المصادقة الخارجية لنظام التشغيل AsyncOS باستخدام محرك خدمة الهوية (RADIUS) من Cisco
المحتويات
المقدمة
يصف هذا المستند التكوين المطلوب بين جهاز أمان البريد الإلكتروني (ESA) / جهاز إدارة الأمان (SMA) ومحرك خدمات الهوية (ISE) من Cisco لتنفيذ المصادقة الخارجية بنجاح باستخدام RADIUS.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- المصادقة والتفويض والمحاسبة (AAA)
- سمة فئة RADIUS.
- إدارة هوية Cisco ISE وسياسات التفويض.
- أدوار مستخدم Cisco ESA/SMA.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco ISE، الإصدار 2.4
- Cisco ESA 13.5.1، 13.7.0
- Cisco SMA 13.6.2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المنتجات ذات الصلة
لم يتم إختبار الإصدار الموجود خارج القائمة الموجودة في قسم المكونات المستخدمة.
معلومات أساسية
سمة فئة RADIUS
يتم إستخدامها للمحاسبة، وهي قيمة تعسفية يتضمنها خادم RADIUS في جميع حزم المحاسبة.
يتم تكوين سمة الفئة في ISE (RADIUS) لكل مجموعة.
عندما يعتبر المستخدم جزءا من مجموعة ISE/VPN التي تحتوي على السمة 25 المرتبطة بها، فإن NAC يقوم بتنفيذ السياسة استنادا إلى قواعد التعيين التي تم تكوينها في خادم محرك خدمات الهوية (ISE).
التكوين
الرسم التخطيطي للشبكة
يقبل Identity Service Engine طلبات المصادقة من ESA/SMA ويطابقها مع هوية المستخدم ومجموعة المستخدمين.
الخطوة 1. إنشاء مجموعة هوية للمصادقة.
قم بتسجيل الدخول إلى خادم ISE وقم بإنشاء مجموعة هوية:
انتقل إلى إدارة->إدارة الهوية->مجموعات->مجموعة هوية المستخدم. كما هو موضح في الصورة.
الخطوة 2. إنشاء مستخدمين محليين للمصادقة.
في هذه الخطوة، قم بإنشاء مستخدمين جدد أو قم بتعيين مستخدمين موجودين بالفعل إلى مجموعة الهوية التي أنشأناها في الخطوة 1. الرجاء تسجيل الدخول إلى ISE والانتقال إلى الإدارة->إدارة الهوية->الهويات وإنشاء مستخدمين جدد أو التعيين إلى مستخدمين في المجموعة (المجموعات) التي قمت بإنشائها. كما هو موضح في الصورة.
الخطوة 3. إنشاء توصيفات تخويل.
يمكن إكمال مصادقة RADIUS بنجاح بدون أي توصيفات تخويل، ومع ذلك لا يتم تعيين أدوار. للإعداد الكامل، يرجى الانتقال إلى السياسة->عناصر السياسة->النتائج->التفويض->ملف تعريف التفويض.
الخطوة 4. إنشاء سياسة تخويل.
تتيح هذه الخطوة الأخيرة لخادم ISE التعرف على تسجيل دخول المستخدم وتعيين ملف تعريف التخويل الصحيح.
في حالة نجاح التفويض، يقوم ISE بإرجاع قبول وصول عبر قيمة الفئة المحددة في ملف تعريف التخويل.
انتقل إلى نهج > مجموعات سياسات > إضافة (+ رمز)
قم بتعيين اسم وحدد رمز الجمع لإضافة الشروط المطلوبة. تستخدم بيئة المختبر هذه نصف قطر. عنوان NAS-IP. قم بحفظ النهج الجديد.
لمطابقة طلبات التخويل بشكل صحيح، يجب إضافة الشروط. تحديد 
وأيقونة وإضافة شروط.
تستخدم بيئة Lab InternalUser-IdentityGroup وتطابق كل ملف تعريف تخويل.
الخطوة 5. تمكين المصادقة الخارجية في AsyncOS ESA/ SMA.
قم بتسجيل الدخول إلى جهاز AsyncOS (ESA/SMA/WSA). انتقل إلى إدارة النظام > المستخدمون > المصادقة الخارجية > تمكين المصادقة الخارجية على ESA.
توفير هذه القيم:
- اسم مضيف خادم RADIUS
- المنفذ
- سر مشترك
- قيمة المهلة (بالثواني)
- بروتوكول المصادقة
حدد تعيين المستخدمين المصادق عليهم خارجيا للأدوار المحلية المتعددة (مستحسن). كما هو موضح في الصورة.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
الرجاء تسجيل الدخول إلى جهاز AsyncOS والتأكد من منح حق الوصول وتم تعيين الدور المعين بشكل صحيح. كما هو موضح في الصورة التي تتضمن دور المستخدم الضيف.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
إذا فشلت محاولة تسجيل الدخول في العمل على ESA باستخدام الرسالة "اسم مستخدم أو كلمة مرور غير صالحة". قد تكون المشكلة موجودة في نهج التخويل.
قم بتسجيل الدخول إلى ESA ومن المصادقة الخارجية حدد تخطيط جميع المستخدمين المصدق عليهم خارجيا لدور المسؤول.
إرسال التغييرات وتنفيذها. قم بإجراء محاولة تسجيل دخول جديدة. في حالة نجاح تسجيل الدخول، تحقق مرتين من ملف تعريف تخويل ISE Radius (سمة 25 من الفئة) وإعداد نهج التخويل.
التعليقات