Différencier les types d'authentification sur les plates-formes ASA pour les décisions de politique sur ISE

Options de téléchargement

  • PDF     (136.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (164.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (265.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 mars 2013
ID du document:115962

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer Cisco Identity Services Engine (ISE) pour utiliser l'attribut spécifique du fournisseur RADIUS de type client (VSA) afin de différencier plusieurs types d'authentification utilisés sur l'appliance de sécurité adaptative (ASA) de Cisco. Les entreprises ont souvent besoin de décisions de stratégie en fonction de la manière dont l'utilisateur est authentifié auprès de l'ASA. Cela vous permet également d'appliquer une stratégie aux connexions de gestion reçues sur l'ASA, ce qui nous permet d'utiliser RADIUS à la place de TACACS+, lorsque c'est prudent.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Authentification et autorisation ISE.

  • Méthodes d'authentification ASA et configuration RADIUS.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appareil de sécurité adaptatif Cisco version 8.4.3.

  • Cisco Identity Services Engine version 1.1.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Attribut de type client RADIUS VSA 3076/150

L'attribut Client-Type a été ajouté dans ASA version 8.4.3, ce qui permet à l'ASA d'envoyer le type de client qui s'authentifie auprès de l'ISE dans les paquets de demande d'accès (et de demande de comptabilité), et permet à ISE de prendre des décisions de stratégie en fonction de cet attribut. Cet attribut ne nécessite aucune configuration sur l'ASA et est envoyé automatiquement.

L'attribut Client-Type est actuellement défini avec les valeurs suivantes :

  1. Client VPN Cisco (version Internet Key Exchange (IKEv1))

  2. VPN SSL client AnyConnect

  3. VPN SSL sans client

  4. Proxy Cut-Through

  5. VPN SSL L2TP/IPsec

  6. VPN IPsec AnyConnect Client (IKEv2)

Configuration

Dans cette section, vous recevrez les informations dont vous avez besoin pour configurer ISE afin d'utiliser l'attribut Client-Type décrit dans ce document.

Étape 1

Créer un attribut personnalisé

Pour ajouter les valeurs d'attribut Client-Type à ISE, créez l'attribut et remplissez ses valeurs en tant que dictionnaire personnalisé.

  1. Sur ISE, accédez à Policy > Policy Elements > Dictionaries > System.

  2. Dans les dictionnaires système, accédez à RADIUS > RADIUS Vendors > Cisco-VPN3000.

  3. L'ID de fournisseur à l'écran doit être 3076. Cliquez sur l'onglet Attributs du dictionnaire.

    1. Cliquez sur Ajouter (voir Figure 1).

      Figure 1 : Attributs du dictionnaire

      differ-auth-types-asa-ise-01.gif

    2. Renseignez les champs du formulaire Attribut de fournisseur RADIUS personnalisé, comme illustré à la Figure 2.

      Figure 2 : Attribut fournisseur RADIUS

      differ-auth-types-asa-ise-02.gif

    3. Cliquez sur le bouton Enregistrer en bas de l'écran.

Étape 2

Ajouter un attribut de type client

Afin d'utiliser le nouvel attribut pour les décisions de stratégie, ajoutez l'attribut à une règle d'autorisation dans la section conditions.

  1. Dans ISE, accédez à Policy > Authorization.

  2. Créez une nouvelle règle ou modifiez une stratégie existante.

  3. Dans la section Conditions de la règle, développez le volet Conditions et sélectionnez Créer une nouvelle condition (pour une nouvelle règle) ou Ajouter attribut/valeur (pour une règle préexistante).

  4. Dans le champ Sélectionner un attribut, accédez à Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Choisissez l'opérateur approprié (égal ou non égal) pour votre environnement.

  6. Choisissez le type d'authentification que vous souhaitez faire correspondre.

  7. Affectez un résultat d'autorisation approprié à votre stratégie.

  8. Cliquez sur Done.

  9. Click Save.

Une fois la règle créée, la condition d'autorisation doit être similaire à l'exemple de la figure 3.

Figure 3 : Exemple de condition d'autorisation

differ-auth-types-asa-ise-03.gif

Vérification

Afin de vérifier que l'attribut Client-Type est utilisé, examinez les authentifications de l'ASA dans ISE.

  1. Accédez à Opérations > Authentifications

  2. Cliquez sur le bouton Détails pour l'authentification à partir de l'ASA.

  3. Faites défiler jusqu'à Autres attributs et recherchez CVPN3000/ASA/PIX7x-Client-Type= (voir Figure 4)

    Figure 4 : Détails des autres attributs

    differ-auth-types-asa-ise-04.gif

  4. Le champ Autres attributs doit indiquer la valeur reçue pour l'authentification. La règle doit correspondre à la stratégie définie à l'étape 2 de la section de configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
03-Mar-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Beau Wallace
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits