Externe RADIUS-servers configureren op ISE

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 augustus 2024
Document-id:213239

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u twee RADIUS-servers met RFC-compatibiliteit op ISE kunt configureren als respectievelijk proxy en autorisatie.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van het RADIUS-protocol
    • Expertise in Identity Services Engine (ISE) beleidsconfiguratie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco ISE versies 2.2 en 2.4.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Network Diagram

    ISE (Frontend Server) configureren

    Stap 1. Meerdere externe RADIUS-servers kunnen worden geconfigureerd en gebruikt om gebruikers op de ISE te verifiëren. Om externe RADIUS-servers te configureren, navigeert u naarAdministration > Network Resources > External RADIUS Servers > Add, zoals in de afbeelding wordt weergegeven:

    Configure Multiple External RADIUS Servers for User Authentication on ISE

    Configure Multiple External RADIUS Servers for User Authentication on ISE

    Stap 2. Om de geconfigureerde externe RADIUS-server te kunnen gebruiken, moet een RADIUS-serverreeks worden geconfigureerd die vergelijkbaar is met de bronreeks Identiteit. Om hetzelfde te configureren, navigeert u naarAdministration > Network Resources > RADIUS Server Sequences > Add, zoals weergegeven in de afbeelding:


    Configure RADIUS Server Sequences for External RADIUS Servers on ISE

    Configure RADIUS Server Sequences for External RADIUS Servers on ISE

    Opmerking: een van de opties die beschikbaar zijn tijdens het maken van de serverreeks, is kiezen of de boekhouding lokaal moet worden uitgevoerd op de ISE of op de externe RADIUS-server. Op basis van de hier gekozen optie beslist ISE of ze de boekhoudaanvragen proxy's of lokaal opslaan.

    Stap 3. Er is een extra sectie die meer flexibiliteit biedt over hoe ISE zich moet gedragen wanneer het proxy-verzoeken indient bij externe RADIUS-servers. U kunt het vinden onderAdvance Attribute Settings, zoals getoond in de afbeelding:

    Configure Advanced Attribute Settings for Proxying Requests to External RADIUS Servers on ISE

      • Geavanceerde instellingen: biedt opties om het begin of het einde van de gebruikersnaam in RADIUS-verzoeken te verwijderen met een scheidingsteken.
      • Attribuut wijzigen in het verzoek: biedt de optie om elk RADIUS-attribuut in de RADIUS-verzoeken te wijzigen. De lijst hier toont de attributen die kunnen worden toegevoegd / verwijderd / bijgewerkt:

        User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7] 
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55] 
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75] 
Connect-Info--[77] 
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95] 
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]

      • Doorgaan naar Autorisatiebeleid voor toegang-accepteren: biedt de optie om te kiezen of ISE de toegang-accepteren moet verzenden zoals deze is of doorgaan met toegang bieden op basis van het Autorisatiebeleid dat is geconfigureerd op de ISE in plaats van de autorisatie die is verleend door de externe RADIUS-server. Als deze optie is geselecteerd, wordt de autorisatie die door de externe RADIUS-server wordt verstrekt, overschreven met de autorisatie die door ISE wordt verstrekt.

        Opmerking: deze optie werkt alleen als de externe RADIUS-server eenAccess-Acceptreactie verzendt op het benaderde RADIUS-toegangsverzoek.

      • Attribuut wijzigen vóór Access-Accept: Net als bij de eerder genoemde attributen kunnen de attributen die aanwezig zijn in de Access-Accept die door de externe RADIUS-server is verzonden worden toegevoegd/verwijderd/bijgewerkt voordat deze naar het netwerkapparaat wordt verzondenModify Attribute in the request.

    Stap 4. Het volgende deel is het configureren van de beleidssets om de RADIUS-serverreeks te gebruiken in plaats van toegestane protocollen, zodat de verzoeken naar de externe RADIUS-server worden verzonden. Het kan worden geconfigureerd onderPolicy > Policy Sets. Autorisatiebeleid kan worden geconfigureerd onder dePolicy Setvoorwaarden, maar treedt alleen in werking als voor deContinue to Authorization Policy on Access-Acceptoptie wordt gekozen. Zo niet, dan fungeert ISE gewoon als een proxy voor de RADIUS-verzoeken om te voldoen aan de voorwaarden die zijn geconfigureerd voor deze beleidsset.

    Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE

    Configure Policy Sets for Sending Requests to External RADIUS Server and Authorization Policies on ISE

    De externe RADIUS-server configureren 

    Stap 1. In dit voorbeeld wordt een andere ISE-server (versie 2.2) gebruikt als een externe RADIUS-server met de naamISE_Backend_Server. De ISE (ISE_Frontend_Server) moet worden geconfigureerd als een netwerkapparaat of traditioneel NAS worden genoemd in de externe RADIUS-server (ISE_Backend_Serverin dit voorbeeld), omdat hetNAS-IP-Addresskenmerk in het Access-Request dat wordt doorgestuurd naar de externe RADIUS-server wordt vervangen door het IP-adres van deISE_Frontend_Server. Het gedeelde geheim dat moet worden geconfigureerd, is hetzelfde als het gedeelde geheim dat is geconfigureerd voor de externe RADIUS-server op deISE_Frontend_Servercomputer.

    Configure ISE Frontend Server as a Network Device for ISE_Backend_Server (External RADIUS Server)

    Stap 2. De externe RADIUS-server kan worden geconfigureerd met een eigen verificatie- en autorisatiebeleid om de verzoeken te kunnen verwerken die door de ISE zijn gepropageerd. In dit voorbeeld wordt een eenvoudig beleid geconfigureerd om de gebruiker in de interne gebruikers te controleren en vervolgens toegang toe te staan als deze is geverifieerd.

    Configure Authentication and Authorization Policies on External RADIUS Server for Proxy Requests from ISE

    Verifiëren

    Stap 1. Controleer ISE live logs als het verzoek is ontvangen, zoals weergegeven in de afbeelding.

    Check ISE Live Logs for Received Requests

    Stap 2. Controleer of de juiste beleidsset is geselecteerd, zoals wordt weergegeven in de afbeelding.

    Verify Chosen Policy Set for Request in ISE

    Stap 3. Controleer of het verzoek is doorgestuurd naar de externe RADIUS-server.

    Verify Forwarding of Request to External RADIUS Server

    4. Als voor deContinue to Authorization Policy on Access-Acceptoptie wordt gekozen, controleer dan of het machtigingsbeleid wordt geëvalueerd.

    Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen

    Verify Evaluation of Authorization Policy when 'Continue to Authorization Policy on Access-Accept' is Chosen

    Problemen oplossen

    Scenario 1. Gebeurtenis - 5405 RADIUS-aanvraag ingetrokken

    • Het belangrijkste dat moet worden geverifieerd, zijn de stappen in het gedetailleerde verificatierapport. Als in de stappen de "Time-out voor RADIUS-clientaanvragen is verlopen", betekent dit dat de ISE geen reactie heeft ontvangen van de geconfigureerde externe RADIUS-server. Dit kan gebeuren wanneer:
    1. Er is een verbindingsprobleem met de externe RADIUS-server. ISE kan de externe RADIUS-server niet bereiken op de poorten die ervoor zijn geconfigureerd.
    2. ISE is niet geconfigureerd als netwerkapparaat of NAS op de externe RADIUS-server.
    3. Pakketten worden door de externe RADIUS-server gedropt, hetzij door configuratie of vanwege een probleem op de externe RADIUS-server.

      Verify Steps in Authentication Report and Troubleshoot Connectivity Issues with External RADIUS Server

    Controleer ook pakketopnames om te zien of het geen vals bericht is; dat wil zeggen, ISE ontvangt het pakket terug van de server, maar meldt nog steeds dat de aanvraag is verlopen.

    Verify Packet Captures for False Timeout Reports in ISE

    • Als in de stappen "Start forwarding request to remote RADIUS server" staat en de onmiddellijke stap "Geen externe RADIUS servers meer; kan geen failover uitvoeren" is, Dit betekent dat alle geconfigureerde externe RADIUS-servers momenteel dood zijn gemarkeerd en dat de verzoeken alleen worden verzonden nadat de dode timer is verlopen.

      Troubleshoot Dead External RADIUS Servers and Failover Issues in ISE



      Opmerking: De standaard dode tijd voor externe RADIUS-servers in ISE is 5 minuten. Deze waarde is hardcoded en kan niet worden gewijzigd vanaf deze versie.

    • Als de stappen "RADIUS-Client aangetroffen fout tijdens verwerkingsstroom" en worden gevolgd door "Verzoek niet doorgestuurd naar huidige externe RADIUS-server; een ongeldig antwoord is ontvangen", betekent dit dat ISE een probleem heeft ondervonden terwijl het verzoek naar de externe RADIUS-server werd doorgestuurd. Dit wordt meestal gezien wanneer het RADIUS-verzoek dat van het netwerkapparaat/NAS naar de ISE wordt verzonden, niet het NAS-IP-adres als een van de kenmerken heeft. Als er geen NAS-IP-adres is en als externe RADIUS-servers niet in gebruik zijn, vult ISE het NAS-IP-adres in veld met de IP-bron van het pakket. Dit geldt echter niet wanneer een externe RADIUS-server in gebruik is.

    Scenario 2. Gebeurtenis - 5400-verificatie mislukt

    • In dit geval, als in de stappen "11368 Controleer de logs op de externe RADIUS-server om de precieze reden van de storing te bepalen" staatDit betekent echter dat de verificatie op de externe RADIUS-server zelf is mislukt en dat deze een Access-Reject heeft verzonden.

      Troubleshoot Authentication Failure on External RADIUS Server and Access-Reject Response
    • Als in de stappen "15039 Afgewezen per autorisatieprofiel" staat, betekent dit dat ISE een Access-Accept heeft ontvangen van de externe RADIUS-server, maar ISE de autorisatie afwijst op basis van het geconfigureerde autorisatiebeleid.

      Troubleshoot Authorization Rejection Based on Authorization Policies in ISE
    • Als de storingsreden op de ISE iets anders is dan de redenen die hier worden genoemd in het geval van een verificatiefout, kan dit een potentieel probleem met de configuratie of met de ISE zelf betekenen. Aanbevolen wordt om op dit punt een TAC-geval te openen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    12-Aug-2024
    Opmaak en interpunctie, revisie.
    1.0
    23-Apr-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Surendra Reddy
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten