تكوين خوادم RADIUS الخارجية على ISE

خيارات التنزيل

  • PDF     (2.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ أغسطس ٢٠٢٤
معرّف المستند:213239

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين خادمين RADIUS متوافقين مع RFC على ISE كوكيل تفويض.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة أساسية ببروتوكول RADIUS
    • الخبرة في تكوين سياسة محرك خدمات الهوية (ISE)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى الإصدارات 2.2 و 2.4 من Cisco ISE.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الرسم التخطيطي للشبكة

    Network Diagram

    تكوين ISE (خادم الواجهة الأمامية)

    الخطوة 1. يمكن تكوين خوادم RADIUS الخارجية المتعددة واستخدامها لمصادقة المستخدمين على ISE. لتكوين خوادم RADIUS الخارجية، انتقل إلىAdministration > Network Resources > External RADIUS Servers > Add، كما هو موضح في الصورة:

    Configure Multiple External RADIUS Servers for User Authentication on ISE

    Configure Multiple External RADIUS Servers for User Authentication on ISE

    الخطوة 2. لاستخدام خادم RADIUS الخارجي الذي تم تكوينه، يجب تكوين تسلسل خادم RADIUS مماثل لتسلسل مصدر الهوية. لتكوين نفس الشيء، انتقل إلىAdministration > Network Resources > RADIUS Server Sequences > Add، كما هو موضح في الصورة:


    Configure RADIUS Server Sequences for External RADIUS Servers on ISE

    Configure RADIUS Server Sequences for External RADIUS Servers on ISE

    ملاحظة: أحد الخيارات المتوفرة أثناء إنشاء تسلسل الخادم هو إختيار ما إذا كان يجب إجراء عملية المحاسبة محليا على ISE أو على خادم RADIUS الخارجي. واستنادا إلى الخيار المختار هنا، يقرر ISE ما إذا كان سيتم تفويض طلبات المحاسبة أو تخزين هذه السجلات محليا.

    الخطوة 3. هناك قسم إضافي يوفر المزيد من المرونة حول كيفية تصرف ISE عندما يطلب وكيل تقنية المعلومات خوادم RADIUS الخارجية. يمكن العثور عليها تحتAdvance Attribute Settings، كما هو موضح في الصورة:

    Configure Advanced Attribute Settings for Proxying Requests to External RADIUS Servers on ISE

      • الإعدادات المتقدمة: يوفر خيارات لتجريد بداية أو نهاية اسم المستخدم في طلبات RADIUS بمحدد.
      • تعديل السمة في الطلب: يوفر خيار تعديل أي سمة RADIUS في طلبات RADIUS. تعرض القائمة هنا السمات التي يمكن إضافتها/إزالتها/تحديثها:

        User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7] 
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55] 
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75] 
Connect-Info--[77] 
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95] 
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]

      • متابعة نهج التخويل في قبول الوصول: يوفر خيارا لاختيار ما إذا كان يجب على ISE إرسال قبول الوصول كما هو أو المتابعة لتوفير الوصول بناء على سياسات التخويل التي تم تكوينها على ISE بدلا من التخويل الذي يقدمه خادم RADIUS الخارجي. في حالة تحديد هذا الخيار، تتم الكتابة فوق الاعتماد المقدم من قبل خادم RADIUS الخارجي باستخدام الاعتماد المقدم من قبل ISE.

        ملاحظة: يعمل هذا الخيار فقط إذا كان خادم RADIUS الخارجي يرسلAccess-Acceptإستجابة لطلب وصول RADIUS للوكيل.

      • تعديل السمة قبل قبول الوصول: وكما هو الحال معModify Attribute in the requestذلك، يمكن إضافة/إزالة/تحديث السمات المذكورة سابقا الموجودة في "قبول الوصول" التي يتم إرسالها بواسطة خادم RADIUS الخارجي قبل إرسالها إلى جهاز الشبكة.

    الخطوة 4. الجزء التالي هو تكوين مجموعات النهج لاستخدام تسلسل خادم RADIUS بدلا من البروتوكولات المسموح بها بحيث يتم إرسال الطلبات إلى خادم RADIUS الخارجي. يمكن تكوينها تحتPolicy > Policy Sets. يمكن تكوين سياسات التخويل ضمنPolicy Setالخيار ولكن لا تدخل حيز التنفيذ إلا إذا تم إختيارContinue to Authorization Policy on Access-Acceptالخيار. وإذا لم يكن الأمر كذلك، فإن ISE يعمل ببساطة كوكيل لطلبات RADIUS لمطابقة الشروط التي تم تكوينها لمجموعة النهج هذه.

    Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE

    Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE

    تكوين خادم RADIUS الخارجي 

    الخطوة 1. في هذا المثال، يتم إستخدام خادم ISE آخر (الإصدار 2.2) كخادم RADIUS خارجي مسمىISE_Backend_Server. يجب تكوين ISE (ISE_Frontend_Server) كجهاز شبكة أو ما يسمى عادة NAS في خادم RADIUS الخارجي (ISE_Backend_Serverفي هذا المثال)، نظرا لاستبدال السمةNAS-IP-Addressفي طلب الوصول التي تتم إعادة توجيهها إلى خادم RADIUS الخارجي بعنوان IP الخاصISE_Frontend_Server. السر المشترك الذي سيتم تكوينه هو نفسه الذي تم تكوينه لخادم RADIUS الخارجي علىISE_Frontend_Server.

    Configure ISE Frontend Server as a Network Device for ISE_Backend_Server (External RADIUS Server)

    الخطوة 2. يمكن تكوين خادم RADIUS الخارجي باستخدام سياسات المصادقة والتفويض الخاصة به لخدمة الطلبات التي يتم تكليفها بواسطة ISE. في هذا المثال، يتم تكوين نهج بسيط للتحقق من المستخدم في المستخدمين الداخليين ثم السماح بالوصول إذا تم التصديق.

    Configure Authentication and Authorization Policies on External RADIUS Server for Proxy Requests from ISE

    التحقق من الصحة

    الخطوة 1. تحقق من سجلات ISE المباشرة إذا تم تلقي الطلب، كما هو موضح في الصورة.

    Check ISE Live Logs for Received Requests

    الخطوة 2. تأكد مما إذا كانت مجموعة النهج الصحيحة محددة، كما هو موضح في الصورة.

    Verify Chosen Policy Set for Request in ISE

    الخطوة 3. تحقق مما إذا كان الطلب قد تم إعادة توجيهه إلى خادم RADIUS الخارجي.

    Verify Forwarding of Request to External RADIUS Server

    4. إذاContinue to Authorization Policy on Access-Acceptتم إختيار الخيار، فتحقق مما إذا كان قد تم تقييم سياسة التخويل.

    Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen

    Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen

    استكشاف الأخطاء وإصلاحها

    السيناريو 1. الحدث - إسقاط طلب RADIUS ل 5405

    • أهم شيء يجب التحقق منه هو الخطوات الواردة في تقرير المصادقة التفصيلي. إذا كانت الخطوات تشير إلى انتهاء مهلة طلب عميل RADIUS"، فهذا يعني أن ISE لم يستلم أي إستجابة من خادم RADIUS الخارجي الذي تم تكوينه. يمكن أن يحدث هذا عندما:
    1. هناك مشكلة في الاتصال بخادم RADIUS الخارجي. يتعذر على ISE الوصول إلى خادم RADIUS الخارجي على المنافذ التي تم تكوينها له.
    2. لم يتم تكوين ISE كجهاز شبكة أو NAS على خادم RADIUS الخارجي.
    3. يتم إسقاط الحزم بواسطة خادم RADIUS الخارجي إما حسب التكوين أو بسبب وجود مشكلة ما على خادم RADIUS الخارجي.

      Verify Steps in Authentication Report and Troubleshoot Connectivity Issues with External RADIUS Server

    فحصت ربط أيضا in order to رأيت إن ليس هو خطأ رسالة؛ وهذا يعني أن ISE يستلم الحزمة من الخادم ولكن لا يزال يبلغ عن انتهاء مهلة الطلب.

    Verify Packet Captures for False Timeout Reports in ISE

    • إذا كانت الخطوات تقول "بدء طلب إعادة التوجيه إلى خادم RADIUS البعيد" وكانت الخطوة الفورية هي "عدم مزيد من خوادم RADIUS الخارجية؛ لا يمكن تجاوز الفشل، وهذا يعني أن جميع خوادم RADIUS الخارجية التي تم تكوينها قد تم وضع علامة عليها كخادمات ميتة حاليا ولا يتم تقديم الطلبات إلا بعد انتهاء صلاحية المؤقت الموقت.

      Troubleshoot Dead External RADIUS Servers and Failover Issues in ISE



      ملاحظة: وقت انتهاء الصلاحية الافتراضي لخوادم RADIUS الخارجية في ISE هو 5 دقائق. تم ترميز هذه القيمة بشكل ثابت ولا يمكن تعديلها اعتبارا من هذا الإصدار.

    • إذا كانت الخطوات تقول "واجه عميل RADIUS خطأ أثناء معالجة التدفق" ويتبعها "فشل إعادة توجيه الطلب إلى خادم RADIUS البعيد الحالي؛ تم تلقي إستجابة غير صحيحة، مما يعني أن ISE واجه مشكلة أثناء إعادة توجيه الطلب إلى خادم RADIUS الخارجي. وهذا يظهر عادة عندما لا يحتوي طلب RADIUS الذي يتم إرساله من جهاز الشبكة/NAS إلى ISE على NAS-IP-Address كإحدى السمات. وفي حالة عدم وجود سمة NAS-IP-Address وعدم إستخدام خوادم RADIUS الخارجية، يقوم ISE بملء عنوان NAS-IP حقل مع IP المصدر للحزمة. ومع ذلك، لا ينطبق هذا عندما يكون خادم RADIUS الخارجي قيد الاستخدام.

    السيناريو 2. الحدث - فشلت مصادقة 5400

    • في هذا الحدث، إذا كانت الخطوات تقول "11368 يرجى مراجعة السجلات الموجودة على خادم RADIUS الخارجي لتحديد سبب الفشل بدقة، وهذا يعني أن المصادقة فشلت على خادم RADIUS الخارجي نفسه وأنها أرسلت رفض وصول.

      Troubleshoot Authentication Failure on External RADIUS Server and Access-Reject Response
    • إذا كانت الخطوات تقول رفض 15039 لكل ملف تعريف تخويل"، فهذا يعني أن ISE استلم قبول وصول من خادم RADIUS الخارجي ولكن ISE يرفض التخويل بناء على سياسات التخويل التي تم تكوينها.

      Troubleshoot Authorization Rejection Based on Authorization Policies in ISE
    • إذا كان سبب الفشل على ISE أي شيء آخر بخلاف الأسباب المذكورة هنا في حالة فشل المصادقة، فقد يعني ذلك مشكلة محتملة مع التكوين أو مع ISE نفسها. يوصى بفتح حالة مركز المساعدة الفنية عند هذه النقطة.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    12-Aug-2024
    التنسيق والترقيم، المراجعة.
    1.0
    23-Apr-2018
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Surendra Reddy
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات