在 ISE 上配置外部 RADIUS 服务器
简介
本文档介绍如何在ISE上分别将两个符合RFC的RADIUS服务器配置为代理和授权。
先决条件
要求
Cisco 建议您了解以下主题:
- RADIUS协议基础知识
- 身份服务引擎(ISE)策略配置方面的专业知识
使用的组件
本文档中的信息基于Cisco ISE版本2.2和2.4。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
配置ISE(前端服务器)
步骤1:可配置并使用多个外部RADIUS服务器对ISE上的用户进行身份验证。要配置外部RADIUS服务器,请导航到Administration > Network Resources > External RADIUS Servers > Add,如图所示:
第二步:要使用已配置的外部RADIUS服务器,RADIUS服务器序列必须配置与身份源序列类似。要配置相同的内容,请导航到Administration > Network Resources > RADIUS Server Sequences > Add,如图所示:
第三步:还有一个附加部分,为ISE代理请求到外部RADIUS服务器时必须如何操作提供更大的灵活性。您可以在Advance Attribute Settings下找到该标签,如图所示:
- 高级设置:提供使用分隔符删除RADIUS请求中用户名的开始或结束的选项。
- 修改请求中的属性(Modify Attribute in the request):提供用于修改RADIUS请求中的任何RADIUS属性的选项。此处的列表显示了可以添加/删除/更新的属性:
User-Name--[1] NAS-IP-Address--[4] NAS-Port--[5] Service-Type--[6] Framed-Protocol--[7] Framed-IP-Address--[8] Framed-IP-Netmask--[9] Filter-ID--[11] Framed-Compression--[13] Login-IP-Host--[14] Callback-Number--[19] State--[24] VendorSpecific--[26] Called-Station-ID--[30] Calling-Station-ID--[31] NAS-Identifier--[32] Login-LAT-Service--[34] Login-LAT-Node--[35] Login-LAT-Group--[36] Event-Timestamp--[55] Egress-VLANID--[56] Ingress-Filters--[57] Egress-VLAN-Name--[58] User-Priority-Table--[59] NAS-Port-Type--[61] Port-Limit--[62] Login-LAT-Port--[63] Password-Retry--[75] Connect-Info--[77] NAS-Port-Id--[87] Framed-Pool--[88] NAS-Filter-Rule--[92] NAS-IPv6-Address--[95] Framed-Interface-Id--[96] Framed-IPv6-Prefix--[97] Login-IPv6-Host--[98] Error-Cause--[101] Delegated-IPv6-Prefix--[123] Framed-IPv6-Address--[168] DNS-Server-IPv6-Address--[169] Route-IPv6-Information--[170] Delegated-IPv6-Prefix-Pool--[171] Stateful-IPv6-Address-Pool--[172]
-
Continue to Authorization Policy on Access-Accept:提供选项以选择ISE是否必须按原样发送访问接受,或继续根据ISE上配置的授权策略而不是外部RADIUS服务器提供的授权提供访问。如果选择此选项,外部RADIUS服务器提供的授权将被ISE提供的授权覆盖。
-
Modify Attribute before Access-Accept:与
Modify Attribute in the request类似,前面提到的属性可以在发送到网络设备之前添加/删除/更新外部RADIUS服务器发送的Access-Accept中的属性。
第四步:下一部分是配置策略集,以便使用RADIUS服务器序列而不是允许的协议,以便将请求发送到外部RADIUS服务器。可以在Policy > Policy Sets下配置它。可以在Policy Set下配置授权策略,但是只有在选择Continue to Authorization Policy on Access-Accept 选项时才生效。否则,ISE仅充当RADIUS请求的代理,以便匹配为此策略集配置的条件。
配置外部RADIUS服务器
配置外部RADIUS服务器 步骤1:在本示例中,另一个ISE服务器(版本2.2)用作名为ISE_Backend_Server的外部RADIUS服务器。ISE (ISE_Frontend_Server)必须配置为网络设备或传统上称为外部RADIUS服务器NAS(在本例中为ISE_Backend_Server),因为转发到外部RADIUS服务器的访问请求中的NAS-IP-Address属性将替换为的IP地址ISE_Frontend_Server。要配置的共享密钥与在ISE_Frontend_Server上为外部RADIUS服务器配置的密钥相同。
第二步:外部RADIUS服务器可以配置其自己的身份验证和授权策略,以便为ISE代理的请求提供服务。在本示例中,配置简单策略以检查内部用户中的用户,然后在通过身份验证的情况下允许访问。
验证
验证步骤1:如果收到请求,请检查ISE实时日志,如图所示。
第二步:检查是否选择了正确的策略集,如图所示。
第三步:检查请求是否被转发到外部RADIUS服务器。
4. 如果选择Continue to Authorization Policy on Access-Accept选项,请检查是否评估授权策略。
故障排除
故障排除场景 1.事件- 5405 RADIUS请求已丢弃
场景 1.事件- 5405 RADIUS请求已丢弃- 必须验证的最重要的事情是详细身份验证报告中的步骤。如果这些步骤显示“RADIUS-Client request timeout expired”,则表示ISE未从已配置的外部RADIUS服务器收到任何响应。在以下情况下可能发生这种情况:
- 外部RADIUS服务器存在连接问题。ISE无法到达为其配置的端口上的外部RADIUS服务器。
- 在外部RADIUS服务器上未将ISE配置为网络设备或NAS。
- 外部RADIUS服务器通过配置或由于外部RADIUS服务器上的某些问题丢弃数据包。
检查数据包捕获情况以查看它是否不是错误消息;即,ISE从服务器接收数据包,但仍报告请求超时。
- 如果步骤显示“Start forwarding request to remote RADIUS server”,而立即步骤是“No more external RADIUS servers; cannot perform failover”,则意味着所有配置的外部RADIUS服务器当前都标记为dead,并且请求仅在dead计时器过期后处理。
- 如果步骤“RADIUS-Client encountered error during processing flow”后跟“Failed to forward request to current remote RADIUS server; an invalid response was received”,这表示ISE在转发到外部RADIUS服务器的请求时遇到问题。从网络设备/NAS发送到ISE的RADIUS请求没有将NAS-IP-Address作为属性之一时,通常会出现这种情况。如果没有NAS-IP-Address属性且外部RADIUS服务器未使用,ISE将使用数据包的源IP填充NAS-IP-Address字段。但是,当使用外部RADIUS服务器时,这不适用。
场景 2:事件- 5400身份验证失败
场景 2:事件- 5400身份验证失败- 在这种情况下,如果步骤显示"11368请查看外部RADIUS服务器上的日志以确定确切的故障原因",则意味着外部RADIUS服务器上的身份验证已失败并且已发送Access-Reject。
- 如果步骤显示“15039 Rejected per authorization profile”,则表示ISE从外部RADIUS服务器收到了“Access-Accept”,但ISE根据配置的授权策略拒绝授权。
- 如果ISE上的Failure Reason 是除此处所述的身份验证失败以外的任何其他原因,则它可能意味着配置或ISE本身存在潜在问题。建议此时创建TAC支持请求。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
12-Aug-2024 |
格式和标点符号,修订版。 |
1.0 |
23-Apr-2018 |
初始版本 |
反馈