はじめに
このドキュメントでは、ISE上の2つのRFC準拠RADIUSサーバをそれぞれプロキシおよび認可として設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- RADIUSプロトコルの基礎知識
- Identity Services Engine(ISE)ポリシー設定に関する専門知識
使用するコンポーネント
このドキュメントの情報は、Cisco ISEバージョン2.2および2.4に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
ISE(フロントエンドサーバ)の設定
ステップ 1:ISEでユーザを認証するために、複数の外部RADIUSサーバを設定して使用できます。外部RADIUSサーバを設定するには、図に示すように、Administration > Network Resources > External RADIUS Servers > Addに移動します。
ステップ 2:設定済みの外部RADIUSサーバを使用するには、RADIUSサーバシーケンスをアイデンティティソースシーケンスと同様に設定する必要があります。同じことを設定するには、図に示すように、Administration > Network Resources > RADIUS Server Sequences > Addに移動します。
注:サーバシーケンスの作成中に使用可能なオプションの1つは、アカウンティングをISEでローカルに実行するか、外部RADIUSサーバで実行するかを選択することです。ここで選択したオプションに基づいて、ISEはアカウンティング要求をプロキシするか、これらのログをローカルに保存するかを決定します。
ステップ 3:また、要求を外部RADIUSサーバにプロキシする際のISEの動作方法をより柔軟に説明するセクションもあります。図に示すように、Advance Attribute Settingsの下にあります。
- 詳細設定:デリミタを使用してRADIUS要求のユーザー名の開始または終了を削除するオプションを提供します。
- Modify Attribute in the request:RADIUS要求のRADIUS属性を変更するオプションを提供します。次のリストは、追加、削除、または更新できる属性を示しています。
User-Name--[1]
NAS-IP-Address--[4]
NAS-Port--[5]
Service-Type--[6]
Framed-Protocol--[7]
Framed-IP-Address--[8]
Framed-IP-Netmask--[9]
Filter-ID--[11]
Framed-Compression--[13]
Login-IP-Host--[14]
Callback-Number--[19]
State--[24]
VendorSpecific--[26]
Called-Station-ID--[30]
Calling-Station-ID--[31]
NAS-Identifier--[32]
Login-LAT-Service--[34]
Login-LAT-Node--[35]
Login-LAT-Group--[36]
Event-Timestamp--[55]
Egress-VLANID--[56]
Ingress-Filters--[57]
Egress-VLAN-Name--[58]
User-Priority-Table--[59]
NAS-Port-Type--[61]
Port-Limit--[62]
Login-LAT-Port--[63]
Password-Retry--[75]
Connect-Info--[77]
NAS-Port-Id--[87]
Framed-Pool--[88]
NAS-Filter-Rule--[92]
NAS-IPv6-Address--[95]
Framed-Interface-Id--[96]
Framed-IPv6-Prefix--[97]
Login-IPv6-Host--[98]
Error-Cause--[101]
Delegated-IPv6-Prefix--[123]
Framed-IPv6-Address--[168]
DNS-Server-IPv6-Address--[169]
Route-IPv6-Information--[170]
Delegated-IPv6-Prefix-Pool--[171]
Stateful-IPv6-Address-Pool--[172]
-
Continue to Authorization Policy on Access-Accept:ISEがAccess-Acceptをそのまま送信する必要があるのか、外部RADIUSサーバによって提供される許可ではなく、ISE上で設定された許可ポリシーに基づいてアクセスを提供し続けるのかを選択するオプションを提供します。このオプションを選択すると、外部RADIUSサーバから提供された認可がISEから提供された認可で上書きされます。
注:このオプションは、外部RADIUSサーバがプロキシされるRADIUS Access-Requestに対する応答としてAccess-Accept を送信する場合にのみ機能します。
-
Modify Attribute before Access-Accept:Modify Attribute in the requestと同様に、前述の属性は、ネットワークデバイスに送信される前に外部RADIUSサーバから送信されるAccess-Acceptで追加、削除、更新できます。
ステップ 4:次のパートでは、要求が外部RADIUSサーバに送信されるように、許可プロトコルの代わりにRADIUSサーバシーケンスを使用するようにポリシーセットを設定します。Policy > Policy Setsで設定できる認可ポリシーはPolicy Setで設定できますが、Continue to Authorization Policy on Access-Accept オプションを選択した場合にのみ有効になります。そうでない場合、ISEは、このポリシーセットに設定された条件に一致させるため、RADIUS要求のプロキシとして機能するだけです。
外部RADIUSサーバの設定
ステップ 1:この例では、別のISEサーバ(バージョン2.2)がISE_Backend_Serverという名前の外部RADIUSサーバとして使用されます。外部RADIUSサーバに転送されるアクセス要求のNAS-IP-Address属性が外部RADIUSサーバのIPアドレスに置き換えられるので、ISE(ISE_Frontend_ServerISE_Backend_Server )はネットワークデバイスとして設定するか、従来は外部RADIUSサーバ内のNAS(この例でISE_Frontend_Server)と呼す。設定する共有秘密は、ISE_Frontend_Serverで外部RADIUSサーバ用に設定したものと同じです。
ステップ 2:外部RADIUSサーバは、ISEによってプロキシされる要求を処理するために、独自の認証および認可ポリシーを使用して設定できます。この例では、内部ユーザのユーザをチェックし、認証された場合はアクセスを許可するように単純なポリシーが設定されています。
確認
ステップ 1:図に示すように、要求を受信したらISEライブログを確認します。
ステップ 2:図に示すように、正しいポリシーセットが選択されているかどうかを確認します。
ステップ 3:要求が外部RADIUSサーバに転送されるかどうかを確認します。
4. Continue to Authorization Policy on Access-Acceptオプションを選択した場合、認可ポリシーが評価されているかどうかを確認します。
トラブルシュート
シナリオ 1. イベント - 5405 Radius 要求のドロップ
- 検証する必要がある最も重要な項目は、詳細な認証レポートの手順です。手順に「RADIUS-Client request timeout expired」と示されている場合、ISEは設定された外部RADIUSサーバから応答を受信しなかったことを意味します。これは次の場合に発生します。
- 外部 Radius サーバとの接続に問題があります。設定されているポートで ISE が外部 Radius サーバに到達できません。
- ISE が外部 Radius サーバのネットワークデバイスまたは NAS として設定されていません。
- 設定または外部RADIUSサーバでの何らかの問題により、外部RADIUSサーバでパケットが廃棄される。
パケットキャプチャも確認して、これが誤ったメッセージでないか確認します。つまり、ISEがサーバからパケットを受信しているにもかかわらず、要求がタイムアウトしたことを報告します。
- 手順に「リモートRADIUSサーバへの要求の転送を開始する」と示され、直前の手順が「これ以上、外部RADIUSサーバはありません。フェールオーバーを実行できません」である場合は、すべての設定済み外部RADIUSサーバが現在停止とマークされ、要求は停止タイマーが切れた後にのみ処理されることを意味します。
注:ISEの外部RADIUSサーバのデフォルトのデッドタイムは5分です。このバージョンでは、この値はハードコーディングされているため変更できません。
- ステップに「RADIUS-Client encountered error during processing flow」が示され、その後に「Failed to forward request to current remote RADIUS server; an invalid response was received」が続く場合は、外部RADIUSサーバへの要求の転送中にISEで問題が発生したことを意味しています。これは通常、ネットワークデバイスまたはNASからISEに送信されるRADIUS要求の属性の1つとしてNAS-IP-Addressがない場合に表示されます。 NAS-IP-Address 属性がない場合、および外部 Radius サーバが使用されていない場合は、ISE はパケットの送信元 IP を NAS-IP-Address フィールドに入力します。 ただし、これは外部 Radius サーバが使用中の場合は適用されません。
シナリオ 2. イベント - 5400 認証の失敗
- この場合、手順に「11368 Please review logs on the External RADIUS Server to determine the precise failure reason」と記載されていれば、外部RADIUSサーバ自体で認証に失敗し、アクセス拒否を送信しています。
- 手順に「15039 Rejected per authorization profile」と記載されている場合、ISEは外部RADIUSサーバからAccess-Acceptを受信したが、設定された認可ポリシーに基づいて認可が拒否されたことを意味しています。
- 認証が失敗した場合、ISEの失敗の理由がここで説明した理由と異なる場合は、設定またはISE自体に潜在的な問題があることを意味します。その場合は、この時点で TAC ケースを開くことをお勧めします。