Segurança : Cisco Identity Services Engine

Diferencie tipos do autenticação em Plataformas ASA para decisões de política no ISE

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar o Cisco Identity Services Engine (ISE) para utilizar o RADIUS Vendor-Specific Attribute do tipo de cliente (VSA) a fim diferenciar os tipos múltiplos de autenticação usados na ferramenta de segurança adaptável de Cisco (ASA). As organizações exigem frequentemente as decisões de política baseadas na maneira que o usuário é autenticado ao ASA. Isto igualmente permite você aplique a política às conexões de gerenciamento recebidas no ASA, que permite que nós usem o RAIO no lugar do TACACS+, quando prudente.

Nota: Contribuído pelo Beau Wallace, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Authentication e autorização ISE.

  • Métodos de autenticação e configuração RADIUS ASA.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Liberação adaptável 8.4.3 da ferramenta de segurança de Cisco.

  • Liberação 1.1 do Cisco Identity Services Engine.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Atributo de tipo de cliente do RAIO VSA 3076/150

O atributo de tipo de cliente foi adicionado na liberação 8.4.3 ASA, que permite o ASA envie o tipo de cliente que autentica ao ISE em uns pacotes da solicitação de acesso (e o Contabilidade-pedido), e permite que o ISE faça as decisões de política baseadas nesse atributo. Este atributo não exige nenhuma configuração no ASA, e é enviado automaticamente.

O atributo de tipo de cliente é definido atualmente com estes valores de número inteiros:

  1. Cisco VPN Client (versão do intercâmbio de chave de Internet (IKEv1))

  2. Cliente SSL VPN de AnyConnect

  3. Sem clientes SSL VPN

  4. Corte-Através-proxy

  5. L2TP/IPsec SSL VPN

  6. IPSec VPN do cliente de AnyConnect (IKEv2)

Configurar

Nesta seção, você é fornecido a informação que você precisa a fim configurar o ISE para utilizar o atributo de tipo de cliente descrito neste documento.

Passo 1

Crie o atributo feito sob encomenda

Para adicionar os valores de atributo do tipo de cliente ao ISE, crie o atributo e povoe seus valores como um dicionário personalizado.

  1. No ISE, navegue à política > aos elementos > aos dicionários > ao sistema da política.

  2. Dentro dos dicionários de sistema, navegue ao RAIO > aos fornecedores radius > ao Cisco-VPN3000.

  3. O Vendor ID na tela deve ser 3076. Clique sobre a aba dos atributos de dicionário.

    1. O clique adiciona (veja figura 1).

      Figura 1: Atributos de dicionário

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. Povoe os campos no formulário feito sob encomenda do atributo do fornecedor radius como visto em figura 2.

      Figura 2: Atributo do fornecedor radius

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. Clique o botão Save Button na parte inferior da tela.

Passo 2

Adicionar o atributo de tipo de cliente

A fim utilizar o atributo novo para decisões de política, adicionar o atributo a uma regra da autorização na seção das circunstâncias.

  1. No ISE, navegue à política > à autorização.

  2. Crie uma regra nova ou altere uma política existente.

  3. Na seção das circunstâncias da regra, expanda a placa das circunstâncias e selecione-a criam uma condição nova (para uma regra nova) ou adicionam o atributo/valor (para uma regra PRE-existente).

  4. No campo seleto do atributo, navegue a Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Escolha o operador apropriado (iguais ou não iguais) para seu ambiente.

  6. Escolha o tipo do autenticação que você deseja combinar.

  7. Atribua um resultado da autorização apropriado a sua política.

  8. Clique em Concluído.

  9. Clique em Salvar.

Depois que a regra é criada, a condição da autorização deve olhar similar ao exemplo em figura 3.

Figura 3: Exemplo da condição da autorização

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

Verificar

A fim verificar o atributo de tipo de cliente está no uso, examina as autenticações do ASA no ISE.

  1. Navegue às operações > às autenticações

  2. Clique o botão Details Button para a autenticação do ASA.

  3. Enrole para baixo outros atributos e procure CVPN3000/ASA/PIX7x-Client-Type= (veja figura 4)

    Figura 4: Outro atribui detalhes

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. O outro campo dos atributos deve indicar o valor recebido para a autenticação. A regra deve combinar a política definida em etapa 2 da seção de configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 115962