在ISE上配置外部RADIUS伺服器
簡介
本文檔介紹如何在ISE上分別將兩台RFC相容RADIUS伺服器配置為代理和授權。
必要條件
需求
思科建議您瞭解以下主題:
- RADIUS協定的基本知識
- 身份服務引擎(ISE)策略配置方面的專業知識
採用元件
本文檔中的資訊基於Cisco ISE版本2.2和2.4。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
配置ISE(前端伺服器)
步驟 1.可配置並使用多個外部RADIUS伺服器對ISE上的使用者進行身份驗證。要配置外部RADIUS伺服器,請導航到Administration > Network Resources > External RADIUS Servers > Add,如圖所示:
步驟 2.若要使用已設定的外部RADIUS伺服器,RADIUS伺服器序列必須設定為與身份辨識來源序列類似。要配置相同內容,請導航到Administration > Network Resources > RADIUS Server Sequences > Add,如下圖所示:
步驟 3.還有一個章節為ISE代理外部RADIUS伺服器的請求時必須如何操作提供了更大的靈活性。您可以在Advance Attribute Settings下找到該軟體,如下圖所示:
- 進階設定:提供使用分隔符號刪除RADIUS要求中使用者名稱的開始或結束的選項。
- 修改請求中的屬性:提供用於修改RADIUS請求中的任何RADIUS屬性的選項。此處的清單顯示可以新增/移除/更新的屬性:
User-Name--[1] NAS-IP-Address--[4] NAS-Port--[5] Service-Type--[6] Framed-Protocol--[7] Framed-IP-Address--[8] Framed-IP-Netmask--[9] Filter-ID--[11] Framed-Compression--[13] Login-IP-Host--[14] Callback-Number--[19] State--[24] VendorSpecific--[26] Called-Station-ID--[30] Calling-Station-ID--[31] NAS-Identifier--[32] Login-LAT-Service--[34] Login-LAT-Node--[35] Login-LAT-Group--[36] Event-Timestamp--[55] Egress-VLANID--[56] Ingress-Filters--[57] Egress-VLAN-Name--[58] User-Priority-Table--[59] NAS-Port-Type--[61] Port-Limit--[62] Login-LAT-Port--[63] Password-Retry--[75] Connect-Info--[77] NAS-Port-Id--[87] Framed-Pool--[88] NAS-Filter-Rule--[92] NAS-IPv6-Address--[95] Framed-Interface-Id--[96] Framed-IPv6-Prefix--[97] Login-IPv6-Host--[98] Error-Cause--[101] Delegated-IPv6-Prefix--[123] Framed-IPv6-Address--[168] DNS-Server-IPv6-Address--[169] Route-IPv6-Information--[170] Delegated-IPv6-Prefix-Pool--[171] Stateful-IPv6-Address-Pool--[172]
-
Continue to Authorization Policy on Access-Accept:提供選項以選擇ISE是否必須按原樣傳送訪問接受,或根據ISE上配置的授權策略而不是外部RADIUS伺服器提供的授權繼續提供訪問。如果選擇此選項,外部RADIUS伺服器提供的授權將被ISE提供的授權覆蓋。
-
Modify Attribute before Access-Accept:與
Modify Attribute in the request相似,前面提到的屬性可以在傳送到網路裝置之前增加/刪除/更新外部RADIUS伺服器傳送的訪問接受中。
步驟 4.下一部分是配置策略集,以便使用RADIUS伺服器序列而不是允許的協定,以便將請求傳送到外部RADIUS伺服器。可以在Policy > Policy Sets下配置。可以在Policy Set下配置授權策略,但僅當選擇Continue to Authorization Policy on Access-Accept 選項時才生效。否則,ISE僅充當RADIUS請求的代理,以便匹配為此策略集配置的條件。
配置外部RADIUS伺服器
配置外部RADIUS伺服器 步驟 1.在本示例中,另一個ISE伺服器(版本2.2)用作名為ISE_Backend_Server的外部RADIUS伺服器。ISE (ISE_Frontend_Server)必須配置為網路裝置或在外部RADIUS伺服器中傳統地稱為NAS(在本示例中為ISE_Backend_Server),因為轉發到外部RADIUS伺服器的Access-Request中的NAS-IP-Address屬性被IP地址替換ISE_Frontend_Server。要配置的共用金鑰與為ISE_Frontend_Server上的外部RADIUS伺服器配置的金鑰相同。
步驟 2.外部RADIUS伺服器可以配置其自己的身份驗證和授權策略,以便為ISE代理的請求提供服務。在本示例中,配置簡單策略以檢查內部使用者中的使用者,然後如果透過身份驗證則允許訪問。
驗證
驗證步驟 1.如果收到請求,請檢查ISE即時日誌,如圖所示。
步驟 2.檢查是否選擇了正確的策略集,如圖所示。
步驟 3.檢查請求是否被轉發到外部RADIUS伺服器。
4. 如果選擇Continue to Authorization Policy on Access-Accept選項,請檢查是否評估授權策略。
疑難排解
疑難排解案例 1.事件- 5405 RADIUS請求已丟棄
案例 1.事件- 5405 RADIUS請求已丟棄- 必須驗證的最重要內容是詳細驗證報告中的步驟。如果步驟顯示「RADIUS-Client request timeout expired」,則表示ISE沒有從已配置的外部RADIUS伺服器收到任何響應。在下列情況下可能會發生這種情況:
- 外部RADIUS伺服器存在連線問題。ISE無法到達為其配置的埠上的外部RADIUS伺服器。
- ISE未配置為外部RADIUS伺服器上的網路裝置或NAS。
- 外部RADIUS伺服器會因為組態或由於外部RADIUS伺服器上的某些問題而捨棄封包。
檢查資料包捕獲情況以檢視是否不是錯誤消息;即ISE從伺服器接收資料包,但仍報告請求超時。
- 如果步驟為「Start forwarding request to remote RADIUS server」,且立即步驟為「No more external RADIUS servers; cannot perform failover」,則意味著所有已配置的外部RADIUS伺服器當前都標籤為dead,並且請求僅在dead計時器過期後提供。
- 如果步驟「RADIUS-Client impered error during processing flow」後接「Failed to forward request to current remote RADIUS server; an invalid response was received」,則表示ISE在轉發到外部RADIUS伺服器的請求時遇到問題。當從網路裝置/NAS傳送到ISE的RADIUS請求沒有將NAS-IP-Address作為屬性之一時,通常會發生這種情況。如果沒有NAS-IP-Address屬性且外部RADIUS伺服器未使用,ISE將使用資料包的源IP填充NAS-IP-Address欄位。但是,當使用外部RADIUS伺服器時,此情況不適用。
案例 2.事件- 5400身份驗證失敗
案例 2.事件- 5400身份驗證失敗- 在這種情況下,如果步驟顯示「11368請檢視外部RADIUS伺服器上的日誌以確定確切的失敗原因」,則意味著外部RADIUS伺服器上的身份驗證失敗,並且已傳送Access-Reject。
- 如果步驟顯示「15039 Rejected per authorization profile」,則表示ISE從外部RADIUS伺服器接收了Access-Accept,但ISE根據配置的授權策略拒絕授權。
- 如果ISE上的Failure Reason 是除此處所述的身份驗證失敗以外的任何其他原因,則這可能意味著配置或ISE自身存在潛在問題。建議此時打開TAC支援請求。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
12-Aug-2024 |
格式化和標點符號、修訂。 |
1.0 |
23-Apr-2018 |
初始版本 |
意見