تكوين تدفق التخويل لجلسات عمل معرف الخامل في ISE 3.2

خيارات التنزيل

  • PDF     (596.5 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٦ فبراير ٢٠٢٣
معرّف المستند:220239

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين قواعد التخويل لأحداث معرف خامل لتخصيص الرقيب في الجلسات.

    معلومات أساسية

    لا تقوم خدمات الهوية السلبية (معرف خامل) بمصادقة المستخدمين مباشرة، ولكنها تجمع هويات المستخدمين وعناوين IP من خوادم المصادقة الخارجية مثل Active Directory (AD)، المعروفة باسم الموفرين، ثم تقوم بمشاركة تلك المعلومات مع المشتركين.

    يقدم ISE 3.2 ميزة جديدة تسمح لك بتكوين سياسة تفويض لتعيين رقم مجموعة أمان (SGT) لمستخدم استنادا إلى عضوية مجموعة Active Directory.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • ISE 3.x من Cisco
    • تكامل المعرف السلبي مع أي موفر
    • إدارة Active Directory (AD)
    • التقسيم (TrustSec)
    • PxGrid (شبكة تبادل الأنظمة الأساسية)

    المكونات المستخدمة

    • برنامج محرك خدمة الهوية (ISE)، الإصدار 3.2
    • Microsoft Active Directory
    • Syslogs

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الخطوة 1. تمكين خدمات ISE.

    1. في ISE، انتقل إلى إدارة > نشر، واختر عقدة ISE وانقر فوق تحرير، وقم بتمكين خدمة السياسة واختر تمكين خدمة الهوية السلبية. إختياري، يمكنك تمكين SXP و PxGrid إذا كانت جلسات معرف الخامل بحاجة إلى أن يتم نشرها من خلال كل جلسة. انقر فوق حفظ.

    تحذير: لا يمكن نشر تفاصيل SGT الخاصة بمستخدمي تسجيل دخول PassiveID الذين تم التصديق عليهم بواسطة موفر واجهة برمجة التطبيقات (API) في SXP. ومع ذلك، يمكن نشر تفاصيل الرقباء الخاصة بهؤلاء المستخدمين من خلال نظامي PXgrid و PXgrid.

    الخدمات الممكنةالخدمات الممكنة

    الخطوة 2. قم بتكوين Active Directory.

    1. انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية واختر Active Directory ثم انقر على زر إضافة.
    2. أدخل اسم نقطة الاتصال ومجال Active Directory. انقر على إرسال.

    إضافة Active Directoryإضافة Active Directory

    3. يظهر أن منبثق ينضم إلى ISE إلى AD. طقطقة نعم. أدخل اسم المستخدم وكلمة المرور. وانقر فوق OK.

    متابعة الانضمام إلى ISEمتابعة الانضمام إلى ISE الانضمام إلى Active Directoryالانضمام إلى Active Directory

    4. إسترداد مجموعات الإعلانات. انتقل إلى مجموعات، وانقر فوق إضافة، ثم انقر فوق إسترداد المجموعات واختر جميع المجموعات المهتمة وانقر فوق موافق.

    إسترداد مجموعات الإعلاناتإسترداد مجموعات الإعلانات

    المجموعات التي تم إستردادهاالمجموعات التي تم إستردادها

    5. تمكين تدفق التخويل. انتقل إلى إعدادات متقدمة وفي قسم إعدادات PassiveID حدد خانة الاختيار تدفق التخويل. انقر فوق حفظ.

    تمكين تدفق التخويلتمكين تدفق التخويل

    الخطوة 3. قم بتكوين موفر syslog.

    1. انتقل إلى مراكز العمل > PassiveID > الموفرون، واختر موفري Syslog، وانقر فوق إضافة، ثم أكمل المعلومات. انقر فوق حفظ

    تحذير: في هذه الحالة، يستلم ISE رسالة syslog من اتصال VPN ناجح في ASA، ولكن لا يصف هذا المستند هذا التكوين.

    تكوين موفر syslogتكوين موفر syslog

    1. انقر رأس مخصص. الصق نموذج syslog واستخدم فاصل أو علامة تبويب للعثور على اسم مضيف الجهاز. إذا كان صحيحا، يظهر اسم المضيف. انقر فوق حفظ

    تكوين رأس مخصصتكوين رأس مخصص

    الخطوة 4. تكوين قواعد المصادقة

    1. انتقل إلى السياسة > مجموعات السياسات. ولهذه الحالة، فإنه يستخدم النهج الافتراضي. انقر على النهج الافتراضي. في نهج التخويل، أضف قاعدة جديدة. في سياسات PassiveID، يحتوي ISE على جميع الموفرين. يمكنك دمج هذا مع مجموعة PassiveID. أختر السماح بالوصول كملف تعريف، واختر في مجموعات الأمان الحاجة لضابط تقنية المعلومات.

    تكوين قواعد المصادقةتكوين قواعد المصادقة

    التحقق من الصحة

    ما إن يستلم ISE ال syslog، أنت يستطيع فحصت ال radius حي سجل أن يرى تخويل تدفق. انتقل إلى العمليات > RADIUS > السجلات المباشرة.

    في السجلات، يمكنك مشاهدة حدث التفويض. يحتوي هذا الرقم على اسم المستخدم ونهج التخويل وعلامة مجموعة الأمان المقترنة به.

    سجل Radius Liveسجل Radius Live

    للتحقق من المزيد من التفاصيل، انقر فوق تقرير التفاصيل. هنا يمكنك مشاهدة تدفق السماح فقط الذي يقيم السياسات لتخصيص الرقيب.

    تقرير السجل المباشر ل RADIUSتقرير السجل المباشر ل RADIUS

    استكشاف الأخطاء وإصلاحها

    بالنسبة لهذه الحالة، فإنه يستخدم دفعتين، جلسات PassiveID وتدفق Authoriation. لتمكين تصحيح الأخطاء، انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء>تكوين سجل تصحيح الأخطاء، ثم أختر عقدة ISE.

    بالنسبة ل PassiveID، قم بتمكين المكونات التالية من مستوى تصحيح الأخطاء:

    • PassiveID

    للتحقق من السجلات، استنادا إلى موفر المعرف الخامل، الملف الذي تريد التحقق من هذا السيناريو، يلزمك مراجعة الملف passiveid-syslog.log، للمزودين الآخرين:

    • عميل passiveid.log
    • passiid-api.log
    • passiid-endpoint.log
    • passiid-span.log
    • خوامل وملوغ

    لتدفق التخويل، قم بتمكين المكونات التالية من مستوى تصحيح الأخطاء:

    • محرك السياسات
    • بررت جني

    مثال:

    تم تمكين تصحيح الأخطاءتم تمكين تصحيح الأخطاء

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    17-Feb-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ruben De La Vega
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا