Introduzione
In questo documento viene descritto come configurare un server RADIUS su ISE come proxy e server di autorizzazione. In questo caso, vengono utilizzati due server ISE, uno dei quali funge da server esterno. Tuttavia, è possibile utilizzare qualsiasi server RADIUS compatibile con RFC.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Conoscenze base del protocollo RADIUS
- Esperienza nella configurazione delle policy di Identity Services Engine (ISE)
Componenti usati
Il riferimento delle informazioni contenute in questo documento è Cisco ISE versioni 2.2 e 2.4.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
![Network Diagram](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-00.png)
Configurazione di ISE (Frontend Server)
Passaggio 1. Per autenticare gli utenti sull'ISE, è possibile configurare e utilizzare più server RADIUS esterni. Per configurare i server RADIUS esterni, passare a Administration > Network Resources > External RADIUS Servers > Add
, come mostrato nell'immagine:
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-01.png)
![Configure Multiple External RADIUS Servers for User Authentication on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-02.png)
Passaggio 2. Per utilizzare il server RADIUS esterno configurato, è necessario configurare una sequenza di server RADIUS simile alla sequenza di origine Identity. Per configurare lo stesso, passare a Administration > Network Resources > RADIUS Server Sequences > Add
, come illustrato nell'immagine.
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-03.png)
![Configure RADIUS Server Sequences for External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-04.png)
Nota: una delle opzioni disponibili durante la creazione della sequenza del server consiste nel scegliere se l'accounting deve essere eseguito localmente sull'ISE o sul server RADIUS esterno. In base all'opzione scelta qui, ISE decide se inoltrare le richieste di accounting o archiviare i log a livello locale.
Passaggio 3. C'è una sezione aggiuntiva che offre maggiore flessibilità su come ISE deve comportarsi quando inoltra le richieste ai server RADIUS esterni. È disponibile in Advance Attribute Settings
, come illustrato nell'immagine.
![Configure Advanced Attribute Settings for Proxying Requests to External RADIUS Servers on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-05.png)
- Impostazioni avanzate: fornisce opzioni per rimuovere l'inizio o la fine del nome utente nelle richieste RADIUS con un delimitatore.
- Modify Attribute in the request: fornisce l'opzione per modificare qualsiasi attributo RADIUS nelle richieste RADIUS. L'elenco mostra gli attributi che possono essere aggiunti/rimossi/aggiornati:
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
Continue to Authorization Policy on Access-Accept: fornisce un'opzione per scegliere se ISE deve semplicemente inviare l'Access-Accept così com'è o procedere per fornire l'accesso in base ai criteri di autorizzazione configurati sull'ISE piuttosto che all'autorizzazione fornita dal server RADIUS esterno. Se questa opzione è selezionata, l'autorizzazione fornita dal server RADIUS esterno viene sovrascritta dall'autorizzazione fornita da ISE.
Nota: questa opzione funziona solo se il server RADIUS esterno invia un Access-Accept
in risposta alla richiesta di accesso RADIUS proxy.
-
Modifica attributo prima di Access-Accept: simile alla Modify Attribute in the request
, gli attributi menzionati in precedenza possono essere aggiunti/rimossi/aggiornati presenti nell'Access-Accept inviato dal server RADIUS esterno prima dell'invio al dispositivo di rete.
Passaggio 4. La parte successiva consiste nel configurare i set di criteri in modo da utilizzare la sequenza di server RADIUS anziché i protocolli consentiti in modo che le richieste vengano inviate al server RADIUS esterno. Può essere configurato in Policy > Policy Sets
. I criteri di autorizzazione possono essere configurati in Policy Set
ma entrano in vigore solo se il Continue to Authorization Policy on Access-Accept
è selezionata. In caso contrario, ISE agirà semplicemente come proxy per le richieste RADIUS in modo da soddisfare le condizioni configurate per questo set di criteri.
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-06.png)
![Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-07.png)
Configurare il server RADIUS esterno
Passaggio 1. Nell'esempio, viene usato un altro server ISE (versione 2.2) come server RADIUS esterno denominato ISE_Backend_Server
. L'interfaccia ISEISE_Frontend_Server
) deve essere configurato come dispositivo di rete o denominato in modo tradizionale NAS nel server RADIUS esterno (ISE_Backend_Server
in questo esempio), poiché NAS-IP-Address
nella richiesta di accesso inoltrata al server RADIUS esterno viene sostituito con l'indirizzo IP delISE_Frontend_Server
. Il segreto condiviso da configurare è uguale a quello configurato per il server RADIUS esterno sul server ISE_Frontend_Server
.
![Configure ISE_Frontend_Server as a Network Device for ISE_Backend_Server (External RADIUS Server)](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-08.png)
Passaggio 2. Il server RADIUS esterno può essere configurato con propri criteri di autenticazione e autorizzazione in modo da soddisfare le richieste inoltrate dall'ISE. In questo esempio, viene configurato un criterio semplice per controllare l'utente negli utenti interni e quindi consentire l'accesso se autenticato.
![Configure Authentication and Authorization Policies on External RADIUS Server for Proxy Requests from ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-09.png)
Verifica
Passaggio 1. Controllare se la richiesta è stata ricevuta dal vivo, come mostrato nell'immagine.
![Check ISE Live Logs for Received Requests](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-10.png)
Passaggio 2. Verificare che sia selezionato il set di criteri corretto, come mostrato nell'immagine.
![Verify Chosen Policy Set for Request in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-11.png)
Passaggio 3. Verificare se la richiesta viene inoltrata al server RADIUS esterno.
![Verify Forwarding of Request to External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-12.png)
4. Se il Continue to Authorization Policy on Access-Accept
è stata scelta, verificare se il criterio di autorizzazione è stato valutato.
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-13.png)
![Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-14.png)
Risoluzione dei problemi
Scenario 1. Evento - Richiesta RADIUS 5405 ignorata
- La cosa più importante da verificare sono i passaggi del report dettagliato sull'autenticazione. Se i passaggi indicano
RADIUS-Client request timeout expired
, significa che l'ISE non ha ricevuto alcuna risposta dal server RADIUS esterno configurato. Questo problema può verificarsi quando:
- Problema di connettività con il server RADIUS esterno. ISE non è in grado di raggiungere il server RADIUS esterno sulle porte configurate per tale server.
- ISE non è configurato come dispositivo di rete o NAS sul server RADIUS esterno.
- I pacchetti vengono scartati dal server RADIUS esterno in base alla configurazione o a causa di un problema nel server RADIUS esterno.
![Verify Steps in Authentication Report and Troubleshoot Connectivity Issues with External RADIUS Server](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-15.png)
Controllare anche le acquisizioni dei pacchetti per verificare se non è un messaggio falso, ossia se ISE riceve il pacchetto dal server, ma segnala comunque il timeout della richiesta.
![Verify Packet Captures for False Timeout Reports in ISE](/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-16.png)
Scenario 2. Evento - Autenticazione 5400 non riuscita
- In questo caso, se i passaggi indicano
11368 Please review logs on the External RADIUS Server to determine the precise failure reason
, significa che l'autenticazione non è riuscita sul server RADIUS esterno e che è stato inviato un messaggio di rifiuto di accesso.
- Se i passaggi dicono
15039 Rejected per authorization profile
, significa che ISE ha ricevuto un'autorizzazione di accesso dal server RADIUS esterno, ma che rifiuta l'autorizzazione in base ai criteri di autorizzazione configurati.
- Se il
Failure Reason
se l'ISE è un'applicazione diversa da quelle citate in questo documento in caso di errore di autenticazione, potrebbe significare un potenziale problema con la configurazione o con l'ISE stessa. Si consiglia di aprire una richiesta TAC a questo punto.