Sécurité : Dispositif Cisco NAC (Clean Access)

NAC(CCA) 4.x : Exemple de configuration du mappage d'utilisateurs à certains rôles à l'aide de LDAP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit le Protocole LDAP (Lightweight Directory Access Protocol) traçant la caractéristique afin de tracer les utilisateurs à certains rôles dans l'appliance de Contrôle d'admission au réseau (NAC) ou le Cisco Clean Access (CCA).

L'appliance de Cisco NAC (autrefois Cisco Clean Access) est un produit facilement déployé NAC qui emploie l'infrastructure réseau pour imposer la conformité de stratégie de sécurité sur tous les périphériques qui recherchent à accéder au réseau calculant des ressources. Avec l'appliance NAC, les administrateurs réseau peuvent authentifier, autorisent, évaluent, et remediate de câble, radio, et utilisateurs distants et leurs ordinateurs avant accès au réseau. Il identifie si les périphériques en réseau tels que des ordinateurs portables, des Téléphones IP, ou des consoles de jeux sont conformes avec les stratégies de sécurité de votre réseau et répare toutes les vulnérabilités avant de permettre l'accès au réseau.

Conditions préalables

Conditions requises

Ce document suppose que le gestionnaire de CCA, le serveur de CCA et le serveur LDAP sont installés et fonctionnent correctement.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme 3300 d'appareils de Cisco NAC - Clean Access Manager 4.0

  • Gamme 3300 d'appareils de Cisco NAC - Clean Access Server 4.0

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Authentification contre le Répertoire actif principal

Plusieurs types de fournisseurs d'authentification dans Clean Access Manager peuvent être utilisés pour authentifier des utilisateurs contre un serveur de Répertoire actif (AD), le service d'annuaire de propriété industrielle de Microsoft. Ceux-ci incluent Windows NT(NTLM), Kerberos et LDAP (préférés).

Si vous employez le LDAP pour se connecter à l'AD, le plein nom unique de Search(Admin) (DN) typiquement doit être placé au DN d'un compte avec des privilèges d'administrateur ou des privilèges des utilisateurs de base. La première entrée commune du nom (NC) devrait être un administrateur de l'AD, ou un utilisateur avec des privilèges lus. Notez que le filtre de recherche, SAMAccountName, est le nom d'ouverture de session utilisateur dans le schéma par défaut d'AD.

Exemple de configuration AD/LDAP

Ceci illustre une configuration d'échantillon utilisant le LDAP pour communiquer avec le Répertoire actif principal :

  1. Créez un utilisateur d'admin de domaine dans des utilisateurs et des ordinateurs de Répertoire actif. Placez cet utilisateur dans le répertoire d'utilisateurs.

  2. Dans des utilisateurs et des ordinateurs de Répertoire actif, sélectionnez la découverte du menu d'actions.

    Assurez-vous que vos résultats affichent la colonne d'adhésion à des associations pour l'utilisateur créé. Vos résultats de la recherche devraient afficher l'utilisateur et l'adhésion à des associations associée dans le Répertoire actif. C'est les informations que vous devrez transférer dans Clean Access Manager.

    /image/gif/paws/91562/cca-ldap-config1.gif

  3. De la console Web de Clean Access Manager, allez à la gestion des utilisateurs > les serveurs authentiques > nouveau formulaire de serveur.

  4. Choisissez le LDAP comme type de serveur.

  5. Pour les pleins champs de base de contexte de DN et de recherche de Search(Admin), entrez les résultats de la découverte dans des utilisateurs et des ordinateurs de Répertoire actif.

    cca-ldap-config2.gif

  6. Ces champs sont tout ce qui est nécessaire pour installer correctement ce serveur authentique dans le CAM :

    • ServerURL : ldap://192.168.137.10:389 - C'est le port en mode écoute d'adresse IP et de LDAP de contrôleur de domaine.

    • Plein DN de Search(Admin) : Muir de CN=sheldon, CN=Users, DC=domainname, DC=com

    • Contexte de base de recherche : DC=domainname, DC=com

    • Rôle par défaut : Sélectionnez le rôle par défaut qu'un utilisateur sera mis dans une fois authentifié.

    • Description : Utilisé juste pour la référence.

    • Nom de fournisseur : C'est le nom du serveur LDAP utilisé pour la page utilisateur installée sur le CAM.

    • Mot de passe de recherche : mot de passe du domaine des muir de sheldon

    • Filtre de recherche : SAMAccountName=$user$

  7. Cliquez sur Add le serveur.

    En ce moment, votre test authentique devrait fonctionner.

  8. Test d'authentification :

    1. De la gestion des utilisateurs > les serveurs authentiques > onglet authentique de test, sélectionnent le fournisseur contre lequel vous voulez tester des qualifications dans la liste de fournisseur. Si le fournisseur n'apparaît pas, assurez-vous qu'il est correctement configuré dans la liste d'onglet de serveurs.

    2. Écrivez le nom d'utilisateur et mot de passe pour l'utilisateur et si requis une valeur d'ID DE VLAN.

    3. Le clic authentifient.

      Les résultats de test apparaissent au bas de la fenêtre.

      /image/gif/paws/91562/cca-ldap-config3.gif

      Authentification réussie :

      Pour tout type de fournisseur, résultat : L'authentification réussie et le rôle de l'utilisateur sont affichés quand le test authentique réussit.

      Pour des serveurs LDAP/RADIUS, quand l'authentification est réussie et des règles de mappage sont configurés, les attributs/valeurs spécifiées dans la règle de mappage sont également affichés si le serveur authentique (LDAP/RADIUS) renvoie ces valeurs. Exemple :

      Result: Authentication successful 
      Role: <role name> 
      Attributes for Mapping: 
      <Attribute Name>=<Attribute value>

      Échec de l'authentification :

      Quand l'authentification échoue, les affichages de message avec l'échec de l'authentification résultent comme affiché.

      Message Description
      Message : Identifiant utilisateur non valide Nom d'utilisateur correct, mot de passe incorrect
      Message : Incapable de trouver le plein DN pour le <User Name> d'utilisateur Mot de passe correct, nom d'utilisateur incorrect (fournisseur de LDAP)
      Message : Le client reçoivent l'exception : Le paquet reçoivent manqué (Receive chronométrée) Mot de passe correct, nom d'utilisateur incorrect (fournisseur de RAYON)
      Message : Laisser-passer non valide d'Admin(Search) Nom d'utilisateur correct, mot de passe correct, valeur incorrecte configurée dans le plein domaine de DN de Search(Admin) du fournisseur authentique (par exemple NC incorrecte configurée pour le serveur LDAP)
      Message : Nommer l'erreur (x.x.x.x : x) Nom d'utilisateur correct, mot de passe correct, valeur incorrecte configurée dans le champ URL de serveur du fournisseur authentique (par exemple port incorrect ou URL configuré pour le LDAP)

Utilisateurs de carte aux rôles utilisant des attributs ou des IDs de VLAN

Les formes de règles de mappage peuvent être utilisées pour tracer des utilisateurs dans le rôle de l'utilisateur basé sur ces paramètres :

  • L'ID DE VLAN du trafic d'utilisateur qui provient du côté non approuvé de CAS (tous les types de serveur authentiques)

  • Les attributs d'authentification ont passé des serveurs authentiques de LDAP et de RAYON (et des attributs RADIUS passés des concentrateurs de Cisco VPN)

Par exemple, si vous avez deux ensembles d'utilisateurs sur le même IP de sous-réseau mais avec différents privilèges d'accès au réseau, tels que les employés Sans fil et les étudiants, vous pouvez employer un attribut d'un serveur LDAP pour tracer un ensemble d'utilisateurs dans un rôle de l'utilisateur particulier. Vous pouvez alors créer des stratégies de trafic pour permettre l'accès au réseau à un rôle et pour refuser l'accès au réseau à d'autres rôles.

L'appliance de Cisco NAC exécute l'ordre de mappage comme affiché :

/image/gif/paws/91562/cca-ldap-config4.gif

L'appliance de Cisco NAC permet à l'administrateur pour spécifier des expressions booléennes complexes en définissant le mappage ordonne pour le Kerberos, le LDAP et les serveurs d'authentification RADIUS. Traçant des règles sont décomposées en conditions et vous pouvez employer des expressions booléennes pour combiner des attributs de plusieurs utilisateurs et des id de VLAN multiple afin de tracer des utilisateurs dans des rôles de l'utilisateur. La cartographie des règles peut être créée pour une plage des IDs de VLAN, et des correspondances d'attribut peuvent être rendues ne distinguant pas majuscules et minuscules. Ceci permet de plusieurs conditions à configurer avec souplesse pour une règle de mappage.

Une règle de mappage comporte un type authentique de fournisseur, une expression de règle, et le rôle de l'utilisateur dans laquelle pour tracer l'utilisateur. L'expression de règle comporte un ou une combinaison des conditions que les paramètres d'utilisateur doivent apparier pour être tracés dans le rôle de l'utilisateur spécifié. Une condition est composée d'un type de condition, d'un nom d'attribut de source, d'un opérateur, et de la valeur d'attribut contre laquelle l'attribut particulier est apparié.

Afin de créer une règle de mappage, vous ajoutez d'abord des états (de sauvegarde) pour configurer une expression de règle. Puis, une fois une expression de règle est créée, vous peut ajouter la règle de mappage au serveur authentique pour le rôle de l'utilisateur spécifié.

La cartographie des règles peut monter en cascade. Si une source a plus d'une règle de cartographie, les règles sont évaluées dans la commande dans laquelle elles apparaissent dans la liste de règles de mappage. Le rôle pour la première règle positive de mappage est utilisé. Une fois une règle est rencontrée, d'autres règles ne sont pas testées. Si aucune règle n'est vraie, le rôle par défaut pour cette source d'authentification est utilisé.

Configurez la règle de mappage

Procédez comme suit :

  1. Allez à la gestion des utilisateurs > les serveurs authentiques > les règles de mappage et cliquez sur le lien de règle de mappage d'ajouter pour le serveur d'authentification.

    La forme de règle de mappage d'ajouter apparaît.

    /image/gif/paws/91562/cca-ldap-config5.gif

  2. Configurez les conditions pour tracer la règle (a) :

  3. Ajoutez la règle de mappage au rôle (b) : Ajoutez la règle de mappage (étape B dans la figure) après que vous ayez configuré et ayez ajouté les conditions.

    • Role name — Après que vous ayez ajouté au moins une condition, choisissez le rôle de l'utilisateur auquel vous appliquerez le mappage à partir du menu déroulant.

    • Priorité — Sélectionnez une priorité du déroulant pour déterminer la commande dans laquelle des règles de mappage sont testées. La première règle qui évalue pour rectifier est utilisée pour assigner à l'utilisateur un rôle.

    • Expression de règle — Afin de faciliter en configurant des déclarations conditionnelles pour la règle de mappage, ce champ affiche le contenu de la dernière condition à ajouter. Après avoir ajouté les conditions, vous devez cliquer sur Add la règle de mappage afin de sauvegarder toutes les conditions à la règle.

    • Description — Une description facultative de la règle de mappage.

    • Ajoutez le mappage (le mappage de sauvegarde) — Cliquez sur ce bouton une fois fait en ajoutant des conditions pour créer la règle de mappage pour le rôle. Vous devez ajouter ou sauvegarder le mappage pour un rôle spécifié, ou votre configuration et vos conditions ne seront pas enregistrées.

Éditez les règles de mappage

  • Priorité — Afin de changer la priorité d'une règle de mappage plus tard, cliquez sur la flèche haut/bas à côté de l'entrée en gestion des utilisateurs > les serveurs authentiques > la liste de serveurs. La priorité détermine la commande dans laquelle les règles sont testées. La première règle qui évalue pour rectifier est utilisée pour affecter l'utilisateur à un rôle.

  • Éditez — Cliquez sur le bouton d'éditer à côté de la règle de modifier la règle de mappage, ou supprimez les conditions de la règle. Notez qu'en éditant un état composé, les conditions dessous (créé plus tard) ne sont pas affichés. C'est d'éviter des boucles.

  • Effacement — Cliquez sur le bouton d'effacement à côté de l'entrée de règle de mappage pour qu'un serveur authentique supprime que règle individuelle de mappage. Cliquez sur le bouton d'effacement à côté d'une condition sur la forme de règle de mappage d'éditer pour retirer que condition de la règle de mappage. Notez que vous ne pouvez pas retirer une condition qui dépend d'une autre règle dans une instruction composée. Afin de supprimer un état individuel, vous devez supprimer l'état composé d'abord.

Dépannez

Si la cartographie de l'utilisateur d'AD au rôle de l'utilisateur de CCA ne fonctionne pas, alors assurez-vous que vous tracez des utilisateurs à un rôle basé sur des attributs avec le memberof, l'Operator=contains, et l'attribut Value= (nom de Names= d'attribut de groupe).

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 91562