تكوين ISE 3.2 EAP-TLS باستخدام Microsoft Azure Active Directory

خيارات التنزيل

  • PDF     (1.5 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.4 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ ديسمبر ٢٠٢٣
معرّف المستند:218197

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين سياسات التفويض في ISE واستكشاف أخطائها وإصلاحها استنادا إلى عضوية Azure AD في المجموعة باستخدام EAP-TLS أو TEAP.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • محرك خدمات الهوية (ISE)
    • Microsoft Azure AD والاشتراك والتطبيقات
    • EAP-TLS المصادقة

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco ISE 3.2
    • Microsoft Azure AD

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية 

    في ISE 3.0، من الممكن الاستفادة من التكامل بين ISE و Azure Active Directory (AAD) لمصادقة المستخدمين استنادا إلى مجموعات Azure AD والسمات من خلال اتصال بيانات اعتماد كلمة مرور مالك المورد (ROPC). باستخدام ISE 3.2، يمكنك تكوين المصادقة المستندة إلى الشهادة ويمكن تخويل المستخدمين استنادا إلى عضوية مجموعة Azure AD والسمات الأخرى. يستعلم ISE Azure through Graph API لجلب مجموعات وسمات للمستخدم الذي تمت مصادقته، فإنه يستخدم اسم الشهادة الشائع (CN) مقابل اسم المستخدم الأساسي (UPN) على جانب Azure.

    ملاحظة: يمكن أن تكون المصادقات المستندة إلى الشهادة إما EAP-TLS أو TEAP مع EAP-TLS كطريقة داخلية. بعد ذلك، يمكنك تحديد سمات من Azure Active Directory وإضافتها إلى قاموس Cisco ISE. يمكن إستخدام هذه السمات للتخويل. مصادقة المستخدم فقط هي المدعومة.

    التكوين

    الرسم التخطيطي للشبكة

    توفر الصورة التالية مثالا لمخطط الشبكة وتدفق حركة مرور البيانات

    rmigisha_0-1663799260041

    الإجراء:

    1. يتم إرسال الشهادة إلى ISE من خلال EAP-TLS أو TEAP مع EAP-TLS كطريقة داخلية.
    2. يقيم ISE شهادة المستخدم (فترة الصلاحية، CA موثوق به، CRL، وهكذا.)
    3. تأخذ ISE اسم موضوع الشهادة (CN) وتقوم بإجراء بحث على واجهة برمجة تطبيقات Microsoft Graph لجلب مجموعات المستخدم وسمات أخرى لذلك المستخدم. ويشار إليه باسم المستخدم الأساسي (UPN) على جانب Azure.
    4. يتم تقييم نهج تخويل ISE مقابل سمات المستخدم التي تم إرجاعها من Azure.

    ملاحظة: يجب تكوين أذونات واجهة برمجة تطبيقات الرسم البياني ومنحها لتطبيق ISE في Microsoft Azure كما هو موضح أدناه:

    API Permissions

    التكوينات

    تكوين ISE

    ملاحظة: وظيفة ROPC والدمج بين ISE مع Azure AD خارج نطاق هذا المستند. من المهم أن تتم إضافة المجموعات وسمات المستخدم من Azure. رأيت تشكيل مرشد هنا.

    تكوين ملف تعريف مصادقة الشهادة  

    الخطوة 1. انتقل إلى أيقونة القائمة rmigisha_18-1663803391946 موجود في الزاوية العلوية اليسرى وحدد إدارة > إدارة الهوية > مصادر الهوية الخارجية.

    الخطوة 2. تحديد مصادقة الشهادة ملف تخصيص ثم انقر على إضافة. 

    الخطوة 3. قم بتعريف الاسم، قم بتعيين مخزن الهويات ك [غير قابل للتطبيق]، وحدد موضوع - الاسم الشائع على إستخدام الهوية من الحقل. تحديد عدم التطابق شهادة العميل مقابل الشهادة في مخزن الهويات الحقل. 

    rmigisha_2-1663802545501

    الخطوة 4. انقر فوق حفظ

    rmigisha_2-1663951904221

    الخطوة 5. انتقل إلى أيقونة القائمة rmigisha_18-1663803391946 موجود في الزاوية العلوية اليسرى وحدد السياسة > مجموعات السياسات.

    الخطوة 6. تحديد علامة الجمع rmigisha_6-1663802545507 أيقونة لإنشاء مجموعة نهج جديدة. قم بتعريف اسم وحدد Wireless 802.1x أو 802.1x السلكي كشروط. يتم إستخدام الخيار الافتراضي للوصول إلى الشبكة في هذا المثال

    rmigisha_0-1663950278197

    الخطوة 7. حدد السهم rmigisha_1-1663954795995 التالي إلى الوصول الافتراضي إلى الشبكة لتكوين سياسات المصادقة والتفويض.

    الخطوة 8. حدد خيار سياسة المصادقة، وحدد اسما وقم بإضافة EAP-TLS كمصادقة للوصول إلى الشبكة، ومن الممكن إضافة TEAP كمركز وصول إلى الشبكة إذا تم إستخدام TEAP كبروتوكول مصادقة. حدد ملف تعريف مصادقة الشهادة الذي تم إنشاؤه في الخطوة 3 وانقر فوق حفظ.

    rmigisha_1-1663811245546

    الخطوة 9. حدد خيار "نهج التخويل"، وقم بتحديد اسم وإضافة سمات Azure AD أو سمات المستخدم كشرط. أختر ملف التخصيص أو مجموعة التأمين تحت النتائج، حسب حالة الاستخدام، ثم انقر حفظ.  

    rmigisha_1-1663950342613

    تكوين المستخدم.

    يجب أن يتطابق الاسم الشائع للموضوع (CN) من شهادة المستخدم مع اسم المستخدم الأساسي (UPN) على جانب Azure لاسترداد عضوية مجموعة AD وسمات المستخدم التي يتم إستخدامها في قواعد التخويل. لكي تكون المصادقة ناجحة، يجب أن يكون CA الجذر وأي شهادات CAs وسيطة في مخزن ISE الموثوق به.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    التحقق من الصحة

    التحقق من ISE

    في واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة rmigisha_18-1663803391946 وتختار العمليات > RADIUS > السجلات المباشرة لمصادقة الشبكة (RADIUS).

    ISE Verify

    انقر فوق أيقونة المكبر في عمود التفاصيل لعرض تقرير مصادقة مفصل وتأكيد ما إذا كان التدفق يعمل كما هو متوقع.

    1. التحقق من سياسات المصادقة/التفويض
    2. أسلوب/بروتوكول المصادقة
    3. اسم موضوع المستخدم مأخوذ من الشهادة
    4. مجموعات المستخدمين والسمات الأخرى التي تم إحضارها من دليل Azure

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    استكشاف الأخطاء وإصلاحها

    تمكين تصحيح الأخطاء على ISE

    انتقل إلى الإدارة > النظام > التسجيل > تكوين سجل التصحيح لتعيين المكونات التالية إلى المستوى المحدد.

    عقدة

    اسم المكون

      مستوى التسجيل

    اسم ملف السجل

    PSN

    حفظ-معرف المخزن

    تصحيح الأخطاء

    rest-id-store.log

    PSN

    Runtime-AAA

    تصحيح الأخطاء

    prrt-server.log

    ملاحظة: عند الانتهاء من أستكشاف الأخطاء وإصلاحها، تذكر إعادة تعيين تصحيح الأخطاء. للقيام بذلك، حدد العقدة ذات الصلة وانقر فوق "إعادة التعيين إلى الافتراضي".

    قصاصات السجلات

    تظهر المقتطفات التالية المرحلتين الأخيرتين في التدفق، كما هو مذكور سابقا في قسم الرسم التخطيطي للشبكة.

    1. تأخذ ISE اسم موضوع الشهادة (CN) وتقوم بعمل بحث على API الخاص برسم Azure البياني لجلب مجموعات المستخدمين وسمات أخرى لذلك المستخدم. ويشار إليه باسم المستخدم الأساسي (UPN) على جانب Azure.
    2. يتم تقييم نهج تخويل ISE مقابل سمات المستخدم التي تم إرجاعها من Azure.

    سجلات معرف الراحة:

    rmigisha_17-1663802653185

    سجلات المنتج:

    rmigisha_16-1663802653185

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    22-Dec-2023
    تم تحديث قسم العنوان والمقدمة لتلبية متطلبات دليل الأنماط Cisco.com.
    1.0
    27-Sep-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Romeo Migisha
      Technical Consulting Engineer
    • Emmanuel Cano
      Security Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا