思科在 ISE 上配置外部 RADIUS 服务器
简介本文档介绍如何将外部RADIUS服务器配置为身份服务引擎(ISE)上的身份验证服务器,其中ISE充当代理,也充当授权服务器。在本文档中,使用两台ISE服务器,其中一台用作另一台的外部服务器。但是,只要遵守RFC,任何RADIUS服务器都可用作外部服务器。先决条件要求Cisco 建议您了解以下主题:[*]RADIUS协议的基本知识。
[*]ISE策略配置方面的专业知识。
使用的组件本文档中的信息基于Cisco ISE版本2.4和2.2。本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。配置网络图https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-00.png配置ISE(前端服务器)步骤1.可以配置多个外部RADIUS服务器并用于对ISE上的用户进行身份验证。要配置外部RADIUS服务器,请导航至Administration > Network Resources > External RADIUS Servers > Add,如图所示:https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-01.pnghttps://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-02.png步骤2.要使用已配置的外部RADIUS服务器,必须配置类似于身份源序列的RADIUS服务器序列。如图所示,要配置相同的配置,请导航至Administration > Network Resources > RADIUS Server Sequences > Add。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-03.pnghttps://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-04.png
注意:创建服务器序列时可用的选项之一是选择记帐应在ISE本地还是在外部RADIUS服务器上进行。根据此处选择的选项,ISE决定是代理记帐请求还是在本地存储这些日志。3.还有一个附加部分,可以更灵活地说明ISE在代理请求到外部RADIUS服务器时应如何行为。可在“高级属性设置”下找到,如图所示。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-05.png
[*]高级设置:提供使用分隔符删除RADIUS请求中用户名开始或结束的选项。
[*]在请求中修改属性:提供选项以修改RADIUS请求中的任何RADIUS属性。此列表显示可添加/删除/更新的所有属性:
User-Name--NAS-IP-Address--NAS-Port--Service-Type--Framed-Protocol-- Framed-IP-Address--Framed-IP-Netmask--Filter-ID--Framed-Compression--Login-IP-Host--Callback-Number--State--VendorSpecific--Called-Station-ID--Calling-Station-ID--NAS-Identifier--Login-LAT-Service--Login-LAT-Node--Login-LAT-Group--Event-Timestamp-- Egress-VLANID--Ingress-Filters--Egress-VLAN-Name--User-Priority-Table--NAS-Port-Type--Port-Limit--Login-LAT-Port--Password-Retry-- Connect-Info-- NAS-Port-Id--Framed-Pool--NAS-Filter-Rule--NAS-IPv6-Address-- Framed-Interface-Id--Framed-IPv6-Prefix--Login-IPv6-Host--Error-Cause--Delegated-IPv6-Prefix--Framed-IPv6-Address--DNS-Server-IPv6-Address--Route-IPv6-Information--Delegated-IPv6-Prefix-Pool--Stateful-IPv6-Address-Pool--
[*]继续对Access-Accept执行授权策略:提供选项,选择ISE应按原样发送Access-Accept,还是根据在ISE上配置的授权策略(而不是外部RADIUS服务器提供的授权)继续提供访问。如果选择此选项,则外部RADIUS服务器提供的授权将被ISE提供的授权覆盖。
注意:如果且仅当外部RADIUS服务器发送Access-Accept以响应代理的RADIUS Access-Request时,此选项才起作用。
[*] 在Access-Accept之前修改属性:与请求中的Modify Attribute类似,在将前面提到的相同属性发送到网络设备之前,可以在外部RADIUS服务器发送的Access-Accept中添加/删除/更新这些属性。
步骤4.下一部分是将策略集配置为使用RADIUS服务器序列而不是允许的协议,以便将请求发送到外部RADIUS服务器。可以在Policy > Policy Sets下配置。授权策略可以在策略集下配置,但仅当选中“Continue to Authorization Policy on Access-Accept”选项时,这些策略才会生效。否则,ISE只充当与为此策略集配置的条件匹配的RADIUS请求的代理。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-06.pnghttps://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-07.png配置外部RADIUS服务器 步骤1.在本示例中,另一个ISE服务器(版本2.2)用作名为ISE_Backend_Server的外部RADIUS服务器。ISE(ISE_Frontend_Server)需要配置为网络设备或在外部RADIUS服务器(本例中为ISE_Backend_Server)中传统地称为NAS,因为转发到外部RADIUS服务器的访问请求中的NAS-IP-Address属性将替换为ISE_Frontend_服务器自己的IP地址。要配置的共享密钥与为ISE_Frontend_Server上的外部RADIUS服务器配置的共享密钥相同。 https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-08.png步骤2.外部RADIUS服务器可以配置其自己的身份验证和授权策略来为ISE代理的请求提供服务。在本例中,配置了简单策略以检查内部用户中的用户,然后在经过身份验证后允许访问。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-09.png验证 步骤1.如图所示,检查ISE实时日志是否收到请求。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-10.png步骤2.检查是否选择了正确的策略集,如图所示。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-11.png步骤3.检查请求是否正被转发到外部RADIUS服务器。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-12.png4.如果选择了Continue to Authorization Policy on Access-Accept选项,请检查是否正在评估授权策略。https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-13.pnghttps://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-14.png故障排除情形 1:事件 — 5405 RADIUS请求已丢弃
[*]需要验证的最重要事项是详细身份验证报告中的步骤。如果步骤显示RADIUS客户端请求超时已过期,则表示ISE未收到来自已配置外部RADIUS服务器的任何响应。当:
1.外部RADIUS服务器存在连接问题。ISE无法到达为其配置的端口上的外部RADIUS服务器。
2. ISE未配置为外部RADIUS服务器上的网络设备或NAS。
3.外部RADIUS服务器正在通过配置或由于外部RADIUS服务器上的某些问题而丢弃数据包。
https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-15.png 同时检查数据包捕获,以查看它是否不是错误消息,即,ISE从服务器收到返回的数据包,但仍报告该请求超时。
https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-16.png
[*]如果步骤显示“开始向远程RADIUS服务器转发请求”,则立即步骤是“不再有外部RADIUS服务器;无法执行故障转移, 然后,这意味着所有已配置的外部RADIUS服务器当前都被标记为dead,并且请求仅在dead计时器到期后才会得到服务。
https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-17.png
注意:ISE中外部RADIUS服务器的默认停用时间为5分钟。此值是硬编码的,自此版本起无法修改。
[*]如果步骤显示RADIUS-Client在处理流程中遇到错误,然后是Failed to forward request to current remote RADIUS server;收到无效响应,这表示ISE在将请求转发到外部RADIUS服务器时遇到问题。当从网络设备/NAS发送到ISE的RADIUS请求没有将NAS-IP地址作为属性之一时,通常会出现这种情况。如果没有NAS-IP-Address属性,并且外部RADIUS服务器未在使用,ISE将使用数据包的源IP填充NAS-IP-Address字段。但是,当使用外部RADIUS服务器时,这不适用。
方案 2:事件 — 5400身份验证失败
[*]在此情况下,如果步骤说明11368请查看外部RADIUS服务器上的日志以确定确切的故障原因,则这表示身份验证在外部RADIUS服务器本身上失败,并且它已发送Access-Reject。
https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-18.png
[*]如果步骤显示15039 Rejected per authorization profile,则表示ISE从外部RADIUS服务器收到Access-Accept,但ISE根据配置的授权策略拒绝授权。
https://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/213239-configure-external-radius-servers-on-ise-19.png
[*]如果ISE的故障原因与此处提到的在身份验证失败时的原因不同,则可能意味着配置或ISE本身存在潜在问题。建议此时打开TAC案例。
5400报错遇到还是挺多的! {:6_267:}{:6_267:} {:6_267:}{:6_267:}{:6_267:}{:6_267:}
页:
[1]