تكوين مصادقة SWA الخارجية مع ISE كخادم RADIUS

تم التحديث:٥ فبراير ٢٠٢٤
معرّف المستند:221602

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند خطوات تكوين المصادقة الخارجية على الوصول الآمن إلى الويب (SWA) باستخدام Cisco ISE كخادم RADIUS.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • المعرفة الأساسية في جهاز الويب الآمن من Cisco.
    • معرفة تكوين سياسات المصادقة والتفويض على ISE.
    • معرفة RADIUS الأساسية.

    توصي Cisco بأن يكون لديك أيضا:

    • الوصول إلى إدارة SWA و ISE.
    • إصدارات WSA و ISE المتوافقة.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • SWA 14.0.2-012
    • ISE 3.0.0

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    عند تمكين المصادقة الخارجية للمستخدمين الإداريين ل SWA، يتحقق الجهاز من مسوغات المستخدم باستخدام بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) أو خادم RADIUS كما هو محدد في تكوين المصادقة الخارجية.

    طوبولوجيا الشبكة

    Network Topology Diagramالرسم التخطيطي لمخطط الشبكة

    ينفذ المستخدمون الإداريون SWA على المنفذ 443 مع بيانات الاعتماد الخاصة بهم. يتحقق SWA من بيانات الاعتماد باستخدام خادم RADIUS.

    التكوين

    تكوين ISE

    الخطوة 1. إضافة جهاز شبكة جديد. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة > +إضافة.

    Add SWA as Network Device in ISEإضافة SWA كجهاز شبكة في ISE

    الخطوة 2. قم بتعيين اسم لكائن جهاز الشبكة وأدخل عنوان IP ل SWA.

    حدد خانة إختيار RADIUS وحدد سر مشترك.

    note-icon

    ملاحظة: يجب إستخدام المفتاح نفسه لاحقا لتكوين خادم RADIUS في SWA.

    Configure SWA Network Device Shared Keyتكوين المفتاح المشترك لجهاز شبكة SWA

    الخطوة 2.1. انقر على إرسال.

    Submit Network Device Configurationإرسال تكوين جهاز الشبكة

    الخطوة 3. قم بإنشاء مجموعات هوية المستخدم المطلوبة. انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > + إضافة.

    note-icon

    ملاحظة: تحتاج إلى تكوين مجموعات مستخدمين مختلفة لمطابقة أنواع مستخدمين مختلفة.

    Add User Identity Groupإضافة مجموعة هوية المستخدم

    الخطوة 4. اسم مجموعة الإدخال ووصفها (إختياري) وإرسالها. كرر هذه الخطوات لكل مجموعة. في هذا المثال، يمكنك إنشاء مجموعة لمستخدمي Administrator، ومجموعة أخرى لمستخدمي Read-Only.

    Add User Identity Group for SWA Admin Usersإضافة مجموعة هوية المستخدمAdd User Identity Group for SWA Read Only Usersإضافة مجموعة هوية المستخدم لمستخدمي قراءة SWA فقط

    الخطوة 5. أنت تحتاج أن يخلق شبكة وصول مستعمل أن يتطابق مع اسم مستعمل يشكل في SWA.

    قم بإنشاء مستخدمي Network Access وإضافتهم إلى مجموعة مراسليهم. انتقل إلى إدارة > إدارة الهوية > هويات > + إضافة.

    Add Local Users in ISEإضافة مستخدمين محليين في ISE

    الخطوة 5.1. يجب إنشاء مستخدمي Network Access بحقوق المسؤول. قم بتعيين اسم وكلمة مرور.

    Add Admin Userإضافة مستخدم مسؤول

    الخطوة 5.2. أختر مسؤول SWA في قسم مجموعات المستخدمين.Assign Admin Group to the Admin Userتعيين مجموعة مسؤول إلى مستخدم المسؤول

    الخطوة 5.3. تحتاج إلى إنشاء مستخدم له حقوق القراءة فقط. قم بتعيين اسم وكلمة مرور.

    Add Read Only Userإضافة مستخدم للقراءة فقط

    الخطوة 5.4. أختر SWA ReadOnly في قسم مجموعات المستخدمين.

    Assign Read Only User group to the Read Only Userتعيين مجموعة مستخدمين للقراءة فقط إلى المستخدم للقراءة فقط

    الخطوة 6. قم بإنشاء ملف تعريف التخويل للمستخدم المسؤول.

    انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل > +إضافة.

    قم بتحديد اسم لملف تعريف التخويل وتأكد من تعيين نوع الوصول على ACCESS_ACCEPT.

    Add Authorization Profile for Admin Usersإضافة ملف تعريف التخويل لمستخدمي الإدارة

    الخطوة 6.1. في إعدادات الخصائص المتقدمة، انتقل إلى RADIUS > الفئة—[25] وأدخل القيمة المسؤول وانقر إرسال.Add Authorization Profile for Admin Usersإضافة ملف تعريف التخويل لمستخدمي الإدارة

    الخطوة 7. كرر الخطوة 6 لإنشاء ملف تعريف التخويل للمستخدم للقراءة فقط.

    Add Authorization Profile for Read Only Usersإضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقط

    الخطوة 7.1. قم بإنشاء RADIUS:Class باستخدام القيمة ReadUser بدلا من المسؤول هذه المرة.

    Add Authorization Profile for Read Only Usersإضافة ملف تعريف التخويل للمستخدمين الذين يقرأون فقط

    الخطوة 8. قم بإنشاء مجموعات السياسات التي تطابق عنوان IP ل SWA. الغرض من ذلك هو منع الوصول إلى أجهزة أخرى باستخدام مسوغات المستخدم هذه.

    انتقل إلى السياسة > مجموعات السياسات وانقر فوق + الأيقونة الموضوعة في الركن العلوي الأيسر.

    Add Policy Set in ISEإضافة مجموعة نهج في ISE

    الخطوة 8.1. يتم وضع سطر جديد في أعلى مجموعات النهج.

    قم بتسمية النهج الجديد وإضافة شرط لسمة NAS-IP-Address ل RADIUS لمطابقة عنوان IP ل SWA.

    انقر فوق إستخدام للاحتفاظ بالتغييرات والخروج من المحرر.

    Add Policy to Map SWA Network Deviceإضافة نهج إلى تعيين جهاز شبكة SWA

    الخطوة 8.2. انقر فوق حفظ.

    Policy Saveحفظ النهج

    tip-icon

    تلميح: في هذه المقالة، يسمح بقائمة بروتوكولات الوصول إلى الشبكة الافتراضية. يمكنك إنشاء قائمة جديدة وتقليلها حسب الحاجة.

    الخطوة 9. لعرض مجموعات النهج الجديدة، انقر فوق الرمز > في عمود العرض. قم بتوسيع قائمة نهج التخويل وانقر فوق أيقونة + لإضافة قاعدة جديدة للسماح بالوصول إلى المستخدم ذي حقوق المسؤول.

    قم بتعيين اسم.

    الخطوة 9.1. لإنشاء شرط لمطابقة مجموعة المستخدمين المسؤولين، انقر فوق +أيقونة.Add Authorization Policy Conditionإضافة شرط نهج التخويل

    الخطوة 9.2. قم بتعيين الشروط لمطابقة مجموعة هوية القاموس مع السمة الاسم يساوي مجموعات هوية المستخدم: مسؤول SWA.Select Identity Group as Conditionتحديد مجموعة الهوية كشرط

    الخطوة 9.3. قم بالتمرير لأسفل وحدد مجموعات هوية المستخدم: مسؤول SWA.Scroll Down and Select Identity Group Nameتمرير لأسفل أثناء تحديد اسم مجموعة الهوية

    الخطوة 9.4. طقطقة إستعمال.

    Select Authorization Policy for SWA Admin User Groupتحديد نهج التخويل لمجموعة مستخدمي مسؤول SWA

    الخطوة 10. انقر فوق أيقونة + لإضافة قاعدة ثانية للسماح بالوصول إلى المستخدم باستخدام حقوق القراءة فقط.

    قم بتعيين اسم.

    قم بتعيين الشروط لمطابقة مجموعة هوية القاموس مع السمة الاسم يساوي مجموعات هوية المستخدم: SWA ReadOnly وانقر فوق إستخدام.

    Select Authorization Policy for ReadOnly User Groupتحديد نهج التخويل لمجموعة مستخدمي ReadOnly

    الخطوة 11. قم بتعيين ملف تعريف التخويل لكل قاعدة على التوالي وانقر فوق حفظ.

    Select Authorization Profileتحديد ملف تعريف التخويل

    تكوين SWA

    الخطوة 1. من واجهة المستخدم الرسومية SWA، انتقل إلى إدارة النظام وانقر فوق المستخدمين

    الخطوة 2. انقر على تمكين في المصادقة الخارجية.

    Enable External Authentication in SWAتمكين المصادقة الخارجية في SWA

    الخطوة 3. أدخل عنوان IP أو FQDN من ISE في حقل اسم مضيف خادم RADIUS وأدخل نفس سر المشترك الذي تم تكوينه في الخطوة 2، تكوين ISE.

    الخطوة 4. حدد تعيين المستخدمين المصادق عليهم خارجيا للأدوار المحلية المتعددة في تعيين المجموعة.

    الخطوة 4.1. أدخل المسؤول في حقل سمة فئة RADIUS وحدد مسؤول الدور.

    الخطوة 4.2. أدخل ReadUser في حقل سمة فئة RADIUS وحدد عامل تشغيل القراءة فقط للدور. 

    External Authentication Configuration for RADIUS Serverتكوين المصادقة الخارجية لخادم RADIUS

    الخطوة 5: لتكوين المستخدمين في SWA، انقر فوق إضافة مستخدم. أدخل اسم المستخدم وحدد نوع المستخدم المطلوب للدور المطلوب. أدخل عبارة المرور وعبارة مرور إعادة الكتابة، والتي تكون مطلوبة للوصول إلى واجهة المستخدم الرسومية (GUI) إذا تعذر على الجهاز الاتصال بأي خادم RADIUS خارجي.

    note-icon

    ملاحظة: إذا تعذر على الجهاز الاتصال بأي خادم خارجي، فإنه يحاول مصادقة المستخدم كمستخدم محلي معرف على جهاز ويب الآمن.

    User configuration in SWAتكوين المستخدم في SWA

    الخطوة 6: انقر فوق إرسال وتنفيذ التغييرات.

    التحقق من الصحة

    قم بالوصول إلى واجهة المستخدم الرسومية SWA باستخدام بيانات اعتماد المستخدم التي تم تكوينها وفحص السجلات المباشرة في ISE. للتحقق من السجلات المباشرة في ISE، انتقل إلى العمليات > السجلات المباشرة:

    Verify User Login ISEالتحقق من دخول المستخدم ل ISE

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    05-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • أنيل راجان
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات