تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين تقييم الوضع لمستخدمي شبكة VPN للوصول عن بعد باستخدام محرك خدمة الهوية (ISE) والوصول الآمن.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الوصول الآمن - ISE - الرسم التخطيطي
يوفر دمج الوصول الآمن من Cisco مع محرك خدمات الهوية (ISE) نهجا أمنيا شاملا، يعمل على الاستفادة من بروتوكولات المصادقة المختلفة، بما في ذلك MS-CHAPv2، لتأمين الاتصالات. يعمل Cisco Secure Access، باستخدام حل حافة خدمة الأمان المتقدمة (SSE)، على تحسين الاتصال الآمن عبر البيئات شديدة التوزيع، مما يوفر ميزات مثل الشبكة الخاصة الظاهرية (VPNs) كخدمة (VPNaS)، والتي يمكن حمايتها باستخدام إمكانات ISE.
ويتيح هذا الدمج تجربة وصول تتسم بالسلاسة والأمان، مما يتيح للمستخدمين إمكانية الاتصال بأي تطبيق في أي مكان مع أداء وأمان محسن. يؤدي إستخدام الميزات المتقدمة من Cisco ISE، مثل تقييم الوضع، إلى تعزيز نموذج الأمان هذا عن طريق تقييم توافق أجهزة الكمبيوتر مع سياسات المستخدم الداخلية قبل السماح بالوصول. وهذا يضمن أن الأجهزة التي تفي بمتطلبات أمان المؤسسة فقط هي التي يمكنها الوصول إلى موارد الشبكة، مما يقلل من مخاطر الثغرات الأمنية.
ملاحظة: لتكوين تكامل RADIUS، يلزمك التأكد من وجود اتصال بين كلا النظامين الأساسيين.
ملاحظة: قبل بدء عملية التكوين، يجب عليك إكمال الخطوات الأولى باستخدام "الوصول الآمن" وتكامل ISE.
لتكوين ملف تعريف VPN باستخدام RADIUS، أكمل الخطوات التالية:
انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
)، انقر فوقManage
Group Name
: تكوين اسم لتكامل ISE في الوصول الآمن
AAA method
Authentication
: علم خانة الاختيار للمنفذ Authentication
وحدد المنفذ، بشكل افتراضي، هو 1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
المصادقة وضع علامة على خانة الاختيارAuthorization
: علم خانة الاختيارAuthorization
للمنفذ وحدده، بشكل افتراضي، هو 1812
Authorization mode Only
والسماحChange of Authorization (CoA) mode
بوضعية وتغييرات ISEAccounting
: وضع علامة على خانة الاختيار للتخويل وتحديد المنفذ، بشكل افتراضي، هو 1813
Single or Simultaneous
(في الوضع المفرد، يتم إرسال بيانات المحاسبة إلى خادم واحد فقط. في الوضع المتزامن، يتم توفير بيانات المحاسبة لجميع الخوادم في المجموعة)Accounting update
لتمكين التوليد الدوري لرسائل RADIUS المؤقتة-accounting-update.تحذير: يجب أن يستخدم كل منAuthentication
والأساليب Authorization
، عند تحديدها، نفس المنفذ.
RADIUS Servers
(ISE) الذي يتم إستخدامه للمصادقة عبر AAA على القسم RADIUS Servers
:+ Add
Server Name
: قم بتكوين اسم لتعريف خادم ISE.IP Address
: تكوين IP الخاص بجهاز Cisco ISE الذي يمكن الوصول إليه من خلال الوصول الآمنSecret Key
: تكوين مفتاح RADIUS السريPassword
: تكوين كلمة مرور RADIUS الخاصة بكSave
وحدد خادم RADIUS الخاص بك ضمنAssign Server
الخيار وحدد خادم ISE الخاص بك:Save
مرة أخرى لحفظ التكوين الذي تمالآن بعد أن قمت بتكوين خادم ISE الخاص بك ضمن تجمع IP، يلزمك تكوينه أسفل VPN Profiles
.
لتكوين ملف تعريف VPN، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
النقر + Add
VPN Profile name
: قم بتكوين اسم لاسم ملف التعريف الخاص بكDefault Domain
: قم بتكوين مجالك.DNS Server
: أختر خادم اسم المجال (DNS) الذي تم تكوينه من قبلكProtocol
: تكوين البروتوكولات التي تحتاج إلى السماح بها بموجب شبكة VPNConnect Time posture
: أختر وضعية أو دعها بلاNext
المصادقة
Authentication
Protocols
: اختَر Radius
Map authentication groups to regions
: أختر المناطق واختر Radius Groups
Next
ملاحظة: يجب عليك وضع علامة إختيار لكل المناطق وتحديد مجموعات نصف القطر إذا كان لديك مناطق متعددة. إذا لم تفعلوا ذلك، فحينئذ Next
يكون الزر الخاص بك ملفوفا.
بعد تكوين جميع أجزاء المصادقة، الرجاء متابعة الاعتماد.
الاعتماد
Authorization
Enable Radius Authorization
: وضع علامة على خانة الاختيار لتمكين تفويض RADIUSNext
بعد تكوين كل Authorization
الجزء، الرجاء المتابعة مع Accounting
.
ملاحظة: إذا لم تقم بتمكين Radio Authorization
، فلن يعمل الوضع.
الحسابات
Accounting
Map Authorization groups to regions
: أختر المناطق واختر Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
تحت توجيه حركة المرور، يلزمك تكوين نوع الاتصال من خلال الوصول الآمن.
Connect to Secure Access
كافة طرق حركة مرور الإنترنت الخاصة بك Secure Access
إذا كنت تريد إضافة إستثناءات لمجالات الإنترنت أو عناوين IP، الرجاء النقر فوق + Add
الزر، ثم انقر فوق Next
.
Bypass Secure Access
، فإن كل حركة مرور الإنترنت الخاصة بك تمر عبر موفر الإنترنت الخاص بك، وليس من خلالSecure Access
(لا توجد حماية إنترنت)ملاحظة: يرجى إضافة enroll.cisco.com
ISE Posture (وضعية محرك خدمات الهوية (ISE)) عند إختيارك Bypass Secure Access
.
في هذه الخطوة، تحدد جميع موارد الشبكة الخاصة التي تريد الوصول إليها من خلال شبكة VPN. للقيام بذلك، انقر + Add
، ثم انقر Next
عند إضافة كافة الموارد.
في هذه الخطوة، يمكنك الحفاظ على كل شيء كافتراضي والنقر Save
، ولكن إذا كنت تريد تخصيص التكوين الخاص بك أكثر، فالرجاء التحقق من دليل مسؤول العميل الآمن من Cisco.
لتكوين المصادقة من خلال Cisco ISE، يلزمك تكوين الأجهزة المسموح بها التي يمكنها إجراء استعلامات على Cisco ISE لديك:
Administration > Network Devices
+ Add
Name
: إستخدام اسم لتعريف الوصول الآمنIP Address
: تكوينManagement Interface
الخطوة، منطقة تجمع IPDevice Profile
: أختر Cisco
Radius Authentication Settings
Shared Secret
: تكوين نفس السر المشترك الذي تم تكوينه على الخطوة، المفتاح السريCoA Port
: دعها كقيمة افتراضية؛ يتم إستخدام الطراز 1700 أيضا في الوصول الآمنبعد ذلك النقر Save
، للتحقق من عمل التكامل بشكل صحيح، قم بالمتابعة لإنشاء مستخدم محلي للتحقق من التكامل.
لتكوين مجموعة للاستخدام مع المستخدمين المحليين، اتبع الخطوات التالية:
Administration > Groups
User Identity Groups
+ Add
Name
للمجموعة وانقر فوق Submit
لتكوين مستخدم محلي للتحقق من التكامل الخاص بك:
Administration > Identities
Add +
Username
: قم بتكوين اسم المستخدم باستخدام إعداد UPN معروف في Secure Access؛ استنادا إلى الخطوة والمتطلبات الأساسيةStatus
: نشطPassword Lifetime
: يمكنك تكوينها With Expiration
أوNever Expires
، اعتمادا عليكLogin Password
: إنشاء كلمة مرور للمستخدمUser Groups
: أختر المجموعة التي تم إنشاؤها على الخطوة، قم بتكوين مجموعةملاحظة: تم تعيين المصادقة المستندة إلى UPN لتغييرها في الإصدارات القادمة من Secure Access.
بعد ذلك، يمكنك Save
التكوين والمتابعة بالخطوة، Configure Policy Set
.
في إطار مجموعة النهج، قم بتكوين الإجراء الذي يقوم ISE باتخاذه أثناء المصادقة والتفويض. يوضح هذا السيناريو حالة الاستخدام لتكوين سياسة بسيطة لتوفير وصول المستخدم. أولا، يتحقق ISE من أصل مصادقة RADIUS ويتحقق مما إذا كانت الهويات موجودة في قاعدة بيانات مستخدم ISE لتوفير الوصول
لتكوين هذا النهج، انتقل إلى لوحة معلومات Cisco ISE:
Policy > Policy Sets
+
لإضافة مجموعة نهج جديدةفي هذه الحالة، قم بإنشاء مجموعة نهج جديدة بدلا من العمل تحت المجموعة الافتراضية. بعد ذلك، قم بتكوين المصادقة والتفويض استنادا إلى مجموعة النهج هذه. يسمح النهج الذي تم تكوينه بالوصول إلى جهاز الشبكة المعرف في الخطوة تكوين قائمة أجهزة الشبكة للتحقق من أن هذه المصادقة تأتي منCSA Network Device List
ثم الدخول في النهج ك Conditions
. وأخيرا، البروتوكولات المسموح بها، مثل Default Network Access
.
لإنشاء التعليمات condition
التي تطابق مجموعة النهج، قم بالمتابعة باستخدام التعليمات التالية:
+
Condition Studio
أدناه ما يلي: Click to add an attribute
Network Device
الزر Network Access
- Network Device Name
خيارNetwork Device
تحت الخطوة، قم بتكوين قائمة أجهزة الشبكةSave
لا يوافق هذا النهج إلا على الطلب المقدم من المصدرCSA
لمتابعة Authentication
وإعداد Authorization
ضمن مجموعة النهج CSA-ISE
، ويتحقق أيضا من البروتوكولات المسموح بها استنادا إلى Default Network Access
البروتوكولات المسموح بها.
يجب أن تكون نتيجة النهج المحدد هي:
Default Network Access Protocols
المسموح، اتبع الإرشادات التالية:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
لإنشاءAuthentication
و Authorization
السياسة ضمن Policy Set
، استمر بالخطوات التالية:
>
Authentication
السياسات المعروضة Authorization
: نهج المصادقة
لنهج المصادقة، يمكنك التكوين بعدة طرق. في هذه الحالة، ترى سياسة للجهاز المحدد في الخطوة تكوين قائمة أجهزة الشبكة، وتتحقق من المصادقة بناء على معايير محددة:
Network Device CSA
بنجاح المصادقة أو رفضها.النهج هو نفسه المحدد ضمن مجموعة نهج تكوين الخطوة.
سياسة التخويل
يمكنك تكوين نهج التخويل بعدة طرق. في هذه الحالة، قم بتخويل المستخدمين في المجموعة المحددة في الخطوة تكوين مجموعة.راجع المثال التالي لتكوين نهج التخويل الخاص بك:
Authorization Policy
+
لتحديد نهج التخويل مثل: Rule Name
،Conditions
و Profiles
Name
تكوين اسم لتحديد نهج التخويل بسهولة Condition
عنصر التحكم، انقر فوق +
Condition Studio
تجد المعلومات: Click to add an attribute
Identity Group
الزر IdentityGroup
- خيارEquals
الخيار، أستخدم القائمة المنسدلة للعثور على Group
المعتمد للمصادقة في الخطوة، قم بتكوين مجموعةSave
Use
بعد ذلك، تحتاج إلى تعريف Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
الزر المنسدل انقر فوق Profiles
PermitAccess
Save
بعد ذلك، قمت بتعريف Authentication
وسياستك Authorization
. قم بالمصادقة للتحقق مما إذا كان المستخدم يتصل دون حدوث مشكلة وما إذا كان يمكنك رؤية السجلات على Secure Access و ISE.
للاتصال بالشبكة الخاصة الظاهرية (VPN)، يمكنك إستخدام ملف التعريف الذي تم إنشاؤه على Secure Access والاتصال من خلال Secure Client باستخدام ملف تعريف ISE.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
في هذا السيناريو، قم بإنشاء التكوين للتحقق من توافق نقطة النهاية قبل منح الوصول إلى الموارد الداخلية أو رفضه.
لتكوينه، انتقل إلى الخطوات التالية:
Work Center > Policy Elements > Conditions
Anti-Malware
ملاحظة: هناك، تجد العديد من الخيارات للتحقق من وضع أجهزتك وإجراء التقييم الصحيح بناء على السياسات الداخلية الخاصة بك.
Anti-Malware Conditions
، انقر + Add
Anti-Malware Condition
لاكتشاف تثبيت برنامج الحماية من الفيروسات على النظام؛ يمكنك أيضا إختيار إصدار نظام التشغيل إذا لزم الأمر.Name
: إستخدام اسم للتعرف على حالة الحماية من البرامج الضارةOperating System
: أختر النظام التشغيلي الذي تريد وضعه تحت الشرطVendor
: أختر مورد أو أيCheck Type
: يمكنك التحقق من تثبيت العامل أو إصدار التعريف لهذا الخيار.Products for Selected Vendor
لك، قم بتكوين ما تريد التحقق منه حول البرامج الضارة على الجهاز.وبمجرد تكوينها، يمكنك المتابعة بالخطوة، Configure Posture Requirements
.
Work Center > Policy Elements > Requeriments
Edit
من المتطلبات وانقر فوق Insert new Requirement
Name
: تكوين اسم للتعرف على متطلبات الحماية من البرامج الضارةOperating System
: أختر نظام التشغيل الذي تختاره بموجب الخطوة الشرطية، نظام التشغيل Compliance Module
: تحتاج إلى التأكد من تحديد نفس وحدة التوافق التي لديك في إطار خطوة الشرط، حالة الحماية من البرامج الضارةPosture Type
: إختيار عميلConditions
: أختر الشرط أو الشروط التي قمت بإنشائها ضمن الخطوة، قم بتكوين شروط الوضعRemediations Actions
: أختر Message Text Only
لهذا المثال، أو إذا كان لديك إجراء إصلاح آخر، فاستخدمهSave
وبمجرد تكوينها، يمكنك المتابعة بالخطوة، Configure Posture Policy
Work Center > Posture Policy
Edit
من النهج وانقر فوق Insert new Policy
Status
: وضع علامة على خانة الاختيار no تمكين النهجRule Name
: تكوين اسم للتعرف على السياسة التي تم تكوينهاIdentity Groups
: أختر الهويات التي تريد تقييمهاOperating Systems
: أختر نظام التشغيل استنادا إلى الشرط والمتطلبات التي تم تكوينها من قبلCompliance Module
: أختر وحدة التوافق النمطية استنادا إلى الشرط والمتطلبات التي تم تكوينها من قبلPosture Type
: إختيار عميلRequeriments
: أخترت المتطلب يشكل على الخطوة، يشكل متطلب وضعSave
لتزويد المستخدمين بوحدة ISE النمطية، قم بتكوين إمداد العميل لتجهيز الأجهزة بوحدة وضع ISE. يتيح لك هذا التحقق من وضع الأجهزة بمجرد تثبيت الوكيل. لمتابعة هذه العملية، فيما يلي الخطوات التالية:
انتقل إلى لوحة معلومات ISE.
Work Center > Client Provisioning
Resources
هناك ثلاثة أمور تحتاج إلى تكوينها تحت إمداد العميل:
الموارد المطلوب تكوينها |
الوصف |
1. |
حزمة إمداد الويب الآمنة للعميل. |
2. |
الوحدة النمطية Cisco ISE Compliance Module |
3. |
التحكم في ملف تعريف الإعداد. |
3. |
تحديد الوحدات النمطية التي يتم توفيرها من خلال إعداد بوابة الإمداد، باستخدام ملف تعريف الوكيل وموارد الوكيل. |
Step 1
تنزيل موارد الوكيل وتحميلها
+ Add > Agent resources from local disk
وقم بتحميل الحزمStep 2
تنزيل وحدة التوافق النمطية
+ Add > Agent resources from Cisco Site
Save
+ Add > Agent Posture Profile
Name
ل Posture Profile
*
ثم انقر Save
بعد ذلك+ Add > Agent Configuration
Select Agent Package
: أختر الحزمة التي تم تحميلها على الخطوة 1 تنزيل موارد وكيل التحميل وتحميلهاConfiguration Name
: أختر اسما للتعرف على Agent Configuration
Compliance Module
: أختر وحدة التوافق التي تم تنزيلها على الخطوة 2 قم بتنزيل وحدة التوافقCisco Secure Client Module Selection
ISE Posture
: وضع علامة خانة الاختيارProfile Selection
ISE Posture
: أختر ملف تعريف ISE الذي تم تكوينه على الخطوة 3 تكوين ملف تعريف الوكيلSave
ملاحظة: يوصى بأن يكون لكل نظام تشغيل، Windows أو Mac OS أو Linux، تكوين عميل مستقل واحد.
لتمكين إعداد إعداد وضعية محرك خدمات الهوية (ISE) والوحدات النمطية التي تم تكوينها في الخطوة الأخيرة، يلزمك تكوين نهج لإنشاء الإمداد.
Work Center > Client Provisioning
ملاحظة: يوصى بأن يكون لكل نظام تشغيل، Windows أو Mac OS أو Linux سياسة تكوين عميل واحدة.
Rule Name
: تكوين اسم النهج استنادا إلى نوع الجهاز وتحديد مجموعة الهوية للحصول على طريقة سهلة لتعريف كل نهجIdentity Groups
: أختر الهويات التي تريد تقييمها على السياسةOperating Systems
: أختر نظام التشغيل بناء على حزمة البرنامج الوكيل المحددة في الخطوة، حدد حزمة البرنامجOther Condition
: أختر استنادا Network Access
إلى Authentication Method
EQUALS
الطريقة التي تم تكوينها على الخطوة، أو إضافة مجموعة RADIUS أو يمكنك ترك الأمر في فراغResult
: أختر تكوين الوكيل الذي تم تكوينه في الخطوة 4 تكوين الوكيل
Native Supplicant Configuration
: إختيارConfig Wizard
و Wizard Profile
يحدد ملف تعريف التخويل الوصول إلى الموارد بناء على وضعية المستخدمين بعد تمرير المصادقة. يجب التحقق من الترخيص لتحديد الموارد التي يمكن للمستخدم الوصول إليها استنادا إلى الوضع.
ملف تعريف التخويل |
الوصف |
متوافق مع المستخدم - تم تثبيت الوكيل - تم التحقق من الوضع |
|
متوافق مع المستخدم المعروف - إعادة التوجيه لتثبيت الوكيل - الوضع قيد التحقق |
|
مستخدم غير متوافق - رفض الوصول |
لتكوين قائمة التحكم في الوصول إلى البنية الأساسية (DACL)، انتقل إلى لوحة معلومات ISE:
Name
: إضافة اسم يشير إلى التوافق مع DACLIP version
: اختَر IPv4
DACL Content
:
إنشاء قائمة تحكم في الوصول قابلة للتنزيل (DACL) تتيح الوصول إلى جميع موارد الشبكةpermit ip any any
انقر فوق Save
وإنشاء قائمة التحكم في الوصول (DACL) الخاصة بالتوافق غير المعروف
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: إضافة اسم يشير إلى التوافق مع DACL-UnknownIP version
: اختَر IPv4
DACL Content:
قم بإنشاء قائمة تحكم في الوصول إلى البنية الأساسية (DACL) التي تعطي وصولا محدودا إلى الشبكة و DHCP و DNS و HTTP ومدخل الإمداد عبر المنفذ 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
ملاحظة: في هذا السيناريو، يتوافق عنوان IP 192.168.10.206 مع خادم محرك خدمات الهوية (ISE) من Cisco، ويتم تخصيص المنفذ 8443 لمدخل الإمداد. هذا يعني أن حركة مرور TCP إلى عنوان IP 192.168.10.206 عبر المنفذ 8443 مسموح بها، مما يسهل الوصول إلى مدخل الإعداد.
عند هذه النقطة، لديك قائمة التحكم في الوصول الخاصة بالمنفذ (DACL) المطلوبة لإنشاء ملفات تعريف التخويل.
لتكوين ملفات تعريف التخويل، انتقل إلى لوحة معلومات ISE:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: إنشاء اسم يشير إلى ملف تخصيص تخويل متوافقAccess Type
: اختَر ACCESS_ACCEPT
Common Tasks
DACL NAME
: أختر قائمة التحكم في الوصول للبنية الأساسية (DACL) التي تم تكوينها على قائمة التحكم في الوصول للبنية الأساسية (DACL) المتوافقة مع الخطوةانقر Save
وأنشئ Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: قم بإنشاء اسم يشير إلى ملف تخصيص تخويل غير معروف متوافقAccess Type
: اختَر ACCESS_ACCEPT
Common Tasks
DACL NAME
: أختر قائمة التحكم في الوصول للبنية الأساسية (DACL) التي تم تكوينها على قائمة التحكم في الوصول للبنية الأساسية (DACL) المتوافقة مع الخطوة غير معروفةWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: يجب أن يكون redirect
Value
: أختر مدخل التوفير الافتراضي، أو إذا قمت بتعريف آخر، فاختر المدخلملاحظة: اسم قائمة التحكم في الوصول لإعادة التوجيه على Secure Access لجميع عمليات النشر هو redirect
.
بعد أن تقوم بتعريف كل هذه القيم، يجب أن يكون لديك شيء مماثل تحتAttributes Details
.
انقر Save
لإنهاء التكوين ومتابعة الخطوة التالية.
تستند هذه السياسات الثلاثة التي تقوم بإنشائها إلى ملفات تخصيص التخويل التي قمت بتكوينها؛ لأنك DenyAccess
لا تحتاج إلى إنشاء واحدة أخرى.
مجموعة النهج - التخويل |
ملف تعريف التخويل |
مذعن |
|
غير معروف التوافق |
|
غير متوافق |
انتقل إلى لوحة معلومات ISE
Work Center > Policy Sets
>
To Access إلى النهج الذي قمت بإنشائهAuthorization Policy
+
لتحديد CSA-Compliance
السياسة : Rule Name
،Conditions
و Profiles
Name
تكوين اسم إلى CSA-Compliance
Condition
عنصر التحكم، انقر فوق +
Condition Studio
تجد المعلومات: compliant
Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
الدخول New
Identity Group
الأيقونةInternal User Identity Group
Equals
، أختر User Identity Group
الذي تريد مطابقتهUse
Profile
انقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى المكون على الخطوة، ملف تعريف تخويل متوافقلقد قمت الآن بتكوين Compliance Policy Set
.
Rule Name
،Conditions
و Profiles
Name
تكوين اسم إلى CSA-Unknown-Compliance
Condition
عنصر التحكم، انقر فوق +
Condition Studio
تجد المعلومات: compliance
Compliant_Unknown_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
الدخول New
Identity Group
الأيقونةInternal User Identity Group
Equals
، أختر User Identity Group
الذي تريد مطابقتهUse
Profile
انقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى المكون على الخطوة، ملف تعريف تخويل غير معروف متوافقلقد قمت الآن بتكوين Unknown Compliance Policy Set
.
+
لتحديد CSA- Non-Compliant
السياسة: Rule Name
،Conditions
و Profiles
Name
تكوين اسم إلى CSA-Non-Compliance
Condition
عنصر التحكم، انقر فوق +
Condition Studio
تجد المعلومات: non
Non_Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
الدخول New
Identity Group
الأيقونةInternal User Identity Group
Equals
، أختر User Identity Group
الذي تريد مطابقتهUse
Profile
انقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى DenyAccess
بمجرد إنهاء تكوين التوصيفات الثلاثة، تصبح جاهزا لاختبار التكامل مع الوضع.
الاتصال بمجال RA-VPN الخاص بك والمزود على الوصول الآمن عبر Secure Client.
ملاحظة: يجب عدم تثبيت وحدة ISE النمطية لهذه الخطوة.
1. الاتصال باستخدام Secure Client.
2. توفير بيانات الاعتماد للمصادقة.
3. عند هذه النقطة، يتم توصيلك بالشبكة الخاصة الظاهرية (VPN)، وغالبا ما تتم إعادة توجيهك إلى ISE؛ إذا لم تكن كذلك، يمكنك محاولة التنقل إلى http:1.1.1.1
.
ملاحظة: عند هذه النقطة تقع ضمن التخويل - مجموعة النهج CSA-Unknown-Compliance نظرا لعدم تثبيت عامل ISE Posture Agent على الجهاز، وتتم إعادة توجيهك إلى بوابة إمداد ISE لتثبيت الوكيل.
4. انقر فوق "بدء" لمتابعة توفير الوكيل.
5. انقر فوق + This is my first time here
.
6. انقر فوق Click here to download and install agent
7. تثبيت العميل
8. بعد تثبيت الوكيل، يبدأ ISE Posture (وضعية محرك خدمات الهوية (ISE)) في التحقق من حالة الأجهزة الحالية. في حالة عدم تلبية متطلبات السياسة، يظهر أن منبثقا يرشدك نحو التوافق.
ملاحظة: إذا انتهت أنتCancel
أو الوقت المتبقي، تصبح تلقائيا غير متوافق، وتدخل ضمن مجموعة نهج التخويل عدم توافق CSA، وتفصل فورا عن شبكة VPN.
9. قم بتثبيت "عامل نقطة النهاية الآمنة" واتصل مرة أخرى بالشبكة الخاصة الظاهرية (VPN).
10. بعد أن يتحقق العميل من أن الجهاز في حالة توافق، يتغير وضعك لكي تكون في حالة شكوى ويمنح حق الوصول إلى جميع الموارد الموجودة على الشبكة.
ملاحظة: بعد أن تصبح متوافقا، تصبح خاضعا لمجموعة سياسات التخويل المتوافقة مع CSA، ويصبح لديك وصول فورا إلى جميع موارد الشبكة.
للتحقق من نتيجة المصادقة للمستخدم، لديك مثالان على التوافق وعدم الامتثال. لمراجعتها في قسم خدمات الهوية، اتبع الإرشادات التالية:
Operations > Live Logs
يوضح السيناريو التالي كيفية عرض أحداث التوافق وعدم الامتثال الناجحة في إطار Live Logs
:
في المثال التالي، ضمن الشبكة 192.168.10.0/24، يلزم إضافة تكوين الشبكات التي يمكن الوصول إليها من خلال النفق تحت تكوين النفق.
Step 1
: التحقق من تكوين النفق:
للتحقق من ذلك، الرجاء الانتقال إلى لوحة معلومات الوصول الآمن.
Connect > Network Connections
Network Tunnel Groups
>النفق الخاص بكStep 2
: السماح بحركة المرور على جدار الحماية.
للسماح بالوصول الآمن لاستخدام جهاز ISE لمصادقة RADIUS، يلزمك تكوين قاعدة من الوصول الآمن إلى شبكتك باستخدام منافذ RADIUS المطلوبة:
قاعدة |
المصدر |
الوجهة |
غاية ميناء |
ISE للوصول الآمن تجمع الإدارة |
ISE_Server |
تجمع IP للإدارة (RA-VPN) |
كاكاو UDP 1700 (المنفذ الافتراضي) |
تجمع IP لإدارة الوصول الآمن إلى ISE |
تجمع IP للإدارة |
ISE_Server |
المصادقة والتخويل UDP 1812 (المنفذ الافتراضي) الحسابات UDP 1813 (المنفذ الافتراضي) |
تجمع IP لنقطة الوصول الآمنة إلى ISE |
تجمع IP لنقطة النهاية |
ISE_Server |
مدخل التوفير بروتوكول TCP 8443 (المنفذ الافتراضي) |
تجمع IP لنقطة الوصول الآمنة إلى خادم DNS |
تجمع IP لنقطة النهاية |
خادم DNS |
DNS UDP و TCP 53 |
ملاحظة: إن يريد أنت أن يعرف كثير ميناء متعلق ب ISE، فحصت المستعمل مرشد - ميناء مرجع.
ملاحظة: يلزم وجود قاعدة DNS إذا قمت بتكوين ISE الخاص بك ليتم اكتشافه من خلال اسم، مثل ise.ciscosspt.es
تجمع الإدارة وتجمع IP للنقطة الطرفية
للتحقق من تجمع IP للإدارة والنقطة الطرفية، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
انقر فوق Manage
الخطوة 3: تحقق من تكوين ISE الخاص بك ضمن الموارد الخاصة
للسماح للمستخدمين المتصلين عبر الشبكة الخاصة الظاهرية (VPN) بالتنقل إلى ISE Provisioning Portal
، يلزمك التأكد من تكوين الجهاز الخاص بك كمورد خاص لتوفير الوصول، والذي يتم إستخدامه للسماح بالإمداد التلقائيISE Posture Module
للشبكة الخاصة الظاهرية (VPN).
للتحقق من تكوين ISE بشكل صحيح، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:
Resources > Private Resources
إذا لزم الأمر، يمكنك تقييد القاعدة بمنفذ مدخل الإعداد (8443).
ملاحظة: تأكد من وضع علامة على خانة الاختيار لاتصالات VPN.
الخطوة 4: السماح بوصول ISE بموجب سياسة الوصول
للسماح للمستخدمين المتصلين عبر الشبكة الخاصة الظاهرية (VPN) بالتنقل إلى ISE Provisioning Portal
، يلزمك التأكد من أنك قمت بتكوين جهاز Access Policy
للسماح للمستخدمين الذين تم تكوينهم بموجب هذه القاعدة بالوصول إلى المورد الخاص الذي تم تكوينه فيStep3
.
للتحقق من تكوين ISE بشكل صحيح، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:
Secure > Access Policy
لتنزيل سجلات ISE للتحقق من وجود مشكلة تتعلق بالوضع، الرجاء متابعة الخطوات التالية:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
تحذير: بعد هذه النقطة، يجب أن تبدأ في إعادة إنتاج مشكلتك؛ the debug logs can affect the performance of your device
.
بعد أن يتم نسخ المشكلة، تابع الخطوات التالية:
Operations > Download Logs
Support Bundle
، أختر الخيارات التالية:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
و Re-Enter Encryption key
Create Support Bundle
Download
تحذير: قم بتعطيل وضع تصحيح الأخطاء الذي تم تمكينه على الخطوة، وتكوين ملف تعريف تصحيح الأخطاء
انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:
Monitor > Remote Access Logs
لإنشاء حزمة DART على جهازك، تحقق من المقالة التالية:
أداة Cisco Secure Client Diagnostic and Reporting Tool (DART)
ملاحظة: بمجرد تجميع السجلات المشار إليها في قسم أستكشاف الأخطاء وإصلاحها، الرجاء فتح حالة مع TAC
المتابعة في تحليل المعلومات.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
12-Apr-2024
|
الإصدار الأولي |