يصف هذا المستند كيفية تكوين سياسات التفويض في Cisco Identity Services Engine (ISE) للتمييز بين معرفات مجموعات الخدمات المختلفة (SSIDs). من الشائع جدا أن يكون في المؤسسة عدة SSIDs في شبكتهم اللاسلكية لأغراض مختلفة. أحد أكثر الأغراض شيوعا هو وجود SSID للشركة للموظفين و SSID ضيف للزائرين في المؤسسة.
يفترض هذا الدليل ما يلي:
يتم إعداد وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وهي تعمل لجميع SSIDs المعنية.
تعمل المصادقة على جميع SSIDs المعنية مقابل ISE.
مستندات أخرى في هذه السلسلة
المصادقة المركزية للويب مع محول ومثال تكوين محرك خدمات الهوية
مثال على تكوين مصادقة الويب المركزية على شبكة LAN اللاسلكية (WLC) ومحرك خدمات كشف الهوية (ISE)
VPN Inline Posture (وضعية الشبكة الخاصة الظاهرية (VPN) باستخدام iPEP ISE و ASA)
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
وحدة تحكم الشبكة المحلية (LAN) اللاسلكية الإصدار 7.3.101.0
Identity Services Engine الإصدار 1.1.2.145
تتضمن الإصدارات السابقة أيضا كل من هذه الميزات.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
يستخدم هذا المستند التكوينات التالية:
الطريقة 1: Airespace-WLAN-id
الطريقة 2: Call-Station-ID
يجب إستخدام طريقة تكوين واحدة فقط في كل مرة. وإذا تم تنفيذ كلا التكوينين في نفس الوقت، فإن المبلغ الذي تتم معالجته بواسطة معيار ISE يزيد ويؤثر على إمكانية قراءة القاعدة. يراجع هذا وثيقة المزايا والعيوب من كل تشكيل طريقة.
الطريقة 1: Airespace-WLAN-id
تحتوي كل شبكة محلية لاسلكية (WLAN) تم إنشاؤها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على معرف شبكة محلية لاسلكية (WLAN). يتم عرض معرف WLAN في صفحة ملخص WLAN.
عندما يتصل عميل ب SSID، يحتوي طلب RADIUS إلى ISE على سمة Airespace-WLAN-ID. يتم إستخدام هذه السمة البسيطة لاتخاذ قرارات النهج في ISE. يتمثل أحد عيوب هذه السمة في حالة عدم تطابق معرف الشبكة المحلية اللاسلكية (WLAN) مع توزيع SSID عبر وحدات تحكم متعددة. إذا كان هذا يصف عملية النشر الخاصة بك، فاتابع إلى الأسلوب 2.
في هذه الحالة، استعملت Airespace-wlan-id كشرط. يمكن إستخدامه كشرط بسيط (بحد ذاته) أو في حالة مركبة (بالاشتراك مع سمة أخرى) لتحقيق النتيجة المطلوبة. يغطي هذا المستند كلا من حالات الاستخدام. يمكن إنشاء هاتين القاعدتين مع وجود نوعي SSIDs أعلاه.
أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.
ب) يجب أن يكون المستخدمون المشتركون ضمن مجموعة "مستخدمي المجال" في خدمة Active Directory (AD) ويجب عليهم تسجيل الدخول إلى SSID الخاصة بالشركة.
القاعدة ألف
القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):
في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط البسيطة وقم بإنشاء شرط جديد.
في حقل الاسم، أدخل اسم الشرط
دخلت في الوصف مجال، وصف (إختياري).
من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، أختر 2.
انقر فوق حفظ.
القاعدة باء
القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):
في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
أختر إنشاء شرط جديد (خيار متقدم).
من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، أختر 1.
انقر على العتاد إلى اليمين واختر إضافة سمة/قيمة.
من القائمة المنسدلة سمة، أختر AD1 > مجموعات خارجية.
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
انقر فوق حفظ.
ملاحظة: في هذا المستند، نستخدم توصيفات تخويل بسيطة مكونة في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.
الآن بعد أن أصبحت لدينا الشروط، يمكننا تطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. حدد مكان إدراج القاعدة في القائمة أو تحرير القاعدة الموجودة.
قاعدة الضيف
انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط بسيط > GuestSSID.
تحت الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
طقطقة تم.
قاعدة الشركة
انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
بموجب أذون، أختر ملف تعريف التخويل المناسب لمستخدميك في الشركة.
طقطقة تم.
ملاحظة: لن يتم تطبيق أي تغييرات يتم إجراؤها على هذه الشاشة على عملية النشر الخاصة بك حتى تنقر فوق "حفظ" في أسفل قائمة النهج.
الطريقة 2: Call-Station-ID
يمكن تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإرسال اسم SSID في سمة RADIUS Call-Station-ID، والتي يمكن إستخدامها بدورها كشرط في ISE. ميزة هذه السمة هي أنه يمكن إستخدامها بغض النظر عما تم تعيين معرف WLAN عليه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإرسال SSID في سمة Call-Station-ID بشكل افتراضي. لتمكين هذه الميزة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى الأمان > AAA > RADIUS > المصادقة واضبط نوع معرف محطة الاتصال على عنوان AP MAC:SSID. يعمل هذا على تعيين تنسيق معرف المحطة المستدعى إلى <Mac لنقطة الوصول التي يتصل بها المستخدم>:<اسم SSID>.
يمكنك مشاهدة اسم SSID الذي سيتم إرساله من صفحة ملخص WLAN.
ونظرا لأن سمة Call-Station-ID تحتوي أيضا على عنوان MAC لنقطة الوصول، يتم إستخدام تعبير عادي (REGEX) لمطابقة اسم SSID في نهج ISE. يمكن للعامل 'Match' في تكوين الشرط قراءة REGEX من حقل القيمة.
أمثلة Regex
'يبدأ ب'- على سبيل المثال، أستخدم قيمة regex الخاصة ب ^ (ACME).*- يتم تكوين هذا الشرط ك CERTIFICATE:تطابق المؤسسة 'ACME' (أي تطابق مع شرط يبدأ ب "ACME").
'end ب'—على سبيل المثال، إستخدام قيمة REGEX من .*(mktg)$— يتم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'mktg' (أي تطابق مع شرط ينتهي ب "mktg").
'contains'—على سبيل المثال، أستخدم قيمة regex الخاصة ب .*(1234).*— تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق '1234' (أي تطابق مع شرط يحتوي على "1234"، مثل Eng1234 و 1234Dev و Corp1234MKTG).
'لا يبدأ ب'- على سبيل المثال، إستخدام قيمة REGEX الخاصة ب ^(؟!LDAP).*— تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'LDAP' (أي تطابق مع شرط لا يبدأ ب "LDAP"، مثل USldap أو CorpLDAPmktg).
ينتهي Call-Station-ID باسم SSID، لذلك فإن regex المطلوب إستخدامه في هذا المثال هو .*(:<SSID Name>)$. تذكر هذا دائما عند الانتقال من خلال التكوين.
مع وجود نوعي SSID أعلاه، يمكنك إنشاء قاعدتين مع هذه المتطلبات:
أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.
(ب) يجب أن يكون المستخدمون من الشركات في المجموعة AD "مستخدمو المجال" ويجب أن يسجلوا الدخول إلى SSID للشركة.
القاعدة ألف
القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):
في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط البسيطة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
من القائمة المنسدلة "سمات"، أختر RADIUS -> Call-Station-ID—[30].
من القائمة المنسدلة المشغل، أختر تطابقات.
من القائمة المنسدلة القيمة، أختر .*(:Guest)$. هذا حساس لحالة الأحرف.
انقر فوق حفظ.
القاعدة باء
القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):
في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
أختر إنشاء شرط جديد (خيار متقدم).
من القائمة المنسدلة "سمات"، أختر RADIUS -> Call-Station-ID—[30].
من القائمة المنسدلة المشغل، أختر تطابقات.
من القائمة المنسدلة القيمة، أختر .*(:الشركة)$. هذا حساس لحالة الأحرف.
انقر على العتاد إلى اليمين واختر إضافة سمة/قيمة.
من القائمة المنسدلة سمة، أختر AD1 > مجموعات خارجية.
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
انقر فوق حفظ.
ملاحظة: في هذا المستند كله، نستخدم توصيفات تفويض بسيطة تم تكوينها في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.
الآن بعد تكوين الشروط، قم بتطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. قم بإدراج القاعدة في القائمة في الموقع المناسب أو تحرير قاعدة موجودة.
قاعدة الضيف
انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط بسيط > GuestSSID
تحت الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
طقطقة تم.
قاعدة الشركة
انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
بموجب أذون، أختر ملف تعريف التخويل المناسب لمستخدميك في الشركة.
طقطقة تم.
انقر فوق حفظ في أسفل قائمة النهج.
ملاحظة: لن يتم تطبيق أي تغييرات يتم إجراؤها على هذه الشاشة على عملية النشر الخاصة بك حتى تنقر فوق "حفظ" في أسفل قائمة النهج.
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
لمعرفة ما إذا تم إنشاء النهج بشكل صحيح والتأكد من أن ISE يتلقى السمات الصحيحة، راجع تقرير المصادقة التفصيلي لمصادقة تم تمريرها أو فشلت للمستخدم. أختر عمليات > مصادقة ثم انقر على رمز التفاصيل لمصادقة ما.
تحقق أولا من ملخص المصادقة. وهذا يوضح أساسيات المصادقة التي تتضمن ما تم توفيره من ملف تعريف التخويل للمستخدم.
إذا كان النهج غير صحيح، فستظهر تفاصيل المصادقة معرف Airespace-WLAN ومعرف المتصل-Station الذي تم إرساله من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). عدل القواعد وفقا لذلك. تؤكد "قاعدة نهج التخويل المطابقة" ما إذا كانت المصادقة مطابقة للقاعدة المقصودة أم لا.
عادة ما تكون هذه القواعد سيئة التكوين. للكشف عن مشكلة التكوين، قم بمطابقة القاعدة مقابل ما يظهر في تفاصيل المصادقة. إذا لم ترى السمات في حقل سمات أخرى، تأكد من تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بشكل صحيح.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
19-Dec-2012 |
الإصدار الأولي |