Introducción
Este documento describe cómo se puede configurar un servidor RADIUS externo como servidor de autenticación en Identity Services Engine (ISE) donde ISE actúa como proxy y también como servidor de autorización. En este documento, se utilizan dos servidores ISE, uno actúa como servidor externo al otro. Sin embargo, cualquier servidor RADIUS se puede utilizar como un servidor externo siempre y cuando el RFC lo acate.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico del protocolo RADIUS.
- Experiencia en la configuración de políticas de ISE.
Componentes Utilizados
La información de este documento se basa en Cisco ISE versión 2.4 y 2.2.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red

Configuración de ISE (servidor frontal)
Paso 1. Se pueden configurar y utilizar varios servidores RADIUS externos para autenticar usuarios en ISE. Para configurar los servidores RADIUS externos, navegue hasta Administration > Network Resources > External RADIUS Servers > Add, como se muestra en la imagen:


Paso 2. Para utilizar el servidor RADIUS externo configurado, se debe configurar una secuencia de servidor RADIUS similar a la secuencia de origen de identidad. Para configurar lo mismo, navegue hasta Administration > Network Resources > RADIUS Server Sequences > Add, como se muestra en la imagen.


Nota: Una de las opciones disponibles mientras se crea la secuencia del servidor, es elegir si la contabilidad se debe realizar localmente en el ISE o en el servidor RADIUS externo. En función de la opción seleccionada, ISE decide si desea realizar un proxy de las solicitudes de contabilidad o almacenar dichos registros localmente.
3. Hay una sección adicional que ofrece más flexibilidad sobre cómo debe comportarse ISE al enviar solicitudes proxy a servidores RADIUS externos. Se puede encontrar en Configuración avanzada de atributos, como se muestra en la imagen.

- Parámetros avanzados: Proporciona opciones para quitar el inicio o el final del nombre de usuario en solicitudes RADIUS mediante un delimitador.
- Modificar atributo en la solicitud: Proporciona la opción de modificar cualquier atributo RADIUS en las solicitudes RADIUS. La lista aquí muestra qué atributos se pueden agregar/quitar/actualizar :
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
Continúe con la política de autorización en Access-Accept: Proporciona una opción para elegir si ISE debe enviar el Access-Accept tal como está o continuar para proporcionar acceso basado en las Políticas de Autorización configuradas en el ISE en lugar de la autorización proporcionada por el servidor RADIUS externo. Si se selecciona esta opción, la autorización proporcionada por el servidor RADIUS externo se sobrescribe con la autorización proporcionada por ISE.
Nota: Esta opción funciona si y sólo si el servidor RADIUS externo envía un Access-Accept en respuesta a la solicitud de acceso RADIUS procesada.
-
Modificar atributo antes de Access-Accept: Similar a Modificar atributo en la solicitud, los mismos atributos mencionados anteriormente pueden ser agregados/removidos/actualizados presentes en Access-Accept enviados por el servidor RADIUS externo antes de ser enviados al dispositivo de red.
Paso 4. La siguiente parte es configurar los conjuntos de políticas para utilizar la secuencia de servidor RADIUS en lugar de los protocolos permitidos para que las solicitudes se envíen al servidor RADIUS externo. Se puede configurar en Política > Conjuntos de políticas . Las políticas de autorización se pueden configurar en el conjunto de políticas pero sólo entran en vigor si se selecciona Continuar con la política de autorización en la opción Access-Accept. De lo contrario, ISE actúa simplemente como proxy para las solicitudes RADIUS que coinciden con las condiciones configuradas para este conjunto de políticas.


Configurar servidor RADIUS externo
Paso 1. En este ejemplo, se utiliza otro servidor ISE (versión 2.2) como servidor RADIUS externo denominado ISE_Backend_Server. El ISE (ISE_Frontent_Server) debe configurarse como un dispositivo de red o se denomina tradicionalmente NAS en el servidor RADIUS externo (ISE_Backend_Server en este ejemplo), ya que el atributo NAS-IP-Address en la solicitud de acceso que se reenvía al servidor RADIUS externo se reemplazará por la propia dirección IP de ISE_Frontent_Server. El secreto compartido que se va a configurar es el mismo que el configurado para el servidor RADIUS externo en ISE_Frontent_Server.

Paso 2. El servidor RADIUS externo se puede configurar con sus propias políticas de autenticación y autorización para atender las solicitudes procesadas por ISE. En este ejemplo, se configura una política simple para verificar el usuario en los usuarios internos y después permitir el acceso si se autentican.

Verificación
Paso 1. Compruebe los intervalos de ISE si se recibe la solicitud, como se muestra en la imagen.

Paso 2. Compruebe si está seleccionado el conjunto de políticas correcto, como se muestra en la imagen.

Paso 3. Verifique si la solicitud se reenvía al servidor RADIUS externo.

4. Si está seleccionada la opción Continuar con la política de autorización en la opción Aceptar acceso, verifique si se está evaluando la política de autorización.


Troubleshoot
Situación 1: Evento - Solicitud RADIUS 5405 descartada
Escenario 2: Evento - Error de autenticación 5400
- En este caso, si los pasos dicen 11368 Revise los registros en el servidor RADIUS externo para determinar el motivo exacto de la falla, entonces significaría que la autenticación ha fallado en el servidor RADIUS externo y ha enviado un Access-Reject.
- Si los pasos indican 15039 Rechazado por perfil de autorización, significa que ISE recibió un Access-Accept del servidor RADIUS externo pero ISE rechaza la autorización basándose en las políticas de autorización configuradas.
- Si la razón de la falla en el ISE es otra cosa aparte de las mencionadas aquí en caso de una falla de autenticación, entonces podría significar un problema potencial con la configuración o con el ISE mismo. Se recomienda abrir un caso TAC en este momento.