المقدمة
يصف هذا المستند تكامل CSSM على الخادم مع محرك خدمة الهوية من Cisco (ISE) والحساب الذكي من Cisco، مما يضمن الإعداد بسلاسة تامة.
المتطلبات الأساسية
المتطلبات
ISE 3.x
مدير البرنامج الذكي من Cisco (CSSM)، الإصدار 8 الإصدار 202304+
المكونات المستخدمة
- تصحيح محرك خدمة الهوية 3.2 2
- SSM على PREM 8.20234
- Windows Active Directory 2016 (DNS وCertificate Authority services)
- VMWare ESXi الإصدار 7
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
طوبولوجيا عامة
تثبيت CSSM على ESXi من VMware.
- قم بتنزيل برنامج Cisco IOS®. يمكنك إستخدام الارتباط التالي: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304
2. تحميل ISO في ESXi من VMware.
انتقل إلى وحدة التخزين > متصفح DataCore.
قسم مستعرض البيانات
3. انقر فوق إنشاء دليل لإنشاء مجلد جديد (إختياري).
إنشاء الدليل
في هذا المثال، تم إنشاء مجلد CSSM:
إنشاء المجلدات
4. انقر فوق تحميل ثم أختر ملف ISO.
تحميل ISO
الآن يوجد ملف ISO في مجلد CSSM:
اكتمل تحميل ISO
5. قم بإنشاء الجهاز الظاهري. انتقل إلى الجهاز الظاهري > إنشاء / تسجيل VM.
إنشاء خطوة VM جديدة 01
6. أختر إنشاء جهاز ظاهري جديد وانقر فوق التالي.
إنشاء خطوة VM جديدة 02
7. ثم قم بتكوين المعلمات التالية:
- الاسم: أدخل اسم جهازك الظاهري.
- التوافق: حدد إما ESXi 6.0 أو إصدار أحدث أو ESXi 6.5 أو إصدار أحدث.
- عائلة نظام التشغيل Guest OS: Linux.
- إصدار نظام التشغيل Guest: أختر إما CentOS 7 (إصدار 64 بت) أو Linux 2.6x (إصدار 64 بت) الأخرى
انقر فوق Next (التالي).
اسم VM و IOS
8. حدد وحدة التخزين لديك وانقر فوق التالي.
قائمة وحدات التخزين
9. تكوين المعلمات التالية:
- وحدة المعالجة المركزية: 4 كحد أدنى. يعتمد إعداد vCPU الفعلي على متطلبات المقياس الخاص بك
ملاحظة: يلزم تعيين مقدار المراكز لكل مقبس على 1 بغض النظر عن عدد المقابس الظاهرية المحددة. على سبيل المثال، يلزم تكوين تكوين وحدة معالجة مركزية (vCPU) بسرعة 4 فولت على هيئة 4 مقابس ومركز واحد لكل مقبس.
تكوين النوى
- الذاكرة: 8 جيجابايت
- محرك الأقراص الثابتة: سعة 200 جيجابايت وتحقق من تعيين الإمداد على الإمداد الدقيق.
تهيئة القرص
- مهايئ الشبكة: حدد نوع مهايئ E1000 وحدد توصيل عند تشغيل الطاقة.
تكوين إعدادات الشبكة
- محرك الأقراص المضغوطة / أقراص DVD: أختر ملف بيانات ISO" وحدد ملف ISO.
صورة ISO
أنت يستطيع دققت خلاصة العملية إعداد ما إن يتم أنت الخطوات السابقة.
ملخص تكوين VM 01
انقر فوق Next (التالي).
10. انقر فوق إنهاء.
ملخص تكوين VM 02
التكوين الأولي ل CSSM على-PREM .
- في برنامج VMware ESXi، انتقل إلى الأجهزة الافتراضية وحدد برنامج VM الخاص بك ثم انقر فوق تشغيل الطاقة.
خيار تشغيل الطاقة
- لديك خيارات متعددة لإدارة وحدة تحكم الأجهزة الافتراضية (VM). حدد وحدة التحكم > فتح وحدة تحكم المستعرض.
خيارات إدارة الجهاز الظاهري
- قم بتكوين إعدادات الشبكة الخاصة بك.
ملاحظة: من المهم تكوين عنوان IP لخادم DNS الذي يقوم بحل CSSM FQDN.
تكوين إعدادات شبكة CSSM
انقر فوق موافق لتكوين كلمة مرور CLI الجديدة.
- ثم تبدأ عملية التثبيت وتنتهي حتى تتمكن من رؤية موجه أوامر الوصول.
اكتمل التكوين الأولي ل CSSM
- افتح مستعرض وأدخل https://<ip_address_cssm>.
صفحة تسجيل دخول CSSM
إستخدام بيانات الاعتماد الافتراضية:
اسم المستخدم: admin
كلمة المرور: Cisco Admin!2345
- حدد لغتك.
- قم بإنشاء كلمة مرور جديدة لواجهة المستخدم الرسومية.
- قم بتكوين الاسم الشائع للمضيف. (مثال: hostname.yourdomain).
في هذه الحالة، تم تكوين cssm.testlab.local كاسم مشترك للمضيف.
تكوين الاسم الشائع للمضيف
- تحقق من صحة التكوين وانقر فوق تطبيق.
تم إكمال الإعدادات الأولية ل CSSM.
دمج CSSM على الإعداد مع الحساب الذكي
تحتاج إلى إقران حسابك الذكي ب CSSM الخاص بك على خادم PREM.
- افتح حسابك الذكي من Cisco باستخدام الارتباط التالي:
https://software.cisco.com/
- ثم أختر إدارة التراخيص ضمن قسم مدير البرامج الذكية.
|
|
خيار إدارة التراخيص |
- انتقل إلى المخزون وانسخ اسم الحساب الذكي والحساب الظاهري. في هذا الدليل، هذا إختبار InternalTestDemoAccount67 و AAA MEX.
صفحة برامج Cisco
- افتح واجهة المستخدم الرسومية CSSM وحدد خيار مساحة عمل Admin.
قائمة CSSM الرئيسية.
- ثم حدد الحسابات.
الحسابات.
- حدد حساب جديد لإنشاء طلب تسجيل جديد.
إنشاء حساب CSSM.
- أدخل المعلومات التالية:
- اسم الحساب: هذا اسم مخصص للسجل الجديد.
- حساب Cisco الذكي: لصق اسم الحساب الذكي.
- الحساب الظاهري من Cisco: لصق اسم الحساب الظاهري الخاص بك.
- البريد الإلكتروني للإخطار: اكتب بريدك الإلكتروني.
تسجيل الحساب.
انقر على إرسال.
- ثم انقر فوق طلبات الحساب.
يمكنك مشاهدة الطلب الذي تم إجراؤه على الخطوة السابقة في هذا القسم.
طلب الحساب.
- انقر فوق عمليات.
خيار العمليات.
لديك ثلاثة خيارات:
- الموافقة: أستخدم هذا الخيار لتسجيل CSSM على مسبقا باستخدام حسابك الذكي من خلال الإنترنت.
- رفض: قم بإسقاط الطلب.
- التسجيل اليدوي: أستخدم هذا الخيار لتسجيل CSSM على مسبقا باستخدام حسابك الذكي بدون الإنترنت.
الخيار 1: سجل CSSM الخاص بك على الجهاز مسبقا من خلال الاتصال بالإنترنت.
- إذا أخترت موافقة، يلزمك إدخال اسم المستخدم وكلمة المرور الخاصين بك من حساب Cisco الذكي وانقر إرسال.
خيار الموافقة.
ثم انقر فوق التالي لقبول تسجيل الحساب.
تسجيل الحساب.
لتأكيد حالة التسجيل، انتقل إلى الحساب وحالة الحساب يجب أن تكون نشطة.
حالة الحساب.
افتح الآن حسابك الذكي (https://software.cisco.com/). ثم حدد خيار الحسابات قيد التحضير لعرض السجل الجديد.
على حساب التحضير.
الخيار 2: سجل CSSM الخاص بك على الكمبيوتر بدون اتصال بالإنترنت.
إذا أخترت التسجيل اليدوي، انقر إنشاء ملف التسجيل. يؤدي ذلك إلى إنشاء طلب تسجيل سيتم تنزيله إلى الكمبيوتر.
التسجيل اليدوي.
ثم افتح "حسابك الذكي" (https://software.cisco.com/) وانتقل إلى الحسابات الموجودة مسبقا.
انقر فوق تشغيل-prem جديد
إضافة تشغيل جديد.
ثم قم بتكوين المعلمات التالية:
- الاسم المدون: هذا اسم مخصص للسجل الجديد.
- ملف التسجيل: انقر فوق إختيار ملف وحدد طلب التسجيل.
- الحساب الظاهري: لصق اسم الحساب الظاهري.
ملف التخويل.
وانقر فوق إنشاء ملف تخويل.
ثم قم بتنزيل ملف التخويل.
يتم الآن تنزيل ملف التخويل.
افتح واجهة المستخدم الرسومية (GUI) الخاصة ب CSSM لتحميل ملف التخويل. انقر فوق إستعراض، واختر الملف، ثم انقر فوق تحميل.
تحميل ملف التخويل.
ثم انتقل إلى المزامنة وانقر فوق إجراءات > المزامنة اليدوية>المزامنة الكاملة.
المزامنة اليدوية.
قم بتنزيل ملف طلب المزامنة.
يتم الآن تنزيل مزامنة الملف.
افتح حسابك الذكي وحدد حساب "في الإعداد المسبق"، ثم ابحث عن اسم CSSM في القائمة، وانقر فوق إجراءات > مزامنة الملف
تحميل مزامنة الملف.
ثم قم بتحميل ملف طلب المزامنة، وانقر فوق إنشاء ملف إستجابة.
إنشاء ملف ردود.
ثم انقر فوق تنزيل ملف الاستجابة Sync
مزامنة الملف.
وأخيرا، قم بتحميل ملف إستجابة Synch في CSSM على الجهاز.
اكتملت المزامنة.
دمج CSSM على الإعداد مع ISE.
- افتح واجهة المستخدم الرسومية (GUI) الخاصة ب CSSM وحدد مساحة عمل Admin.
قائمة CSSM الرئيسية.
- انتقل إلى التأمين > الشهادات > إنشاء CSR
ملاحظة: من المهم تكوين اسم المضيف + المجال على الاسم الشائع للمضيف لأن ISE يستخدم هذه المعلمة لإنشاء اتصال ب CSSM. يمكنك إستخدام عنوان IP بدلا من hostname + domain، ومع ذلك فإن التوصية هي إستخدام hostname + المجال
ملاحظة: تصف الخطوات التالية إجراء تثبيت شهادة واجهة المستخدم الرسومية (GUI) في CSSM. إذا كنت ترغب في حماية اتصال الإدارة ب GUI CSSM باستخدام شهادة موقعة من المرجع المصدق الشخصي (CA)، فأنت بحاجة إلى التحقق من الخطوات التالية. وإلا، فتحقق مباشرة من الخطوة 9.
خيار CSR.
- ثم أدخل معلوماتك الشخصية. كن على علم بأن الاسم البديل للموضوع يتم إنشاؤه تلقائيا باستخدام نفس القيمة مثل الاسم الشائع. يتم تنزيل CSR تلقائيا بعد النقر فوق إنشاء.
تفاصيل CSR.
- قم بتوقيع CSR: لمزيد من المعلومات، راجع "إنشاء شهادات من Windows CA". في هذا المستند.
- تحميل شهادة المرجع المصدق الجذر.
تحميل المرجع المصدق الجذر.
انقر على متابعة.
خيار المتابعة.
- أدخل وصفا واختر الشهادة الجذر وانقر على موافق.
المرجع المصدق الجذر للوصف.
- تحميل CSR الموقع من قبل CA (شهادة هوية CSSM).
تحميل وحدة تعريف CSSM.
ملاحظة: ملاحظة: في حالتنا، لا توجد الشهادة الوسيطة في المرجع المصدق لدينا. ومع ذلك، إذا كنت تستخدم شهادة وسيطة في بنيتك، فإن الشهادة الوسيطة تكون إلزامية.
8. بعد ذلك، تأكد من تثبيت كلا الشهادتين.
التحقق من صحة الشهادات.
- إنشاء رمز مميز على SSM On-Prem: تحديد مساحة عمل الترخيص.
صفحة مساحة العمل.
- انتقل إلى الترخيص الذكي.
صفحة الترخيص الذكي ل CSSM
- ابحث عن الحساب الظاهري المحلي، ثم انقر فوق رمز مميز جديد وانقر فوق متابعة.
خيار رمز مميز جديد.
- حدد إنشاء رمز مميز ونسخه.
إنشاء رمز مميز جديد.
تفاصيل الرمز المميز.
- افتح واجهة المستخدم الرسومية (ISE) وانتقل إلى الإدارة > الأنظمة > الترخيص، ثم انقر فوق تفاصيل التسجيل، وحدد طريقة مضيف خادم SSM الموجود على الخادم الأولي، وألصق الرمز المميز.
تسجيل الرخص.
- دخلت ال SSM على FQDN على SSM على Prem نادل مضيف وطقطقة سجل.
إعدادات CSSM و ISE.
ملاحظة: من المهم تكوين اسم المضيف + المجال على الاسم الشائع للمضيف لأن ISE يستخدم هذه المعلمة لإنشاء اتصال ب CSSM. يمكنك إستخدام عنوان IP بدلا من hostname + domain، ومع ذلك فإن التوصية هي إستخدام hostname + المجال
- وأخيرا، تم إتمام التسجيل.
اكتمل التسجيل.
إنشاء شهادات من مرجع مصدق Windows.
إذا كنت أنت المسؤول عن المرجع المصدق، يجب أن تقوم بما يلي:
- افتح مستعرض ويب وتصفح إلى http://localhost/certsrv/
- انقر على طلب شهادة.
طلب شهادة.
- انقر على طلب شهادة متقدمة.
طلب شهادة متقدم.
- افتح CSR الذي تم إنشاؤه سابقا. ثم انسخ المعلومات ولصقها في الطلب المحفوظ.
إرسال الشهادة.
بعد النقر فوق إرسال الشهادة يتم تنزيلها تلقائيا.
- الآن قم بتنزيل جذر شهادة CA. انتقل إلى http://localhost/certsrv/ وحدد تنزيل شهادة CA أو سلسلة الشهادات أو CRL.
تنزيل المرجع المصدق الجذر.
- قم بتنزيل شهادة CA باستخدام أسلوب الترميز Base64.
خيار قاعدة 64.
إضافة سجلات DNS على Windows Server.
إذا كنت المسؤول، فقم بإضافة شبكات ISE و CSSM FQDN.
- افتح إدارة DNS: اكتب "DNS" على Windows Finder وافتح تطبيق DNS.
خيار DNS.
- انتقل إلى مناطق بحث إعادة التوجيه > واختر المجال الخاص بك.
مدير DNS.
- انقر بزر الماوس الأيمن فوق مساحة سوداء على الشاشة وحدد مضيف جديد (A أو AAA)"
إضافة سجل.
- قم بتكوين DNS للسجل كالتالي:
- الاسم: يعني اسم المضيف.
- عنوان IP للجهاز.
انقر فوق إضافة مضيف"
إعدادات السجل.
استكشاف الأخطاء وإصلاحها
المضيف/عنوان IP غير قابل للوصول. (خطأ في ISE)
خطأ يمكن الوصول إليه.
الحل 1: التحقق من تكوين DNS في عقدة ISE وإصلاحه.
- افتح واجهة سطر أوامر ISE واكتب nslookup <cssm_fqdn>"
على المثال التالي، يمكننا ملاحظة أن cssm.testlab.local لم يتم حلها من عقدة ISE.
فشل تحليل CSSM.
القرار الصحيح سيكون:
حل CSSM بنجاح.
خطة العمل:
- تحقق من موضوع تكوين DNS في هذا المستند.
- أدخل الأمر show running-config على واجهة سطر الأوامر (CLI) الخاصة ب ISE للتحقق من ip name-server". يلزم تطابق "ip name-server" مع عنوان IP الخاص بخادم DNS.
الحل 2: افتح واجهة المستخدم الرسومية (GUI) ل CSSM لتأكيد أن الاسم المشترك للمضيف وشهادة المستعرض هما نفس المعلمة CSSM على خادم Prem Host على جانب ISE.
سيناريو خاطئ:
دقة CSSM وإعداد ISE غير صحيحين.
السيناريو الصحيح:
دقة CSSM وإعداد ISE صحيحان.
خطة العمل: راجع تكوين ISE و CSSM" في هذا الدليل للحصول على مزيد من المعلومات.
خدمة SSO: يتعذر الوصول إلى Cisco. (حدث خطأ في CSSM on-prem)
فشل تسجيل الحساب.
الحل: تحقق من إتصالك بالإنترنت.
خطة العمل:
- إذا كنت بحاجة إلى وكيل للوصول إلى الإنترنت، انتقل إلى الشبكة > الوكيل وقم بتمكين خيار إستخدام خادم وكيل وانقر فوق تطبيق.
تكوين الوكيل.
الاسم الشائع في CSR ليس اسم مضيف أو عنوان IP قابل للحل DNS، الرجاء المحاولة مرة أخرى. (حدث خطأ في CSSM on-prem)
خطأ CSR.
الحل: التحقق من دقة DNS وإصلاحها على خادم CSSM.
- افتح واجهة سطر أوامر CSSM واكتب nslookup <cssm_fqdn>"
على المثال التالي، يمكننا ملاحظة أن cssm.testlab.local لم يتم حلها من خادم CSSM.
خادم DNS غير قابل للوصول.
وسوف تكون المخرجات الصحيحة هي التالية:
خادم DNS يمكن الوصول إليه.
خطة العمل:
تحقق من تكوينات DNS على CSSM أثناء التحضير.
- انتقل إلى الشبكة > عام > إعداد DNS.
يجب أن يكون DNS الأساسي أو البديل هو نفس عنوان IP الخاص بخادم DNS.
إعدادات DNS.