Einleitung
In diesem Dokument wird die Konfiguration eines RADIUS-Servers auf der ISE als Proxy- und Autorisierungsserver beschrieben. Hier werden zwei ISE-Server eingesetzt, einer davon fungiert als externer Server. Es kann jedoch jeder RFC-kompatible RADIUS-Server verwendet werden.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Grundkenntnisse des RADIUS-Protokolls
- Umfassende Expertise bei der Konfiguration von Identity Services Engine (ISE)-Richtlinien
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Cisco ISE-Versionen 2.2 und 2.4.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Netzwerkdiagramm
![Network Diagram](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-00.png)
Konfigurieren der ISE (Frontend-Server)
Schritt 1: Mehrere externe RADIUS-Server können konfiguriert und verwendet werden, um Benutzer auf der ISE zu authentifizieren. Um externe RADIUS-Server zu konfigurieren, navigieren Sie zu Administration > Network Resources > External RADIUS Servers > Add
, wie in der Abbildung dargestellt:
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-01.png)
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-02.png)
Schritt 2: Um den konfigurierten externen RADIUS-Server verwenden zu können, muss eine RADIUS-Serversequenz konfiguriert werden, die der Identity-Quellsequenz ähnelt. Um diese zu konfigurieren, navigieren Sie zu Administration > Network Resources > RADIUS Server Sequences > Add
, wie im Bild dargestellt.
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-03.png)
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-04.png)
Hinweis: Bei der Erstellung der Serversequenz können Sie unter anderem wählen, ob die Abrechnung lokal auf der ISE oder auf dem externen RADIUS-Server erfolgen soll. Basierend auf der hier gewählten Option entscheidet die ISE, ob ein Proxy für die Buchhaltungsanforderungen verwendet oder diese Protokolle lokal gespeichert werden.
Schritt 3: In einem weiteren Abschnitt wird das Verhalten der ISE bei der Proxyweiterleitung von Anfragen an externe RADIUS-Server flexibler beschrieben. Sie finden es unter Advance Attribute Settings
, wie im Bild dargestellt.
![Configure Advanced Attribute Settings for Proxying Requests to External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-05.png)
- Erweiterte Einstellungen: Bietet Optionen zum Entfernen des Anfangs oder Endes des Benutzernamens in RADIUS-Anforderungen mit einem Trennzeichen.
- Modify Attribute in the request: Stellt die Option bereit, ein beliebiges RADIUS-Attribut in den RADIUS-Anforderungen zu ändern. Die Liste hier zeigt die Attribute, die hinzugefügt/entfernt/aktualisiert werden können:
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
Continue to Authorization Policy on Access-Accept (Weiter zur Autorisierungsrichtlinie bei Access-Accept): Stellt eine Option bereit, mit der festgelegt werden kann, ob die ISE den Access-Accept so senden muss, wie er ist, oder ob sie den Zugriff basierend auf den auf der ISE konfigurierten Autorisierungsrichtlinien und nicht auf der vom externen RADIUS-Server bereitgestellten Autorisierung bereitstellen muss. Wenn diese Option aktiviert ist, wird die vom externen RADIUS-Server bereitgestellte Autorisierung mit der von der ISE bereitgestellten Autorisierung überschrieben.
Hinweis: Diese Option funktioniert nur, wenn der externe RADIUS-Server eine Access-Accept
als Antwort auf die RADIUS-Proxyzugriffsanforderung.
-
Attribut vor Access-Accept ändern: Ähnlich wie bei Modify Attribute in the request
können die zuvor genannten Attribute hinzugefügt, entfernt oder aktualisiert werden, die im Access-Accept enthalten sind, das vom externen RADIUS-Server gesendet wird, bevor es an das Netzwerkgerät gesendet wird.
Schritt 4: Im nächsten Schritt werden die Richtliniensätze so konfiguriert, dass die RADIUS-Serversequenz anstelle der zulässigen Protokolle verwendet wird, sodass die Anforderungen an den externen RADIUS-Server gesendet werden. Sie kann konfiguriert werden unter Policy > Policy Sets
. Autorisierungsrichtlinien können konfiguriert werden unter Policy Set
aber nur dann in Kraft treten, wenn Continue to Authorization Policy on Access-Accept
ausgewählt. Wenn nicht, fungiert die ISE lediglich als Proxy für die RADIUS-Anfragen, um die für diesen Richtliniensatz konfigurierten Bedingungen zu erfüllen.
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-06.png)
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-07.png)
Konfigurieren des externen RADIUS-Servers
Schritt 1: In diesem Beispiel wird ein anderer ISE-Server (Version 2.2) als externer RADIUS-Server mit dem Namen ISE_Backend_Server
. Die ISE (ISE_Frontend_Server
) muss als Netzwerkgerät konfiguriert sein oder im externen RADIUS-Server üblicherweise als NAS bezeichnet werden (ISE_Backend_Server
in diesem Beispiel), da die NAS-IP-Address
-Attribut in der an den externen RADIUS-Server weitergeleiteten Access-Request wird durch die IP-Adresse desISE_Frontend_Server
. Der zu konfigurierende gemeinsame geheime Schlüssel ist derselbe wie der, der für den externen RADIUS-Server auf dem ISE_Frontend_Server
.
![Configure ISE_Frontend_Server as a Network Device for ISE_Backend_Server (External RADIUS Server)](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-08.png)
Schritt 2: Der externe RADIUS-Server kann mit eigenen Authentifizierungs- und Autorisierungsrichtlinien konfiguriert werden, um die von der ISE übermittelten Anfragen zu bedienen. In diesem Beispiel wird eine einfache Richtlinie konfiguriert, um den Benutzer in den internen Benutzern zu überprüfen und dann den Zugriff zuzulassen, wenn er authentifiziert ist.
![Configure Authentication and Authorization Policies on External RADIUS Server for Proxy Requests from ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-09.png)
Überprüfung
Schritt 1: Überprüfen Sie die ISE-Live-Protokolle, wenn die Anforderung empfangen wird, wie im Image gezeigt.
![Check ISE Live Logs for Received Requests](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-10.png)
Schritt 2: Überprüfen Sie, ob der richtige Richtliniensatz ausgewählt ist, wie im Bild gezeigt.
![Verify Chosen Policy Set for Request in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-11.png)
Schritt 3: Überprüfen Sie, ob die Anforderung an den externen RADIUS-Server weitergeleitet wird.
![Verify Forwarding of Request to External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-12.png)
4. Wenn der Continue to Authorization Policy on Access-Accept
aktiviert ist, überprüfen Sie, ob die Autorisierungsrichtlinie ausgewertet wird.
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-13.png)
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-14.png)
Fehlerbehebung
Szenario 1. Ereignis - 5405 RADIUS-Anfrage abgebrochen
- Das Wichtigste, was überprüft werden muss, sind die Schritte im detaillierten Authentifizierungsbericht. Wenn auf den Stufen die
RADIUS-Client request timeout expired
bedeutet dies, dass die ISE keine Antwort vom konfigurierten externen RADIUS-Server erhalten hat. Dies kann in folgenden Fällen geschehen:
- Es liegt ein Verbindungsproblem mit dem externen RADIUS-Server vor. Die ISE kann den externen RADIUS-Server an den dafür konfigurierten Ports nicht erreichen.
- Die ISE ist auf dem externen RADIUS-Server nicht als Netzwerkgerät oder NAS konfiguriert.
- Pakete werden vom externen RADIUS-Server entweder aufgrund einer Konfiguration oder aufgrund eines Problems auf dem externen RADIUS-Server verworfen.
![Verify Steps in Authentication Report and Troubleshoot Connectivity Issues with External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-15.png)
Überprüfen Sie auch die Paketerfassung, um festzustellen, ob es sich nicht um eine falsche Nachricht handelt, d. h., die ISE empfängt das Paket vom Server zurück, meldet jedoch, dass die Anforderung abgelaufen ist.
![Verify Packet Captures for False Timeout Reports in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-16.png)
Szenario 2. Ereignis - 5400 Authentifizierung fehlgeschlagen
- Wenn in diesem Fall die Schritte
11368 Please review logs on the External RADIUS Server to determine the precise failure reason
ist, bedeutet dies, dass die Authentifizierung auf dem externen RADIUS-Server selbst fehlgeschlagen ist und eine Access-Reject-Nachricht gesendet wurde.
- Wenn die Schritte
15039 Rejected per authorization profile
bedeutet dies, dass die ISE vom externen RADIUS-Server eine Access-Accept-Nachricht erhalten hat, die ISE die Autorisierung jedoch auf Grundlage der konfigurierten Autorisierungsrichtlinien ablehnt.
- Wenn die
Failure Reason
auf der ISE alle anderen als die hier genannten Fälle bei einem Authentifizierungsfehler auftreten, kann dies ein potenzielles Problem mit der Konfiguration oder mit der ISE selbst bedeuten. Es wird empfohlen, an dieser Stelle ein TAC-Ticket zu öffnen.