¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Servidores RADIUS externos de la configuración en el ISE

Opciones de descarga

  • PDF     (2.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.5 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de abril de 2018
ID del documento:213239
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo un servidor RADIUS externo puede ser configurado como servidor de autenticación en el Identity Services Engine (ISE) donde el ISE actúa un proxy y como servidor de autorización también. En este documento, se utilizan dos servidores ISE, uno actúan como servidor externo al otro. Sin embargo, cualquier servidor de RADIUS puede ser utilizado como servidor externo mientras sea seguido el RFC.

    Prerequisites

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico del protocolo RADIUS.
    • Experiencia en configuración de la política ISE.

    Componentes Utilizados

    La información en este documento se basa en la versión 2.4 y 2.2 de Cisco ISE.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.

    Configurar

    Diagrama de la red

    Configuración ISE (servidor frontal)

    Paso 1. Los servidores RADIUS externos múltiples pueden ser configurados y ser utilizados para autenticar a los usuarios en el ISE. Para configurar a los servidores RADIUS externos, navegue a la administración > a los recursos de red > a los servidores RADIUS externos > Add, tal y como se muestra en de la imagen:

    Paso 2. Para utilizar al servidor RADIUS externo configurado, una secuencia del servidor de RADIUS tiene que ser similar configurado a la secuencia de la fuente de la identidad. Para configurar lo mismo, navegue a la administración > a los recursos de red > a las secuencias del servidor de RADIUS > Add, tal y como se muestra en de la imagen.

       

    Note: Una de las opciones disponibles mientras que se crea la secuencia del servidor, es elegir si el considerar se hace localmente en el ISE o en el servidor RADIUS externo. De acuerdo con la opción seleccionada aquí, el ISE decide encendido a si al proxy las peticiones de las estadísticas o salva esos registros localmente.

    3. Hay una sección adicional que da más flexibilidad en cómo el ISE debe comportarse cuando el envío a través de proxy pide a los servidores RADIUS externos. Puede ser encontrado bajo configuraciones anticipadas del atributo, tal y como se muestra en de la imagen.

      • Configuraciones avanzadas: Proporciona las opciones para eliminar el comienzo o el extremo del nombre de usuario en los pedidos de RADIUS usando un delimitador.

      • Modifique el atributo en la petición: Proporciona la opción para modificar cualquier atributo de RADIUS en los pedidos de RADIUS. De la lista las demostraciones aquí que todos los atributos pueden ser agregados/quitaron/actualizado:    

        User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7] 
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55] 
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75] 
Connect-Info--[77] 
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95] 
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]

      • Continúe a la directiva de la autorización en el access-accept: Proporciona una opción para elegir si el ISE apenas envía el access-accept como es o procede a proporcionar el acceso basado en las directivas de la autorización configuradas en el ISE bastante que la autorización proporcionada por el servidor RADIUS externo. Es se selecciona esta opción, la autorización proporcionada por el servidor RADIUS externo está sobregrabada con la autorización proporcionada por el ISE.

        Note: Esta opción trabaja si y solamente si el servidor RADIUS externo envía un access-accept en respuesta al pedido de acceso proxied RADIUS.

      •  Modifique el atributo antes del access-accept: Similar al atributo de la modificación en la petición, el mismo anterior mencionada los atributos se puede agregar/presente quitado/actualizado en el access-accept enviado por el servidor RADIUS externo antes de que se envíe al dispositivo de red.

    Paso 4. La parte siguiente es configurar los conjuntos de la directiva para utilizar la secuencia del servidor de RADIUS en vez de los protocolos permitidos para enviar las peticiones al servidor RADIUS externo. Puede ser configuración bajo la directiva > conjuntos de la directiva. Las directivas regulares de la autenticación y autorización se pueden configurar bajo directiva fijada pero entran en solamente el efecto si continúe a la directiva de la autorización en la opción del access-accept se selecciona. Si no, el ISE actúa simplemente como proxy para los pedidos de RADIUS que corresponden con las condiciones configuradas para este conjunto de la directiva.

    Servidor RADIUS externo de la configuración 

    Paso 1. En este ejemplo, otro servidor ISE (versión 2.2) se utiliza como servidor RADIUS externo nombrado ISE_Backend_Server. El ISE (ISE_Frontend_Server) necesita ser configurado como un dispositivo de red o NAS tradicionalmente llamado en el servidor RADIUS externo (ISE_Backend_Server en este ejemplo), puesto que el atributo del Nas-ip-address en el pedido de acceso que es remitido al servidor RADIUS externo será substituido por la propia dirección IP de ISE_Frontend_Server. El secreto compartido que se configurará es lo mismo que el que está configurado para el servidor RADIUS externo en el ISE_Frontend_Server. 

    Paso 2. El servidor RADIUS externo puede ser configurado con sus propias directivas de la autenticación y autorización para servir las peticiones proxied por el ISE. En este ejemplo, una directiva simple se configura para marcar al usuario en los usuarios internos y después para permitir el acceso si está autenticada.

    Verificación

     Paso 1. Marque los livelogs ISE si se recibe la petición, tal y como se muestra en de la imagen.

    Paso 2. Marque si se selecciona el conjunto correcto de la directiva, tal y como se muestra en de la imagen.

    Paso 3. Marque si la petición se está remitiendo al servidor RADIUS externo.

    4. Si continúe a la directiva de la autorización en la opción del access-accept se selecciona, marcan si se está evaluando la directiva de la autorización.

    Troubleshooting

    Escenario 1:  Evento - pedido de RADIUS 5405 caído

    • La mayoría del asunto importante que necesita ser verificado es los pasos en el informe detallado de la autenticación. Si los pasos dicen el descanso de la petición del cliente RADIUS expiró, después significaría que el ISE no recibió ninguna respuesta del servidor RADIUS externo configurado. Esto puede suceder cuando:

               1. Hay un problema de conectividad con el servidor RADIUS externo. El ISE no puede alcanzar al servidor RADIUS externo en los puertos configurados para él.
               2. El ISE no se configura como un dispositivo de red o NAS en el servidor RADIUS externo.
               3. Los paquetes están siendo caídos por el servidor RADIUS externo por la configuración o debido a un cierto problema en el servidor RADIUS externo.

      Marque a las capturas de paquetes también para ver si no es un mensaje falso es decir, el ISE recibe el paquete detrás del servidor pero aún de los informes que la petición midió el tiempo hacia fuera.

    • Si los pasos dicen el pedido de reenvío del comienzo al servidor RADIUS remoto y al paso inmediato no es no más de servidor RADIUS externo; no puede realizar la Conmutación por falla, después significa que todos los servidores RADIUS externos configurados son actualmente muertos marcados y son las peticiones estén servidas solamente después de que expire el temporizador de emergencia.


      Note: El tiempo muerto predeterminado para los servidores RADIUS externos en el ISE es 5 minutos. Este valor está puesto en hard-code y no se puede modificar a partir de esta versión.

    • Si los pasos dicen el error encontrado cliente RADIUS durante el flujo de proceso y es seguido por Failed de remitir la petición al servidor RADIUS remoto actual; una respuesta inválida fue recibida, después significa que el ISE ha encontrado un problema mientras que remite la petición al servidor RADIUS externo. Esto se ve generalmente cuando el pedido de RADIUS enviado de la red Device/NAS al ISE no tiene el Nas-ip-address como uno de los atributos. Si no hay atributo del Nas-ip-address y si los servidores RADIUS externos son parados, el ISE puebla el campo del Nas-ip-address con el IP de la fuente del paquete. Sin embargo, esto no se aplica cuando un servidor RADIUS externo es funcionando. 

    Escenario 2: Evento - autenticación 5400 fallada

    • En este evento, si los pasos dicen 11368 revisan por favor abre una sesión al servidor RADIUS externo para determinar la razón exacta del incidente, después significaría que la autenticación ha fallado en el servidor RADIUS externo sí mismo y ha enviado un Access-Reject.

    • Si los pasos dicen 15039 rechazados por el perfil de la autorización, significa que el ISE recibió un access-accept del servidor RADIUS externo pero el ISE rechaza la autorización basada en las directivas de la autorización configuradas.


    • Si la razón del error en el ISE es cualquier otra cosa aparte de los que está mencionados aquí en caso de una falla de autenticación, después podría significar un problema potencial con la configuración o con el ISE sí mismo. Un caso TAC se recomienda para ser abierto en este momento. 
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Surendra Reddy
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros