تكوين قوائم التحكم في الوصول الديناميكي لكل مستخدم في ISE

خيارات التنزيل

  • PDF     (1.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٦ مايو ٢٠٢٣
معرّف المستند:212419

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين قائمة تحكم في الوصول الديناميكي (dACL) لكل مستخدم للمستخدمين الموجودين في نوع مخزن الهوية.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بتكوين السياسة على Identity Services Engine (ISE).

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    •  Identity Services Engine 3.0
    •  Microsoft Windows Active Directory 2016

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تكوين قائمة تحكم في الوصول الديناميكي لكل مستخدم خاص بالمستخدمين الموجودين إما في مخزن هوية ISE الداخلي أو مخزن هوية خارجي. 

    التكوين

    يمكن تكوين قائمة التحكم في الوصول لكل مستخدم لأي مستخدم في المخزن الداخلي يستخدم سمة مستخدم مخصصة. بالنسبة لمستخدم في خدمة Active Directory (AD)، يمكن إستخدام أي سمة من النوع سلسلة لتحقيق نفس الإجراء. يوفر هذا القسم المعلومات المطلوبة لتكوين السمات على كل من ISE و AD مع التكوين المطلوب على ISE لكي تعمل هذه الميزة. 

    تكوين سمة مستخدم مخصص جديدة على ISE

    انتقل إلى إدارة > إدارة الهوية > إعدادات > سمات المستخدم المخصصة. انقر زر +، كما هو موضح في الصورة، لإضافة خاصية جديدة وحفظ التغييرات. في هذا المثال، اسم السمة المخصصة هو قائمة التحكم في الوصول (ACL).

    Configure a New Custom User Attribute on ISE

    تكوين قائمة التحكم في الوصول إلى dACL


    لتكوين قوائم التحكم في الوصول (ACL) القابلة للتنزيل، انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > قوائم التحكم في الوصول (ACL) القابلة للتنزيل. انقر فوق إضافة (Add). قم بتوفير اسم ومحتوى ل dACL وحفظ التغييرات. كما هو موضح في الصورة، فإن اسم قائمة التحكم في الوصول للبنية الأساسية (dACL) هو NotMuchAccess.

    Configure dACL

    تكوين حساب مستخدم داخلي مع السمة المخصصة

    انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة. قم بإنشاء مستخدم وتكوين قيمة السمة المخصصة باستخدام اسم قائمة التحكم في الوصول الخاصة بالمنفذ (dACL) التي يحتاج المستخدم إلى الحصول عليها عند الاعتماد. في هذا المثال، يكون اسم قائمة التحكم في الوصول للبنية الأساسية (dACL) هو NotMuchAccess

    Configure an Internal User Account with the Custom Attribute

    تكوين حساب مستخدم AD 

    في Active Directory، انتقل إلى خصائص حساب المستخدم ثم إلى علامة التبويب محرر السمات. كما هو موضح في الصورة، CSPolicyName هي السمة المستخدمة لتحديد اسم dACL. ومع ذلك، وكما تمت الإشارة مسبقا، يمكن إستخدام أي سمة يمكن أن تقبل قيمة سلسلة كذلك.

    Configure a AD User Account

    إستيراد السمة من AD إلى ISE 

    لاستخدام السمة التي تم تكوينها على AD، يحتاج ISE إلى إستيرادها. لاستيراد السمة، انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory > [تكوين نقطة الربط] > علامة التبويب سمات. انقر فوق إضافة ثم حدد سمات من الدليل. أدخل اسم حساب المستخدم على AD ثم انقر فوق إسترداد السمات. حدد السمة التي تم تكوينها ل dACL، انقر فوق موافق ثم انقر فوق حفظ. كما هو موضح في الصورة، فإن aCSPolicyName هي السمة.

    Use Attribute Configured on AD to Import the Attribute from AD to ISE

    Import Complete

    تكوين ملفات تعريف التخويل للمستخدمين الداخليين والخارجيين

    لتكوين توصيفات التخويل، انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. انقر فوق إضافة (Add). قم بتوفير اسم واختر اسم قائمة التحكم بالوصول (dACL) ك InternalUser:<اسم السمة المخصصة التي تم إنشاؤها> للمستخدم الداخلي. كما هو موضح في الصورة، بالنسبة للمستخدم الداخلي، يتم تكوين ملف التعريف InternalUserAttributeTest باستخدام قائمة التحكم في الوصول (dACL) التي تم تكوينها على هيئة InternalUser:ACL.

    Configure Authorization Profiles for Internal and External Users

    بالنسبة للمستخدم الخارجي، أستخدم <Join point name>:<attribute configure on AD> كاسم dACL. في هذا المثال، يتم تكوين ملف التعريف ExternalUserAttributeTest باستخدام قائمة التحكم في الوصول للوسائط التي تم تكوينها على هيئة RiniAD:aCSPolicyName حيث يكون RiniAD هو اسم نقطة الربط.

    Profile ExternalUserAttributeTest is Configured with the dACL

    تكوين سياسات التخويل

    يمكن تكوين سياسات التفويض في النهج > مجموعات السياسات استنادا إلى المجموعات التي يتواجد فيها المستخدم الخارجي على AD وكذلك استنادا إلى اسم المستخدم في مخزن الهوية الداخلي ISE. في هذا المثال، Testuserexexternal هو مستخدم موجود في المجموعة rinsantr.lab/Users/Test Group وtestuserInternal هو مستخدم موجود في مخزن الهوية الداخلي ل ISE.

    Configure Authorization Policies

    التحقق من الصحة

    أستخدم هذا القسم للتحقق من عمل التكوين.

    تحقق من سجلات RADIUS المباشرة للتحقق من مصادقة المستخدم.

    المستخدم الداخلي:

    Check the RADIUS Live Logs to Verify the User Authentications - Internal User

    المستخدم الخارجي:

    Check the RADIUS Live Logs to Verify the User Authentications - External User

    انقر فوق رمز العدسة المكبرة على مصادقة المستخدم الناجحة للتحقق مما إذا كانت الطلبات تصل إلى النهج الصحيحة في قسم النظرة العامة في السجلات المباشرة التفصيلية.

    المستخدم الداخلي:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - Internal User

    المستخدم الخارجي:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - External User

    تحقق من قسم السمات الأخرى في السجلات المباشرة المفصلة للتحقق من إسترداد سمات المستخدم.

    المستخدم الداخلي:

    Verify if the User Attributes have been Retrieved - Internal User

    المستخدم الخارجي:

    Verify if the User Attributes have been Retrieved - External User

    تحقق من قسم "النتائج" الخاص بسجلات التشغيل المباشرة التفصيلية للتحقق من إرسال سمة dACL كجزء من قبول الوصول.

    Verify if dACL Attribute is Sent as Part of Access-Accept

    تحقق أيضا من سجلات RADIUS المباشرة للتحقق من تنزيل قائمة التحكم في الوصول للبنية الأساسية (dACL) بعد مصادقة المستخدم.

    Verify if the dACL is Downloaded after the User Authentication

    انقر أيقونة العدسة المكبرة على سجل تنزيل قائمة التحكم بالوصول للبنية الأساسية (dACL) الناجح ثم تحقق من قسم النظرة العامة لتأكيد تنزيل قائمة التحكم بالوصول للبنية الأساسية (dACL).

    Verify the Overview Section to confirm the dACL Download

    تحقق من قسم "النتائج" في هذا التقرير التفصيلي للتحقق من محتويات قائمة التحكم في الوصول للبنية الأساسية (dACL).

    Verify the Contents of the dACL

    استكشاف الأخطاء وإصلاحها

    هناك حاليا ما من معلومة محددة يتوفر أن يتحرى هذا تشكيل.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    16-May-2023
    نص بديل مضاف ومعلومات أساسية. مقدمة محدثة، ترجمة آلية، أجهزة تنقية وتنسيق.
    1.0
    06-Nov-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Rini Santra
      Cisco TAC Engineer
    • Surendra Reddy
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات