المقدمة
يوضح هذا المستند كيفية تكوين خادمين RADIUS متوافقين مع RFC على ISE كوكيل تفويض.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية ببروتوكول RADIUS
- الخبرة في تكوين سياسة محرك خدمات الهوية (ISE)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدارات 2.2 و 2.4 من Cisco ISE.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة

تكوين ISE (خادم الواجهة الأمامية)
الخطوة 1. يمكن تكوين خوادم RADIUS الخارجية المتعددة واستخدامها لمصادقة المستخدمين على ISE. لتكوين خوادم RADIUS الخارجية، انتقل إلىAdministration > Network Resources > External RADIUS Servers > Add
، كما هو موضح في الصورة:


الخطوة 2. لاستخدام خادم RADIUS الخارجي الذي تم تكوينه، يجب تكوين تسلسل خادم RADIUS مماثل لتسلسل مصدر الهوية. لتكوين نفس الشيء، انتقل إلىAdministration > Network Resources > RADIUS Server Sequences > Add
، كما هو موضح في الصورة:


ملاحظة: أحد الخيارات المتوفرة أثناء إنشاء تسلسل الخادم هو إختيار ما إذا كان يجب إجراء عملية المحاسبة محليا على ISE أو على خادم RADIUS الخارجي. واستنادا إلى الخيار المختار هنا، يقرر ISE ما إذا كان سيتم تفويض طلبات المحاسبة أو تخزين هذه السجلات محليا.
الخطوة 3. هناك قسم إضافي يوفر المزيد من المرونة حول كيفية تصرف ISE عندما يطلب وكيل تقنية المعلومات خوادم RADIUS الخارجية. يمكن العثور عليها تحتAdvance Attribute Settings
، كما هو موضح في الصورة:

- الإعدادات المتقدمة: يوفر خيارات لتجريد بداية أو نهاية اسم المستخدم في طلبات RADIUS بمحدد.
- تعديل السمة في الطلب: يوفر خيار تعديل أي سمة RADIUS في طلبات RADIUS. تعرض القائمة هنا السمات التي يمكن إضافتها/إزالتها/تحديثها:
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
متابعة نهج التخويل في قبول الوصول: يوفر خيارا لاختيار ما إذا كان يجب على ISE إرسال قبول الوصول كما هو أو المتابعة لتوفير الوصول بناء على سياسات التخويل التي تم تكوينها على ISE بدلا من التخويل الذي يقدمه خادم RADIUS الخارجي. في حالة تحديد هذا الخيار، تتم الكتابة فوق الاعتماد المقدم من قبل خادم RADIUS الخارجي باستخدام الاعتماد المقدم من قبل ISE.
ملاحظة: يعمل هذا الخيار فقط إذا كان خادم RADIUS الخارجي يرسلAccess-Accept
إستجابة لطلب وصول RADIUS للوكيل.
-
تعديل السمة قبل قبول الوصول: وكما هو الحال معModify Attribute in the request
ذلك، يمكن إضافة/إزالة/تحديث السمات المذكورة سابقا الموجودة في "قبول الوصول" التي يتم إرسالها بواسطة خادم RADIUS الخارجي قبل إرسالها إلى جهاز الشبكة.
الخطوة 4. الجزء التالي هو تكوين مجموعات النهج لاستخدام تسلسل خادم RADIUS بدلا من البروتوكولات المسموح بها بحيث يتم إرسال الطلبات إلى خادم RADIUS الخارجي. يمكن تكوينها تحتPolicy > Policy Sets
. يمكن تكوين سياسات التخويل ضمنPolicy Set
الخيار ولكن لا تدخل حيز التنفيذ إلا إذا تم إختيارContinue to Authorization Policy on Access-Accept
الخيار. وإذا لم يكن الأمر كذلك، فإن ISE يعمل ببساطة كوكيل لطلبات RADIUS لمطابقة الشروط التي تم تكوينها لمجموعة النهج هذه.


تكوين خادم RADIUS الخارجي
الخطوة 1. في هذا المثال، يتم إستخدام خادم ISE آخر (الإصدار 2.2) كخادم RADIUS خارجي مسمىISE_Backend_Server
. يجب تكوين ISE (ISE_Frontend_Server
) كجهاز شبكة أو ما يسمى عادة NAS في خادم RADIUS الخارجي (ISE_Backend_Server
في هذا المثال)، نظرا لاستبدال السمةNAS-IP-Address
في طلب الوصول التي تتم إعادة توجيهها إلى خادم RADIUS الخارجي بعنوان IP الخاصISE_Frontend_Server
. السر المشترك الذي سيتم تكوينه هو نفسه الذي تم تكوينه لخادم RADIUS الخارجي علىISE_Frontend_Server
.

الخطوة 2. يمكن تكوين خادم RADIUS الخارجي باستخدام سياسات المصادقة والتفويض الخاصة به لخدمة الطلبات التي يتم تكليفها بواسطة ISE. في هذا المثال، يتم تكوين نهج بسيط للتحقق من المستخدم في المستخدمين الداخليين ثم السماح بالوصول إذا تم التصديق.

التحقق من الصحة
الخطوة 1. تحقق من سجلات ISE المباشرة إذا تم تلقي الطلب، كما هو موضح في الصورة.

الخطوة 2. تأكد مما إذا كانت مجموعة النهج الصحيحة محددة، كما هو موضح في الصورة.

الخطوة 3. تحقق مما إذا كان الطلب قد تم إعادة توجيهه إلى خادم RADIUS الخارجي.

4. إذاContinue to Authorization Policy on Access-Accept
تم إختيار الخيار، فتحقق مما إذا كان قد تم تقييم سياسة التخويل.


استكشاف الأخطاء وإصلاحها
السيناريو 1. الحدث - إسقاط طلب RADIUS ل 5405
- أهم شيء يجب التحقق منه هو الخطوات الواردة في تقرير المصادقة التفصيلي. إذا كانت الخطوات تشير إلى انتهاء مهلة طلب عميل RADIUS"، فهذا يعني أن ISE لم يستلم أي إستجابة من خادم RADIUS الخارجي الذي تم تكوينه. يمكن أن يحدث هذا عندما:
- هناك مشكلة في الاتصال بخادم RADIUS الخارجي. يتعذر على ISE الوصول إلى خادم RADIUS الخارجي على المنافذ التي تم تكوينها له.
- لم يتم تكوين ISE كجهاز شبكة أو NAS على خادم RADIUS الخارجي.
- يتم إسقاط الحزم بواسطة خادم RADIUS الخارجي إما حسب التكوين أو بسبب وجود مشكلة ما على خادم RADIUS الخارجي.

فحصت ربط أيضا in order to رأيت إن ليس هو خطأ رسالة؛ وهذا يعني أن ISE يستلم الحزمة من الخادم ولكن لا يزال يبلغ عن انتهاء مهلة الطلب.

السيناريو 2. الحدث - فشلت مصادقة 5400
- في هذا الحدث، إذا كانت الخطوات تقول "11368 يرجى مراجعة السجلات الموجودة على خادم RADIUS الخارجي لتحديد سبب الفشل بدقة، وهذا يعني أن المصادقة فشلت على خادم RADIUS الخارجي نفسه وأنها أرسلت رفض وصول.
- إذا كانت الخطوات تقول رفض 15039 لكل ملف تعريف تخويل"، فهذا يعني أن ISE استلم قبول وصول من خادم RADIUS الخارجي ولكن ISE يرفض التخويل بناء على سياسات التخويل التي تم تكوينها.
- إذا كان سبب الفشل على ISE أي شيء آخر بخلاف الأسباب المذكورة هنا في حالة فشل المصادقة، فقد يعني ذلك مشكلة محتملة مع التكوين أو مع ISE نفسها. يوصى بفتح حالة مركز المساعدة الفنية عند هذه النقطة.