Sécurité : Dispositif Cisco NAC (Clean Access)

NAC (CCA) : Configurez l'authentification sur Clean Access Manager avec ACS 5.x et plus tard

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des informations comment configurer l'authentification sur Clean Access Manager (CAM) avec le Système de contrôle d'accès sécurisé Cisco (ACS) 5.x et plus tard. Pour une configuration semblable utilisant des versions plus tôt qu'ACS 5.x, référez-vous à NAC (CCA) : Configurez l'authentification sur Clean Access Manager (CAM) avec ACS.

Conditions préalables

Conditions requises

Cette configuration s'applique à la version 3.5 et ultérieures de CAM.

Composants utilisés

Les informations dans ce document sont basées sur la version 4.1 de CAM.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

Configurez l'authentification sur le CCA avec ACS 5.x

Procédez comme suit :

  1. Ajoutez les nouveaux rôles
    1. Créez un rôle d'admin

      • Du CAM, choisissez la gestion des utilisateurs > les rôles de l'utilisateur > nouveau rôle.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • Écrivez un nom unique, admin, pour le rôle dans le domaine de role name.

      • Écrivez le rôle de l'utilisateur d'admin comme description facultative de rôle.

      • Choisissez le rôle normal de procédure de connexion comme type de rôle.

      • Configurez (OOB) le rôle de l'utilisateur hors bande VLAN avec le VLAN approprié. Par exemple, choisissez l'ID DE VLAN et spécifiez l'ID en tant que 10.

      • Une fois terminé, le clic créent le rôle. Afin de restaurer les propriétés par défaut sur la forme, remise de clic.

      • Le rôle apparaît maintenant dans la liste d'onglet de rôles suivant les indications de la balise VLAN pour la section basée sur rôle de mappages OOB.

    2. Créez un rôle de l'utilisateur

      • Du CAM, choisissez la gestion des utilisateurs > les rôles de l'utilisateur > nouveau rôle.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • Écrivez un nom unique, des utilisateurs, pour le rôle dans le domaine de role name.

      • Écrivez le rôle de l'utilisateur normal comme description facultative de rôle.

      • Configurez (OOB) le rôle de l'utilisateur hors bande VLAN avec le VLAN approprié. Par exemple, choisissez l'ID DE VLAN et spécifiez l'ID en tant que 20.

      • Une fois terminé, le clic créent le rôle. Afin de restaurer les propriétés par défaut sur la forme, remise de clic.

      • Le rôle apparaît maintenant dans la liste d'onglet de rôles suivant les indications de la balise VLAN pour la section basée sur rôle de mappages OOB.

  2. Balise VLAN pour les mappages basés sur rôle OOB

    Du CAM, choisissez la gestion des utilisateurs > les rôles de l'utilisateur > la liste de rôles afin de voir la liste de rôles jusqu'ici.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. Ajoutez le serveur authentique de RAYON (ACS)

    1. Choisissez la gestion des utilisateurs > les serveurs authentiques > nouveau.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. Du menu déroulant de type d'authentification, choisissez le rayon.

    3. Écrivez le nom de fournisseur comme ACS.

    4. Écrivez le nom du serveur comme auth.cisco.com.

    5. Port de serveur — Le numéro de port 1812 sur lequel le serveur de RAYON écoute.

    6. Type de rayon — La méthode d'authentification de RAYON. Les méthodes prises en charge incluent EAPMD5, PAP, CHAP, MSCHAP et MSCHAP2.

    7. Le rôle par défaut est utilisé si traçant à ACS n'est pas défini ou est placé correctement, ou si l'attribut RADIUS n'est pas défini ou est placé correctement sur l'ACS.

    8. Secret partagé — Le RAYON a partagé la limite secrète à l'adresse IP du client spécifié.

    9. Nas-IP-adresse — Cette valeur à envoyer avec tous les paquets d'authentification de RAYON.

    10. Cliquez sur Add le serveur.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. Utilisateurs de la carte ACS aux rôles de l'utilisateur de CCA

    1. Choisissez la gestion des utilisateurs > les serveurs authentiques > les règles de mappage > ajoutent le lien de mappage afin de tracer l'utilisateur d'admin dans ACS au rôle de l'utilisateur d'admin de CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. Choisissez la gestion des utilisateurs > les serveurs authentiques > les règles de mappage > ajoutent le lien de mappage afin de tracer l'utilisateur normal dans ACS au rôle de l'utilisateur de CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      Voici le rôle de l'utilisateur de résumé de mappage :

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. Fournisseurs alternatifs d'enable sur la page utilisateur

    Choisissez la gestion > les pages utilisateur > la page de connexion > ajoutent > contenu afin d'activer les fournisseurs alternatifs à la page d'ouverture de session utilisateur.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

Configuration ACS5.x

  1. Choisissez les ressources de réseau > les périphériques de réseau et les clients d'AAA, puis cliquez sur créent afin d'ajouter le CAM en tant que client d'AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. Fournissez le nom, adresse IP et choisissez le RAYON sous des options d'authentification. Puis, fournissez le secret partagé pour le CAM et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. Choisissez les ressources de réseau > les périphériques de réseau et les clients d'AAA, puis cliquez sur créent afin d'ajouter CAS en tant que client d'AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. Fournissez le nom, adresse IP et choisissez le RAYON sous des options d'authentification. Puis, fournissez le secret partagé pour CAS et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. Choisissez les ressources de réseau > les périphériques de réseau et les clients et le clic d'AAA créent afin d'ajouter l'ASA en tant que client d'AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. Fournissez le nom, adresse IP et choisissez le RAYON sous des options d'authentification. Puis, fournissez le secret partagé pour l'ASA et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. Choisissez les utilisateurs et l'identité enregistre > des groupes d'identité et le clic créent afin de créer un nouveau groupe d'identité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. Fournissez le nom de groupe et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. Choisissez les utilisateurs et l'identité enregistre > des groupes d'identité et le clic créent afin de créer un nouveau groupe d'identité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. Fournissez le nom de groupe et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. Choisissez les utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs et le clic créent afin de créer un nouvel utilisateur.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. Fournissez le nom d'utilisateur et changez l'adhésion à des associations au groupe d'admin. Puis, fournissez le mot de passe et confirmez le mot de passe. Cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. Choisissez les utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs et le clic créent afin de créer un nouvel utilisateur.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. Fournissez le nom d'utilisateur et changez l'adhésion à des associations aux users group. Puis, fournissez le mot de passe et confirmez le mot de passe. Cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. Choisissez les éléments > l'autorisation de stratégie et les autorisations > l'accès au réseau > les profils et le clic d'autorisation créent afin de créer un nouveau profil d'autorisation.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. Fournissez le nom de profil et cliquez sur les attributs RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. Des attributs RADIUS tabulez, choisissez RADIUS-IETF comme type de dictionnaire. Puis, clic choisi à côté de l'attribut RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. Choisissez l'attribut de classe et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. Assurez-vous que la valeur d'attribut est statique et entrez dans l'admin comme valeur. Cliquez sur Add, puis cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. Choisissez les éléments > l'autorisation de stratégie et les autorisations > l'accès au réseau > les profils et le clic d'autorisation créent afin de créer un nouveau profil d'autorisation.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. Fournissez le nom de profil et cliquez sur les attributs RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. Des attributs RADIUS tabulez, choisissez RADIUS-IETF comme type de dictionnaire. Puis, clic choisi à côté de l'attribut RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. Choisissez l'attribut de classe et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. Assurez-vous que la valeur d'attribut est statique et présentez les utilisateurs comme valeur. Cliquez sur Add, puis cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. Choisissez les stratégies d'Access > les services d'accès > les règles de sélection de service et identifiez quel service traite la demande RADIUS. Dans cet exemple, le service est accès au réseau par défaut.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. Choisissez les stratégies d'Access > les services d'accès > l'accès au réseau de par défaut (le service l'a identifié dans l'étape précédente qui a traité la demande RADIUS) > autorisation. Le clic personnalisent.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. Déplacez le groupe d'identité de disponible à la colonne sélectionnée. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. Le clic créent afin de créer une nouvelle règle.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. Assurez-vous que la case de groupe d'identité est cochée, puis cliquent sur choisi à côté du groupe d'identité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. Sélectionnez le groupe d'admin et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. Clic choisi dans la section de profils d'autorisation.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. Sélectionnez le profil d'autorisation d'admin et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. Le clic créent afin de créer une nouvelle règle.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. Assurez-vous que la case de groupe d'identité est cochée et cliquez sur choisi à côté du groupe d'identité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. Sélectionnez les users group et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. Clic choisi dans la section de profils d'autorisation.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. Sélectionnez le profil d'autorisation d'utilisateurs et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. Modifications de sauvegarde de clic.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 113560