Sécurité : Logiciel Cisco Identity Services Engine

Différenciez les types d'authentification sur des Plateformes ASA pour des décisions politiques sur ISE

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer le Logiciel Cisco Identity Services Engine (ISE) pour utiliser l'attribut de Constructeur-particularité de RAYON de Client-type (le VSA) afin de différencier de plusieurs types d'authentification utilisés sur l'appliance de sécurité adaptable Cisco (ASA). Les organismes exigent souvent des décisions politiques basées sur la manière que l'utilisateur est authentifié à l'ASA. Ceci te permet également pour s'appliquer la stratégie aux connexions reçues de Gestion sur l'ASA, qui nous permet pour utiliser le RAYON au lieu de TACACS+, si prudent.

Remarque: Contribué par le beau Wallace, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Authentification et autorisation ISE.

  • Méthodes et configuration RADIUS d'authentification ASA.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 8.4.3 d'appliance de sécurité adaptable Cisco.

  • Version 1.1 de Logiciel Cisco Identity Services Engine.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Attribut de Client-type VSA 3076/150 de RAYON

L'attribut de Client-type a été ajouté dans la version 8.4.3 ASA, qui permet à l'ASA pour envoyer le type de client qui authentifie à l'ISE en paquets d'Access-demande (et Comptabilité-demande), et permet à ISE pour prendre des décisions politiques basées sur cet attribut. Cet attribut n'exige aucune configuration sur l'ASA, et est envoyé automatiquement.

L'attribut de Client-type est actuellement défini avec ces valeurs entières :

  1. Client VPN Cisco (version d'échange de clés Internet (IKE) (IKEv1))

  2. VPN SSL de client d'AnyConnect

  3. VPN SSL sans client

  4. Coupe-À travers-proxy

  5. VPN SSL L2TP/IPsec

  6. Client IPsec VPN (IKEv2) d'AnyConnect

Configurez

Dans cette section, vous êtes fourni les informations que vous devez afin de configurer ISE pour utiliser l'attribut de Client-type décrit dans ce document.

Étape 1

Créez l'attribut personnalisé

Pour ajouter les valeurs d'attribut de Client-type à ISE, créez l'attribut et remplissez ses valeurs comme dictionnaire fait sur commande.

  1. Sur ISE, naviguez vers la stratégie > les éléments > les dictionnaires > le système de stratégie.

  2. Dans les dictionnaires de système, naviguez vers des constructeurs de RAYON > de RAYON > Cisco-VPN3000.

  3. L'ID de constructeur sur l'écran devrait être 3076. Cliquez sur en fonction l'onglet d'attributs de dictionnaire.

    1. Cliquez sur Add (voir le schéma 1).

      Figure 1 : Attributs de dictionnaire

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. Remplissez champs sous la forme faite sur commande d'attribut du constructeur de RAYON comme vu dans la figure 2.

      Figure 2 : Attribut du constructeur de RAYON

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. Cliquez sur le bouton de sauvegarde au bas de l'écran.

Étape 2

Ajoutez l'attribut de Client-type

Afin d'utiliser le nouvel attribut pour des décisions politiques, ajoutez l'attribut à une règle d'autorisation dans la section de conditions.

  1. Dans ISE, naviguez vers la stratégie > l'autorisation.

  2. Créez une nouvelle règle ou modifiez une stratégie existante.

  3. Dans la section de conditions de la règle, développez le volet de conditions et le sélectionnez créent un nouvel état (pour une nouvelle règle) ou ajoutent l'attribut/valeur (pour une règle préexistante).

  4. Dans le domaine choisi d'attribut, naviguez vers Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Choisissez l'opérateur compétent (des égaux ou pas des égaux) pour votre environnement.

  6. Choisissez le type d'authentification que vous souhaitez apparier.

  7. Assignez un résultat d'autorisation approprié à votre stratégie.

  8. Cliquez sur Done.

  9. Cliquez sur Save.

Après que la règle soit créée, l'état d'autorisation devrait sembler semblable à l'exemple dans la figure 3.

Figure 3 : Exemple d'état d'autorisation

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

Vérifiez

Afin de vérifier l'attribut de Client-type est en service, examinent les authentifications de l'ASA dans ISE.

  1. Naviguez vers des exécutions > des authentifications

  2. Cliquez sur les détails se boutonnent pour l'authentification de l'ASA.

  3. Faites descendre l'écran à d'autres attributs et recherchez CVPN3000/ASA/PIX7x-Client-Type= (voir le schéma 4)

    Figure 4 : Autre attribue des détails

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. L'autre champ d'attributs devrait indiquer la valeur reçue pour l'authentification. La règle devrait apparier la stratégie définie dans l'étape 2 de la section de configuration.


Informations connexes


Document ID: 115962