تكوين الوصول الآمن ل RA-VPNaS باستخدام SSO ثنائي وتقييم Posture باستخدام ISE

المقدمة

يوضح هذا المستند كيفية تكوين تقييم الوضع لمستخدمي شبكة VPN للوصول عن بعد باستخدام محرك خدمة الهوية (ISE) والوصول الآمن باستخدام Duo.

المتطلبات الأساسية

• تكوين توفير المستخدم على الوصول الآمن
• تكوين SSO الثنائي باستخدام وكيل المصادقة أو IDP لجهة خارجية
• ISE متصلة بالوصول الآمن من Cisco عبر النفق

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• محرك خدمة الهوية
• الوصول الآمن
• Cisco Secure Client
• دليل المصادقة ثنائية العوامل - الأمان الثنائي
• ISE Posture
• المصادقة والتخويل والمحاسبة

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى: 

• Identity Service Engine (ISE)، الإصدار 3.3 Patch 1
• الوصول الآمن
• Cisco Secure Client - AnyConnect VPN، الإصدار 5.1.2.42

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يؤدي دمج Duo SAML مع محرك خدمات الهوية (ISE) من Cisco إلى تحسين عملية المصادقة، وإضافة طبقة أمان أخرى إلى حلول الوصول الآمن من Cisco. توفر ميزة Duo SAML إمكانية تسجيل الدخول الأحادي (SSO) التي تعمل على تبسيط عملية تسجيل دخول المستخدم مع ضمان معايير عالية الأمان في نفس الوقت.

وبمجرد المصادقة عليها من خلال Duo SAML، تتم معالجة عملية التخويل بواسطة Cisco ISE. وهذا يسمح باتخاذ قرارات التحكم في الوصول الديناميكي استنادا إلى هوية المستخدم ووضع الجهاز. يمكن أن يفرض ISE سياسات تفصيلية تملي الموارد التي يمكن للمستخدم الوصول إليها، ومتى، ومن أي أجهزة.

الرسم التخطيطي للشبكة

التكوين

التكوين الثنائي

لتكوين تطبيق RA-VPN، اتبع الخطوات التالية: 

انتقل إلى لوحة إدارة Duo

• انتقل إلى Applications > Protect an Application
• البحث عن Generic SAML Service Provider
• انقر  Protect

يجب أن يعرض التطبيق على الشاشة، تذكر اسم التطبيق لتكوين VPN.

في هذه الحالة Generic SAML Service Provider.

تكوين الوصول الآمن

تكوين مجموعة RADIUS على تجمعات IP

لتكوين ملف تعريف VPN باستخدام RADIUS، أكمل الخطوات التالية: 

انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك.

• انقر فوق Connect > Enduser Connectivity > Virtual Private Network
• تحت تكوين التجمع (Manage IP Pools)، انقر فوقManage

• أخترت ال IP Pool Region وشكلت ال Radius Server

• انقر القلم الرصاص لتحريره

• الآن، أسفل تكوين قسم تجمع IP ضمن Radius Group (Optional)
• انقر Add RADIUS Group

• تحت عام، قم بتكوين الخيارات التالية: 

• Group Name: تكوين اسم لتكامل ISE في الوصول الآمن
  • AAA method
    
    • Authentication: وضع علامة على خانة الاختيار للمنفذ Authentication وتحديده، بشكل افتراضي، هو 1812
      • في حالة تطلبMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2) المصادقة وضع علامة على خانة الاختيار
    • Authorization:: وضع علامة على خانة الاختيار الخاصة Authorization بالمنفذ وتحديد هذا المنفذ، بشكل افتراضي، هو 1812
      • ضع علامة على خانة الاختيار Authorization mode Only Change of Authorization (CoA) mode والسماح بوضعية وتغييرات ISE
    • Accounting: وضع علامة على خانة الاختيار للتخويل وتحديد المنفذ، بشكل افتراضي، هو 1813
      • أختر Single or Simultaneous (في الوضع المفرد، يتم إرسال بيانات المحاسبة إلى خادم واحد فقط. في الوضع المتزامن، يتم توفير بيانات المحاسبة لجميع الخوادم في المجموعة)
      • حدد خانة الاختيار Accounting update لتمكين الإنشاء الدوري لرسائل RADIUS المؤقتة-Accounting-Update.

• بعد ذلك، تحتاج إلى تكوين RADIUS Servers (ISE) الذي يتم إستخدامه للمصادقة عبر AAA على القسم RADIUS Servers:
• انقر فوق + Add

• بعد ذلك، قم بتكوين الخيارات التالية:

• Server Name: قم بتكوين اسم لتعريف خادم ISE.
• IP Address: تكوين IP لجهاز Cisco ISE الذي يمكن الوصول إليه من خلال الوصول الآمن
• Secret Key: تكوين مفتاح RADIUS السري
• Password: قم بتكوين كلمة مرور RADIUS الخاصة بك

• انقر Save وحدد خادم RADIUS الخاص بك ضمن Assign Server الخيار وحدد خادم ISE الخاص بك:

• انقر Save مرة أخرى لحفظ التكوين الذي تم

الآن بعد أن قمت بتكوين خادم ISE الخاص بك ضمن تجمع IP، يلزمك تكوينه أسفل VPN Profiles.

تكوين ملف تعريف VPN لاستخدام ISE

لتكوين ملف تعريف VPN، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك.

• انقر فوق Connect > Enduser Connectivity > Virtual Private Network
• VPN Profiles نقر سفلي + Add
• ثم قم بتكوين الخيارات التالية:

الإعدادات العامة

• VPN Profile name: تكوين اسم لاسم ملف التعريف الخاص بك
• Default Domain: قم بتكوين مجالك.
• DNS Server: أختر خادم اسم المجال (DNS) الذي تم تكوينه من قبلك
• Protocol: تكوين البروتوكولات التي تحتاج إلى السماح بها بموجب شبكة VPN
• Connect Time posture: إختيار وضعية أو تركها بلا

• بعد ذلك، انقر فوق Next

المصادقة والتخويل والمحاسبة

المصادقة

• Authentication
  
  • Protocols:اختَر SAML
• انقر Download Service Provider XML file
• استبدلت المعلومة في التطبيق يشكل في الخطوة، duo تشكيل

• بمجرد تكوين هذه المعلومات، قم بتغيير اسم الثنائي إلى شيء متعلق بالتكامل الذي تقوم به

• انقر Save على التطبيق الخاص بك على Duo.
• بمجرد النقر فوق حفظ، يجب تنزيل SAML Metadata النقر فوق الزر Download XML

• قم بتحميل SAML Metadata الوصول الآمن تحت الخيار 3. Upload IdP security metadata XML file وانقر فوق Next

قم بالمتابعة باستخدام التفويض.

الاعتماد

• Authorization
  • Enable Radius Authorization: وضع علامة على خانة الاختيار لتمكين تفويض RADIUS
  • حدد مجموعة واحدة لجميع المناطق: حدد خانة الاختيار لاستخدام خادم RADIUS واحد محدد لجميع تجمعات الوصول عن بعد - الشبكة الخاصة الظاهرية (RA-VPN)، أو قم بتعريفها لكل تجمع بشكل منفصل
• انقر Next

بعد تكوين كل Authorization الجزء، الرجاء المتابعة باستخدام Accounting.

محاسبة

• Accounting
  • Map Authorization groups to regions: إختيار المناطق واختيار Radius Groups
• انقر Next

After you have done configured the Authentication, Authorization and Accounting الرجاء متابعةTraffic Steering.

توجيه حركة المرور

تحت توجيه حركة المرور، يلزمك تكوين نوع الاتصال من خلال الوصول الآمن.

• إذا أخترت Connect to Secure Accessكافة طرق حركة مرور الإنترنت الخاصة بك Secure Access

إذا كنت تريد إضافة إستثناءات لمجالات الإنترنت أو عناوين IP، الرجاء النقر فوق + Add الزر، ثم انقر فوق Next.

• إذا قررت ذلك Bypass Secure Access، فإن كل حركة مرور الإنترنت الخاصة بك تمر عبر موفر الإنترنت الخاص بك، وليس من خلالSecure Access (لا توجد حماية إنترنت)

في هذه الخطوة، تحدد جميع موارد الشبكة الخاصة التي تريد الوصول إليها من خلال شبكة VPN. للقيام بذلك، انقر + Addثم انقر Next عند إضافة كافة الموارد.

تكوين عميل آمن من Cisco

في هذه الخطوة، يمكنك الحفاظ على كل شيء كافتراضي والنقر Save، ولكن إذا كنت تريد تخصيص التكوين الخاص بك أكثر، فالرجاء التحقق من دليل مسؤول العميل الآمن من Cisco.

تكوينات ISE

تكوين قائمة أجهزة الشبكة

لتكوين المصادقة من خلال Cisco ISE، يلزمك تكوين الأجهزة المسموح بها التي يمكنها إجراء استعلامات على Cisco ISE لديك:

• انتقل إلى Administration > Network Devices
• انقر فوق + Add 

• Name: إستخدام اسم لتحديد الوصول الآمن
• IP  Address: تكوين Management Interface الخطوة، منطقة تجمع IP
• Device Profile: أختر Cisco
  • Radius Authentication Settings
    
    • Shared Secret: تكوين نفس السر المشترك الذي تم تكوينه على الخطوة، المفتاح السري
    • CoA Port: دعها كقيمة افتراضية، حيث يتم إستخدام الطراز 1700 أيضا في ميزة "الوصول الآمن"

بعد ذلك النقر Save، للتحقق من عمل التكامل بشكل صحيح، قم بالمتابعة لإنشاء مستخدم محلي للتحقق من التكامل.

تكوين مجموعة

لتكوين مجموعة للاستخدام مع المستخدمين المحليين، اتبع الخطوات التالية:

• انقر في Administration > Groups
• انقر User Identity Groups
• انقر + Add
• قم بإنشاء مجموعة Nameللمجموعة وانقر فوق Submit

تكوين مستخدم محلي

لتكوين مستخدم محلي للتحقق من التكامل الخاص بك:

• انتقل إلى Administration > Identities
• انقر فوق Add +

• Username: تكوين اسم المستخدم باستخدام توفير UPN معروف في Secure Access؛ يستند هذا إلى الخطوة والمتطلبات الأساسية
• Status:نشط
• Password Lifetime: يمكنك تكوينها With Expiration أو Never Expires، وفقا لك
• Login Password: إنشاء كلمة مرور للمستخدم
• User Groups:: أختر المجموعة التي تم إنشاؤها على الخطوة، قم بتكوين مجموعة

بعد ذلك، يمكنك Save التكوين والمتابعة بالخطوة، Configure Policy Set.

تكوين مجموعة النهج

في إطار مجموعة النهج، قم بتكوين الإجراء الذي يقوم ISE باتخاذه أثناء المصادقة والتفويض. يوضح هذا السيناريو حالة الاستخدام لتكوين سياسة بسيطة لتوفير وصول المستخدم. أولا، يتحقق ISE من أصل مصادقة RADIUS ويتحقق مما إذا كانت الهويات موجودة في قاعدة بيانات مستخدم ISE لتوفير الوصول

لتكوين هذا النهج، انتقل إلى لوحة معلومات Cisco ISE: 

• انقر فوق Policy > Policy Sets
• انقر فوق + لإضافة مجموعة نهج جديدة

في هذه الحالة، قم بإنشاء مجموعة نهج جديدة بدلا من العمل تحت المجموعة الافتراضية. بعد ذلك، قم بتكوين المصادقة والتفويض استنادا إلى مجموعة النهج هذه. يسمح النهج الذي تم تكوينه بالوصول إلى جهاز الشبكة المعرف في الخطوة تكوين قائمة أجهزة الشبكة للتحقق من أن هذه المصادقة تأتي من CSA Network Device List ثم الدخول في النهج ك Conditions. وأخيرا، البروتوكولات المسموح بها، مثل Default Network Access.

لإنشاء التعليمات condition التي تطابق مجموعة النهج، قم بالمتابعة باستخدام التعليمات التالية:

• انقر فوق +
• وتتضمن المعلومات المتاحة Condition Studioأدناه ما يلي: 

1. لإنشاء الشروط، انقر فوق Click to add an attribute
2. انقر على Network Device الزر 
3. تحت الخيارات الخلفية، انقر فوق Network Access - Network Device Name خيار
4. تحت خيار يساوي، اكتب اسم Network Device تحت الخطوة، قم بتكوين قائمة أجهزة الشبكة
5. انقر Save

لا يوافق هذا النهج إلا على الطلب الوارد من المصدرCSA لمتابعة Authentication وإعداد Authorization البيانات ضمن مجموعة النهج CSA-ISE، كما يتحقق من البروتوكولات المسموح بها استنادا إلى البروتوكولات Default Network Access المسموح بها.

يجب أن تكون نتيجة النهج المحدد هي: 

• للتحقق من Default Network Access Protocols المسموح، اتبع الإرشادات التالية: 
  • انقر فوقPolicy > Results
  • انقر فوق Allowed Protocols
  • انقر فوق Default Network Access

• بعد ذلك، يمكنك الاطلاع على جميع البروتوكولات المسموح بها على Default Network Access

تكوين تفويض مجموعة السياسات

لإنشاء Authorization النهج ضمن Policy Set، قم بالخطوات التالية:

• انقر فوق >

• بعد ذلك، ترى Authorization السياسات معروضة: 

النهج هو نفسه المحدد ضمن مجموعة نهج تكوين الخطوة.

سياسة التخويل

يمكنك تكوين نهج التخويل بعدة طرق. في هذه الحالة، قم بتخويل المستخدمين في المجموعة المحددة في الخطوة تكوين مجموعة.راجع المثال التالي لتكوين نهج التخويل الخاص بك:

• انقر فوق Authorization Policy
• انقر فوق + لتحديد نهج التخويل مثل: 

• للخطوة التالية، قم بتغيير Rule Name، Conditions و Profiles
• عند تعيين Name تكوين اسم لتحديد نهج التخويل بسهولة 
• لتكوين Conditionعنصر التحكم، انقر فوق +
• تحتها، Condition Studioتجد المعلومات: 

1. لإنشاء الشروط، انقر فوق Click to add an attribute
2. انقر على Identity Group الزر 
3. تحت الخيارات أدناه، انقر فوق مستخدم داخلي - IdentityGroup خيار
4. تحت Equals الخيار، أستخدم القائمة المنسدلة للعثور على Group المعتمد للمصادقة في الخطوة، قم بتكوين مجموعة
5. انقر Save
6. انقر Use

بعد ذلك، تحتاج إلى تعريف Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. تحت Authorization Policyالزر المنسدل انقر فوق Profiles
2. البحث عن تصريح
3. تحديد PermitAccess
4. انقر Save

بعد ذلك، قمت بتعريف Authorization سياستك. قم بالمصادقة للتحقق مما إذا كان المستخدم يتصل دون حدوث مشكلة وما إذا كان يمكنك رؤية السجلات على Secure Access و ISE.

للاتصال بالشبكة الخاصة الظاهرية (VPN)، يمكنك إستخدام ملف التعريف الذي تم إنشاؤه على Secure Access والاتصال من خلال Secure Client باستخدام ملف تعريف ISE.

• كيف يتم عرض السجل في Secure Access عند الموافقة على المصادقة؟ 
  • انتقل إلى لوحة معلومات الوصول الآمن
  • انقر فوق Monitor > Remote Access Log

• كيف يتم عرض السجل في ISE عند الموافقة على المصادقة؟
  • انتقل إلى Cisco ISE Dashboard
  • انقر فوق Operations > Live Logs

كيف يتم عرض السجل في Duo عند الموافقة على المصادقة؟

• انتقل إلى لوحة إدارة الثنائي
• انقر فوق Reports > Authentication Log

تكوين مستخدمي RADIUS المحليين أو مستخدمي Active Directory

تكوين وضعية ISE

في هذا السيناريو، قم بإنشاء التكوين للتحقق من توافق نقطة النهاية قبل منح الوصول إلى الموارد الداخلية أو رفضه.

لتكوينه، انتقل إلى الخطوات التالية:

تكوين شروط الوضع

• انتقل إلى لوحة معلومات ISE
• انقر فوق Work Center > Policy Elements > Conditions
• انقر فوق Anti-Malware

• تحت Anti-Malware Conditions، انقر + Add

• يمكنك تكوين Anti-Malware Condition اكتشاف تثبيت برنامج الحماية من الفيروسات على النظام، كما يمكنك إختيار إصدار نظام التشغيل إذا لزم الأمر.

• Name: إستخدام اسم للتعرف على حالة الحماية من البرامج الضارة
• Operating System: أختر النظام التشغيلي الذي تريد وضعه تحت الشرط
• Vendor: إختيار مورد أو أي
• Check Type: يمكنك التحقق من تثبيت العامل أو إصدار التعريف لهذا الخيار.

• بالنسبة Products for Selected Vendorلك، قم بتكوين ما تريد التحقق منه حول البرامج الضارة على الجهاز.

1. ضع علامة على خانة الاختيار للأحوال التي تريد تقييمها
2. تكوين الإصدار الأدنى للتحقق
3. انقر فوق حفظ لمتابعة الخطوة التالية

وبمجرد تكوينها، يمكنك المتابعة بالخطوة، Configure Posture Requirements.

تكوين متطلبات الوضع

• انتقل إلى لوحة معلومات ISE
• انقر فوق Work Center > Policy Elements > Requeriments
• انقر فوق أي Edit من المتطلبات وانقر فوق Insert new Requirement

• تحت المتطلب الجديد، قم بتكوين المعلمات التالية:

• Name: قم بتكوين اسم للتعرف على متطلبات البرامج المضادة
• Operating System: أختر نظام التشغيل الذي تختاره بموجب خطوة الشرط، نظام التشغيل  
• Compliance Module: تحتاج إلى التأكد من تحديد نفس وحدة التوافق المتوفرة لديك بموجب خطوة الشرط، حالة الحماية من البرامج الضارة
• Posture Type: إختيار الوكيل
• Conditions:: أختر الشرط أو الشروط التي قمت بإنشائها ضمن الخطوة، قم بتكوين شروط الوضع
• Remediations Actions: أختر Message Text Only لهذا المثال، أو إذا كان لديك إجراء إصلاح آخر، فاستخدمه
• انقر Save

وبمجرد تكوينها، يمكنك المتابعة بالخطوة، Configure Posture Policy

تكوين نهج الوضع

• انتقل إلى لوحة معلومات ISE
• انقر فوق Work Center > Posture Policy
• انقر فوق أي Edit من النهج وانقر فوق Insert new Policy

• تحت النهج الجديد، قم بتكوين المعلمات التالية:

• Status: وضع علامة على خانة الاختيار "لا تمكين النهج"
• Rule Name: تكوين اسم للتعرف على السياسة التي تم تكوينها
• Identity Groups: أختر الهويات التي تريد تقييمها
• Operating Systems:: إختيار نظام التشغيل استنادا إلى الشرط والمتطلبات التي تم تكوينها من قبل
• Compliance Module:: إختيار وحدة الامتثال استنادا إلى الشرط والمتطلبات التي تم تكوينها من قبل
• Posture Type: إختيار الوكيل
• Requeriments:: أختر المتطلبات التي تم تكوينها على الخطوة، قم بتكوين متطلبات الوضع
• انقر Save

تكوين إمداد العميل

لتزويد المستخدمين بوحدة ISE النمطية، قم بتكوين إمداد العميل لتجهيز الأجهزة بوحدة وضع ISE. يتيح لك هذا التحقق من وضع الأجهزة بمجرد تثبيت الوكيل. لمتابعة هذه العملية، فيما يلي الخطوات التالية:

انتقل إلى لوحة معلومات ISE.

• انقر فوق Work Center > Client Provisioning
• اختَر Resources

هناك ثلاثة أمور تحتاج إلى تكوينها تحت إمداد العميل:

الموارد المطلوب تكوينها	الوصف
1. Agent Resources	حزمة إمداد الويب الآمنة للعميل.
2. Compliance Module	الوحدة النمطية Cisco ISE Compliance Module
3. Agent Profile	التحكم في ملف تعريف الإعداد.
3. Agent Configuration	تحديد الوحدات النمطية التي يتم توفيرها من خلال إعداد بوابة الإمداد، باستخدام ملف تعريف الوكيل وموارد الوكيل.

Step 1 تنزيل موارد الوكيل وتحميلها

• لإضافة مورد عميل جديد، انتقل إلى مدخل تنزيل Cisco Download Portal وقم بتنزيل حزمة نشر الويب؛ يجب أن يكون ملف نشر الويب بتنسيق .pkg.

• انقر فوق + Add > Agent resources from local disk وقم بتحميل الحزم

Step 2تنزيل وحدة التوافق النمطية 

• انقر فوق + Add > Agent resources from Cisco Site

• ضع علامة على خانة الاختيار لكل وحدة توافق مطلوبة وانقر فوق Save

Step 3تكوين ملف تعريف الوكيل

• انقر فوق + Add > Agent Posture Profile

• إنشاء a Name ل Posture Profile

• تحت قواعد اسم الخادم، ضع * وطقطقة Save بعد ذلك

Step 4 تكوين تكوين الوكيل

• انقر فوق + Add > Agent Configuration

• بعد ذلك، قم بتكوين المعلمات التالية: 

• Select Agent Package : أختر الحزمة التي تم تحميلها على الخطوة 1 تنزيل موارد وكيل التحميل وتحميلها
• Configuration Name: إختيار اسم للتعرف على Agent Configuration
• Compliance Module: أختر وحدة التوافق التي تم تنزيلها على الخطوة 2 قم بتنزيل وحدة التوافق
• Cisco Secure Client Module Selection
  
  • ISE Posture: وضع علامة على خانة الاختيار
• Profile Selection
  
  • ISE Posture: أختر ملف تعريف ISE الذي تم تكوينه على الخطوة 3 تكوين ملف تعريف الوكيل
• انقر Save

تكوين نهج توفير العميل

لتمكين إعداد إعداد وضعية محرك خدمات الهوية (ISE) والوحدات النمطية التي تم تكوينها في الخطوة الأخيرة، يلزمك تكوين نهج لإنشاء الإمداد.

• انتقل إلى لوحة معلومات ISE
• انقر فوق Work Center > Client Provisioning

• Rule Name: تكوين اسم السياسة استنادا إلى نوع الجهاز وتحديد مجموعة الهوية للحصول على طريقة سهلة لتعريف كل نهج
• Identity Groups: أختر الهويات التي تريد تقييمها على السياسة
• Operating Systems:: أختر نظام التشغيل استنادا إلى حزمة البرنامج الوكيلة المحددة في الخطوة، حدد حزمة البرنامج
• Other Condition:: أختر استنادا Network Access إلى Authentication MethodEQUALS الطريقة التي تم تكوينها على الخطوة، أو إضافة مجموعة RADIUS أو يمكنك ترك الأمر فارغا
• Result: إختيار تكوين الوكيل الذي تم تكوينه في الخطوة 4 تكوين الوكيل 
  • Native Supplicant Configuration: إختيار Config Wizard و Wizard Profile
• وضع علامة "ممكن" على النهج إذا لم يتم إدراجه كممكن في خانة الاختيار.

إنشاء توصيفات التخويل

يحدد ملف تعريف التخويل الوصول إلى الموارد بناء على وضعية المستخدمين بعد تمرير المصادقة. يجب التحقق من الترخيص لتحديد الموارد التي يمكن للمستخدم الوصول إليها استنادا إلى الوضع.

ملف تعريف التخويل	الوصف
مذعن	متوافق مع المستخدم - تم تثبيت الوكيل - تم التحقق من الوضع
غير معروف التوافق	متوافق مع المستخدم المعروف - إعادة التوجيه لتثبيت الوكيل - الوضع قيد التحقق
DenyAccess	مستخدم غير متوافق - رفض الوصول

لتكوين قائمة التحكم في الوصول إلى البنية الأساسية (DACL)، انتقل إلى لوحة معلومات ISE:

• انقر فوق Work Centers > Policy Elements > Downloadable ACLs
• انقر فوق +Add
• إنشاء Compliant DACL

• Name: أضف اسما يشير إلى التوافق مع DACL
• IP version:اختَر IPv4
• DACL Content: إنشاء قائمة تحكم في الوصول قابلة للتنزيل (DACL) تتيح الوصول إلى جميع موارد الشبكة

permit ip any any

انقر Save وأنشئ قائمة التحكم بالوصول (DACL) الخاصة بالتوافق غير المعروف

• انقر فوق Work Centers > Policy Elements > Downloadable ACLs
• انقر فوق +Add
• إنشاء Unknown Compliant DACL

• Name: أضف اسما يشير إلى التوافق مع DACL غير المعروف
• IP version:اختَر IPv4
• DACL Content: قم بإنشاء قائمة تحكم في الوصول إلى البنية الأساسية (DACL) التي تعطي وصولا محدودا إلى الشبكة و DHCP و DNS و HTTP ومدخل الإمداد عبر المنفذ 8443

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

ملاحظة: في هذا السيناريو، يتوافق عنوان IP 192.168.10.206 مع خادم محرك خدمات الهوية (ISE) من Cisco، ويتم تخصيص المنفذ 8443 لمدخل الإمداد. هذا يعني أن حركة مرور TCP إلى عنوان IP 192.168.10.206 عبر المنفذ 8443 مسموح بها، مما يسهل الوصول إلى مدخل الإعداد.

عند هذه النقطة، لديك قائمة التحكم في الوصول الخاصة بالمنفذ (DACL) المطلوبة لإنشاء ملفات تعريف التخويل.

لتكوين ملفات تعريف التخويل، انتقل إلى لوحة معلومات ISE:

• انقر فوق Work Centers > Policy Elements > Authorization Profiles
• انقر فوق +Add
• إنشاء Compliant Authorization Profile

• Name: إنشاء اسم يشير إلى ملف تعريف التخويل المتوافق
• Access Type:اختَر ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: إختيار قائمة التحكم في الوصول للوسائط (DACL) التي تم تكوينها على قائمة التحكم في الوصول للوسائط (DACL) المتوافقة مع الخطوة

انقر Save وأنشئ Unknown Authorization Profile

• انقر فوق Work Centers > Policy Elements > Authorization Profiles
• انقر فوق +Add
• إنشاء Uknown Compliant Authorization Profile

• Name: إنشاء اسم يشير إلى ملف تعريف تخويل غير معروف متوافق
• Access Type:اختَر ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: أختر قائمة التحكم في الوصول للبنية الأساسية (DACL) التي تم تكوينها على قائمة التحكم في الوصول للبنية الأساسية (DACL) المتوافقة مع الخطوة غير معروفة
  • Web Redirection (CWA,MDM,NSP,CPP)
    • اختَر Client Provisioning (Posture)
    • ACL: يجب أن redirect
    • Value: أختر مدخل التوفير الافتراضي، أو إذا قمت بتعريف آخر، فاختر المدخل

ملاحظة: اسم قائمة التحكم في الوصول لإعادة التوجيه على Secure Access لجميع عمليات النشر هو redirect.

بعد أن تقوم بتعريف كل هذه القيم، يجب أن يكون لديك شيء مماثل تحت Attributes Details.

انقر Save لإنهاء التكوين ومتابعة الخطوة التالية.

تكوين مجموعة نهج الوضع

تستند هذه النهج الثلاثة التي تقوم بإنشائها إلى ملفات تعريف التخويل التي قمت بتكوينها؛ DenyAccessولأنك لا تحتاج لإنشاء واحدة أخرى.

مجموعة النهج - التخويل	ملف تعريف التخويل
مذعن	ملف تعريف التخويل - متوافق
غير معروف التوافق	ملف تعريف التفويض - متوافق مع UKNOWN
غير متوافق	DenyAccess

انتقل إلى لوحة معلومات ISE

• انقر فوق Work Center > Policy Sets
• انقر فوق > للوصول إلى النهج الذي قمت بإنشائه

• انقر فوق Authorization Policy

• قم بإنشاء السياسات الثلاثة التالية بالترتيب التالي:

• انقر + لتحديد CSA-Compliance السياسة : 

• للخطوة التالية، قم بتغيير Rule Name، Conditions و Profiles
• عند تعيين اسم Name التكوين إلى CSA-Compliance
• لتكوين Conditionعنصر التحكم، انقر فوق +
• تحتها، Condition Studioتجد المعلومات: 

1. لإنشاء الشرط، ابحث عن compliant
2. يجب أن تكون قد عرضت Compliant_Devices
3. السحب والإفلات تحت Editor
4. انقر أسفل Editorالدخول New
5. انقر على Identity Group الأيقونة
6. اختَر Internal User Identity Group
7. تحت Equals، أختر User Identity Group الذي تريد مطابقته
8. انقر Use

• كنتيجة، لديك الصورة التالية

• تحت Profile انقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى المكون على الخطوة، ملف تعريف تخويل متوافق

لقد قمت الآن بتكوين Compliance Policy Set.

• انقر + لتحديد CSA-Unknown-Compliance السياسة : 

• للخطوة التالية، قم بتغيير Rule Name، Conditions و Profiles
• عند تعيين اسم Name التكوين إلى CSA-Unknown-Compliance
• لتكوين Conditionعنصر التحكم، انقر فوق +
• تحتها، Condition Studioتجد المعلومات: 

1. لإنشاء الشرط، ابحث عن compliance
2. يجب أن تكون قد عرضت Compliant_Unknown_Devices
3. السحب والإفلات تحت Editor
4. انقر أسفل Editorالدخول New
5. انقر على Identity Group الأيقونة
6. اختَر Internal User Identity Group
7. تحت Equals، أختر User Identity Group الذي تريد مطابقته
8. انقر Use

• كنتيجة، لديك الصورة التالية

• تحت Profile النقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى المكون على الخطوة، ملف تعريف تخويل غير معروف متوافق

لقد قمت الآن بتكوين Unknown Compliance Policy Set.

• انقر فوق + لتحديد CSA- Non-Compliant السياسة: 

• للخطوة التالية، قم بتغيير Rule Name، Conditions و Profiles
• عند تعيين اسم Name التكوين إلى CSA-Non-Compliance
• لتكوين Conditionعنصر التحكم، انقر فوق +
• تحتها، Condition Studioتجد المعلومات: 

1. لإنشاء الشرط، ابحث عن non
2. يجب أن تكون قد عرضت Non_Compliant_Devices
3. السحب والإفلات تحت Editor
4. انقر أسفل Editorالدخول New
5. انقر على Identity Group الأيقونة
6. اختَر Internal User Identity Group
7. تحت Equals، أختر User Identity Group الذي تريد مطابقته
8. انقر Use

• كنتيجة، لديك الصورة التالية

• تحت Profile انقر تحت الزر المنسدل واختر ملف تعريف تخويل الشكوى DenyAccess

بمجرد إنهاء تكوين التوصيفات الثلاثة، تصبح جاهزا لاختبار التكامل مع الوضع.

التحقق من الصحة

التحقق من الوضع

الاتصال على الجهاز

الاتصال بمجال RA-VPN الخاص بك والمزود على الوصول الآمن عبر Secure Client.

ملاحظة: يجب عدم تثبيت وحدة ISE النمطية لهذه الخطوة.

1. الاتصال باستخدام Secure Client.

2. توفير بيانات الاعتماد للمصادقة عبر Duo.

3. عند هذه النقطة، يتم توصيلك بالشبكة الخاصة الظاهرية (VPN)، وغالبا ما تتم إعادة توجيهك إلى ISE؛ وإذا لم يكن الأمر كذلك، يمكنك محاولة التنقل إلى http:1.1.1.1.

ملاحظة: عند هذه النقطة تقع ضمن التخويل - مجموعة السياسات CSA-Unknown-compliance نظرا لعدم تثبيت عامل ISE Posture Agent على الجهاز، وتتم إعادة توجيهك إلى بوابة إمداد ISE لتثبيت الوكيل.

4. انقر فوق "بدء" لمتابعة توفير الوكيل.

5. انقر فوق + This is my first time here.

6. انقر فوق Click here to download and install agent

7. تثبيت العميل 

8. بعد تثبيت الوكيل، يبدأ ISE Posture (وضعية محرك خدمات الهوية (ISE)) في التحقق من حالة الأجهزة الحالية. في حالة عدم تلبية متطلبات السياسة، يظهر أن منبثقا يرشدك نحو التوافق.

ملاحظة: في حالة انتهاء المهلةCancel المتبقية، تصبح تلقائيا غير متوافق، وتدخل ضمن مجموعة نهج التخويل CSA-Non-Compliance، وتفصل فورا عن شبكة VPN.

9. قم بتثبيت "عامل نقطة النهاية الآمنة" واتصل مرة أخرى بالشبكة الخاصة الظاهرية (VPN).

10. بعد أن يتحقق العميل من أن الجهاز في حالة توافق، يتغير وضعك لكي تكون في حالة شكوى ويمنح حق الوصول إلى جميع الموارد الموجودة على الشبكة.

ملاحظة: بعد أن تصبح متوافقا، تصبح خاضعا لمجموعة سياسات التخويل المتوافقة مع CSA، ويمكنك الوصول فورا إلى جميع موارد الشبكة.

كيفية التحقق من السجلات في ISE

للتحقق من نتيجة المصادقة للمستخدم، لديك مثالان على التوافق وعدم الامتثال. لمراجعتها في قسم خدمات الهوية، اتبع الإرشادات التالية:

• انتقل إلى لوحة معلومات ISE
• انقر فوق Operations > Live Logs

يوضح السيناريو التالي كيفية عرض أحداث التوافق وعدم الامتثال الناجحة في إطار Live Logs:

إنقيادا

عدم الامتثال

الخطوات الأولى مع الوصول الآمن وتكامل ISE

في المثال التالي، ضمن الشبكة 192.168.10.0/24، يلزم إضافة تكوين الشبكات التي يمكن الوصول إليها من خلال النفق تحت تكوين النفق.

Step 1: التحقق من تكوين النفق:

للتحقق من ذلك، الرجاء الانتقال إلى لوحة معلومات الوصول الآمن.

• انقر فوق Connect > Network Connections
• انقر فوق Network Tunnel Groups > النفق

• تحت ملخص، تحقق من تكوين النفق لمساحة العنوان حيث يكون Cisco ISE الخاص بك:

Step 2: السماح بحركة المرور على جدار الحماية.

للسماح بالوصول الآمن لاستخدام جهاز ISE لمصادقة RADIUS، يلزمك تكوين قاعدة من الوصول الآمن إلى شبكتك باستخدام منافذ RADIUS المطلوبة:

قاعدة	المصدر	الوجهة	غاية ميناء
ISE للوصول الآمن تجمع الإدارة	ISE_Server	تجمع IP للإدارة (RA-VPN)	كاكاو UDP 1700 (المنفذ الافتراضي)
تجمع IP لإدارة الوصول الآمن إلى ISE	تجمع IP للإدارة	ISE_Server	المصادقة والتخويل UDP 1812 (المنفذ الافتراضي) محاسبة UDP 1813 (المنفذ الافتراضي)
تجمع IP لنقطة الوصول الآمنة إلى ISE	تجمع IP لنقطة النهاية	ISE_Server	مدخل التوفير بروتوكول TCP 8443 (المنفذ الافتراضي)
تجمع IP لنقطة الوصول الآمنة إلى خادم DNS	تجمع IP لنقطة النهاية	خادم DNS	DNS UDP و TCP 53

ملاحظة: إذا كنت تريد معرفة المزيد من المنافذ المتعلقة ب ISE، فتحقق من دليل المستخدم - مرجع المنفذ.

ملاحظة: يلزم وجود قاعدة DNS إذا قمت بتكوين ISE الخاص بك لاكتشاف من خلال اسم، مثل ise.ciscosspt.es

تجمع الإدارة وتجمع IP للنقطة الطرفية

للتحقق من تجمع IP للإدارة والنقطة الطرفية، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:

• انقر فوق Connect > End User Connectivity
• انقر فوق Virtual Private Network
• تحت Manage IP Pools
• انقر فوق Manage

الخطوة 3: تأكد من تكوين ISE الخاص بك ضمن الموارد الخاصة

للسماح للمستخدمين المتصلين عبر الشبكة الخاصة الظاهرية (VPN) بالتنقل إلى ISE Provisioning Portal، يلزمك التأكد من تكوين الجهاز الخاص بك كمورد خاص لتوفير الوصول، والذي يتم إستخدامه للسماح بالإمداد التلقائي ISE Posture Module للشبكة الخاصة الظاهرية (VPN).

للتحقق من تكوين ISE بشكل صحيح، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:

• انقر فوق Resources > Private Resources
• انقر فوق مورد ISE

إذا لزم الأمر، يمكنك تقييد القاعدة بمنفذ مدخل الإعداد (8443).

ملاحظة: تأكد من وضع علامة على خانة الاختيار لاتصالات VPN.

الخطوة 4: السماح بوصول ISE بموجب سياسة الوصول

للسماح للمستخدمين المتصلين عبر الشبكة الخاصة الظاهرية (VPN) بالتنقل إلى ISE Provisioning Portal، يلزمك التأكد من أنك قمت بتكوين أحد Access Policy للسماح للمستخدمين الذين تم تكوينهم بموجب هذه القاعدة بالوصول إلى المورد الخاص الذي تم تكوينه في Step3.

للتحقق من تكوين ISE بشكل صحيح، انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:

• انقر فوق Secure > Access Policy
• انقر فوق القاعدة التي تم تكوينها للسماح بالوصول إلى مستخدمي شبكة VPN إلى ISE

استكشاف الأخطاء وإصلاحها

كيفية تنزيل سجلات تصحيح أخطاء وضعية ISE

لتنزيل سجلات ISE للتحقق من وجود مشكلة تتعلق بالوضع، الرجاء متابعة الخطوات التالية: 

• انتقل إلى لوحة معلومات ISE
• انقر فوق Operations > Troubleshoot > Debug Wizard

• انقر فوق Debug Profile Configuration

• تحديد خانة الاختيار ل Posture > Debug Nodes 

• ضع علامة على خانة الاختيار لعقد ISE التي ستقوم بتمكين وضع تصحيح الأخطاء عليها لاستكشاف مشكلتك وإصلاحها

• انقر Save

تحذير: بعد هذه النقطة، يجب أن تبدأ في إعادة إنتاج مشكلتك؛ the debug logs can affect the performance of your device.

بعد أن يتم نسخ المشكلة، تابع الخطوات التالية:

• انقر فوق Operations > Download Logs
• أختر العقدة التي تريد أخذ السجلات منها

• تحت Support Bundle، أختر الخيارات التالية:

• Include debug logs
• تحت Support Bundle Encryption
  • Shared Key Encryption
    • تعبئة Encryption key و Re-Enter Encryption key
• انقر Create Support Bundle
• انقر Download

تحذير: تعطيل وضع تصحيح الأخطاء الذي تم تمكينه على الخطوة، تكوين ملف تعريف تصحيح الأخطاء

كيفية التحقق من سجلات الوصول عن بعد الآمن

انتقل إلى لوحة معلومات الوصول الآمن الخاصة بك:

• انقر فوق Monitor > Remote Access Logs

إنشاء حزمة DART على العميل الآمن

لإنشاء حزمة DART على جهازك، تحقق من المقالة التالية: 

أداة Cisco Secure Client Diagnostic and Reporting Tool (DART)

ملاحظة: بمجرد تجميع السجلات المشار إليها في قسم أستكشاف الأخطاء وإصلاحها، يرجى فتح حالة مع TAC المتابعة في تحليل المعلومات.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco
• وثائق الوصول الآمن ودليل المستخدم
• تنزيل برنامج Cisco Secure Client
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.3