تكوين خوادم RADIUS الخارجية على ISE

المقدمة

يوضح هذا المستند كيفية تكوين خادمين RADIUS متوافقين مع RFC على ISE كوكيل تفويض.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• معرفة أساسية ببروتوكول RADIUS
• الخبرة في تكوين سياسة محرك خدمات الهوية (ISE)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدارات 2.2 و 2.4 من Cisco ISE.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

تكوين ISE (خادم الواجهة الأمامية)

الخطوة 1. يمكن تكوين خوادم RADIUS الخارجية المتعددة واستخدامها لمصادقة المستخدمين على ISE. لتكوين خوادم RADIUS الخارجية، انتقل إلى Administration > Network Resources > External RADIUS Servers > Add، كما هو موضح في الصورة:

الخطوة 2. لاستخدام خادم RADIUS الخارجي الذي تم تكوينه، يجب تكوين تسلسل خادم RADIUS مماثل لتسلسل مصدر الهوية. لتكوين نفس الشيء، انتقل إلى Administration > Network Resources > RADIUS Server Sequences > Add، كما هو موضح في الصورة:

ملاحظة: يتمثل أحد الخيارات المتاحة أثناء إنشاء تسلسل الخادم في إختيار ما إذا كان يجب إجراء عملية المحاسبة محليا على ISE أو على خادم RADIUS الخارجي. واستنادا إلى الخيار المختار هنا، يقرر ISE ما إذا كان سيتم تفويض طلبات المحاسبة أو تخزين هذه السجلات محليا.

الخطوة 3. هناك قسم إضافي يوفر المزيد من المرونة حول كيفية تصرف ISE عندما يطلب وكيل تقنية المعلومات خوادم RADIUS الخارجية. يمكن العثور عليها تحت Advance Attribute Settings، كما هو موضح في الصورة:

• إعدادات متقدمة: يوفر خيارات لتجريد بداية أو نهاية اسم المستخدم في طلبات RADIUS بمحدد.
• تعديل السمة في الطلب: يوفر خيار تعديل أي سمة RADIUS في طلبات RADIUS. تعرض القائمة هنا السمات التي يمكن إضافتها/إزالتها/تحديثها:
  
  

  User-Name--[1]
  NAS-IP-Address--[4]
  NAS-Port--[5]
  Service-Type--[6]
  Framed-Protocol--[7] 
  Framed-IP-Address--[8]
  Framed-IP-Netmask--[9]
  Filter-ID--[11]
  Framed-Compression--[13]
  Login-IP-Host--[14]
  Callback-Number--[19]
  State--[24]
  VendorSpecific--[26]
  Called-Station-ID--[30]
  Calling-Station-ID--[31]
  NAS-Identifier--[32]
  Login-LAT-Service--[34]
  Login-LAT-Node--[35]
  Login-LAT-Group--[36]
  Event-Timestamp--[55] 
  Egress-VLANID--[56]
  Ingress-Filters--[57]
  Egress-VLAN-Name--[58]
  User-Priority-Table--[59]
  NAS-Port-Type--[61]
  Port-Limit--[62]
  Login-LAT-Port--[63]
  Password-Retry--[75] 
  Connect-Info--[77] 
  NAS-Port-Id--[87]
  Framed-Pool--[88]
  NAS-Filter-Rule--[92]
  NAS-IPv6-Address--[95] 
  Framed-Interface-Id--[96]
  Framed-IPv6-Prefix--[97]
  Login-IPv6-Host--[98]
  Error-Cause--[101]
  Delegated-IPv6-Prefix--[123]
  Framed-IPv6-Address--[168]
  DNS-Server-IPv6-Address--[169]
  Route-IPv6-Information--[170]
  Delegated-IPv6-Prefix-Pool--[171]
  Stateful-IPv6-Address-Pool--[172]

• متابعة نهج التخويل في Access-Accept: يوفر خيارا لاختيار ما إذا كان يجب على ISE إرسال قبول الوصول كما هو أو المتابعة لتوفير الوصول بناء على سياسات التخويل التي تم تكوينها على ISE بدلا من التخويل الذي يقدمه خادم RADIUS الخارجي. في حالة تحديد هذا الخيار، تتم الكتابة فوق الاعتماد المقدم من قبل خادم RADIUS الخارجي باستخدام الاعتماد المقدم من قبل ISE.
  

  ملاحظة: يعمل هذا الخيار فقط إذا كان خادم RADIUS الخارجي يرسل إستجابة Access-Accept  لطلب وصول RADIUS الوكيل.

• تعديل السمة قبل Access-Accept: كما هو الحال مع Modify Attribute in the request السمات المذكورة سابقا، يمكن إضافة/إزالة/تحديث السمات الموجودة في Access-Accept التي تم إرسالها بواسطة خادم RADIUS الخارجي قبل إرسالها إلى جهاز الشبكة.

الخطوة 4. الجزء التالي هو تكوين مجموعات النهج لاستخدام تسلسل خادم RADIUS بدلا من البروتوكولات المسموح بها بحيث يتم إرسال الطلبات إلى خادم RADIUS الخارجي. يمكن تكوينها تحت Policy > Policy Sets. يمكن تكوين سياسات التخويل ضمن Policy Set الخيار ولكنها لا تصبح سارية المفعول إلا إذا تم إختيار Continue to Authorization Policy on Access-Accept  الخيار. وإذا لم يكن الأمر كذلك، فإن ISE يعمل ببساطة كوكيل لطلبات RADIUS لمطابقة الشروط التي تم تكوينها لمجموعة النهج هذه.

تكوين خادم RADIUS الخارجي 

الخطوة 1. في هذا المثال، يتم إستخدام خادم ISE آخر (الإصدار 2.2) كخادم RADIUS خارجي مسمى ISE_Backend_Server. يجب تكوين ISE (ISE_Frontend_Server) كجهاز شبكة أو ما يسمى عادة NAS في خادم RADIUS الخارجي (ISE_Backend_Server في هذا المثال)، نظرا لاستبدال السمةNAS-IP-Address في طلب الوصول التي تتم إعادة توجيهها إلى خادم RADIUS الخارجي بعنوان IP الخاصISE_Frontend_Server. السر المشترك الذي سيتم تكوينه هو نفسه الذي تم تكوينه لخادم RADIUS الخارجي على ISE_Frontend_Server.

الخطوة 2. يمكن تكوين خادم RADIUS الخارجي باستخدام سياسات المصادقة والتفويض الخاصة به لخدمة الطلبات التي يتم تكليفها بواسطة ISE. في هذا المثال، يتم تكوين نهج بسيط للتحقق من المستخدم في المستخدمين الداخليين ثم السماح بالوصول إذا تم التصديق.

التحقق من الصحة

الخطوة 1. تحقق من سجلات ISE المباشرة إذا تم تلقي الطلب، كما هو موضح في الصورة.

الخطوة 2. تحقق مما إذا تم تحديد مجموعة النهج الصحيحة، كما هو موضح في الصورة.

الخطوة 3. تحقق مما إذا كان الطلب قد تمت إعادة توجيهه إلى خادم RADIUS الخارجي.

4. إذا Continue to Authorization Policy on Access-Accept تم إختيار الخيار، فتحقق مما إذا كان قد تم تقييم سياسة التخويل.

استكشاف الأخطاء وإصلاحها

السيناريو الأول. الحدث - تم إسقاط طلب RADIUS ل 5405

• أهم شيء يجب التحقق منه هو الخطوات الواردة في تقرير المصادقة التفصيلي. إذا كانت الخطوات تشير إلى انتهاء مهلة طلب عميل RADIUS"، فهذا يعني أن ISE لم يستلم أي إستجابة من خادم RADIUS الخارجي الذي تم تكوينه. يمكن أن يحدث هذا عندما:

1. هناك مشكلة في الاتصال بخادم RADIUS الخارجي. يتعذر على ISE الوصول إلى خادم RADIUS الخارجي على المنافذ التي تم تكوينها له.
2. لم يتم تكوين ISE كجهاز شبكة أو NAS على خادم RADIUS الخارجي.
3. يتم إسقاط الحزم بواسطة خادم RADIUS الخارجي إما حسب التكوين أو بسبب وجود مشكلة ما على خادم RADIUS الخارجي.
   
   

تحقق من التقاط الحزم أيضا لمعرفة ما إذا كانت رسالة خاطئة أم لا؛ أي أن ISE يستلم الحزمة مرة أخرى من الخادم ولكن لا يزال يبلغ عن انتهاء مهلة الطلب.



• إذا كانت الخطوات تقول طلب إعادة توجيه إلى خادم RADIUS البعيد" والخطوة الفورية هي "لا مزيد من خوادم RADIUS الخارجية؛ لا يمكن إجراء تجاوز الفشل"، فهذا يعني أن جميع خوادم RADIUS الخارجية التي تم تكوينها تم وضع علامة عليها كخادمات معطلة حاليا ولا يتم تقديم الطلبات إلا بعد انتهاء صلاحية المؤقت المميت.
  
  

  
  
  

  ملاحظة: وقت انتهاء الصلاحية الافتراضي لخوادم RADIUS الخارجية في ISE هو 5 دقائق. تم ترميز هذه القيمة بشكل ثابت ولا يمكن تعديلها اعتبارا من هذا الإصدار.

• إذا كانت الخطوات تقول RADIUS-Client واجه خطأ أثناء معالجة التدفق" ويتبعها "فشل إعادة توجيه الطلب إلى خادم RADIUS البعيد الحالي؛ تم تلقي إستجابة غير صحيحة"، فهذا يعني أن ISE واجه مشكلة أثناء إعادة توجيه الطلب إلى خادم RADIUS الخارجي. وهذا يظهر عادة عندما لا يحتوي طلب RADIUS الذي يتم إرساله من جهاز الشبكة/NAS إلى ISE على NAS-IP-Address كإحدى السمات. وفي حالة عدم وجود سمة NAS-IP-Address وعدم إستخدام خوادم RADIUS الخارجية، يقوم ISE بملء حقل NAS-IP-Address مع عنوان IP المصدر الخاص بالحزمة. ومع ذلك، لا ينطبق هذا عندما يكون خادم RADIUS الخارجي قيد الاستخدام.
  

السيناريو 2. الحدث - فشلت مصادقة 5400

• في هذا الحدث، إذا كانت الخطوات تقول "11368 يرجى مراجعة السجلات الموجودة على خادم RADIUS الخارجي لتحديد سبب الفشل المحدد، فهذا يعني أن المصادقة فشلت على خادم RADIUS الخارجي نفسه وأنها أرسلت رفض الوصول.
  
  
• إذا كانت الخطوات تقول رفض 15039 لكل ملف تعريف تخويل"، فهذا يعني أن ISE استلم قبول وصول من خادم RADIUS الخارجي ولكن ISE يرفض التخويل بناء على سياسات التخويل التي تم تكوينها.
  
  
• إذا كان سبب الفشل على ISE أي شيء آخر بخلاف الأسباب المذكورة هنا في حالة فشل المصادقة، فقد يعني ذلك مشكلة محتملة مع التكوين أو مع ISE نفسها. يوصى بفتح حالة مركز المساعدة الفنية عند هذه النقطة.