكامل للإدارة (hostname + اسم المجال) المرتبط بكل عقدة ISE.

• يعرض الأمر Subject Alternative Name (SAN) يجب أيضا إكمال الحقول لتضمين أي معلومات مطلوبة ومرغوبة ليتم إستخدامها لإنشاء الثقة. كمتطلب، تحتاج إلى تحديد إدخال DNS الذي يشير إلى FQDN لعقدة (وحدات) ISE المقترنة بهذه الشهادة، بعد توقيع الشهادة.
  
  
• أخيرا، تأكد من أنك قمت بتحديد نوع المفتاح المناسب وطول المفتاح والملخص الذي تقوم بالتوقيع عليه يتوافق مع إمكانيات خادم (خوادم) CA ومع مراعاة ممارسات الأمان الجيدة. القيم الافتراضية هي: RSA، 4096 بت، و SHA-384، على التوالي. يتم عرض الخيارات المتاحة والتوافق في هذه الصفحة ضمن واجهة مستخدم مسؤول ISE.

هذا مثال على نموذج CSR مكتمل بدون إستخدام عبارة حرف بدل. تأكد من إستخدام القيم الفعلية الخاصة بالبيئة:

مثال CSR

لحفظ CSR، انقر فوق Generate. انقر Export، الموجود في الجانب الأيمن السفلي، لتصدير ملف (ملفات) CSR من هذه المطالبة:

تصدير مثال CSR

يمكن العثور على مزيد من المعلومات حول الشهادات للاستخدام مع ISE في دليل مسؤول Cisco Identity Services Engine، الإصدار 3.1 > الفصل: الإعداد الأساسي > إدارة الشهادات في Cisco ISE وتثبيت شهادة موقعة من قبل CA طرف ثالث في ISE.

الخطوة 2. إستيراد شهادات CA إلى ISE

بعد أن يقوم المرجع المصدق بإرجاع الشهادة الموقعة، فإنه يتضمن أيضا سلسلة المرجع المصدق الكاملة المكونة من شهادة جذر وشهادة وسيط واحد/عدة شهادات. تفرض واجهة مستخدم إدارة ISE عليك إستيراد جميع الشهادات في سلسلة CA أولا قبل الاقتران أو تحميل أي شهادات نظام. ويتم القيام بذلك لضمان اقتران كل شهادة نظام بشكل صحيح بسلسلة CA (المعروفة أيضا بالشهادة الموثوق بها) داخل برنامج ISE.

هذه الخطوات هي أفضل طريقة لاستيراد شهادات CA وشهادة النظام إلى ISE:

1. لاستيراد الشهادة الجذر في واجهة المستخدم الرسومية (ISE)، انتقل إلى Administration > System: Certificates > Certificate Management. تحت Trusted Certificates، انقر فوق Import وحدد خانات الاختيار ISE (البنية الأساسية) وTRUST لمصادقة العميل و Syslog (نقاط النهاية).

   إستخدام الشهادة لسلسلة المرجع المصدق

2. تكرار الخطوة السابقة لكل شهادة (شهادات) وسيط كجزء من سلسلة شهادات CA.
   
   
3. بمجرد إستيراد جميع الشهادات، كجزء من سلسلة CA الكاملة، إلى مخزن الشهادات الموثوق بها في ISE، ارجع إلى واجهة المستخدم الرسومية (GUI) الخاصة ب ISE وانتقل إلى Administration > System: Certificates > Certificate Management: Certificate Signing Requests. حدد مكان إدخال CSR تحت اسم مألوف الذي يماثل الشهادة الموقعة، انقر خانة الاختيار للشهادة، ثم انقر Bind Certificate.

   ربط الشهادة ب CSR

   ملاحظة: تحتاج إلى ربط شهادة واحدة موقعة من قبل CA بكل شهادة CSR في كل مرة. كرر أية وحدات CSR متبقية تم إنشاؤها لعقد ISE الأخرى في النشر.

   في الصفحة التالية، انقر Browse واختر ملف الترخيص الموقع، وقم بتعريف اسم مألوف مرغب، واختر إستخدام (إستخدامات) الترخيص. إرسال لحفظ التغييرات.

   تحديد شهادة للربط ب CSR

4. في هذا الوقت، يتم نقل الشهادة الموقعة إلى واجهة المستخدم الرسومية (ISE). انتقل إلى Administration > System: Certificates > Certificate Management: System Certificates وتعيينها إلى نفس العقدة التي تم إنشاء CSR لها. كرر نفس العملية للعقد الأخرى و/أو إستخدامات الترخيص الأخرى.

الخطوة 3. الحصول على شهادة العميل لنقطة النهاية

وهو مطلوب للتنقل عبر عملية مماثلة على نقطة النهاية لإنشاء شهادة عميل للاستخدام مع EAP-TLS. على سبيل المثال، يلزمك توقيع شهادة عميل وإصدارها إلى حساب المستخدم لإجراء مصادقة المستخدم مع ISE. يمكن العثور على مثال حول كيفية الحصول على شهادة عميل لنقطة النهاية من بيئة Active Directory في: فهم EAP-TLS وتكوينه باستخدام WLC وISE > تكوين > عميل ل EAP-TLS.

نظرا للأنواع المتعددة لنقاط النهاية وأنظمة التشغيل، حيث أن العملية قد تكون مختلفة بعض الشيء، لا يتم تقديم أمثلة إضافية. غير أن العملية العامة هي نفسها من الناحية المفاهيمية. قم بإنشاء CSR يحتوي على كافة المعلومات ذات الصلة ليتم تضمينها في الشهادة وتوقيعها من قبل CA، سواء كان ذلك خادما داخليا في البيئة أو شركة عامة/خارجية توفر هذا النوع من الخدمة.

علاوة على ذلك، فإن حقلي شهادة الاسم الشائع (CN) واسم الموضوع البديل (SAN) يتضمنان الهوية التي سيتم إستخدامها فيها أثناء تدفق المصادقة. وهذا يملي أيضا كيفية تكوين المطالب ل EAP-TLS فيما يتعلق بالهوية: مصادقة الجهاز و/أو المستخدم، أو مصادقة الجهاز، أو مصادقة المستخدم. يستخدم هذا المثال مصادقة المستخدم فقط في باقي هذا المستند.

أجهزة الشبكة

الخطوة 4. إضافة جهاز الوصول إلى الشبكة في ISE

كما تم تكوين "جهاز الوصول إلى الشبكة" (NAD) الذي يتم توصيل نقطة نهاية به في ISE حتى يمكن إجراء اتصال RADIUS/TACACS+ (مسؤول الجهاز). بين NAD و ISE، يتم إستخدام سر/كلمة مرور مشترك لأغراض الثقة.

من أجل إضافة NAD عبر واجهة المستخدم الرسومية (ISE)، انتقل إلى Administration > Network Resources: Network Devices > Network Devices وانقر فوق Addالذي يظهر في هذه الصورة.

تكوين مثال جهاز الشبكة

للاستخدام مع ميزة "إنشاء ملفات تعريف الهوية (ISE)"، تريد أيضا تكوين بروتوكول SNMPv2c أو SNMPv3 (أكثر أمانا) للسماح لعقدة خدمة سياسة ISE (PSN) بالاتصال ب NAD عبر استعلامات SNMP المضمنة في مصادقة نقطة النهاية على ISE لتجميع السمات لاتخاذ قرارات دقيقة على نوع نقطة النهاية المستخدمة. يوضح المثال التالي كيفية إعداد SNMP (v2c)، من نفس الصفحة كما هو الحال في المثال السابق:

مثال تكوين SNMPv2c

يمكن العثور على مزيد من المعلومات في دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: الوصول الآمن > تعريف أجهزة الشبكة في Cisco ISE.

في هذا الوقت، إذا لم تقم بذلك بالفعل، فأنت بحاجة إلى تكوين جميع الإعدادات ذات الصلة ب AAA على NAD للمصادقة والتفويض باستخدام Cisco ISE.

عناصر السياسة

هذه الإعدادات هي عناصر تنتهي إلى الارتباط بنهج المصادقة أو نهج التخويل. في هذا الدليل، يتم في المقام الأول إنشاء كل عنصر من عناصر النهج ثم يتم تعيينه في نهج المصادقة أو نهج التخويل. من المهم فهم أن السياسة لا يتم تطبيقها حتى يتم إكمال الربط بنهج المصادقة / التخويل بنجاح.

الخطوة 5. إستخدام مصدر الهوية الخارجية

مصدر الهوية الخارجية هو ببساطة مصدر حيث يتواجد حساب الهوية النهائية (الجهاز أو المستخدم) الذي يتم إستخدامه أثناء مرحلة مصادقة ISE. يستخدم Active Directory عادة لدعم مصادقة الجهاز مقابل حساب الكمبيوتر و/أو مصادقة المستخدم مقابل حساب المستخدم النهائي في Active Directory. لا يقوم مصدر نقاط النهاية الداخلية (الداخلية) بتخزين حساب الكمبيوتر/اسم المضيف، وبالتالي، لا يمكن إستخدامه مع مصادقة الجهاز.

كما هو موضح هنا مصادر الهوية المدعومة مع ISE والبروتوكولات (نوع المصادقة) التي يمكن إستخدامها مع كل مصدر هوية:

قدرات مخزن الهويات

يمكن العثور على مزيد من المعلومات حول عناصر السياسة في دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: التجزئة > مجموعات السياسات.

إضافة مجموعات أمان Active Directory إلى ISE

لاستخدام مجموعات أمان Active Directory في نهج ISE، يجب أولا إضافة المجموعة إلى نقطة ربط Active Directory. من واجهة المستخدم الرسومية ISE، أختر Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory.

لمزيد من المعلومات والمتطلبات لدمج ISE 3.x مع Active Directory، راجع هذا المستند بالكامل: تكامل Active Directory مع Cisco ISE 2.x.

ملاحظة: ينطبق الإجراء نفسه على إضافة مجموعات أمان إلى مثيل LDAP. من واجهة المستخدم الرسومية ISE، أختر Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory.

الخطوة 6. إنشاء ملف تعريف مصادقة الشهادة

الغرض من مرجع مصادقة الشهادة هو إعلام ISE بحقل الشهادة الذي يمكن العثور على الهوية (الجهاز أو المستخدم) في شهادة العميل (شهادة الهوية النهائية) المقدمة إلى ISE أثناء EAP-TLS (أيضا أثناء طرق المصادقة الأخرى المستندة إلى الشهادة). ترتبط هذه الإعدادات بنهج المصادقة لمصادقة الهوية. من واجهة المستخدم الرسومية ISE، انتقل إلى Administration > Identity Management: External Identity Sources > Certificate Authentication Profile وانقر فوق Add.

يتم إستخدام Identity From لاختيار سمة الشهادة التي يمكن العثور على الهوية منها في حقل معين. الخيارات هي:

إذا كان سيتم توجيه مخزن الهوية إلى Active Directory أو LDAP (مصدر هوية خارجي)، يمكن إستخدام ميزة تسمى المقارنة الثنائية. تقوم المقارنة الثنائية بإجراء بحث عن الهوية في Active Directory التي تم الحصول عليها من شهادة العميل من تحديد إستخدام الهوية من التحديد، والذي يحدث أثناء مرحلة مصادقة ISE. بدون "المقارنة الثنائية"، يتم ببساطة الحصول على الهوية من شهادة العميل ولا يتم البحث عنها في Active Directory حتى مرحلة "تفويض ISE" عند إستخدام مجموعة خارجية لخدمة Active Directory كشرط أو أي شروط أخرى قد يلزم إجراؤها خارجيا لخدمة ISE. لاستخدام المقارنة الثنائية، في مخزن الهوية أختر مصدر الهوية الخارجي (Active Directory أو LDAP) حيث يمكن العثور على حساب الهوية النهائية.

هذا مثال تكوين عندما تكون الهوية موجودة في حقل الاسم الشائع (CN) من شهادة العميل، مع تمكين المقارنة الثنائية (إختياري):

ملف تعريف مصادقة الشهادة

يمكن العثور على مزيد من المعلومات في دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: الإعداد الأساسي > خدمة Cisco ISE CA > تكوين Cisco ISE لاستخدام الشهادات لمصادقة الأجهزة الشخصية > إنشاء ملف تعريف مصادقة شهادة للمصادقة المستندة إلى TLS.

الخطوة 7. إضافة إلى تسلسل مصدر الهوية

يمكن إنشاء تسلسل مصدر الهوية من واجهة المستخدم الرسومية (ISE). انتقل إلى Administration > Identity Management. تحت Identity Source Sequences ، انقر فوق Add.

تتمثل الخطوة التالية في إضافة ملف تعريف مصادقة الشهادة إلى تسلسل مصدر الهوية الذي يمنح القدرة على تضمين نقاط ربط متعددة ل Active Directory أو تجميع مجموعة من مصادر الهوية الداخلية/الخارجية معا، حسب الرغبة، والتي بعد ذلك ترتبط بنهج المصادقة تحت Use عمود.

يتيح المثال كما هو موضح هنا إجراء البحث مقابل Active Directory أولا، ثم إذا لم يتم العثور على المستخدم، فإنه يقوم بالبحث عن خادم LDAP بعد ذلك. لمصادر هوية متعددة. تأكد دائما من Treat as if the user was not found and proceed to the next store in the sequence تم تحديد خانة الاختيار. وهذا يعني أنه يتم التحقق من كل مصدر/خادم هوية أثناء طلب المصادقة.

تسلسل مصدر الهوية

وإلا، يمكنك أيضا ربط توصيف مصادقة الشهادة فقط بنهج المصادقة.

الخطوة 8. تحديد خدمة البروتوكولات المسموح بها

لا تتيح خدمة البروتوكولات المسموح بها إلا طرق/بروتوكولات المصادقة التي يدعمها ISE أثناء مصادقة RADIUS. in order to شكلت من ال ISE GUI، انتقل إلى سياسة > عناصر السياسة: النتائج > المصادقة> البروتوكولات المسموح بها ثم يربط كعنصر إلى سياسة المصادقة.

ملاحظة: تجاوز المصادقة > بحث مضيف العملية يتعلق بتمكين MAB على ISE.

يجب أن تكون هذه الإعدادات هي نفسها ما يتم دعمه وتكوينه على المطالب (على نقطة النهاية). وإلا، لا يتم التفاوض على بروتوكول المصادقة كما هو متوقع ويمكن أن يفشل اتصال RADIUS. في تكوين ISE للعالم الحقيقي، يوصى بتمكين أي بروتوكول مصادقة يتم إستخدامه في البيئة حتى يتمكن ISE والمكلف من التفاوض والمصادقة كما هو متوقع.

هذه هي القيم الافتراضية (المطوية) عند إنشاء مثيل جديد لخدمات البروتوكول المسموح به.

ملاحظة: يجب عليك تمكين EAP-TLS على الأقل نظرا لأن ISE ومطالبنا يصدقان عبر EAP-TLS في مثال التكوين هذا.

البروتوكولات التي تسمح باستخدام ISE أثناء طلب المصادقة لمطالب نقطة النهاية

ملاحظة: يؤدي إستخدام بروتوكول EAP المفضل المعين على قيمة EAP-TLS إلى دفع ISE إلى طلب بروتوكول EAP-TLS كأول بروتوكول يقدم إلى مسبب IEEE 802.1x لنقطة النهاية. يكون هذا الإعداد مفيدا إذا كنت تنوي المصادقة عبر EAP-TLS غالبا على معظم نقاط النهاية التي تتم مصادقتها مع ISE.

الخطوة 9. إنشاء ملف تعريف التفويض

آخر عنصر نهج مطلوب إنشاؤه هو ملف تعريف التخويل، والذي يرتبط بنهج التخويل ويمنح مستوى الوصول المطلوب. ملف تعريف التخويل مرتبط بنهج التخويل. لتكوين هذه الواجهة من واجهة المستخدم الرسومية (ISE)، انتقل إلى Policy > Policy Elements: Results > Authorization > Authorization Profiles وانقر فوق Add.

يحتوي ملف تعريف التخويل على تكوين ينتج عنه سمات يتم تمريرها من ISE إلى NAD لجلسة عمل RADIUS معينة، والتي يتم فيها إستخدام هذه السمات لتحقيق المستوى المرغوب من الوصول إلى الشبكة.

وكما هو موضح هنا، فإنه يقوم ببساطة بتمرير قبول الوصول إلى RADIUS كنوع الوصول، ومع ذلك، يمكن إستخدام عناصر إضافية عند المصادقة الأولية. تفاصيل سمة الإشعار في أسفل الصفحة، والتي تحتوي على ملخص السمات التي يرسلها ISE إلى NAD عندما تطابق ملف تعريف تخويل معين.

ملف تعريف التخويل - عنصر النهج

يمكن العثور على مزيد من المعلومات حول ملف تعريف تخويل ISE والنهج في دليل مسؤول Cisco Identity Services، الإصدار 3.1 > الفصل: التجزئة > سياسات التخويل.

سياسات الأمان

يتم إنشاء سياسات المصادقة والتفويض من واجهة المستخدم الرسومية (ISE)، أختر Policy > Policy Sets. ويتم تمكين هذه العناصر بشكل افتراضي على ISE 3.x. عند تثبيت ISE، يكون هناك دائما مجموعة نهج واحدة معرفة، وهي مجموعة النهج الافتراضية. تحتوي مجموعة النهج الافتراضية على قواعد نهج المصادقة والتفويض والاستثناء المحددة مسبقا والافتراضية.

يتم تكوين مجموعات النهج بشكل هرمي، مما يسمح لمسؤول ISE بتجميع السياسات المماثلة معا، من حيث الغرض، إلى مجموعات مختلفة للاستخدام في طلب مصادقة. لا حدود لنهج التخصيص والتجميع فعليا. وعلى هذا النحو، يمكن إستخدام مجموعة نهج واحدة لمصادقة نقطة نهاية لاسلكية للوصول إلى الشبكة بينما يمكن إستخدام مجموعة نهج أخرى لمصادقة نقطة النهاية السلكية للوصول إلى الشبكة؛ أو لأي طريقة أخرى فريدة ومميزة لإدارة السياسات.

يمكن أن يقوم Cisco ISE بتقييم مجموعات السياسات والسياسات الموجودة ضمن هذا النهج من أعلى إلى أسفل لمطابقة مجموعة سياسات معينة أولا عندما يتم تقييم جميع شروط المجموعة المذكورة على أنها صحيحة، والتي يقوم ISE على أساسها بتقييم سياسات المصادقة وسياسات التخويل ضمن ما يتوافق مع مجموعة السياسات كما يلي:

1. تقييم مجموعة السياسات وشروط مجموعة السياسات
2. نهج المصادقة ضمن مجموعة النهج المطابقة
3. نهج التخويل - الاستثناءات المحلية
4. سياسة التفويض - الاستثناءات العامة
5. نهج التخويل

توجد إستثناءات النهج بشكل عام لكافة مجموعات النهج أو محليا ضمن مجموعة سياسات محددة. يتم التعامل مع إستثناءات النهج هذه كجزء من نهج التخويل، نظرا لأنها تتعامل مع الأذونات أو النتائج التي يتم منحها للوصول إلى الشبكة لسيناريو مؤقت معين.

يغطي القسم التالي كيفية دمج عناصر التكوين والسياسة للربط بنهج مصادقة وتخويل ISE لمصادقة نقطة نهاية عبر EAP-TLS.

الخطوة 10. إنشاء مجموعة النهج

مجموعة النهج عبارة عن حاوية هرمية تتكون من قاعدة واحدة معرفة من قبل المستخدم تشير إلى البروتوكول المسموح به أو تسلسل الخادم للوصول إلى الشبكة، بالإضافة إلى سياسات المصادقة والتفويض واستثناءات النهج، والتي تم تكوينها أيضا باستخدام قواعد قائمة على الشروط معرفة من قبل المستخدم.

لإنشاء مجموعة سياسات من واجهة المستخدم الرسومية (ISE)، انتقل إلى Policy > Policy Set ثم انقر أيقونة زائد (+) في الزاوية العليا اليسرى، كما هو موضح في هذه الصورة.

إضافة مجموعة نهج جديدة

يمكن أن تقوم مجموعة النهج بربط/دمج عنصر النهج هذا الذي تم تكوينه مسبقا ويتم إستخدامه لتحديد مجموعة النهج التي سيتم مطابقتها في طلب مصادقة RADIUS (Access-Request):

• الربط: خدمات البروتوكولات المسموح بها

تعريف شروط مجموعة النهج وقائمة البروتوكولات المسموح بها

يستخدم هذا المثال سمات وقيم معينة من شأنها أن تظهر في جلسة RADIUS لفرض IEEE 802.1x (سمة framed)، رغم أنه من المحتمل أن يكون متكرر لإعادة فرض بروتوكول RADIUS. للحصول على أفضل النتائج، أستخدم سمات جلسة RADIUS الفريدة فقط التي تنطبق على الوجهة المطلوبة، مثل مجموعات أجهزة الشبكة أو الخاصة ب 802.1x السلكي أو 802.1x اللاسلكي أو كلا 802.1x السلكي و 802.1x اللاسلكي و 802.1x اللاسلكي.

يمكن العثور على مزيد من المعلومات حول مجموعات السياسات الخاصة ب ISE في دليل مسؤول Cisco Identity Services، الإصدار 3.1 > الفصل: التجزئة > مجموعات السياسات، سياسات المصادقة، وأقسام سياسات التفويض.

الخطوة 11. إنشاء سياسة مصادقة

داخل مجموعة النهج، يقوم نهج المصادقة بربط/تجميع عناصر النهج هذه التي تم تكوينها مسبقا ليتم إستخدامها مع الشروط لتحديد متى يجب مطابقة قاعدة مصادقة.

• الربط: ملف تعريف مصادقة الشهادة أو تسلسل مصدر الهوية.

مثال قاعدة سياسة المصادقة

الخطوة 12. إنشاء نهج التخويل

داخل "مجموعة النهج"، يقوم "نهج التخويل" بربط/تجميع عناصر النهج هذه التي تم تكوينها مسبقا ليتم إستخدامها مع الشروط لتحديد متى يجب مطابقة قاعدة التخويل. والمثال هنا هو مصادقة المستخدم نظرا لأن الشروط تشير إلى مجموعة أمان مستخدمي المجال في Active Directory.

• الربط: ملف تعريف التخويل

مثال قاعدة سياسة التخويل

لإضافة مجموعة خارجية (مثل من Active Directory أو LDAP)، يجب إضافة المجموعة من مثيل الخادم الخارجي. في هذا المثال، يأتي من واجهة مستخدم ISE: Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups. من صفحة المجموعة، أختر Add > Select Groups from Directory واستخدم مرشح الاسم للبحث عن كل المجموعات (*) أو مجموعات معينة، مثل مستخدمي المجال (*مستخدمو المجال*) لاسترداد المجموعات.

لاستخدام مجموعات خارجية في نهج ISE، يجب إضافة مجموعة من الدليل

البحث ضمن الدليل الخارجي - مثال Active Directory

بعد تحديد خانة الاختيار بجوار كل مجموعة، يمكنك إستخدام النهج داخل ISE. لا تنس النقر فوق موافق و/أو حفظ لحفظ التغييرات.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

بمجرد أن تقوم جميع عناصر التكوين العام والنهج بربط مجموعة النهج، يبدو التكوين مشابها لهذه الصورة لمصادقة المستخدم عبر EAP-TLS:

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

بعد اكتمال التكوين، قم بتوصيل نقطة النهاية لاختبار المصادقة. ويمكن العثور على النتائج في واجهة المستخدم الرسومية (GUI) الخاصة بالإصدار ISE. نختار Operations > Radius > Live Logs، كما هو موضح في هذه الصورة.

للتوعية، تتوفر سجلات حية ل RADIUS و TACACS+ (مسؤول الجهاز) لمحاولات/نشاط المصادقة حتى 24 ساعة الماضية وللسجلات المائة الماضية. إذا كنت ترغب في رؤية هذا النوع من بيانات التقارير بعد هذا الإطار الزمني، فعليك إستخدام التقارير، وعلى وجه التحديد: ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications.

مثال إخراج من RADIUS > السجلات المباشرة

في سجلات RADIUS المباشرة في ISE، تتوقع أن تجد معلومات عن جلسة RADIUS، والتي تتضمن سمات الجلسة، ومعلومات مفيدة أخرى لتشخيص السلوك الملاحظ أثناء تدفق المصادقة. انقر فوق details الرمز لفتح طريقة العرض التفصيلية لجلسة العمل لعرض سمات جلسة العمل والمعلومات ذات الصلة الخاصة بمحاولة المصادقة هذه.

لاستكشاف الأخطاء وإصلاحها، من المهم التأكد من تطابق السياسات الصحيحة. لمثال التكوين هذا، يتم تطابق سياسات المصادقة والتفويض المطلوبة كما هو متوقع، كما هو موضح في الصورة:

في طريقة العرض التفصيلية، يتم التحقق من هذه السمات للتحقق من أن المصادقة تتصرف على النحو المتوقع لكل تصميم كجزء من مثال التكوين هذا:

• حدث
  
  • يحتوي هذا على ما إذا كانت المصادقة ناجحة أم لا.
  • في سيناريو العمل تكون القيمة: تمت مصادقة 5200 بنجاح.
    
    
• Username
  
  • وهذا يشمل الهوية النهائية التي تم سحبها من شهادة العميل التي تم تقديمها إلى ISE.
  • في سيناريو العمل، هذا هو اسم المستخدم الخاص بالمستخدم الذي تم تسجيل دخوله إلى نقطة النهاية (أي الموظف 1 من الصورة السابقة).
    
    
• معرف نقطة النهاية
  
  • بالنسبة للشبكة السلكية/اللاسلكية، تكون هذه القيمة عنوان MAC لبطاقة واجهة الشبكة (NIC) من نقطة النهاية.
  • في سيناريو عمل، يصبح هذا عنوان MAC لنقطة النهاية ما لم يكن الاتصال عبر VPN، في هذه الحالة يمكن أن يكون عنوان IP لنقطة النهاية.
    
    
• نهج المصادقة
  
  • إظهار نهج المصادقة المتطابق لجلسة العمل المحددة استنادا إلى سمات جلسة العمل التي تطابق شروط النهج.
  • في سيناريو العمل، هذا هو سياسة المصادقة المتوقعة كما تم تكوينها.
  • إذا رأيت سياسة أخرى، فهذا يعني أن السياسة المتوقعة عند مقارنتها بالشروط الموجودة في السياسة لم يتم تقييمها كسياسة صحيحة. في هذه الحالة، قم بمراجعة سمات جلسة العمل وتأكد من أن كل سياسة تحتوي على شروط مختلفة ولكن فريدة لكل سياسة.
    
    
• سياسة التخويل
  
  • إظهار نهج التخويل المتطابق لجلسة العمل المحددة استنادا إلى سمات جلسة العمل التي تطابق شروط النهج.
  • في سيناريو العمل، هذا هو سياسة التخويل المتوقعة كما تم تكوينها.
  • إذا رأيت سياسة أخرى، فإنها تعني أن السياسة المتوقعة عند مقارنتها بالشروط الموجودة في السياسة، لم يتم تقييمها على أنها صحيحة. في هذه الحالة، قم بمراجعة سمات الجلسة وتأكد من أن كل سياسة تحتوي على شروط مختلفة ولكنها فريدة لكل سياسة.
    
    
• نتيجة الاعتماد
  
  • استنادا إلى نهج التخويل المتطابق، يعرض هذا ملف تعريف التخويل الذي تم إستخدامه في جلسة العمل المحددة.
  • في سيناريو العمل، تكون هذه نفس القيمة التي تم تكوينها في السياسة. من الجيد المراجعة لأغراض التدقيق والتأكد من تكوين ملف تعريف التخويل الصحيح.
    
    
• خادم النهج
  
  • ويتضمن ذلك اسم المضيف لعقدة خدمة سياسة ISE (PSN) التي تم مشاركتها في محاولة المصادقة.
  • في سيناريو العمل، لا ترى إلا المصادقات التي تنتقل إلى عقدة PSN الأولى كما تم تكوينها على NAD (المعروف أيضا باسم جهاز الحافة)، ما لم يكن PSN قيد التشغيل أو إذا حدث تجاوز الفشل، مثل بسبب زمن وصول أعلى من المتوقع أو إذا حدثت مهلة مصادقة.
    
    
• أسلوب المصادقة
  
  • عرض أسلوب المصادقة الذي تم إستخدامه في جلسة العمل المحددة. لهذا المثال، ترى القيمة على هيئة dot1x.
  • في سيناريو عمل، استنادا إلى مثال التكوين هذا، ترى القيمة dot1x. إذا رأيت قيمة أخرى، فقد يعني ذلك فشل dot1x أو عدم محاولة.
    
    
• بروتوكول المصادقة
  
  • عرض أسلوب المصادقة الذي تم إستخدامه في جلسة العمل المحددة. على سبيل المثال، ترى القيمة على هيئة EAP-TLS.
  • في سيناريو عمل، استنادا إلى مثال التكوين هذا، ترى القيمة دائما على أنها EAP-TLS. إذا رأيت قيمة أخرى، فإن الملتمس و ISE لم يتفاوضا بنجاح EAP-TLS.
    
    
• جهاز الشبكة
  
  • يظهر اسم جهاز الشبكة، كما تم تكوينه في ISE، ل NAD (المعروف أيضا باسم جهاز الحافة) المشمول في محاولة المصادقة بين نقطة النهاية و ISE.
  • في سيناريو العمل، يتم دائما إعطاء هذا الاسم في واجهة مستخدم ISE: Administration > System: Network Devices. استنادا إلى هذا التكوين، يتم إستخدام عنوان IP الخاص ب NAD (المعروف أيضا باسم جهاز الحافة) لتحديد جهاز الشبكة الذي جاءت منه المصادقة المضمن في سمة جلسة عنوان NAS IPv4.

لا يعني ذلك أن هذه قائمة كاملة من كل سمات الجلسة الممكنة للمراجعة لاستكشاف الأخطاء وإصلاحها أو لأغراض رؤية أخرى، بما أن هناك سمات أخرى مفيدة للتحقق. يوصى بمراجعة كافة سمات جلسة العمل لبدء التعرف على كافة المعلومات. يمكنك أن ترى تضمين الجانب الأيمن ضمن خطوات القسم، الذي يظهر العمليات أو السلوك الذي قام به ISE.

المشكلات الشائعة والأساليب المستخدمة لاستكشاف الأخطاء وإصلاحها

تتضمن هذه القائمة بعض المشكلات الشائعة ونصائح أستكشاف المشكلات وإصلاحها، ولا يقصد بها بأي حال من الأحوال أن تكون قائمة كاملة. وبدلا من ذلك، أستخدم هذا كمرشد وقم بتطوير تقنياتك الخاصة لاستكشاف المشاكل وإصلاحها عند مشاركة ISE.

المشكلة: تواجه فشل المصادقة (فشلت مصادقة 5400) أو أي محاولة مصادقة أخرى غير ناجحة.

• في حالة مواجهة فشل في المصادقة، انقر فوق رمز التفاصيل الذي يعطي معلومات حول سبب فشل المصادقة والخطوات المتخذة. وهذا يشمل سبب الفشل والسبب الجذري المحتمل.
  
  
• ونظرا لأن ISE يتخذ القرار بشأن نتيجة المصادقة، فإن ISE يتوفر على المعلومات اللازمة لفهم سبب عدم نجاح محاولة المصادقة.

المشكلة: لا تكتمل المصادقة بنجاح ويظهر سبب الفشل "جلسة عمل EAP المهجورة لنقطة النهاية 5440 وبدأت جديدة" أو "توقف ممول 5411 عن الاستجابة إلى ISE".

• يشير سبب الفشل هذا إلى عدم اكتمال اتصال RADIUS قبل انتهاء التوقيت. بما أن EAP يقع بين نقطة النهاية و NAD، فإنك تحتاج إلى التحقق من المهلة التي يتم إستخدامها على NAD والتأكد من تعيينها لمدة خمس ثوان على الأقل.
  
  
• إذا لم تكن خمس ثوان كافية لحل هذه المشكلة، فمن المستحسن زيادتها بخمس ثوان بضع مرات وإعادة الضبط للتحقق من أن هذا الأسلوب يحل هذه المشكلة.
  
  
• إذا لم يتم حل المشكلة من الخطوات السابقة، فيوصى بضمان معالجة المصادقة بواسطة عقدة ISE PSN نفسها والصحيحة، ولا يشير السلوك الإجمالي إلى السلوك غير الطبيعي، مثل زمن انتقال أعلى من العادي بين NAD و ISE PSN عقدة (عقد).
  
  
• كما أنها فكرة جيدة للتحقق مما إذا كانت نقطة النهاية ترسل شهادة العميل من خلال التقاط الحزم إذا لم يستلم ISE شهادة العميل، ثم لا يمكن لنقطة النهاية (شهادات المستخدم) الوثوق بشهادة مصادقة ISE EAP. إذا وجد أن القيمة صحيحة، قم باستيراد سلسلة المرجع المصدق في مخازن الشهادات الصحيحة (المرجع المصدق الجذر = المرجع المصدق الجذر الموثوق به | CA الوسيط = CA الوسيط الموثوق به).

المشكلة: المصادقة ناجحة، ولكنها لا تطابق المصادقة و/أو نهج التخويل الصحيح.

• إذا واجهت طلب مصادقة ناجحا، ولكنه لا يطابق قواعد المصادقة و/أو التخويل الصحيحة، فمن المستحسن مراجعة سمات الجلسة للتأكد من أن الشروط المستخدمة دقيقة وموجودة في جلسة RADIUS.
  
  
• ويقيم ISE هذه السياسات من نهج من أعلى إلى أسفل (باستثناء سياسات الوضع). يجب عليك أولا تحديد ما إذا كان النهج الذي تم مطابقته أعلى أو أسفل النهج المطلوب ليتم مطابقته. يتم تقييم سياسة المصادقة أولا وبشكل مستقل عن نهج التخويل. في حالة مطابقة سياسة المصادقة بشكل صحيح، يتم تمرير مصادقة 22037 في تفاصيل المصادقة تحت القسم الأيسر المسمى "الخطوات".
  
  
• إذا كانت السياسة المطلوبة أعلى من السياسة المطابقة، فهذا يعني أن مجموع الشروط في السياسة المطلوبة لم يتم تقييمه على أنه صحيح. هو يراجع كل الخصائص والقيم في الحالة وفي الجلسة in order to ضمنت هو موجود ولا يوجد خطأ إملائي.
  
  
• إذا كانت السياسة المطلوبة أقل من السياسة المطابقة، فهذا يعني أن سياسة أخرى (أعلى) تمت مطابقتها بدلا من السياسة المطلوبة. قد يعني ذلك أن قيم الشروط ليست محددة بشكل كافي، أو أن الشروط قد تم تكرارها في نهج آخر، أو أن ترتيب النهج غير صحيح. وبينما يصبح أستكشاف الأخطاء وإصلاحها أكثر صعوبة، يوصى ببدء مراجعة السياسات لتحديد سبب عدم تطابق السياسة المطلوبة. وهذا يساعد على تحديد الإجراءات التي يتعين إتخاذها في المرحلة التالية.
  
  

المشكلة: لم تكن الهوية أو اسم المستخدم المستخدم المستخدم أثناء المصادقة القيمة المتوقعة.

• عندما يحدث ذلك، إذا كانت نقطة النهاية ترسل شهادة العميل، فإن ISE على الأرجح لا يستخدم حقل الشهادة الصحيح في "قالب مصادقة الشهادة"، والذي يتم تقييمه أثناء مرحلة المصادقة.
  
  
• راجع شهادة العميل لتحديد موقع الحقل المطلوب للهوية/اسم المستخدم وضمان تحديد نفس الحقل من: ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy).

المشكلة: لا تنجح المصادقة مع فشل سبب اتصال EAP-TLS 12514 SSL/TLS بسبب مرجع مصدق غير معروف في سلسلة شهادات العميل.

• يمكن أن يحدث ذلك إذا كانت شهادة العميل تحتوي على شهادة في سلسلة CA غير موثوق بها على واجهة مستخدم ISE: Administration > System: Certificates > Trusted Certificates.
  
  
• وعادة ما يحدث ذلك عندما تحتوي شهادة العميل (على نقطة النهاية) على سلسلة CA تختلف عن سلسلة الشهادات CA الموقعة على ISE لمصادقة EAP.
  
  
• لضمان الدقة، تأكد من أن سلسلة شهادة العميل CA موثوقة على ISE وأن سلسلة شهادة خادم مصادقة EAP الخاصة ب ISE موثوقة على نقطة النهاية.
  - لنظام التشغيل Windows و Chrome، انتقل إلى Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates.
  - ل Firefox: إستيراد سلسلة CA (وليس شهادة الهوية النهائية) لتكون موثوق بها لخادم ويب.

معلومات ذات صلة

• محرك خدمات الهوية Identity Services Engine > أدلة التثبيت والترقية
• محرك خدمات الهوية Identity Services Engine > أدلة التكوين
• Cisco Identity Services Engine > معلومات التوافق
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: الوصول الآمن > تعريف أجهزة الشبكة في Cisco ISE
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: التجزئة > مجموعات السياسات
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: التجزئة > سياسات المصادقة
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: التجزئة > سياسات التخويل
• Cisco Identity Services Engine (محرك خدمات الهوية من Cisco) > أدلة التكوين > تكامل Active Directory مع Cisco ISE 2.x
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: التجزئة > خدمة الوصول إلى الشبكة > وصول المستخدمين إلى الشبكة
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: إعداد أساسي > إدارة الشهادات في Cisco ISE
  
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.1 > الفصل: الإعداد الأساسي > خدمة Cisco ISE CA > تكوين Cisco ISE لاستخدام الشهادات لمصادقة الأجهزة الشخصية > إنشاء ملف تعريف مصادقة الشهادة لمصادقة تستند إلى TLS
• Cisco Identity Services Engine (محرك خدمات الهوية من Cisco) > أمثلة التكوين و TechNotes > تكوين بوابة إمداد شهادة ISE 2.0
• Cisco Identity Services Engine (محرك خدمات الهوية من Cisco) > أمثلة التكوين و TechNotes > تثبيت شهادة موقعة من CA من قبل جهة خارجية في ISE
• شبكة محلية لاسلكية (WLAN) > أمثلة تكوين وملاحظات فنية > فهم EAP-TLS وتكوينه باستخدام WLC و ISE
  
• الدعم التقني والمستندات - Cisco Systems