تكوين مصادقة SWA الخارجية مع ISE كخادم RADIUS

خيارات التنزيل

  • PDF     (2.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.5 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٥ فبراير ٢٠٢٤
معرّف المستند:221602

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند خطوات تكوين المصادقة الخارجية على الوصول الآمن إلى الويب (SWA) باستخدام Cisco ISE كخادم RADIUS.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • المعرفة الأساسية في جهاز الويب الآمن من Cisco.
    • معرفة تكوين سياسات المصادقة والتفويض على ISE.
    • معرفة RADIUS الأساسية.

    توصي Cisco بأن يكون لديك أيضا:

    • الوصول إلى إدارة SWA و ISE.
    • إصدارات WSA و ISE المتوافقة.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • SWA 14.0.2-012
    • ISE 3.0.0

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    عند تمكين المصادقة الخارجية للمستخدمين الإداريين ل SWA، يتحقق الجهاز من مسوغات المستخدم باستخدام بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) أو خادم RADIUS كما هو محدد في تكوين المصادقة الخارجية.

    طوبولوجيا الشبكة

    الرسم التخطيطي لمخطط الشبكةالرسم التخطيطي لمخطط الشبكة

    ينفذ المستخدمون الإداريون SWA على المنفذ 443 مع بيانات الاعتماد الخاصة بهم. يتحقق SWA من بيانات الاعتماد باستخدام خادم RADIUS.

    التكوين

    تكوين ISE

    الخطوة 1. إضافة جهاز شبكة جديد. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة > +إضافة.

    إضافة SWA كجهاز شبكة في ISEإضافة SWA كجهاز شبكة في ISE

    الخطوة 2. قم بتعيين اسم لكائن جهاز الشبكة وأدخل عنوان IP ل SWA.

    حدد خانة إختيار RADIUS وحدد سر مشترك.

    note-icon

    ملاحظة: يجب إستخدام المفتاح نفسه لاحقا لتكوين خادم RADIUS في SWA.

    تكوين المفتاح المشترك لجهاز شبكة SWAتكوين المفتاح المشترك لجهاز شبكة SWA

    الخطوة 2.1. انقر على إرسال.

    إرسال تكوين جهاز الشبكةإرسال تكوين جهاز الشبكة

    الخطوة 3. قم بإنشاء مجموعات هوية المستخدم المطلوبة. انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > + إضافة.

    note-icon

    ملاحظة: تحتاج إلى تكوين مجموعات مستخدمين مختلفة لمطابقة أنواع مستخدمين مختلفة.

    إضافة مجموعة هوية المستخدمإضافة مجموعة هوية المستخدم

    الخطوة 4. اسم مجموعة الإدخال ووصفها (إختياري) وإرسالها. كرر هذه الخطوات لكل مجموعة. في هذا المثال، يمكنك إنشاء مجموعة لمستخدمي Administrator، ومجموعة أخرى لمستخدمي Read-Only.

    إضافة مجموعة هوية المستخدم لمستخدمي مسؤول SWAإضافة إضافة مجموعة هوية المستخدم لمستخدمي قراءة SWA فقطمجموعة هوية المستخدم إضافة مجموعة هوية المستخدم لمستخدمي SWA للقراءة فقط

    الخطوة 5. أنت تحتاج أن يخلق شبكة وصول مستعمل أن يتطابق مع اسم مستعمل يشكل في SWA.

    قم بإنشاء مستخدمي Network Access وإضافتهم إلى مجموعة مراسليهم. انتقل إلى إدارة > إدارة الهوية > هويات > + إضافة.

    إضافة مستخدمين محليين في ISEإضافة مستخدمين محليين في ISE

    الخطوة 5.1. يجب إنشاء مستخدمي Network Access بحقوق المسؤول. قم بتعيين اسم وكلمة مرور.

    إضافة مستخدم مسؤولإضافة مستخدم مسؤول

    الخطوة 5.2. أختر مسؤول SWA في قسم مجموعات المستخدمين.تعيين مجموعة مسؤول إلى مستخدم المسؤولتعيين مجموعة الإدارة للمستخدم المسؤول

    الخطوة 5.3. تحتاج إلى إنشاء مستخدم له حقوق القراءة فقط. قم بتعيين اسم وكلمة مرور.

    إضافة مستخدم للقراءة فقطإضافة مستخدم للقراءة فقط

    الخطوة 5.4. أختر SWA ReadOnly في قسم مجموعات المستخدمين.

    تعيين مجموعة مستخدمين للقراءة فقط إلى المستخدم للقراءة فقطتعيين مجموعة مستخدمين للقراءة فقط إلى المستخدم للقراءة فقط

    الخطوة 6. قم بإنشاء ملف تعريف التخويل للمستخدم المسؤول.

    انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل > +إضافة.

    قم بتحديد اسم لملف تعريف التخويل وتأكد من تعيين نوع الوصول على ACCESS_ACCEPT.

    إضافة ملف تعريف التخويل لمستخدمي الإدارةإضافة ملف تعريف التخويل لمستخدمي الإدارة

    الخطوة 6.1. في إعدادات السمات المتقدمة، انتقل إلى RADIUS > الفئة—[25] وأدخل القيمة للمسؤول وانقر فوق إرسال.إضافة ملف تعريف التخويل لمستخدمي الإدارةإضافة ملف تعريف التفويض لمستخدمي الإدارة

    الخطوة 7. كرر الخطوة 6 لإنشاء ملف تعريف التخويل للمستخدم للقراءة فقط.

    إضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقطإضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقط

    الخطوة 7.1. قم بإنشاء RADIUS:Class باستخدام القيمة ReadUser بدلا من المسؤول هذه المرة.

    إضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقطإضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقط

    الخطوة 8. قم بإنشاء مجموعات السياسات التي تطابق عنوان IP ل SWA. الغرض من ذلك هو منع الوصول إلى أجهزة أخرى باستخدام مسوغات المستخدم هذه.

    انتقل إلى السياسة > مجموعات السياسات وانقر فوق + الأيقونة الموضوعة في الركن العلوي الأيسر.

    إضافة مجموعة نهج في ISEإضافة مجموعة نهج في ISE

    الخطوة 8.1. يتم وضع سطر جديد في أعلى مجموعات النهج.

    قم بتسمية النهج الجديد وإضافة شرط لسمة NAS-IP-Address ل RADIUS لمطابقة عنوان IP ل SWA.

    انقر فوق إستخدام للاحتفاظ بالتغييرات والخروج من المحرر.

    إضافة نهج إلى تعيين جهاز شبكة SWAإضافة نهج إلى تعيين جهاز شبكة SWA

    الخطوة 8.2. انقر فوق حفظ.

    حفظ النهجحفظ النهج

    أيقونة تلميح

    تلميح: في هذه المقالة، يسمح بقائمة بروتوكولات الوصول إلى الشبكة الافتراضية. يمكنك إنشاء قائمة جديدة وتقليلها حسب الحاجة.

    الخطوة 9. لعرض مجموعات النهج الجديدة، انقر فوق الرمز > في عمود العرض. قم بتوسيع قائمة نهج التخويل وانقر فوق أيقونة + لإضافة قاعدة جديدة للسماح بالوصول إلى المستخدم ذي حقوق المسؤول.

    قم بتعيين اسم.

    الخطوة 9.1. لإنشاء شرط لمطابقة مجموعة مستخدمي المسؤول، انقر فوق + icon.إضافة شرط نهج التخويلإضافة شرط لنهج التخويل

    الخطوة 9.2. قم بتعيين الشروط لمطابقة مجموعة هوية القاموس مع السمة الاسم يساوي مجموعات هوية المستخدم: SWA admin.تحديد مجموعة الهوية كشرطتحديد مجموعة الهوية كشرط

    الخطوة 9.3. قم بالتمرير إلى أسفل وحدد مجموعات هوية المستخدم: مسؤول SWA.قم بالتمرير لأسفل وحدد اسم مجموعة الهويةقم بالتمرير إلى أسفل ثم حدد اسم مجموعة الهوية

    الخطوة 9.4. طقطقة إستعمال.

    تحديد نهج التخويل لمجموعة مستخدمي مسؤول SWAتحديد نهج التخويل لمجموعة مستخدمي مسؤول SWA

    الخطوة 10. انقر فوق أيقونة + لإضافة قاعدة ثانية للسماح بالوصول إلى المستخدم باستخدام حقوق القراءة فقط.

    قم بتعيين اسم.

    قم بتعيين الشروط لمطابقة مجموعة هوية القاموس مع السمة الاسم يساوي مجموعات هوية المستخدم: SWA ReadOnly وانقر فوق إستخدام.

    تحديد نهج التخويل لمجموعة مستخدمي ReadOnlyتحديد نهج التخويل لمجموعة مستخدمي ReadOnly

    الخطوة 11. قم بتعيين ملف تعريف التخويل لكل قاعدة على التوالي وانقر فوق حفظ.

    تحديد ملف تعريف التخويلتحديد ملف تعريف التخويل

    تكوين SWA

    الخطوة 1. من واجهة المستخدم الرسومية SWA، انتقل إلى إدارة النظام وانقر فوق المستخدمين

    الخطوة 2. انقر على تمكين في المصادقة الخارجية.

    تمكين المصادقة الخارجية في SWAتمكين المصادقة الخارجية في SWA

    الخطوة 3. أدخل عنوان IP أو FQDN من ISE في حقل اسم مضيف خادم RADIUS وأدخل نفس سر المشترك الذي تم تكوينه في الخطوة 2، تكوين ISE.

    الخطوة 4. حدد تعيين المستخدمين المصادق عليهم خارجيا للأدوار المحلية المتعددة في تعيين المجموعة.

    الخطوة 4.1. أدخل المسؤول في حقل سمة فئة RADIUS وحدد مسؤول الدور.

    الخطوة 4.2. أدخل ReadUser في حقل سمة فئة RADIUS وحدد عامل تشغيل القراءة فقط للدور. 

    تكوين المصادقة الخارجية لخادم RADIUSتكوين المصادقة الخارجية لخادم RADIUS

    الخطوة 5: لتكوين المستخدمين في SWA، انقر فوق إضافة مستخدم. أدخل اسم المستخدم وحدد نوع المستخدم المطلوب للدور المطلوب. أدخل عبارة المرور وعبارة مرور إعادة الكتابة، والتي تكون مطلوبة للوصول إلى واجهة المستخدم الرسومية (GUI) إذا تعذر على الجهاز الاتصال بأي خادم RADIUS خارجي.

    note-icon

    ملاحظة: إذا تعذر على الجهاز الاتصال بأي خادم خارجي، فإنه يحاول مصادقة المستخدم كمستخدم محلي معرف على جهاز ويب الآمن.

    تكوين المستخدم في SWAتكوين المستخدم في SWA

    الخطوة 6: انقر فوق إرسال وتنفيذ التغييرات.

    التحقق من الصحة

    قم بالوصول إلى واجهة المستخدم الرسومية SWA باستخدام بيانات اعتماد المستخدم التي تم تكوينها وفحص السجلات المباشرة في ISE. للتحقق من السجلات المباشرة في ISE، انتقل إلى العمليات > السجلات المباشرة:

    التحقق من دخول المستخدم ل ISEالتحقق من دخول المستخدم ل ISE

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    05-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Anil Rajan
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات