تكوين مدير المحتوى الرقمي من Cisco - دعم المصادقة عن بعد

خيارات التنزيل

  • PDF     (365.1 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (172.5 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (192.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٧ أكتوبر ٢٠١٧
معرّف المستند:212196

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند برنامج مدير المحتوى الرقمي (DCM)المصادقة عن بعد من Cisco باستخدام RADIUS.

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة من cisco DCM برمجية صيغة 16 فما فوق.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • برنامج Cisco DCM الإصدار 16.10 والإصدارات الأحدث.
    • خادم RADIUS الذي يعمل ببرنامج المصدر المفتوح FreeRadius.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    في V16.10 من مدير المحتوى الرقمي (DCM)، تم تقديم ميزة جديدة تسمح باستخدام حسابات المستخدم التي تم تكوينها على خادم RADIUS للوصول إلى واجهة المستخدم الرسومية (GUI) الخاصة بإدارة المحتوى الرقمي (DCM).يصف هذا المستند الإعداد المطلوب على خادم DCM و RADIUS لاستخدام هذه الميزة.

    حسابات واجهة المستخدم الرسومية (GUI) على مدير المحتوى الرقمي (DCM)


    في الإصدارات 16.0 وأقل من حسابات المستخدم المطلوبة للوصول إلى واجهة المستخدم الرسومية (GUI) كانت محلية بالنسبة إلى مدير المحتوى الرقمي، أي تم إنشاؤه وتعديله واستخدامه وحذفه على مدير المحتوى الرقمي (DCM).

    يمكن أن ينتمي حساب مستخدم واجهة المستخدم الرسومية إلى إحدى هذه المجموعات:

    • المسؤولون (التحكم الكامل)
    • المستخدمون (قراءة-كتابة)
    • الضيوف (للقراءة فقط)
    • مشغلات الأتمتة (المشغلات الخارجية)
    • مسؤولو DTF (تكوين مفتاح DTF)

      

    المصادقة عن بعد

    تتمثل فكرة المصادقة عن بعد في وجود مجموعة مركزية من حسابات المستخدمين يمكن إستخدامها للوصول إلى جهاز أو تطبيق أو خدمة وما إلى ذلك.

    توضح الخطوات الموضحة في الصورة ما يحدث عند إستخدام المصادقة عن بعد:

    الخطوة 1. يدخل المستخدم تسجيل الدخول وكلمة المرور (حساب المستخدم الذي تم تكوينه على خادم RADIUS) في صفحة تسجيل الدخول على واجهة المستخدم الرسومية (GUI) الخاصة ب DCM.

    الخطوة 2. يرسل مدير المحتوى الرقمي رسالة طلب وصول مع بيانات الاعتماد إلى خادم RADIUS.

    الخطوة 3. يتحقق خادم RADIUS مما إذا كان الطلب قد قدم من أحد العملاء الذين تم تكوينهم ومن وجود حساب المستخدم على DB/File الخاص به ويتحقق مما إذا كانت كلمة المرور صحيحة أم لا، وبعد ذلك يتم إرجاع أي من الرسائل التالية إلى DCM

    • قبول الوصول - هذا يعني أن بيانات الاعتماد صحيحة. يتم إرجاع سمات RADIUS التي تم تكوينها.

    • الوصول-الرفض - هذا يعني أن بيانات الاعتماد غير صالحة وقد يتم تكوين خادم RADIUS لإرسال بعض سمات RADIUS لإعلام الفشل.

    • Access-Challenge - هذا يعني أن خادم RADIUS يحتاج إلى بعض المعلومات الإضافية للتحقق من أصالة المستخدم. لم تتم معالجتها في مدير المحتوى الرقمي.

    في حالة إرسال خادم RADIUS رفض وصول، يتحقق مدير المحتوى الرقمي مما إذا كان حساب المستخدم محليا إلى مدير المحتوى الرقمي نفسه ويتم اتباع إجراء المصادقة لذلك.
    تتم إعادة مصادقة المستخدم في فترة 15 دقيقة (داخليا) لتأكيد أن اسم المستخدم/كلمة المرور لا يزال صالحا وأن المستخدم ينتمي إلى إحدى مجموعات حسابات واجهة المستخدم الرسومية (GUI). إذا فشلت المصادقة فإن جلسة عمل المستخدم الجاري تشغيلها حاليا تعتبر غير صالحة ويتم إبطال جميع الامتيازات الخاصة بالمستخدم.

    تكوين خادم RADIUS

    لاستخدام حسابات المستخدم الموجودة على خادم RADIUS للوصول إلى واجهة المستخدم الرسومية (GUI)، يلزم اتباع الخطوات التالية:


    يجب تكوين مدير المحتوى الرقمي كعميل لخادم RADIUS.

    1. إضافة عنوان IP الخاص ب DCM كعميل لخادم RADIUS.

    2. إضافة السر المشترك إلى تكوين العميل (يجب أن يكون هذا السر المشترك هو نفسه الذي تم تكوينه على DCM، راجع القسم الذي يشكل DCM).

    3. يوصى بامتلاك سر مشترك مختلف لكل DCM.

    4. يجب أن يكون طول السر المشترك 22 حرفا على الأقل.

    5. يجب أن يكون السر المشترك عشوائيا قدر الإمكان.

      مثال لسر مشترك جيد: '89w٪$w*78619ew8r4$7$6@q!9we#٪^rnEWR@#QEws13&4^٪sf54gsf4@!fg3sdf#@sdf$d3g44fg3٪2s2345'

    لحساب مستخدم يجب أن تحتوي رسالة قبول الوصول من خادم RADIUS على سمة RADIUS التي تعرف مجموعة حسابات واجهة المستخدم الرسومية (GUI) التي ينتمي إليها المستخدم. يمكن إختيار اسم السمة ويلزم تكوينه في ملف الإعدادات على DCM.

    هذا هو تنسيق السلسلة التي يلزم إرسالها كقيمة لسمة من خادم RADIUS:

    يمكن أن تكون OU=<group_name_string>group_name_string واحدة من التالي:

    مجموعة سلسلة اسم المجموعة
    المسؤولون (التحكم الكامل) إداريي
    المستخدمون (قراءة-كتابة) متعاطي
    الضيوف (للقراءة فقط) ضيوف
    مشغلات الأتمتة (الخارجية
    المشغلات)    		 أتمتة
    مسؤولو DTF (مفتاح DTF
    التكوين)    		 فضالونا

    تكوين مدير المحتوى الرقمي (DCM) من Cisco


    لتمكين/تكوين ميزة المصادقة عن بعد على مدير المحتوى الرقمي (DCM)، يلزم وجود حساب مسؤول واجهة المستخدم الرسومية (GUI).
    تشير هذه الخطوات إلى كيفية تكوين المصادقة عن بعد:


    الخطوة 1. قم بتسجيل الدخول إلى مدير المحتوى الرقمي باستخدام حساب المسؤول.

    الخطوة 2. انتقل إلى الأمان > حسابات واجهة المستخدم الرسومية (GUI) وحدد علامة التبويب البعيد، كما هو موضح في الصورة:

    الخطوة 3. تكوين المعلمات المطلوبة لاتصال RADIUS:

    • تمكين - يحدد هذا الإعداد ما إذا كان يجب تمكين دعم المصادقة عن بعد أم لا. عند تحديد باقي حقول المعلمات يتم تمكينها.

    • عنوان IP الخاص بخادم RADIUS الخاص بالخادم.

    • المنفذ - المنفذ الذي يستمع إليه خادم RADIUS لحزم المصادقة (بشكل عام 1812 ولكن يمكن تكوينه لقيم أخرى).

    • secret - هذا هو السر المشترك الذي يتم إستخدامه لتشفير كلمة المرور قبل إرسال حزمة RADIUS إلى الخادم. يجب أن يكون هذا السر هو نفسه الذي تم تكوينه على خادم RADIUS حيث يتم إستخدامه لفك تشفير كلمة المرور.

    • اسم السمة - اسم السمة التي يتم إستلام بيانات التخويل بها من خادم RADIUS.

    • المهلة (بالثواني) - يتم إستخدام هذا الإعداد للاتصال بين خادم RADIUS و DCM. هذا هو الوقت الذي يجب أن ينتظر فيه مدير المحتوى الرقمي إستجابة من خادم RADIUS لطلب معين قبل إنهاء الطلب.

    • عدد مرات إعادة المحاولة - يجب إرسال طلب RADIUS في حالة انتهاء مهلة الطلبات السابقة.

    • إحتياطي للحسابات المحلية - يتوفر هذا الإعداد من الإصدار 19.0 من مدير المحتوى الرقمي (DCM) وما بعده. يسمح ال DCM أن يدون يستعمل gui (محلي) حساب أن يكون خلقت يستعمل ال gui. يسمح الخيار على مهلة الخادم بإجراء نسخ إحتياطي إلى الحسابات المحلية في حالة تعذر الوصول إلى خادم Radius، وليس عند فشل المصادقة. الخيار، يسمح دائما بإجراء النسخ الاحتياطي دائما - حتى عند فشل المصادقة.

    الخطوة 4. عند تطبيق التغييرات يتم عرض التحذير الظاهر في الصورة. طقطقة ok وأعيد إستعمال قارن.

    الخطوة 5. يعد مدير المحتوى الرقمي (DCM) الآن جاهزا للمصادقة عن بعد.

    تكوين IPSec على DCM:

    1. قم بتسجيل الدخول إلى مدير المحتوى الرقمي باستخدام حساب واجهة المستخدم الرسومية (GUI) الذي ينتمي إلى مجموعة أمان Administrators.


    2. انتقل إلى التكوين > النظام. تظهر صفحة إعدادات النظام.


    3. راجع منطقة إضافة IPsec جديدة، كما هو موضح في الصورة.

    4. في حقل عنوان IP، أدخل عنوان IP الخاص بنظير IPsec الجديد (خادم RADIUS).

    5. في حقلي المفتاح المشترك مسبقا وإعادة كتابة المفتاح المشترك مسبقا، أدخل المفتاح المشترك مسبقا لنظير IPsec الجديد.

    6. انقر فوق إضافة. تتم إضافة نظير IPsec الجديد إلى جدول إعدادات IPsec.

    ملاحظة: للحصول على تكوين IPSec على الجهاز الذي يتم تشغيل خادم RADIUS عليه، ارجع إلى الوثائق/النشر المقدمة مع المنتج.

    اعتبارات أمنية

    • يتم تخزين السر المشترك في المسح في نظام ملف DCM.

    • يتم تخزين كلمة المرور المشفرة في ذاكرة مدير المحتوى الرقمي للاستخدام في إعادة المصادقة طوال مدة الجلسة.

    • ونظرا للعنصرين أعلاه، يوصى بالحد من الأشخاص الذين لديهم حق الوصول إلى مدير المحتوى الرقمي (DCM) الخاص باستكشاف الأخطاء وإصلاحها.

    • ينصح بشدة باستخدام IPSec لتأمين قناة الاتصال بين DCM و RADIUS
      الخادم.

    القيود والقيود

    • يتوفر دعم المصادقة عن بعد فقط لحسابات واجهة المستخدم الرسومية (GUI)، وليس لحسابات نظام التشغيل.

    • تتم إعادة المصادقة في فترة زمنية قدرها 15 دقيقة. مثال: إذا تم تغيير مجموعة مستخدمين، فإن أسوأ وقت تم إستخدامه لتنفيذ التغيير هو 15 دقيقة.

    • في حالة تمكين المصادقة عن بعد، يتحقق DCM أولا من خادم RADIUS إذا كان حساب المستخدم صحيحا أم لا، ثم يتحقق من قاعدة البيانات المحلية. في حالة إستخدام حسابات محلية غير موجودة على خادم RADIUS ستكون هناك رسالة فشل مصادقة على خادم RADIUS.

    إعداد FreeRadius


    يوضح هذا القسم كمثال كيفية إعداد FreeRadius لاستخدامه كخادم مصادقة عن بعد ل DCM. هذا لأغراض إعلامية فقط،

    لا توفر Cisco أو تدعم FreeRadius. يفترض أن ملفات التكوين ل FreeRadius موجودة تحت /etc/freeRadius/(فحص التوزيع).


    بعد تثبيت حزمة FreeRadius قم بتعديل هذه الملفات.

    • تعديل /etc/freeradius/clients.conf
        الخطوة 1. قم بإضافة إدخال لبروتوكول IP الخاص بمدير المحتوى الرقمي إلى قائمة العملاء.
        الخطوة 2.أضف المفتاح المشترك في تكوين العميل واترك المعلمات الأخرى في الوضع الافتراضي.

      يوصى بامتلاك سر مشترك فريد لكل DCM.
      يجب أن يكون طول السر المشترك 22 حرفا على الأقل. يجب أن يكون السر المشترك عشوائيا قدر الإمكان.

      مثال لسر مشترك جيد :
      '89w٪$w*78619ew8r4$7$6@q!9we#٪^rnEWR@#QEws13&4^٪sf54gsf4@!fg3sdf#@sdf$d3g44fg3٪2s2345'
    • قم بتعديل /etc/freeradius/radiusd.conf لتغيير المنفذ الذي يجب أن يستمع إليه خادم RADIUS (بشكل عام 1812)

    • تعديل /etc/freeradius/users لإضافة مستخدمين جدد.

    • تأكد من إضافة سمة RADIUS التي يتم فيها إرسال معلومات التخويل إلى DCM بهذا التنسيق:
      <attribute name> = 'ou=<group_name>'

      اسم السمة: هذا هو اسم سمة RADIUS القياسية التي يتم إرسال بيانات التخويل عليها إلى DCM group_name يمكن أن تكون أحد الأمور التالية:
          Administrators - سيحصل المستخدم الذي ينتمي إلى هذه المجموعة على امتيازات المسؤول، أي التحكم الكامل.
          المستخدمون - سيحصل المستخدم الذي ينتمي إلى هذه المجموعة على امتيازات القراءة والكتابة.
          الضيوف - سيكون للمستخدم الذي ينتمي إلى هذه المجموعة امتياز للقراءة فقط.
          الأتمتة - تستخدم للتشغيل التلقائي (المشغلات الخارجية).
          DTFADMINS - مسؤول DTF (تكوين مفتاح DTF)

      مثال:
      ستيف ClearText-Password := "إختبار"
      معرف عامل التصفية = "Ou=Administrators"
    • (إعادة)بدء خادم RADIUS لتفعيل التغييرات.

    • تأكد من أن تكوين جدار الحماية الخاص بخادم RADIUS يسمح بالوصول الخارجي إلى ما تم إختياره
      المنفذ.

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.


    لأغراض تصحيح الأخطاء، تم إدخال بعض السجلات الإضافية في سجل الأمان. لعرض هذا السجل، انتقل إلى التعليمات > صفحة التتبع في واجهة المستخدم الرسومية (GUI) الخاصة ب DCM.

    يوضح هذا القسم ما يجب البحث عنه في السجلات وما هي المشاكل التي يمكن أن تحدث والحلول المحتملة.

    سطر السجل فشلت محاولة تسجيل الدخول عن بعد: انتهت مهلة الطلب إلى خادم RADIUS.
    مسألة يتعذر على مدير المحتوى الرقمي الاتصال بخادم RADIUS.
    حل ممكن
    • تحقق من صحة عنوان IP الخاص بخادم RADIUS المتوفر في تكوين المصادقة عن بعد في مدير المحتوى الرقمي.

    • تأكد من إمكانية الوصول إلى خادم RADIUS من مدير المحتوى الرقمي (DCM).

    • تأكد من تكوين مدير المحتوى الرقمي كعميل صالح على خادم RADIUS (يقوم خادم RADIUS بإسقاط حزم طلب الوصول من عملاء غير معروفين بصمت).

    • تأكد من أن السر المشترك الذي تم تكوينه على DCM هو نفس السر المشترك الذي تم تكوينه على خادم RADIUS ل DCM معين. (إذا لم يكن لدى الخادم سر مشترك للعميل، يتم إسقاط الطلب بصمت.)
    سطر السجل فشلت محاولة تسجيل الدخول عن بعد: [Errno 10054] تم فرض إغلاق اتصال موجود بواسطة المضيف البعيد.
    مسألة قام مدير المحتوى الرقمي بإرسال طلب RADIUS إلى IP للخادم المحدد. ومع ذلك، لا يصغي تطبيق خادم RADIUS إلى المنفذ المحدد في إعدادات المصادقة عن بعد.
    حل ممكن
    • تأكد من أن خادم RADIUS قيد التشغيل.

    • تحقق من أن رقم المنفذ المحدد في تكوين RADIUS على الخادم هو نفسه الذي تم تكوينه على DCM.
    سطر السجل فشلت محاولة تسجيل الدخول عن بعد: تم تحديد اسم سمة غير صالح أو الاستجابة من بيانات التخويل المفقودة الخاصة بخادم RADIUS.
    مسألة هناك مشكلة في الاستجابة المتلقاة من خادم RADIUS.
    حل ممكن
    • تأكد من أن خادم RADIUS يرسل السمة (التي تم تكوينها على DCM) في إستجابة "قبول الوصول".

    • تأكد من أن معلمة اسم السمة التي تم تكوينها في إعدادات مصادقة DCM عن بعد هي الاسم المحدد في تكوين المستخدم على خادم RADIUS.
    سطر السجل تم تلقي بيانات تخويل غير صالحة من خادم RADIUS.
    مسألة نجحت المصادقة ولكن الاستجابة التي تم تلقيها من خادم RADIUS تحتوي على بيانات تخويل غير صحيحة، أي اسم مجموعة الأمان.
    حل ممكن
    • تأكد من أن اسم المجموعة الذي تم تكوينه على خادم RADIUS لذلك المستخدم هو أحد اسم مجموعة الأمان المحدد في القسم الذي يشكل خادم RADIUS.
    • تأكد من أن تنسيق السلسلة التي تم تكوينها على خادم RADIUS وفقا للتنسيق المحدد في القسم الذي يشكل خادم RADIUS.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    27-Oct-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Dragos Petrisor
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا