تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية اتصال Identity Service Engine (ISE) و Active Directory (AD)، والبروتوكولات المستخدمة، وعوامل تصفية AD، والتدفقات.
تستعيد Cisco معرفة أساسية ب :
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تتألف رؤوس Kerberos الثلاثة من مركز توزيع المفاتيح (KDC) ومستخدم العميل والخادم الذي يجب الوصول إليه.
يتم تثبيت KDC كجزء من وحدة التحكم بالمجال (DC) وتؤدي وظيفتين للخدمات: خدمة المصادقة (AS) وخدمة منح التذاكر (TGS).
يتم تضمين ثلاث عمليات تبادل عندما يقوم العميل بالوصول في البداية إلى مورد خادم:
عند تسجيل الدخول في البداية إلى شبكة، يجب على المستخدمين التفاوض بشأن الوصول وتوفير اسم تسجيل الدخول وكلمة المرور للتحقق منه بواسطة جزء AS من KDC داخل مجالهم.
لدى KDC إمكانية الوصول إلى معلومات حساب مستخدم Active Directory. وبمجرد مصادقته، يتم منح المستخدم تذكرة منح (TGT) صالحة للمجال المحلي.
يبلغ عمر TGT الافتراضي 10 ساعات ويتم تجديده خلال جلسة عمل تسجيل دخول المستخدم بدون الحاجة إلى إعادة إدخال كلمة المرور الخاصة به.
يتم تخزين TGT مؤقتا على الجهاز المحلي في مساحة ذاكرة متطايرة ويتم إستخدامه لطلب جلسات العمل مع الخدمات عبر الشبكة.
يقدم المستخدم TGT إلى جزء TGS من KDC عند الحاجة إلى الوصول إلى خدمة الخادم.
يقوم TGS الموجود على KDC بمصادقة TGT للمستخدم وإنشاء تذكرة ومفتاح جلسة عمل لكل من العميل والخادم البعيد. يتم بعد ذلك تخزين هذه المعلومات (بطاقة الخدمة) مؤقتا محليا على جهاز العميل.
يتلقى TGS العميل TGT ويقرأه بمفتاحه الخاص. إذا وافق TGS على طلب العميل، يتم إنشاء تذكرة خدمة لكل من العميل والخادم الهدف.
يقرأ العميل نصيبه مع مفتاح جلسة TGS الذي تم إسترداده مسبقا من رد AS.
يقوم العميل بتقديم جزء الخادم الخاص برد TGS على الخادم الهدف في عملية تبادل العميل/الخادم التالية.
مثال:
التقاط الحزمة من ISE لمستخدم تتم مصادقته:
تحتوي AS-REQ على اسم المستخدم. إذا كانت كلمة المرور صحيحة، فإن خدمة AS توفر TGT مشفرا باستخدام كلمة مرور المستخدم. وبعد ذلك يتم توفير TGT لخدمة TGT للحصول على تذكرة جلسة عمل.
تكون المصادقة ناجحة عند إستلام تذكرة جلسة عمل..
هذا مثال حيث كلمة المرور المقدمة من العميل خاطئة:
إذا كانت كلمة المرور غير صحيحة، يفشل طلب AS ولا يتم تلقي TGT:
قم بتسجيل الدخول إلى ملف ad_agent.log عندما تكون كلمة المرور غير صحيحة:
2020-01-14 13:36:05،442 تصحيح الأخطاء، 140574072981248،krb5: طلب مرسل (276 بايت) إلى RALMAAIT.COM،LwKrb5TraceCallback()،lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05،444 DEBUG، 140574072981248،krb5: تم تلقي خطأ من KDC: -1765328360/Preauthentication failed، LwKrb5TraceCallback()،lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05،444 تصحيح الأخطاء، 140574072981248،krb5: أنواع إدخالات إعادة المحاولة السابقة: 16، 14، 19، 2،LwKrb5TraceCallback()،lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05،444 تحذير، 140574072981248،[LwKrb5GetTgtImpl ../../lwadvapi/threaded/krbtgt.c:329] رمز الخطأ KRB5: -1765328360 (رسالة: فشل المصادقة المسبقة)، LwTranslateKrb5Error()،lwadvapi/threaded/lwkrb5.c:892
2020-01-14 13:36:05،444 تصحيح الأخطاء، 140574072981248،[LwKrb5InitializeUserLoginCredentials()] رمز الخطأ: 40022 (الرمز: LW_ERROR_PASSWORD_MISMATCH)،LwKrb5InitializeUserLoginCredentials()،lwadvapi/threaded/lwkrb5.c:1453
يستخدم ISE MS-RPC عبر SMB، وتوفر SMB المصادقة ولا تتطلب جلسة منفصلة للعثور على موقع خدمة RPC معينة. وهو يستخدم آلية تسمى "ممر البيانات المسمى" للاتصال بين العميل والخادم.
تبادل RPC عبر SMB.
يعرض الأمر negotiate protocol request/response
تفاوض السطر على لهجة الشركات الصغيرة والمتوسطة. يعرض الأمر session setup request/response
يجري المصادقة.
اتصال طلب اتصال الشجرة والاستجابة بالمورد المطلوب. أنت متصل بمشاركة خاصة IPC$.
وتوفر هذه المشاركة في الاتصال بين العمليات وسائل الاتصال بين الأجهزة المضيفة وكذلك كوسيلة نقل لوظائف MSRPC.
في الحزمة 77 هو Create Request File
واسم الملف هو اسم الخدمة المتصلة (خدمة Netlogon في هذا المثال).
في الحزم 83 و 86، يكون طلب NetrlogonSamLogonEX هو المكان الذي تقوم فيه بإرسال اسم المستخدم لمصادقة العميل على ISE إلى AD في الحقل network_info.
تقوم حزمة إستجابة NetrlogonSamLogonEX بالرد مع النتائج.
بعض قيم العلامات لاستجابة NetrlogonSamLogonEX:
0xc00006a status_wrong_password
0x000000 هو status_success
0x0000103 هو status_pending
يستخدم ISE بروتوكول LDAP و KRB و MSRBC للاتصال بالإعلان أثناء عملية الانضمام/المغادرة والمصادقة.
توفر الأقسام التالية البروتوكولات وتنسيق البحث والآليات المستخدمة للاتصال ب DC محدد في AD ومصادقة المستخدم مقابل DC هذا.
وفي حالة عدم اتصال وحدة التحكم بالمجال (DC) لأي سبب من الأسباب، يفشل ISE في الوصول إلى وحدة التحكم بالمجال (DC) التالية المتاحة ولا تتأثر عملية المصادقة.
خادم الكتالوج العمومي (GC) هو وحدة تحكم بالمجال تقوم بتخزين نسخ من كافة كائنات Active Directory في الغابة.
وهو يخزن نسخة كاملة من كل الكائنات في دليل مجالك ونسخة جزئية من كل الكائنات من كل مجالات الغابات الأخرى.
وبالتالي، يتيح الكتالوج العمومي للمستخدمين والتطبيقات العثور على كائنات في أي مجال من مجالات الغابة الحالية مع البحث عن سمات مضمنة في GC.
يحتوي الكتالوج العمومي على مجموعة أساسية (غير كاملة) من السمات لكل كائن غابة في كل مجال (مجموعة سمات جزئية، PAT).
يتلقى GC بيانات من كل أقسام دليل المجال في الغابة. يتم نسخها باستخدام الخدمة القياسية للنسخ المتماثل باستخدام AD.
المتطلبات الأساسية لتكامل Active Directory و ISE
يطبق ISE اكتشاف المجال للحصول على معلومات حول مجال الانضمام في ثلاث مراحل:
وبالإضافة إلى ذلك، يكتشف Cisco ISE أسماء مجالات DNS (لاحقات UPN)، ولاحقات UPN البديلة، وأسماء مجال NTLM.
يقوم ISE بتطبيق اكتشاف DC للحصول على جميع المعلومات حول وحدات DC و GCs المتوفرة.
وأحد العوامل المستخدمة لحساب أولوية التيار المباشر هو الوقت الذي يستغرقه التيار المباشر للاستجابة لاجتماعات CLDAP؛ فالاستجابة الأسرع تحظى بأولوية أعلى.
ملاحظة: CLDAP هي الآلية التي يستخدمها ISE لإنشاء اتصال مع وحدات التحكم بالمجال DC والحفاظ عليه. يقيس وقت الاستجابة حتى أول رد ل DC. يفشل إذا لم تجد إجابة من التيار المستمر. حذر إذا كان وقت الاستجابة أكبر من 2.5 ثانية. مسح كافة وحدات التحكم بالمجال DC في الموقع (في حالة عدم وجود موقع، فإنه يتم مسح كافة وحدات التحكم بالمجال DC في المجال). تحتوي إستجابة CLDAP على موقع DC وموقع العميل (الموقع الذي تم تعيين جهاز ISE إليه).
عندما يغادر ISE، يجب ان يأخذ الاعلان بعين الاعتبار:
عند اتصال وحدة التحكم بالمجال DC ب ISE يصبح غير متصل أو يتعذر الوصول إليه لأي سبب، يتم تشغيل تجاوز فشل وحدة التحكم بالمجال DC تلقائيا على ISE. يمكن تشغيل تجاوز فشل التيار المستمر بواسطة الشروط التالية:
في مثل هذه الحالات، يقوم موصل AD بتهيئة تحديد DC بقائمة محظورة ( يتم وضع DC "سيئ" في القائمة المحظورة) ويحاول الاتصال ب DC المحدد. لم يتم تخزين وحدة التحكم بالمجال (DC) المحددة في القائمة المحظورة مؤقتا.
يجب أن يقوم موصل AD بإكمال تجاوز الفشل خلال فترة زمنية معقولة (أو الفشل إذا لم يكن ذلك ممكنا). ولهذا السبب، يحاول موصل AD تجربة عدد محدود من وحدات DC أثناء تجاوز الفشل.
يقوم ISE بحظر وحدات التحكم بالمجال AD إذا كان هناك خطأ غير قابل للاسترداد في الشبكة أو الخادم لمنع ISE من إستخدام DC تالف. لا تتم إضافة DC إلى القائمة المحظورة إذا لم يستجيب إلى إختبارات اتصال CLDAP. تعمل خدمة ISE على تقليل أولوية وحدة التحكم بالمجال (DC) التي لا تستجيب.
يبحث ISE عن آلة أو مستخدم في AD بإحدى تنسيقات البحث هذه. إذا كان البحث عن جهاز، فإن ISE يضيف "$" في نهاية اسم الجهاز. هذه قائمة بأنواع الهوية التي تستخدم لتعريف مستخدم في AD:
يمكن أن يكون لكل إعلان لاحقة UPN متعددة(@alt1.com،@alt2.com،...، وما إلى ذلك). مثال: Main UPN (sajeda@cisco.com)، Alternative UPN:sajeda@domain1 ، sajeda@domain2
يتم إستخدام عوامل التصفية لتعريف الكيان الذي يريد الاتصال ب AD. يبحث ISE دائما عن هذا الكيان في مجموعات المستخدمين والآلات.
أمثلة على عوامل تصفية البحث:
إذا لم يكن اسم SAM فريدا، فإن ISE يستخدم كلمة المرور للتمييز بين المستخدمين وكان ISE مكونا لاستخدام بروتوكول غير معرف كلمة مرور مثل EAP-TLS.
لا توجد معايير أخرى لتحديد موقع المستخدم المناسب، لذلك يفشل ISE في المصادقة مع حدوث خطأ "هوية غامضة".
ومع ذلك، إذا كانت شهادة المستخدم موجودة في Active Directory، يستخدم Cisco ISE مقارنة ثنائية لحل الهوية.
إذا كان هناك تطابق فريد، يستمر Cisco ISE مع تدفق AAA.
إذا كانت هناك نقاط ربط متعددة لها نفس UPN وكلمة مرور أو نفس UPN والبريد، فإن Cisco ISE يفشل في المصادقة مع حدوث خطأ "معرف ملتبس".
إذا تم تحديد لاحقة مجال مؤهلة بالكامل في الهوية، على سبيل المثال host/machine.domain.com، فإن Cisco ISE يبحث في الغابة حيث يوجد هذا المجال.
إذا كانت الهوية في شكل مضيف/جهاز، يقوم Cisco ISE بالبحث في جميع الغابات عن اسم الخدمة الأساسي.
إذا كان هناك أكثر من تطابق واحد، يفشل Cisco ISE في المصادقة باستخدام خطأ "معرف ملتبس".
ملاحظة: تظهر نفس المرشحات في ملفات ISE Ad-Agent.log
ملاحظة: ISE 2.2 تصحيح 4 و السابق و 2.3 تصحيح 1 و المستخدمين المحددين مسبقا مع الخصائص SAM أو CN أو كلاهما. Cisco ISE، الإصدار 2.2 تصحيح 5 وأعلى، و 2.3 تصحيح 2 وأعلى، أستخدم سمة sAMAccountName فقط كسمة افتراضية.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
2.0 |
03-Aug-2022 |
القواعد، البنية، الترجمة الآلية، النمط، التنسيق |
1.0 |
06-Feb-2020 |
الإصدار الأولي |