Configurar servidores RADIUS externos no ISE

Opções de download

  • PDF     (2.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de Setembro de 2020
ID do documento:213239

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como um servidor RADIUS externo pode ser configurado como um servidor de autenticação no Identity Services Engine (ISE) em que o ISE atua como um proxy e também como um servidor de autorização. Neste documento, dois servidores ISE são usados, um age como um servidor externo ao outro. No entanto, qualquer servidor RADIUS pode ser usado como um servidor externo, desde que seja obedecido pela RFC.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento básico do protocolo RADIUS.
    • Experiência na configuração da política do ISE.

    Componentes Utilizados

    As informações neste documento são baseadas nas versões 2.4 e 2.2 do Cisco ISE.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Configurar o ISE (servidor de borda)

    Etapa 1. Vários servidores RADIUS externos podem ser configurados e usados para autenticar usuários no ISE. Para configurar servidores RADIUS externos, navegue para Administration > Network Resources > External RADIUS Servers > Add, conforme mostrado na imagem:

    Etapa 2. Para usar o servidor RADIUS externo configurado, é necessário configurar uma sequência de servidor RADIUS semelhante à sequência de origem da identidade. Para configurar o mesmo, navegue para Administration > Network Resources > RADIUS Server Sequences > Add, como mostrado na imagem.

       

    Note: Uma das opções disponíveis enquanto a sequência do servidor é criada é escolher se a Contabilidade deve ser feita localmente no ISE ou no servidor RADIUS externo. Com base na opção selecionada aqui, o ISE decide se deve proxy as solicitações de contabilidade ou armazenar esses logs localmente.

    3. Há uma seção adicional que oferece mais flexibilidade sobre como o ISE deve se comportar ao fazer proxy de solicitações para servidores RADIUS externos. Ele pode ser encontrado em Advanced Attribute Settings, como mostrado na imagem.

      • Configurações avançadas: Fornece opções para retirar o início ou o fim do nome de usuário em solicitações RADIUS usando um delimitador.

      • Modificar atributo na solicitação: Fornece a opção de modificar qualquer atributo RADIUS nas solicitações RADIUS. A lista aqui mostra quais atributos podem ser adicionados/removidos/atualizados:    

        User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7] 
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55] 
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75] 
Connect-Info--[77] 
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95] 
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]

      • Continue com a política de autorização no Access-Accept: Fornece uma opção para escolher se o ISE deve apenas enviar o Access-Accept como está ou continuar a fornecer acesso com base nas Políticas de autorização configuradas no ISE em vez da autorização fornecida pelo servidor RADIUS externo. Se essa opção estiver selecionada, a autorização fornecida pelo servidor RADIUS externo será substituída pela autorização fornecida pelo ISE.

        Note: Esta opção funciona somente se o servidor RADIUS externo enviar um Access-Accept em resposta ao RADIUS Access-Request.

      •  Modificar atributo antes de Access-Accept: Semelhante ao Atributo de Modificação na solicitação, os mesmos atributos mencionados anteriormente podem ser adicionados/removidos/atualizados presentes no Access-Accept enviado pelo servidor RADIUS externo antes de ser enviado ao dispositivo de rede.

    Etapa 4. A próxima parte é configurar os Conjuntos de Políticas para usar a Sequência de Servidores RADIUS em vez de Protocolos Permitidos, de modo que as solicitações sejam enviadas ao servidor RADIUS externo. Ele pode ser configurado em Política > Conjuntos de políticas . As políticas de autorização podem ser configuradas no Conjunto de políticas, mas só entram em vigor se a opção Continuar para a política de autorização no Access-Accept estiver selecionada. Caso contrário, o ISE simplesmente atua como um proxy para as solicitações RADIUS que correspondem às condições configuradas para esse Conjunto de políticas.

    Configurar servidor RADIUS externo 

    Etapa 1. Neste exemplo, outro servidor ISE (Versão 2.2) é usado como um servidor RADIUS externo chamado ISE_Backend_Server. O ISE (ISE_Fronend_Server) precisa ser configurado como um dispositivo de rede ou tradicionalmente chamado de NAS no servidor RADIUS externo (ISE_Backend_Server neste exemplo), já que o atributo NAS-IP-Address no Access-Request sendo encaminhado ao servidor RADIUS externo será substituído pelo próprio endereço IP do ISE_Fronend_Server. O segredo compartilhado a ser configurado é o mesmo configurado para o servidor RADIUS externo no ISE_Fronend_Server. 

    Etapa 2. O servidor RADIUS externo pode ser configurado com suas próprias políticas de autenticação e autorização para atender às solicitações enviadas por proxy pelo ISE. Neste exemplo, uma política simples é configurada para verificar o usuário nos usuários internos e, em seguida, permitir acesso se autenticado.

    Verificar

     Etapa 1. Verifique os registros de vida do ISE se a solicitação é recebida, como mostrado na imagem.

    Etapa 2. Verifique se o conjunto de políticas correto está selecionado, como mostrado na imagem.

    Etapa 3. Verifique se a solicitação está sendo encaminhada ao servidor RADIUS externo.

    4. Se a opção Continuar para a política de autorização no Access-Accept estiver selecionada, verifique se a política de autorização está sendo avaliada.

    Troubleshoot

    Cenário 1: Evento - Solicitação RADIUS 5405 cancelada

    • O mais importante que precisa ser verificado são as etapas do relatório de autenticação detalhado. Se as etapas disserem que o tempo limite de solicitação de cliente RADIUS expirou, isso significaria que o ISE não recebeu nenhuma resposta do servidor RADIUS externo configurado. Isso pode acontecer quando:

               1. Há um problema de conectividade com o servidor RADIUS externo. O ISE não consegue acessar o servidor RADIUS externo nas portas configuradas para ele.
               2. O ISE não está configurado como um dispositivo de rede ou NAS no servidor RADIUS externo.
               3. Os pacotes estão sendo descartados pelo servidor RADIUS externo por configuração ou devido a algum problema no servidor RADIUS externo.

      Verifique também as capturas de pacote para ver se não é uma mensagem falsa, ou seja, o ISE recebe o pacote de volta do servidor, mas ainda relata que a solicitação expirou.

    • Se as etapas indicarem Start forwarding request to remote RADIUS server e a etapa imediata for No more external RADIUS servers; não é possível executar failover, então isso significa que todos os servidores RADIUS externos configurados estão atualmente marcados como inativos e as solicitações só serão atendidas depois que o temporizador inoperante expirar.


      Note: O tempo de inatividade padrão para servidores RADIUS externos no ISE é de 5 minutos. Este valor está codificado e não pode ser modificado a partir desta versão.

    • Se as etapas indicarem que o cliente RADIUS encontrou um erro durante o fluxo de processamento e for seguido por Falha ao encaminhar a solicitação para o servidor RADIUS remoto atual; foi recebida uma resposta inválida,isso significa que o ISE encontrou um problema ao encaminhar a solicitação para o servidor RADIUS externo. Isso geralmente ocorre quando a solicitação RADIUS enviada do Network Device/NAS para o ISE não tem o NAS-IP-Address como um dos atributos. Se não houver nenhum atributo NAS-IP-Address e se os servidores RADIUS externos não estiverem em uso, o ISE preencherá o campo NAS-IP-Address com o IP de origem do pacote. No entanto, isso não se aplica quando um servidor RADIUS externo está em uso. 

    Cenário 2: Evento - Falha na autenticação 5400

    • Nesse caso, se as etapas indicarem 11368 Revise os registros no servidor RADIUS externo para determinar o motivo exato da falha, então isso significa que a autenticação falhou no próprio servidor RADIUS externo e enviou uma Rejeição de acesso.
    • Se as etapas indicarem 15039 Rejeitado por perfil de autorização, isso significa que o ISE recebeu um Access-Accept do servidor RADIUS externo, mas o ISE rejeita a autorização com base nas políticas de autorização configuradas.


    • Se o motivo da falha no ISE for qualquer outra coisa além daqueles mencionados aqui no caso de uma falha de autenticação, isso pode significar um problema potencial com a configuração ou com o próprio ISE. Recomenda-se a abertura de um caso de TAC neste ponto. 
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Surendra Reddy
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos