تكوين مجال مصادقة TACACS+ على مدير UCS باستخدام خادم ISE

خيارات التنزيل

  • PDF     (1.5 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.3 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ يوليو ٢٠٢٣
معرّف المستند:220571

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين مصادقة نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية الإضافية (TACACS+) على مدير نظام الحوسبة الموحدة (UCSM). TACACS+ هو بروتوكول شبكة يتم إستخدامه لخدمات المصادقة والتفويض والمساءلة (AAA) ، وهو يوفر طريقة مركزية لإدارة أجهزة الوصول إلى الشبكة (NAD) حيث يمكنك إدارة القواعد وإنشائها من خلال خادم، وفي سيناريو حالة الاستخدام هذا، نستخدم محرك خدمات الهوية (ISE). 

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • برنامج Cisco UCS Manager (UCSM)
    • نظام مراقبة الدخول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS+)
    • محرك خدمات كشف الهوية (ISE)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • UCSM 4.2(3d)
    • Cisco Identity Services Engine (ISE)، الإصدار 3.2

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    تكوين TACACS+ على ISE

    إعداد TACACS+ على ISE

    الخطوة 1. تتمثل المهمة الأولى في مراجعة ما إذا كان ISE يتمتع بالإمكانات الصحيحة لمعالجة مصادقة TACACS+ لمثل هذا ما تحتاج إليه للتحقق مما إذا كانت داخل عقدة خدمة السياسة (PSN) المطلوبة لديك ميزة خدمة إدارة الأجهزة، ثم الاستعراض من خلال القائمة إدارة > النظام > النشر، وحدد العقدة التي يقوم ISE فيها بتنفيذ TACACS+، ثم حدد تحرير الزر.

    Screenshot 2023-06-25 at 1.18.00

    الخطوة 2. قم بالتمرير لأسفل حتى ترى الميزة المقابلة التي تسمى خدمة إدارة الأجهزة (لاحظ أنه من أجل تمكين هذه الميزة تحتاج أولا إلى تمكين Policy Server Persona على العقدة بالإضافة إلى توفر تراخيص ل TACACS+ في النشر)، وحدد خانة الاختيار هذه، ثم احفظ التكوين:

    Screenshot 2023-06-24 at 18.18.45

    الخطوة 3. قم بتكوين جهاز الوصول إلى الشبكة (NAD) الذي يستخدم ISE كخادم TACACS+، وتصفح إلى القائمة إدارة > موارد الشبكة > أجهزة الشبكة ثم حدد الزر +إضافة.

    Screenshot 2023-06-24 at 18.21.02

    الخطوة 4. في هذا القسم قم بتكوين :

    • اسم ل UCSM ليكون عميل TACACS+.
    • عناوين IP التي يستخدمها UCSM لإرسال طلب ISE.
    • TACACS+ Shared Secret، هذه هي كلمة المرور التي سيتم إستخدامها لتشفير الحزم بين UCSM و ISE 

    Screenshot 2023-06-24 at 18.24.01

    note-icon

    ملاحظة: لتكوين نظام مجموعة، أضف عناوين IP لمنفذ الإدارة لكل من منافذ الربط البيني الليفية. يضمن هذا التكوين إمكانية إستمرار المستخدمين البعيدين في تسجيل الدخول في حالة فشل الاتصال البيني النسيجي الأول وفشل النظام في الاتصال البيني النسيجي الثاني. يتم الحصول على جميع طلبات تسجيل الدخول من عناوين IP هذه، وليس عنوان IP الظاهري الذي يستخدمه مدير Cisco UCS.

    تكوين السمات والقواعد على ISE

    الخطوة 1. أنشئ ملف تعريف TACACS+، وانتقل إلى القائمة مراكز العمل > إدارة الأجهزة > عناصر السياسة > النتائج > ملفات تعريف TACACS، ثم حدد إضافة

    Screenshot 2023-06-25 at 7.32.46

    الخطوة 2. في هذا القسم قم بتكوين ملف التعريف باسم وفي قسم السمات المخصصة، حدد Add ، ثم قم بإنشاء سمة واحدة من الخصائص الإلزامية ، وقم بتسميتها كزوج Cisco-av وفي القيمة حدد أحد الأدوار المتاحة داخل UCSM وقم بالإدخال الذي كدور طبقة، في هذا المثال هو إستخدام Role Admin ويجب أن يكون الإدخال المحدد هو shell roles:admin كما هو موضح هنا، 

    Screenshot 2023-06-25 at 7.54.49

    في نفس القائمة إذا قمت بتحديد طريقة العرض الأولية لملف تعريف TACACS، يمكنك التحقق من التكوين المطابق للسمة التي سيتم إرسالها من خلال ISE. 

    Screenshot 2023-07-03 at 18.34.21

    note-icon

    ملاحظة: اسم زوج Cisco-AV هو السلسلة التي توفر معرف السمة لمزود TACACS+.

    الخطوة 3. حدد على الخطوة واحفظ التكوين الخاص بك.

    الخطوة 4. قم بإنشاء مجموعة نهج إدارة الأجهزة ليتم إستخدامها ل UCSM، انتقل إلى مراكز العمل في القائمة > إدارة الأجهزة > مجموعات نهج إدارة الأجهزة، ثم من مجموعة نهج موجودة حدد أيقونة المعدات ثم حدد إدراج صف جديد

    Screenshot 2023-06-25 at 7.56.51

    الخطوة 5. قم بتسمية مجموعة النهج الجديدة هذه، وإضافة شروط وفقا لخصائص مصادقة TACACS+ الجارية من خادم UCSM، وحدد كبروتوكولات مسموح بها > مسؤول الجهاز الافتراضي، احفظ التكوين الخاص بك.

    Screenshot 2023-06-25 at 7.58.09

    الخطوة 6. حدد في >خيار العرض وحدد في قسم نهج المصادقة، مصدر الهوية الخارجي الذي يستعلم ISE منه عن اسم المستخدم وبيانات الاعتماد التي تم إدخالها في UCSM، في هذا المثال تتطابق بيانات الاعتماد مع المستخدمين الداخليين الذين تم تخزينهم داخل ISE.

    Screenshot 2023-06-25 at 8.03.49

    الخطوة 7. قم بالتمرير لأسفل حتى القسم المسمى نهج التفويض حتى النهج الافتراضي، وحدد أيقونة العتاد، ثم قم بإدراج قاعدة واحدة.

    الخطوة 8. قم بتسمية قاعدة التخويل الجديدة، وإضافة شروط تتعلق بالمستخدم الذي تمت مصادقته بالفعل كعضوية في المجموعة، وفي قسم ملفات تعريف Shell أضف ملف تعريف TACACS الذي قمت بتكوينه مسبقا، احفظ التكوين.

    Screenshot 2023-06-25 at 8.05.27

    تكوين TACACS+ على UCSM

    سجل Cisco UCS ManagerinGUI باستخدام مستخدم له امتيازات المسؤول.

    إنشاء أدوار للمستخدمين

    الخطوة 1. في جزء التنقل، حدد علامة التبويب Admin.
    الخطوة 2. في علامة التبويب إدارة، قم بتوسيع الكل > إدارة المستخدم >خدمات المستخدم > الأدوار.

    الخطوة 3. فيWorkالجزء، حددGeneralعلامة التبويب.

    الخطوة 4. حدد إضافة للأدوار المخصصة. تستخدم هذه العينة الأدوار الافتراضية.

    الخطوة 5. تحقق من مطابقة دور الاسم بالاسم الذي تم تكوينه مسبقا على ملف تعريف TACACS.

    Screenshot 2023-06-24 at 22.52.38

    إنشاء موفر TACACS+

    الخطوة 1. في جزء التنقل، حدد علامة التبويب Admin.
    الخطوة 2. في علامة التبويب Admin، قم بتوسيع الكل > إدارة المستخدم > TACACS+.

    الخطوة 3. فيWorkالجزء، حددGeneral علامة التبويب.

    الخطوة 4. فيActionsالمنطقة، حددCreate TACACS+ Provider.

    Screenshot 2023-06-24 at 18.48.32

    الخطوة 5. فيCreate TACACS+ Providerالمعالج، أدخل المعلومات المناسبة.

    • في حقل اسم المضيف، اكتب عنوان IP أو اسم المضيف لخادم TACACS+.
    • في حقل الأمر، الترتيب الذي يستخدم UCS من Cisco هذا الموفر لمصادقة المستخدمين.

      أدخل عددا صحيحا بين 1 و 16، أو أدخل أقل عدد متاح أو 0 (صفر) إذا كنت تريد من Cisco UCS تعيين الأمر المتوفر التالي استنادا إلى الموفرين الآخرين المحددين في مثيل Cisco UCS هذا.

    • في حقل المفتاح، مفتاح تشفير SSL لقاعدة البيانات.

    • في حقل تأكيد المفتاح، يتكرر مفتاح تشفير SSL لأغراض التأكيد.
    • في حقل المنفذ، المنفذ الذي يتصل من خلاله Cisco UCS مع قاعدة بيانات TACACS+(المنفذ 49 الافتراضي).

    • في حقل المهلة ، يستغرق النظام الوقت بالثواني التي يحاول خلالها الاتصال بقاعدة بيانات TACACS+ قبل انتهاء المهلة.

    Screenshot 2023-06-24 at 18.52.24

    الخطوة 6. حدد موافق.

    note-icon

    ملاحظة: إذا كنت تستخدم اسم المضيف بدلا من عنوان IP، فيجب عليك تكوين خادم DNS في مدير Cisco UCS.

    إنشاء مجموعة موفري TACAC+

    الخطوة 1. فيNavigationالجزء، حدد Admin علامة التبويب.

    الخطوة 2. علىAdminعلامة التبويب، توسيع All > User Management > TACACS+.

    الخطوة 3. فيWorkالجزء، حدد General علامة التبويب.

    الخطوة 4. فيActionsالمنطقة، Create TACACS+ ProviderSelectGroup.

    Screenshot 2023-06-24 at 20.54.35

    الخطوة 5. في مربع الحوار إنشاء مجموعة موفري TACACS+، أدخل المعلومات المطلوبة.

    • أدخل في حقل الاسم اسما فريدا للمجموعة.
    • في جدول موفري TACACS+، أختر الموفرين لتضمينهم في المجموعة.
    • حدد الزر > لإضافة المزودين إلى جدول المزودين المضمنين.

    Screenshot 2023-06-24 at 18.53.58

    الخطوة 6. حدد موافق.

    إنشاء مجال مصادقة

    الخطوة 1. في Navigation الجزء، حدد Admin علامة التبويب.

     Admin الخطوة 2. على علامة التبويب، قم بالتوسيع All > User Management > Authentication

    الخطوة 3. فيWorkالجزء، حدد General علامة التبويب.

    الخطوة 4. فيActionsالمنطقة، حددCreate a Domain.

    Screenshot 2023-06-24 at 21.30.22

    الخطوة 5. في مربع الحوار إنشاء مجال، أدخل المعلومات المطلوبة.

    • أدخل في حقل الاسم اسما فريدا للمجال.
    • في المجال، حدد خيار TACACS.
    • من القائمة المنسدلة مجموعة الموردين، حدد مجموعة موفري TACACS+ التي تم إنشاؤها مسبقا وحدد موافق

    Screenshot 2023-06-24 at 18.54.43

    استكشاف الأخطاء وإصلاحها

    الإصدارات المشتركة ل TACACS+ على UCSM

    • مفتاح غير صحيح أو أحرف غير صحيحة.
    • منفذ خاطئ.
    • لا يوجد اتصال مع موفرنا بسبب قاعدة جدار الحماية أو الوكيل.
    • FSM ليس 100٪.

    التحقق من تكوين UCSM TACACS+:

    أنت ينبغي ضمنت أن ال UCSM طبقت التشكيل تدقيق الحالة من Finite State Machine (FSM) يظهر بما أن 100٪ كامل.

    التحقق من التكوين من سطر أوامر UCSM

    UCS-A# scope security 
    UCS-A /security # scope tacacs 
    UCS-A /security/tacacs # show configuration

    Screenshot 2023-06-25 at 21.25.11

    UCS-A /security/tacacs # show fsm status

    Screenshot 2023-06-25 at 21.25.46

    تحقق من تكوين TACACS من NXOS:

    UCS-A# connect nxos 
    UCS-A(nx-os)# show tacacs-server 
    UCS-A(nx-os)# show tacacs-server groups

    Screenshot 2023-06-25 at 21.37.49

    لاختبار المصادقة من NX-OS، أستخدم الأمرtest aaa(متوفر فقط من NXOS).

    التحقق من صحة تكوين الخادم:

    UCS-A(nx-os)# test aaa server tacacs+  <TACACS+-server-IP-address or FQDN> <username> <password>

    Screenshot 2023-06-25 at 23.08.01

    مراجعة UCSM

    التحقق من إمكانية الوصول

    UCS-A# connect local-mgmt
    UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>

    Screenshot 2023-06-25 at 21.59.38

    التحقق من المنفذ

    UCS-A# connect local-mgmt
    UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>

    Screenshot 2023-06-25 at 21.58.27

    الطريقة الأكثر فعالية لمشاهدة الأخطاء هي تمكين تصحيح أخطاء NXOS، باستخدام هذا الإخراج يمكنك رؤية المجموعات والاتصال ورسالة الخطأ التي تتسبب في حدوث خطأ في الاتصال.

    •  افتح جلسة SSH إلى UCSM وسجل الدخول باستخدام أي مستخدم ذو امتياز بأذونات المسؤول (ويفضل مستخدم محلي)، وقم بالتغيير إلى سياق NX-OS CLI وابدأ المدرب الطرفي.
    UCS-A# connect nxos
    UCS-A(nx-os)# terminal monitor
    • قم بتمكين علامات تصحيح الأخطاء والتحقق من إخراج جلسة SSH إلى ملف السجل.
    UCS-A(nx-os)# debug aaa all
    UCS-A(nx-os)# debug aaa aaa-request
    UCS-A(nx-os)# debug tacacs+ aaa-request
    UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
    UCS-A(nx-os)# debug tacacs+ all

    Screenshot 2023-06-25 at 22.45.22

    •  افتح الآن جلسة GUI أو CLI جديدة وحاول تسجيل الدخول كمستخدم بعيد (TACACS+).
    •  بمجرد إستلام رسالة فشل تسجيل الدخول، قم بإيقاف تشغيل تصحيح الأخطاء التي تغلق الجلسة أو باستخدام هذا الأمر.
    UCS-A(nx-os)# undebug all

    المشكلات الشائعة المتعلقة بالتحكم في الوصول إلى النقل (TACACs) على معيار ISE

    • ضمن ISE يتم عرض هذا السلوك أثناء محاولة تكوين ملف تعريف tacacs في السمات المطلوبة ل UCSM لتخصيص الأدوار المقابلة للمسؤول أو أي دور آخر، حدد على زر الحفظ ويرى هذا السلوك : 

    Screenshot 2023-06-24 at 19.19.27

    يرجع سبب هذا الخطأ إلى الخطأ التالي https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917، يرجى التأكد من وجود المكان الذي تم فيه معالجة هذا العيب. 

    مراجعة ISE 

    الخطوة 1. راجع إذا كانت خدمة TACACS+ قيد التشغيل، ويمكن إيداع ما يلي:

    • GUI: راجع إذا كان لديك العقدة المدرجة مع مسؤول جهاز الخدمة في الإدارة > النظام > النشر.
    • CLI: قم بتشغيل الأمر show ports | يتضمن 49 لتأكيد وجود إتصالات في منفذ TCP تنتمي إلى TACACS+
    ise32/admin#show ports | include 49
    tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49

    الخطوة 2. تأكد ما إذا كانت هناك عمليات ربط مباشرة تتعلق بعمليات مصادقة TACACS+ : يمكن إيداع ذلك في القائمة عمليات > TACACS > سجلات حية ، 

    على حسب سبب الفشل يمكنك ضبط التكوين أو معالجة سبب الفشل. 

    Screenshot 2023-06-24 at 18.30.37

    الخطوة 3. في حالة عدم رؤية أي عملية نقل، انتقل إلى عملية التقاط حزمة إلى القائمة عمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > أدوات عامة > تفريغ TCP ، حدد على إضافة

    Screenshot 2023-06-25 at 9.25.54

    حدد عقدة خدمة السياسة من حيث يقوم UCSM بإرسال المصادقة ثم في عوامل التصفية لمتابعة إدخال مضيف IP X.X.X.X الذي يماثل عنوان IP الخاص ب UCSM من حيث يتم إرسال المصادقة، قم بتسمية الالتقاط والتمرير لأسفل للحفظ، قم بتشغيل الالتقاط وسجل الدخول من UCSM . 

    Screenshot 2023-06-25 at 9.36.51

    الخطوة 4. قم بتمكين مكون وقت تشغيل المصادقة والتفويض والمحاسبة (AAA) في تصحيح الأخطاء ضمن PSN من حيث يتم إجراء المصادقة في العمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل تصحيح الأخطاء، حدد عقدة PSN، حدد بعد ذلك في زر التحرير . 

    Screenshot 2023-06-25 at 9.50.10

    ابحث عن مكون وقت تشغيل المصادقة والتفويض والمحاسبة (AAA) وقم بتغيير مستواه لتصحيح الأخطاء ثم إعادة إنشاء المشكلة مرة أخرى، ثم تابع تحليل السجلات .  

    Screenshot 2023-06-25 at 9.53.12

    note-icon

    ملاحظة: لمزيد من المعلومات، يرجى الرجوع إلى الفيديو في قناة Cisco YouTube كيفية تمكين الأجهزة على إصدارات ISE 3.x https://www.youtube.com/watch?v=E3USz8B76c8 .

    معلومات ذات صلة

    دليل إدارة مدير Cisco UCS

    دليل تكوين TACACS+ ل Cisco UCS CIMC

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    12-Jul-2023
    الإصدار الأولي
    1.0
    12-Jul-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Rodrigo Diaz Cruz
      Security Technical Consulting Engineer
    • Diego Omar Gomez
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا