¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configuración de servidores RADIUS externos en ISE

Opciones de descarga

  • PDF     (2.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de septiembre de 2020
ID del documento:213239
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo se puede configurar un servidor RADIUS externo como servidor de autenticación en Identity Services Engine (ISE) donde ISE actúa como proxy y también como servidor de autorización. En este documento, se utilizan dos servidores ISE, uno actúa como servidor externo al otro. Sin embargo, cualquier servidor RADIUS se puede utilizar como un servidor externo siempre y cuando el RFC lo acate.

    prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico del protocolo RADIUS.
    • Experiencia en la configuración de políticas de ISE.

    Componentes Utilizados

    La información de este documento se basa en Cisco ISE versión 2.4 y 2.2.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada).Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Configuración de ISE (servidor frontal)

    Paso 1. Se pueden configurar y utilizar varios servidores RADIUS externos para autenticar usuarios en ISE. Para configurar los servidores RADIUS externos, navegue hasta Administration > Network Resources > External RADIUS Servers > Add, como se muestra en la imagen:

    Paso 2. Para utilizar el servidor RADIUS externo configurado, se debe configurar una secuencia de servidor RADIUS similar a la secuencia de origen de identidad. Para configurar lo mismo, navegue hasta Administration > Network Resources > RADIUS Server Sequences > Add, como se muestra en la imagen.

       

    Nota: Una de las opciones disponibles mientras se crea la secuencia del servidor, es elegir si la contabilidad se debe realizar localmente en el ISE o en el servidor RADIUS externo. En función de la opción seleccionada, ISE decide si desea realizar un proxy de las solicitudes de contabilidad o almacenar dichos registros localmente.

    3. Hay una sección adicional que ofrece más flexibilidad sobre cómo debe comportarse ISE al enviar solicitudes proxy a servidores RADIUS externos. Se puede encontrar en Configuración avanzada de atributos, como se muestra en la imagen.

      • Parámetros avanzados: Proporciona opciones para quitar el inicio o el final del nombre de usuario en solicitudes RADIUS mediante un delimitador.

      • Modificar atributo en la solicitud: Proporciona la opción de modificar cualquier atributo RADIUS en las solicitudes RADIUS. La lista aquí muestra qué atributos se pueden agregar/quitar/actualizar :    

        User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7] 
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55] 
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75] 
Connect-Info--[77] 
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95] 
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]

      • Continúe con la política de autorización en Access-Accept: Proporciona una opción para elegir si ISE debe enviar el Access-Accept tal como está o continuar para proporcionar acceso basado en las Políticas de Autorización configuradas en el ISE en lugar de la autorización proporcionada por el servidor RADIUS externo. Si se selecciona esta opción, la autorización proporcionada por el servidor RADIUS externo se sobrescribe con la autorización proporcionada por ISE.

        Nota: Esta opción funciona si y sólo si el servidor RADIUS externo envía un Access-Accept en respuesta a la solicitud de acceso RADIUS procesada.

      •  Modificar atributo antes de Access-Accept: Similar a Modificar atributo en la solicitud, los mismos atributos mencionados anteriormente pueden ser agregados/removidos/actualizados presentes en Access-Accept enviados por el servidor RADIUS externo antes de ser enviados al dispositivo de red.

    Paso 4. La siguiente parte es configurar los conjuntos de políticas para utilizar la secuencia de servidor RADIUS en lugar de los protocolos permitidos para que las solicitudes se envíen al servidor RADIUS externo. Se puede configurar en Política > Conjuntos de políticas . Las políticas de autorización se pueden configurar en el conjunto de políticas pero sólo entran en vigor si se selecciona Continuar con la política de autorización en la opción Access-Accept. De lo contrario, ISE actúa simplemente como proxy para las solicitudes RADIUS que coinciden con las condiciones configuradas para este conjunto de políticas.

    Configurar servidor RADIUS externo 

    Paso 1. En este ejemplo, se utiliza otro servidor ISE (versión 2.2) como servidor RADIUS externo denominado ISE_Backend_Server. El ISE (ISE_Frontent_Server) debe configurarse como dispositivo de red o se denomina tradicionalmente NAS en el servidor RADIUS externo (ISE_Backend_Server en este ejemplo), ya que el atributo NAS-IP-Address en la solicitud de acceso que se reenvía al servidor RADIUS externo se reemplazará por la propia dirección IP de ISE_Frontent_Server. El secreto compartido que se va a configurar es el mismo que el configurado para el servidor RADIUS externo en ISE_Frontent_Server. 

    Paso 2. El servidor RADIUS externo se puede configurar con sus propias políticas de autenticación y autorización para atender las solicitudes procesadas por ISE. En este ejemplo, se configura una política simple para verificar el usuario en los usuarios internos y después permitir el acceso si se autentican.

    Verificación

     Paso 1. Compruebe los intervalos de ISE si se recibe la solicitud, como se muestra en la imagen.

    Paso 2. Compruebe si está seleccionado el conjunto de políticas correcto, como se muestra en la imagen.

    Paso 3. Verifique si la solicitud se reenvía al servidor RADIUS externo.

    4. Si está seleccionada la opción Continuar con la política de autorización en la opción Aceptar acceso, verifique si se está evaluando la política de autorización.

    Troubleshoot

    Situación 1: Evento - Solicitud RADIUS 5405 descartada

    • Lo más importante que debe verificarse son los pasos del informe de autenticación detallado. Si los pasos indican que el tiempo de espera de la solicitud del cliente RADIUS expiró, entonces significaría que el ISE no recibió ninguna respuesta del servidor RADIUS externo configurado. Esto puede suceder cuando:

               1. Hay un problema de conectividad con el servidor RADIUS externo. ISE no puede alcanzar el servidor RADIUS externo en los puertos configurados para él.
               2. ISE no está configurado como dispositivo de red o NAS en el servidor RADIUS externo.
               3. El servidor RADIUS externo está descartando los paquetes por configuración o por algún problema en el servidor RADIUS externo.

      Verifique las capturas de paquetes también para ver si no es un mensaje falso, es decir, ISE recibe el paquete de vuelta del servidor pero aún así informa que la solicitud ha caducado.

    • Si los pasos indican Iniciar el reenvío de la solicitud al servidor RADIUS remoto y el paso inmediato No hay más servidores RADIUS externos; no se puede realizar la conmutación por fallas, significa que todos los servidores RADIUS externos configurados están actualmente marcados como muertos y las solicitudes sólo se atienden después de que venza el temporizador muerto.


      Nota: El tiempo muerto predeterminado para los servidores RADIUS externos en ISE es de 5 minutos. Este valor está codificado y no se puede modificar a partir de esta versión.

    • Si los pasos dicen que RADIUS-Client encontró un error durante el flujo de procesamiento y es seguido por Failed para reenviar la solicitud al servidor RADIUS remoto actual; se recibió una respuesta no válida,significa que ISE ha encontrado un problema al reenviar la solicitud al servidor RADIUS externo. Esto suele verse cuando la solicitud RADIUS enviada desde el Dispositivo/NAS de Red al ISE no tiene la dirección IP-NAS como uno de los atributos. Si no hay ningún atributo NAS-IP-Address y si los servidores RADIUS externos no están en uso, ISE rellena el campo NAS-IP-Address con la IP de origen del paquete. Sin embargo, esto no se aplica cuando un servidor RADIUS externo está en uso. 

    Escenario 2: Evento - Error de autenticación 5400

    • En este caso, si los pasos dicen 11368 Revise los registros en el servidor RADIUS externo para determinar el motivo exacto de la falla, entonces significaría que la autenticación ha fallado en el servidor RADIUS externo y ha enviado un Access-Reject.
    • Si los pasos indican 15039 Rechazado por perfil de autorización, significa que ISE recibió un Access-Accept del servidor RADIUS externo pero ISE rechaza la autorización basándose en las políticas de autorización configuradas.


    • Si la razón de la falla en el ISE es otra cosa aparte de las mencionadas aquí en caso de una falla de autenticación, entonces podría significar un problema potencial con la configuración o con el ISE mismo. Se recomienda abrir un caso TAC en este momento. 
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Surendra Reddy
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros