ISE の設定 外部のRADIUSサーバ

概要

ISE が許可 サーバとしてプロキシをおよび同様に機能するところ外部のRADIUSサーバが Identity Services Engine （ISE）の認証サーバでどのように設定することができるかこの資料に記述されています。 この資料では、2 つの ISE サーバは他に外部サーバとして、1 つ機能します使用されます。 ただし RFC によって従われる限り、どの RADIUSサーバでも外部サーバとして使用することができます。

前提条件

要件

次の項目に関する知識が推奨されます。

• RADIUSプロトコルの基本的な知識。
• ISE ポリシー 設定の専門知識。

使用するコンポーネント

この 文書に記載されている 情報は基づいた on Cisco ISE バージョン 2.4 および 2.2 です。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

設定

ネットワーク図

設定 ISE （前陣サーバ）

ステップ 1.複数の外部のRADIUSサーバは ISE のユーザを認証するために設定され、使用することができます。 外部のRADIUSサーバを、ナビゲート、イメージに示すように Administration > ネットワークリソース > 外部のRADIUSサーバ > Add に設定するため:

呼び出します。 設定された外部のRADIUSサーバを使用するために、RADIUSサーバ シーケンスは識別出典 シーケンスへの設定された類似したでなければなりません。 同じを、ナビゲートはイメージに示すように Administration > ネットワークリソース > RADIUSサーバに設定するために > Add を、配列します。

   

注: サーバ シーケンスが作成される間、利用可能 な ISE または外部のRADIUSサーバでオプションの 1 つは、ローカルでする必要があります会計を『IF』 を選択 することです。 ここに選択されるオプションに基づいて ISE はかどうかプロキシに会計 要求決定するか、またはそれらのログをローカルで保存します。

3. 追加セクションがあります ISE が要求をどのようにの外部のRADIUSサーバに proxying とき動作する必要があるか一層の柔軟性を与える。 それはイメージに示すように先発アトリビュート設定の下で、見つけることができます。

• 詳細設定: デリミタを使用してのユーザ名の開始するか端を RADIUS 要求除去するオプションを提供します。
  
  
• 要求の修正する アトリビュート: RADIUS 要求の RADIUS特性を修正するオプションを提供します。 ここのリストはすべての属性が追加され//更新ことができるかどれを示します取除く:   
  
  

  User-Name--[1]
  NAS-IP-Address--[4]
  NAS-Port--[5]
  Service-Type--[6]
  Framed-Protocol--[7] 
  Framed-IP-Address--[8]
  Framed-IP-Netmask--[9]
  Filter-ID--[11]
  Framed-Compression--[13]
  Login-IP-Host--[14]
  Callback-Number--[19]
  State--[24]
  VendorSpecific--[26]
  Called-Station-ID--[30]
  Calling-Station-ID--[31]
  NAS-Identifier--[32]
  Login-LAT-Service--[34]
  Login-LAT-Node--[35]
  Login-LAT-Group--[36]
  Event-Timestamp--[55] 
  Egress-VLANID--[56]
  Ingress-Filters--[57]
  Egress-VLAN-Name--[58]
  User-Priority-Table--[59]
  NAS-Port-Type--[61]
  Port-Limit--[62]
  Login-LAT-Port--[63]
  Password-Retry--[75] 
  Connect-Info--[77] 
  NAS-Port-Id--[87]
  Framed-Pool--[88]
  NAS-Filter-Rule--[92]
  NAS-IPv6-Address--[95] 
  Framed-Interface-Id--[96]
  Framed-IPv6-Prefix--[97]
  Login-IPv6-Host--[98]
  Error-Cause--[101]
  Delegated-IPv6-Prefix--[123]
  Framed-IPv6-Address--[168]
  DNS-Server-IPv6-Address--[169]
  Route-IPv6-Information--[170]
  Delegated-IPv6-Prefix-Pool--[171]
  Stateful-IPv6-Address-Pool--[172]

• Access-Accept で承認ポリシーに進んで下さい: 送信 するあるまたは外部のRADIUSサーバによって提供される許可よりもむしろ提供することを続行するべきです設定される承認ポリシーに基づいて ISE でアクセスを提供しますと同時に ISE を『IF』 を選択 する オプションをちょうど Access-Accept を。 このオプションは ISE によって提供される許可と選択されます、外部のRADIUSサーバによって提供される許可上書きされますあります。
  

  注: このオプションは外部のRADIUSサーバが proxied RADIUS Access-Request に応じて Access-Accept を送信 するときだけはたらき。

•  Access-Accept の前の修正する アトリビュート: 要求の修正する アトリビュートに類似した、上記される同じ属性はネットワークデバイスに送信 される前に/外部のRADIUSサーバによって送信 される Access-Accept の取除かれた追加する/更新済提供ことができます。

ステップ 4 次の一部は要求が外部のRADIUSサーバに送信 されるように許可されたプロトコルの代りに RADIUSサーバ シーケンスを使用するためにポリシー セットを設定するべきです。 それはポリシー > ポリシー セットの下で設定しますある場合もあります。 規則的な認証 および 権限ポリシーはポリシー セットの下で設定することができますが、Access-Accept オプションで承認ポリシーに選択されれば進む場合その時だけ実施されます。 そうでなかったら、ISE は設定 されるこのポリシーのために設定される条件と一致する RADIUS 要求のためのプロキシとして単に機能します。

設定 外部のRADIUSサーバ 

ステップ 1： この例では、別の ISE サーバ（バージョン 2.2）は ISE_Backend_Server と指名される外部のRADIUSサーバとして使用されます。 外部のRADIUSサーバに転送される ISE_Frontend_Server の自身の IP アドレスと Access-Request の NAS-IP-Address アトリビュートが取り替えられるので ISE （ISE_Frontend_Server）は外部のRADIUSサーバ（この例の ISE_Backend_Server）のネットワークデバイスか従来呼出された NAS で設定される必要があります。 設定されるべき共有秘密は ISE_Frontend_Server の外部のRADIUSサーバのために設定されるものと同じです。 

呼び出します。 外部のRADIUSサーバは自身の認証 および 権限ポリシーで ISE によって proxied 要求を動作するために設定することができます。 次にこの例では、簡単なポリシーは認証された場合内部ユーザおよび割り当てアクセスのユーザをチェックするために設定されます。

確認

 ステップ 1： 要求が受け取られたらイメージに示すように ISE livelogs を、チェックして下さい。

呼び出します。 正しいポリシー セットが選択されるイメージに示すようにかどうか、チェックして下さい。

ステップ 3 要求が外部のRADIUSサーバに転送されているかどうか確認して下さい。

4. 承認ポリシーは評価されているかどうか Access-Accept オプションで承認ポリシーに選択されたり、確認すれば進みなさい。

トラブルシューティング

シナリオ 1：  イベント-廃棄される 5405 RADIUS 要求

• 確認される必要があるほとんどの重要な事柄は詳しい認証レポートのステップです。 ステップが切れる RADIUSクライアント 要求 タイムアウトを言う場合 ISE が設定された外部のRADIUSサーバから応答を受け取らなかったことを意味します。 これは次の場合には起こる場合があります:
  
           1. 外部のRADIUSサーバにおいての接続上の問題があります。 ISE はそれのために設定されるポートの外部のRADIUSサーバに達することができません。
           2. ISE は外部のRADIUSサーバのネットワークデバイスか NAS で設定されません。
           3.パケットは設定によるまたは外部のRADIUSサーバの問題が理由で外部のRADIUSサーバによって廃棄されています。
  
  それがすなわち偽メッセージでなかったら、ISE をパケットキャプチャを受け取ります要求が時間を計ったというまだレポートしかしサーバからパケット背部を同様にチェックして下さい。
  
  
• ステップが言えばリモートRADIUSサーバおよび緊急の措置への開始する フォーワーディング要求はこれ以上の外部のRADIUSサーバではないです; フェールオーバーを行うことができませんそしてデッド タイマーが切れた後だけすべての設定された外部のRADIUSサーバが現在マークされた死者である要求が動作されるあることを意味し。
  
  

  
  

  注: ISE の外部のRADIUSサーバのためのデフォルト デッドタイムは 5 分です。 この値はハードコードされ、このバージョンの時点で修正することができません。

• ステップがプロセス フローの間に RADIUSクライアントによって見つけられるエラーをおよび言えば現在のリモートRADIUSサーバへの forward 要求への失敗するに先行させています; 無効 な応答は受け取られました、そして要求を外部のRADIUSサーバに転送している間 ISE が問題に直面したことを意味します。 これは通常ネットワーク Device/NAS から ISE に送信 される RADIUS 要求に属性の 1 つとして NAS-IP-Address がないとき見られます。 NAS-IP-Address アトリビュートがなければ、そして外部のRADIUSサーバが使用中でなければ、ISE はパケットの出典 IP との NAS-IP-Address フィールドにデータ入力します。 ただし、これは外部のRADIUSサーバが使用中であると適用しません。 
  

シナリオ 2： イベント- 5400 認証は失敗しました

• 11368 は検討することをこのイベントでは、ステップが言えば認証が外部のRADIUSサーバ自体で失敗し、Access-Reject を送信 したことを外部のRADIUSサーバを意味します精密な失敗原因、そしてそれを判別するためにログオンします。
  
  
• ステップが許可 プロファイルごとに拒否される 15039 を言う場合 ISE が外部のRADIUSサーバから Access-Accept を受け取ったが、ISE が設定される承認ポリシーに基づいて許可を拒否することを意味します。
  
  
  
• ISE の失敗原因が認証失敗の場合にはここに述べられる物から離れて何か他のものである場合設定または ISE 自体においての潜在的な問題を意味する可能性があります。 TAC ケースはこの時点でオープンされるために推奨されます。