تكوين المصادقة المستندة إلى الشهادة أو البطاقة الذكية لإدارة ISE

المقدمة

يوضح هذا المستند كيفية تكوين المصادقة المستندة إلى شهادة العميل للوصول إلى إدارة محرك خدمات الهوية (ISE). في هذا المثال، يقوم مسؤول ISE بالمصادقة مقابل شهادة المستخدم للحصول على وصول المسؤول إلى واجهة المستخدم الرسومية (GUI) الخاصة بإدارة محرك خدمات الهوية من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين ISE لمصادقة كلمة المرور والشهادة.
• Microsoft Active Directory (AD)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Identity Services Engine (ISE)، الإصدار 2.6
• Windows Active Directory (AD) Server 2008 الإصدار 2
• شهادة

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت الشبكة مباشرة، فتأكد من فهم التأثير المحتمل لأي تكوين.

التكوين

أستخدم هذا القسم لتكوين شهادة العميل أو البطاقة الذكية كهوية خارجية للوصول الإداري إلى واجهة المستخدم الرسومية (GUI) لإدارة Cisco ISE.

الرسم التخطيطي للشبكة

ربط ISE ب Active Directory

1. إختيار الإدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory.
   
   
2. قم بإنشاء مثيل Active Directory باسم نقطة الربط ومجال AD في Cisco ISE.
   
   
3. انقر على إرسال.
   
   
   
   
4. انضم إلى جميع العقد باستخدام اسم المستخدم وكلمة المرور المناسبين في موجه الأمر.
   
   
   
   
5. طقطقة حفظ.

تحديد مجموعات الدليل

1. قم بإنشاء مجموعة مسؤول خارجية وقم بتعيينها إلى مجموعة Active Directory.
   
   
2. أختر إدارة >إدارة الهوية > مصادر الهوية الخارجية > Active Directory > مجموعات > تحديد مجموعات من Directory.
   
   
3. إسترداد مجموعة AD واحدة على الأقل ينتمي إليها المسؤول.
   
   
   
   
4. طقطقة حفظ.

تمكين المصادقة المستندة إلى كلمة مرور Active Directory للوصول الإداري

1. قم بتمكين مثيل Active Directory كأسلوب مصادقة مستند إلى كلمة المرور انضم إلى ISE في وقت سابق.
   
   
2. أختر إدارة>نظام > وصول المسؤول > المصادقة، كما هو موضح في الصورة.
   
   
   
   
3. طقطقة حفظ.

ملاحظة: يلزم تكوين المصادقة المستندة إلى كلمة المرور لتمكين المصادقة المستندة إلى الشهادة. يجب عكس هذا التكوين بعد تكوين ناجح للمصادقة المستندة إلى الشهادة.

تعيين مجموعات الهوية الخارجية إلى مجموعات المسؤولين

في هذا المثال، يتم تعيين مجموعة AD الخارجية على مجموعة الإدارة الافتراضية.

1. أختر إدارة >النظام >وصول المسؤول >المسؤولون >مجموعات المسؤول > Super Admin.
   
   
2. تحقق من النوع كنوع خارجي وحدد مجموعة AD ضمن مجموعات خارجية.
   
   
   
   
3. طقطقة حفظ.
   
   
4. أختر إدارة > نظام > وصول المسؤول > مسؤولين > مجموعات الإدارة > قراءة فقط مسؤول.
   
   
5. تحقق من النوع كخارجي وحدد مجموعة AD ضمن مجموعات خارجية، كما هو موضح في الصورة.
   
   
   
   
6. طقطقة حفظ.

إستيراد شهادة موثوق بها

1. إستيراد شهادة المرجع المصدق (CA) التي توقع شهادة العميل.
   
   
2. نختار مدير > نظام > شهادات > شهادة موثوق بها > إستيراد.
   
   
3. انقر تصفح واختر شهادة المرجع المصدق.
   
   
4. حدد خانة الاختيار الثقة بمصادقة العميل و Syslog، كما هو موضح في الصورة.
   
   
   
   
5. انقر على إرسال.
   

تكوين ملف تعريف مصادقة الشهادة

1. لإنشاء توصيف مصادقة الشهادة للمصادقة المستندة إلى شهادة العميل، أختر إدارة >إدارة الهوية > مصادر الهوية الخارجية > ملف تعريف مصادقة الشهادة > إضافة.
   
   
2. أضف اسم ملف التعريف.
   
   
3. حدد السمة المناسبة التي تحتوي على اسم مستخدم المسؤول في سمة الشهادة.
   
   
4. إذا كان سجل AD الخاص بالمستخدم يحتوي على شهادة المستخدم ويريد مقارنة الشهادة التي يتم إستلامها من المستعرض مقابل الشهادة الموجودة في AD، فتحقق من خانة الاختيار تنفيذ مقارنة ثنائية دائما، وحدد اسم مثيل Active Directory الذي تم تحديده مسبقا.
   
   
   
   
5. انقر على إرسال.

ملاحظة: يمكن إستهلاك نفس ملف تعريف مصادقة الشهادة للمصادقة المستندة إلى هوية نقطة النهاية أيضا. 

تمكين المصادقة المستندة إلى شهادة العميل

1. نختار الإدارة > النظام > وصول المسؤول > المصادقة > أسلوب المصادقة شهادة العميل المستندة إلى.
   
   
   
   
2. وانقر فوق OK.
   
   
3. أختر ملف تعريف مصادقة الشهادة الذي تم تكوينه مسبقا.
   
   
4. حدد اسم مثيل Active Directory.
   
   
   
   
5. طقطقة حفظ.
   
   
6. خدمات ISE على كافة العقد في عمليات إعادة تشغيل النشر.
   
   

التحقق من الصحة

تحقق من الوصول إلى واجهة المستخدم الرسومية (GUI) الخاصة ب ISE بعد تغيير حالة خدمة خادم التطبيقات إلى قيد التشغيل.

مستخدم Super Admin: تحقق من مطالبة المستخدم باختيار شهادة لتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE) وإعطائه امتيازات Super Admin إذا كانت الشهادة من جزء مستخدم في مجموعة الهوية الخارجية للمسؤول المتميز.

Read-Only Admin User (مستخدم مسؤول للقراءة فقط):تحقق من أنه تتم مطالبة المستخدم باختيار شهادة لتسجيل الدخول إلى واجهة المستخدم الرسومية (ISE)، ويتم منحه امتيازات "مسؤول القراءة فقط" إذا كانت الشهادة من جزء مستخدم في مجموعة الهوية الخارجية لمسؤول للقراءة فقط.

ملاحظة: في حالة إستخدام بطاقة الوصول المشترك (CAC)، تقدم Smartcard شهادة المستخدم إلى ISE بعد أن يدخل المستخدم رمز التعريف الشخصي (PIN) الأفضل الصالح.

استكشاف الأخطاء وإصلاحها

1. أستخدم الأمر start ise safe لبدء Cisco ISE في وضع آمن يسمح بتعطيل التحكم في الوصول مؤقتا إلى مدخل المسؤول وتصحيح التكوين وإعادة تشغيل خدمات ISE باستخدام الأمر stop ise الذي يتبعه بدء التطبيق.
   
2. يوفر الخيار الآمن وسيلة للاسترداد إذا قام المسؤول بتأمين الوصول إلى مدخل مسؤول Cisco ISE لجميع المستخدمين دون قصد. قد يحدث هذا الحدث إذا قام المسؤول بتكوين قائمة وصول IP غير صحيحة في الإدارة > وصول المسؤول > إعدادات > صفحة الوصول. كما يتجاوز الخيار الآمن المصادقة المستندة إلى الشهادة ويرجع إلى اسم المستخدم الافتراضي ومصادقة كلمة المرور لتسجيل الدخول إلى مدخل مسؤول Cisco ISE.