سياسات ISE القائمة على أمثلة تكوين SSID

خيارات التنزيل

PDF (499.3 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (378.5 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (455.1 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٢ يوليو ٢٠١٤

معرّف المستند:115734

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الاصطلاحات

التكوين

التكوينات

التحقق من الصحة

استكشاف الأخطاء وإصلاحها

معلومات ذات صلة

المقدمة

يصف هذا المستند كيفية تكوين سياسات التفويض في Cisco Identity Services Engine (ISE) للتمييز بين معرفات مجموعات الخدمات المختلفة (SSIDs). من الشائع جدا أن يكون في المؤسسة عدة SSIDs في شبكتهم اللاسلكية لأغراض مختلفة. أحد أكثر الأغراض شيوعا هو وجود SSID للشركة للموظفين و SSID ضيف للزائرين في المؤسسة.

يفترض هذا الدليل ما يلي:

يتم إعداد وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وهي تعمل لجميع SSIDs المعنية.
تعمل المصادقة على جميع SSIDs المعنية مقابل ISE.

مستندات أخرى في هذه السلسلة

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

وحدة تحكم الشبكة المحلية (LAN) اللاسلكية الإصدار 7.3.101.0
Identity Services Engine الإصدار 1.1.2.145

تتضمن الإصدارات السابقة أيضا كل من هذه الميزات.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

التكوينات

يستخدم هذا المستند التكوينات التالية:

الطريقة 1: Airespace-WLAN-id
الطريقة 2: Call-Station-ID

يجب إستخدام طريقة تكوين واحدة فقط في كل مرة. وإذا تم تنفيذ كلا التكوينين في نفس الوقت، فإن المبلغ الذي تتم معالجته بواسطة معيار ISE يزيد ويؤثر على إمكانية قراءة القاعدة. يراجع هذا وثيقة المزايا والعيوب من كل تشكيل طريقة.

الطريقة 1: Airespace-WLAN-id

تحتوي كل شبكة محلية لاسلكية (WLAN) تم إنشاؤها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على معرف شبكة محلية لاسلكية (WLAN). يتم عرض معرف WLAN في صفحة ملخص WLAN.

عندما يتصل عميل ب SSID، يحتوي طلب RADIUS إلى ISE على سمة Airespace-WLAN-ID. يتم إستخدام هذه السمة البسيطة لاتخاذ قرارات النهج في ISE. يتمثل أحد عيوب هذه السمة في حالة عدم تطابق معرف الشبكة المحلية اللاسلكية (WLAN) مع توزيع SSID عبر وحدات تحكم متعددة. إذا كان هذا يصف عملية النشر الخاصة بك، فاتابع إلى الأسلوب 2.

في هذه الحالة، استعملت Airespace-wlan-id كشرط. يمكن إستخدامه كشرط بسيط (بحد ذاته) أو في حالة مركبة (بالاشتراك مع سمة أخرى) لتحقيق النتيجة المطلوبة. يغطي هذا المستند كلا من حالات الاستخدام. يمكن إنشاء هاتين القاعدتين مع وجود نوعي SSIDs أعلاه.

أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.

ب) يجب أن يكون المستخدمون المشتركون ضمن مجموعة "مستخدمي المجال" في خدمة Active Directory (AD) ويجب عليهم تسجيل الدخول إلى SSID الخاصة بالشركة.

القاعدة ألف

القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):

في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط البسيطة وقم بإنشاء شرط جديد.
في حقل الاسم، أدخل اسم الشرط
دخلت في الوصف مجال، وصف (إختياري).
من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، أختر 2.
انقر فوق حفظ.

القاعدة باء

القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):

في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
أختر إنشاء شرط جديد (خيار متقدم).
من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، أختر 1.
انقر على العتاد إلى اليمين واختر إضافة سمة/قيمة.
من القائمة المنسدلة سمة، أختر AD1 > مجموعات خارجية.
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
انقر فوق حفظ.

ملاحظة: في هذا المستند، نستخدم توصيفات تخويل بسيطة مكونة في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.

الآن بعد أن أصبحت لدينا الشروط، يمكننا تطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. حدد مكان إدراج القاعدة في القائمة أو تحرير القاعدة الموجودة.

قاعدة الضيف

انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط بسيط > GuestSSID.
تحت الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
طقطقة تم.

قاعدة الشركة

انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
بموجب أذون، أختر ملف تعريف التخويل المناسب لمستخدميك في الشركة.
طقطقة تم.

ملاحظة: لن يتم تطبيق أي تغييرات يتم إجراؤها على هذه الشاشة على عملية النشر الخاصة بك حتى تنقر فوق "حفظ" في أسفل قائمة النهج.

الطريقة 2: Call-Station-ID

يمكن تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإرسال اسم SSID في سمة RADIUS Call-Station-ID، والتي يمكن إستخدامها بدورها كشرط في ISE. ميزة هذه السمة هي أنه يمكن إستخدامها بغض النظر عما تم تعيين معرف WLAN عليه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإرسال SSID في سمة Call-Station-ID بشكل افتراضي. لتمكين هذه الميزة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى الأمان > AAA > RADIUS > المصادقة واضبط نوع معرف محطة الاتصال على عنوان AP MAC:SSID. يعمل هذا على تعيين تنسيق معرف المحطة المستدعى إلى <Mac لنقطة الوصول التي يتصل بها المستخدم>:<اسم SSID>.

يمكنك مشاهدة اسم SSID الذي سيتم إرساله من صفحة ملخص WLAN.

ونظرا لأن سمة Call-Station-ID تحتوي أيضا على عنوان MAC لنقطة الوصول، يتم إستخدام تعبير عادي (REGEX) لمطابقة اسم SSID في نهج ISE. يمكن للعامل 'Match' في تكوين الشرط قراءة REGEX من حقل القيمة.

أمثلة Regex

'يبدأ ب'- على سبيل المثال، أستخدم قيمة regex الخاصة ب ^ (ACME).*- يتم تكوين هذا الشرط ك CERTIFICATE:تطابق المؤسسة 'ACME' (أي تطابق مع شرط يبدأ ب "ACME").

'end ب'—على سبيل المثال، إستخدام قيمة REGEX من .*(mktg)$— يتم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'mktg' (أي تطابق مع شرط ينتهي ب "mktg").

'contains'—على سبيل المثال، أستخدم قيمة regex الخاصة ب .*(1234).*— تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق '1234' (أي تطابق مع شرط يحتوي على "1234"، مثل Eng1234 و 1234Dev و Corp1234MKTG).

'لا يبدأ ب'- على سبيل المثال، إستخدام قيمة REGEX الخاصة ب ^(؟!LDAP).*— تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'LDAP' (أي تطابق مع شرط لا يبدأ ب "LDAP"، مثل USldap أو CorpLDAPmktg).

ينتهي Call-Station-ID باسم SSID، لذلك فإن regex المطلوب إستخدامه في هذا المثال هو .*(:<SSID Name>)$. تذكر هذا دائما عند الانتقال من خلال التكوين.

مع وجود نوعي SSID أعلاه، يمكنك إنشاء قاعدتين مع هذه المتطلبات:

أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.

(ب) يجب أن يكون المستخدمون من الشركات في المجموعة AD "مستخدمو المجال" ويجب أن يسجلوا الدخول إلى SSID للشركة.

القاعدة ألف

القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):

في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط البسيطة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
من القائمة المنسدلة "سمات"، أختر RADIUS -> Call-Station-ID—[30].
من القائمة المنسدلة المشغل، أختر تطابقات.
من القائمة المنسدلة القيمة، أختر .*(:Guest)$. هذا حساس لحالة الأحرف.
انقر فوق حفظ.

القاعدة باء

القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):

في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
دخلت في الإسم مجال، شرط إسم.
دخلت في الوصف مجال، وصف (إختياري).
أختر إنشاء شرط جديد (خيار متقدم).
من القائمة المنسدلة "سمات"، أختر RADIUS -> Call-Station-ID—[30].
من القائمة المنسدلة المشغل، أختر تطابقات.
من القائمة المنسدلة القيمة، أختر .*(:الشركة)$. هذا حساس لحالة الأحرف.
انقر على العتاد إلى اليمين واختر إضافة سمة/قيمة.
من القائمة المنسدلة سمة، أختر AD1 > مجموعات خارجية.
من القائمة المنسدلة المشغل، أختر يساوي.
من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
انقر فوق حفظ.

ملاحظة: في هذا المستند كله، نستخدم توصيفات تفويض بسيطة تم تكوينها في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.

الآن بعد تكوين الشروط، قم بتطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. قم بإدراج القاعدة في القائمة في الموقع المناسب أو تحرير قاعدة موجودة.

قاعدة الضيف

انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط بسيط > GuestSSID
تحت الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
طقطقة تم.

قاعدة الشركة

انقر فوق السهم لأسفل على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معين إلى أي.
تحت الشروط، انقر فوق علامة الجمع وانقر فوق تحديد شرط موجود من المكتبة.
تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
بموجب أذون، أختر ملف تعريف التخويل المناسب لمستخدميك في الشركة.
طقطقة تم.
انقر فوق حفظ في أسفل قائمة النهج.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

لمعرفة ما إذا تم إنشاء النهج بشكل صحيح والتأكد من أن ISE يتلقى السمات الصحيحة، راجع تقرير المصادقة التفصيلي لمصادقة تم تمريرها أو فشلت للمستخدم. أختر عمليات > مصادقة ثم انقر على رمز التفاصيل لمصادقة ما.

تحقق أولا من ملخص المصادقة. وهذا يوضح أساسيات المصادقة التي تتضمن ما تم توفيره من ملف تعريف التخويل للمستخدم.

إذا كان النهج غير صحيح، فستظهر تفاصيل المصادقة معرف Airespace-WLAN ومعرف المتصل-Station الذي تم إرساله من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). عدل القواعد وفقا لذلك. تؤكد "قاعدة نهج التخويل المطابقة" ما إذا كانت المصادقة مطابقة للقاعدة المقصودة أم لا.

عادة ما تكون هذه القواعد سيئة التكوين. للكشف عن مشكلة التكوين، قم بمطابقة القاعدة مقابل ما يظهر في تفاصيل المصادقة. إذا لم ترى السمات في حقل سمات أخرى، تأكد من تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بشكل صحيح.

معلومات ذات صلة

الدعم التقني والمستندات - Cisco Systems

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	19-Dec-2012	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

Jesse Dubois
Cisco TAC Engineer.