Segurança : Dispositivo Cisco NAC (Clean Access)

NAC (CCA): Configurar a autenticação no Access Manager limpo com ACS 5.x e mais tarde

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece a informação como configurar a autenticação no Access Manager limpo (CAM) com Cisco Secure Access Control System (ACS) 5.x e mais tarde. Para uma configuração similar usando versões mais cedo do que ACS 5.x, refira NAC (CCA): Configurar a autenticação no Access Manager limpo (CAM) com ACS.

Pré-requisitos

Requisitos

Esta configuração é aplicável à versão 3.5 e mais recente CAM.

Componentes Utilizados

A informação neste documento é baseada na versão 4.1 CAM.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

Configurar a autenticação no CCA com ACS 5.x

Conclua estes passos:

  1. Adicionar papéis novos
    1. Crie um papel Admin

      • Do CAM, escolha o gerenciamento de usuário > os papéis de usuário > papel novo.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • Dê entrada com um nome exclusivo, admin, para o papel no campo de nome do papel.

      • Incorpore o papel de usuário admin como uma descrição opcional do papel.

      • Escolha o papel normal do início de uma sessão como o tipo do papel.

      • Configurar (OOB) o papel de usuário fora da banda VLAN com o VLAN apropriado. Por exemplo, escolha o ID de VLAN e especifique o ID como o 10.

      • Quando terminado, o clique cria o papel. A fim restaurar propriedades padrão no formulário, restauração do clique.

      • O papel aparece agora na lista de aba dos papéis segundo as indicações da etiqueta VLAN para a seção Papel-baseada OOB dos mapeamentos.

    2. Crie um papel de usuário

      • Do CAM, escolha o gerenciamento de usuário > os papéis de usuário > papel novo.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • Dê entrada com um nome exclusivo, usuários, para o papel no campo de nome do papel.

      • Incorpore o papel de usuário normal como uma descrição opcional do papel.

      • Configurar (OOB) o papel de usuário fora da banda VLAN com o VLAN apropriado. Por exemplo, escolha o ID de VLAN e especifique o ID como 20.

      • Quando terminado, o clique cria o papel. A fim restaurar propriedades padrão no formulário, restauração do clique.

      • O papel aparece agora na lista de aba dos papéis segundo as indicações da etiqueta VLAN para a seção Papel-baseada OOB dos mapeamentos.

  2. A etiqueta VLAN para OOB Papel-baseou mapeamentos

    Do CAM, escolha o gerenciamento de usuário > os papéis de usuário > a lista de papéis a fim ver até agora a lista de papéis.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. Adicionar o servidor de autenticação do RAIO (o ACS)

    1. Escolha o gerenciamento de usuário > os servidores de autenticação > novo.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. Do menu suspenso do tipo do autenticação, escolha o raio.

    3. Dê entrada com o nome do fornecedor como o ACS.

    4. Dê entrada com o nome do servidor como auth.cisco.com.

    5. Porta de servidor — O número de porta 1812 em que o servidor Radius está escutando.

    6. Tipo do raio — O método de autenticação RADIUS. Os métodos suportados incluem EAPMD5, PAP, RACHADURA, MSCHAP e MSCHAP2.

    7. O papel do padrão está usado se traçando ao ACS não está definido nem está ajustado corretamente, ou se o atributo RADIUS não está definido nem está ajustado corretamente no ACS.

    8. Segredo compartilhado — O RAIO compartilhou do limite do segredo ao endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente especificado.

    9. Nas-ip-address — Este valor a ser enviado com todos os pacotes da autenticação RADIUS.

    10. O clique adiciona o server.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. Usuários do mapa ACS aos papéis de usuário CCA

    1. Escolha o gerenciamento de usuário > os servidores de autenticação > traçando o > Add das regras que traça o link a fim traçar o usuário admin no ACS ao papel de usuário admin CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. Escolha o gerenciamento de usuário > os servidores de autenticação > traçando o > Add das regras que traça o link a fim traçar o usuário normal no ACS ao papel de usuário CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      Está aqui o papel de usuário do sumário do mapeamento:

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. Permita fornecedores alternativos na página de usuário

    Escolha a administração > páginas de usuário > > Add > índice da página de login a fim permitir fornecedores alternativos na página do login de usuário.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

Configuração ACS5.x

  1. Escolha recursos de rede > dispositivos de rede e clientes de AAA, a seguir clique-os criam a fim adicionar o CAM como um cliente de AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. Forneça o nome, endereço IP de Um ou Mais Servidores Cisco ICM NT e escolha o RAIO sob opções de autenticação. Então, forneça o segredo compartilhado para o CAM e o clique submetem-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. Escolha recursos de rede > dispositivos de rede e clientes de AAA, a seguir clique-os criam a fim adicionar CAS como um cliente de AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. Forneça o nome, endereço IP de Um ou Mais Servidores Cisco ICM NT e escolha o RAIO sob opções de autenticação. Então, forneça o segredo compartilhado para CAS e o clique submete-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. Escolha recursos de rede > dispositivos de rede e os clientes de AAA e o clique criam a fim adicionar o ASA como um cliente de AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. Forneça o nome, endereço IP de Um ou Mais Servidores Cisco ICM NT e escolha o RAIO sob opções de autenticação. Então, forneça o segredo compartilhado para o ASA e o clique submetem-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. Escolha usuários e a identidade armazena > grupos da identidade e o clique cria a fim criar um grupo novo da identidade.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. Forneça o nome do grupo e o clique submete-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. Escolha usuários e a identidade armazena > grupos da identidade e o clique cria a fim criar um grupo novo da identidade.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. Forneça o nome do grupo e o clique submete-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. Escolha usuários e a identidade armazena > identidade interna armazena > usuários e o clique cria a fim criar um novo usuário.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. Forneça o nome do usuário e mude a membrasia do clube ao admin group. Então, forneça a senha e confirme a senha. Clique em Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. Escolha usuários e a identidade armazena > identidade interna armazena > usuários e o clique cria a fim criar um novo usuário.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. Forneça o nome do usuário e mude a membrasia do clube ao grupo de usuários. Então, forneça a senha e confirme a senha. Clique em Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. Escolha elementos > autorização da política e as permissões > o acesso de rede > os perfis e o clique da autorização criam a fim criar um perfil novo da autorização.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. Forneça o nome de perfil e clique atributos RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. Dos atributos RADIUS catalogue, escolha RADIUS-IETF como o tipo de dicionário. Então, clique seleto ao lado do atributo RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. Escolha o atributo de classe e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. Assegure-se de que o valor de atributo esteja estático e incorpore-se o Admin como o valor. O clique adiciona, a seguir clica submete-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. Escolha elementos > autorização da política e as permissões > o acesso de rede > os perfis e o clique da autorização criam a fim criar um perfil novo da autorização.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. Forneça o nome de perfil e clique atributos RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. Dos atributos RADIUS catalogue, escolha RADIUS-IETF como o tipo de dicionário. Então, clique seleto ao lado do atributo RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. Escolha o atributo de classe e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. Assegure-se de que o valor de atributo esteja estático e inscreva-se usuários como o valor. O clique adiciona, a seguir clica submete-se.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. Escolha políticas de acesso > acesso presta serviços de manutenção > regras de seleção do serviço e identificam que serviço está processando a requisição RADIUS. Neste exemplo, o serviço é acesso de rede padrão.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. Escolha políticas de acesso > acesso presta serviços de manutenção > acesso de rede padrão (o serviço identificado na etapa precedente que processou a requisição RADIUS) > autorização. O clique personaliza.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. Mova o grupo da identidade de disponível para a coluna selecionada. Clique em OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. O clique cria a fim criar uma regra nova.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. Assegure-se de que a caixa de verificação de atributo da identidade esteja verificada, a seguir clicam seleto ao lado do grupo da identidade.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. Selecione o admin group e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. O clique seleto na autorização perfila a seção.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. Selecione o perfil da autorização Admin e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. O clique cria a fim criar uma regra nova.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. Assegure-se de que a caixa de verificação de atributo da identidade esteja verificada e clique-se seleto ao lado do grupo da identidade.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. Selecione o grupo de usuários e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. O clique seleto na autorização perfila a seção.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. Selecione o perfil da autorização dos usuários e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. Clique em OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. Mudanças da salvaguarda do clique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Informações Relacionadas


Document ID: 113560