|
简介 本文档介绍如何将外部RADIUS服务器配置为身份服务引擎(ISE)上的身份验证服务器,其中ISE充当代理,也充当授权服务器。在本文档中,使用两台ISE服务器,其中一台用作另一台的外部服务器。但是,只要遵守RFC,任何RADIUS服务器都可用作外部服务器。 先决条件要求Cisco 建议您了解以下主题: - RADIUS协议的基本知识。
- ISE策略配置方面的专业知识。
使用的组件本文档中的信息基于Cisco ISE版本2.4和2.2。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。 配置网络图配置ISE(前端服务器)步骤1.可以配置多个外部RADIUS服务器并用于对ISE上的用户进行身份验证。要配置外部RADIUS服务器,请导航至Administration > Network Resources > External RADIUS Servers > Add,如图所示: 步骤2.要使用已配置的外部RADIUS服务器,必须配置类似于身份源序列的RADIUS服务器序列。如图所示,要配置相同的配置,请导航至Administration > Network Resources > RADIUS Server Sequences > Add。
注意:创建服务器序列时可用的选项之一是选择记帐应在ISE本地还是在外部RADIUS服务器上进行。根据此处选择的选项,ISE决定是代理记帐请求还是在本地存储这些日志。 3.还有一个附加部分,可以更灵活地说明ISE在代理请求到外部RADIUS服务器时应如何行为。可在“高级属性设置”下找到,如图所示。
- 高级设置:提供使用分隔符删除RADIUS请求中用户名开始或结束的选项。
- 在请求中修改属性:提供选项以修改RADIUS请求中的任何RADIUS属性。此列表显示可添加/删除/更新的所有属性:
User-Name--[1]NAS-IP-Address--[4]NAS-Port--[5]Service-Type--[6]Framed-Protocol--[7] Framed-IP-Address--[8]Framed-IP-Netmask--[9]Filter-ID--[11]Framed-Compression--[13]Login-IP-Host--[14]Callback-Number--[19]State--[24]VendorSpecific--[26]Called-Station-ID--[30]Calling-Station-ID--[31]NAS-Identifier--[32]Login-LAT-Service--[34]Login-LAT-Node--[35]Login-LAT-Group--[36]Event-Timestamp--[55] Egress-VLANID--[56]Ingress-Filters--[57]Egress-VLAN-Name--[58]User-Priority-Table--[59]NAS-Port-Type--[61]Port-Limit--[62]Login-LAT-Port--[63]Password-Retry--[75] Connect-Info--[77] NAS-Port-Id--[87]Framed-Pool--[88]NAS-Filter-Rule--[92]NAS-IPv6-Address--[95] Framed-Interface-Id--[96]Framed-IPv6-Prefix--[97]Login-IPv6-Host--[98]Error-Cause--[101]Delegated-IPv6-Prefix--[123]Framed-IPv6-Address--[168]DNS-Server-IPv6-Address--[169]Route-IPv6-Information--[170]Delegated-IPv6-Prefix-Pool--[171]Stateful-IPv6-Address-Pool--[172] 继续对Access-Accept执行授权策略:提供选项,选择ISE应按原样发送Access-Accept,还是根据在ISE上配置的授权策略(而不是外部RADIUS服务器提供的授权)继续提供访问。如果选择此选项,则外部RADIUS服务器提供的授权将被ISE提供的授权覆盖。
注意:如果且仅当外部RADIUS服务器发送Access-Accept以响应代理的RADIUS Access-Request时,此选项才起作用。 在Access-Accept之前修改属性:与请求中的Modify Attribute类似,在将前面提到的相同属性发送到网络设备之前,可以在外部RADIUS服务器发送的Access-Accept中添加/删除/更新这些属性。
步骤4.下一部分是将策略集配置为使用RADIUS服务器序列而不是允许的协议,以便将请求发送到外部RADIUS服务器。可以在Policy > Policy Sets下配置。授权策略可以在策略集下配置,但仅当选中“Continue to Authorization Policy on Access-Accept”选项时,这些策略才会生效。否则,ISE只充当与为此策略集配置的条件匹配的RADIUS请求的代理。 配置外部RADIUS服务器 步骤1.在本示例中,另一个ISE服务器(版本2.2)用作名为ISE_Backend_Server的外部RADIUS服务器。ISE(ISE_Frontend_Server)需要配置为网络设备或在外部RADIUS服务器(本例中为ISE_Backend_Server)中传统地称为NAS,因为转发到外部RADIUS服务器的访问请求中的NAS-IP-Address属性将替换为ISE_Frontend_服务器自己的IP地址。要配置的共享密钥与为ISE_Frontend_Server上的外部RADIUS服务器配置的共享密钥相同。 步骤2.外部RADIUS服务器可以配置其自己的身份验证和授权策略来为ISE代理的请求提供服务。在本例中,配置了简单策略以检查内部用户中的用户,然后在经过身份验证后允许访问。 验证 步骤1.如图所示,检查ISE实时日志是否收到请求。 步骤2.检查是否选择了正确的策略集,如图所示。 步骤3.检查请求是否正被转发到外部RADIUS服务器。 4.如果选择了Continue to Authorization Policy on Access-Accept选项,请检查是否正在评估授权策略。 故障排除情形 1: 事件 — 5405 RADIUS请求已丢弃方案 2:事件 — 5400身份验证失败- 在此情况下,如果步骤说明11368请查看外部RADIUS服务器上的日志以确定确切的故障原因,则这表示身份验证在外部RADIUS服务器本身上失败,并且它已发送Access-Reject。
- 如果步骤显示15039 Rejected per authorization profile,则表示ISE从外部RADIUS服务器收到Access-Accept,但ISE根据配置的授权策略拒绝授权。
- 如果ISE的故障原因与此处提到的在身份验证失败时的原因不同,则可能意味着配置或ISE本身存在潜在问题。建议此时打开TAC案例。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63130
发表于 2023-1-18 22:09:31
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2023-1-19 08:52:33
