安全 : Cisco NAC Appliance (Clean Access)

NAC(CCA) 4.x :使用IDAP的某些角色的映射用户配置示例

2016 年 10 月 25 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述映射功能的轻量级目录访问协议(LDAP)为了映射用户到在网络准入控制(NAC)设备或思科Clean Access (CCA)的某些角色。

Cisco NAC设备(以前思科Clean Access)是使用网络基础设施强制执行在所有设备的安全策略标准寻求访问网络计算资源的一种容易地配置的美洲台产品。使用NAC设备,网络管理员能验证,授权,评估和在网络访问前配线的,无线和远程用户和他们的机器修正。它识别网络设备例如膝上型计算机、IP电话或者游戏控制台是否与您的网络的安全策略是兼容的并且在允许对网络的访问前修改所有漏洞。

先决条件

要求

本文假设, CCA管理器、CCA服务器和LDAP服务器适当地安装并且工作。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 3300系列的Cisco NAC设备- Clean Access管理器4.0

  • 3300系列的Cisco NAC设备- Clean Access服务器4.0

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

后端活动目录的验证

验证供应商的几种类型在Clean Access管理器的可以用于利用激活目录(AD)服务器验证用户, Microsoft的所有权目录服务。这些包括Windows NT(NTLM)、Kerberos和LDAP (首选)。

如果使用LDAP连接到AD, Search(Admin)全双工特有名(DN)必须典型地设置为一个帐户的DN与管理权限或基本用户权限的。第一个共同名称(CN)条目应该是AD的管理员或者一个用户有读的权限。注意搜索过滤器, SamAccountName,是在默认AD模式的用户登录名。

AD/LDAP配置示例

这说明一配置示例使用LDAP与后端活动目录联络:

  1. 创建在激活目录用户和计算机内的一个域管理员用户。放置此用户到用户文件夹。

  2. 在激活目录用户和计算机内,请选择从Actions菜单的查找

    确保您的结果显示已创建用户的组成员列。您的搜索结果应该显示用户和相关的组成员在活动目录内。这是您将需要转接到Clean Access管理器的信息。

    /image/gif/paws/91562/cca-ldap-config1.gif

  3. 从Clean Access管理器Web控制台,去用户管理>认证服务器>New服务器表。

  4. 选择LDAP作为服务器类型。

  5. 对于Search(Admin)全双工DN搜索库上下文字段,请输入从查找的结果在激活目录用户和计算机内。

    cca-ldap-config2.gif

  6. 这些字段是必要适当地设置在CAM内的此认证服务器的非常:

    • ServerURL :ldap://192.168.137.10:389 -这是域控制器IP地址和LDAP监听端口。

    • Search(Admin)全双工DN :CN=sheldon muir, Cn=users, DC=domainname, Dc=com

    • 搜索库上下文:DC=domainname, Dc=com

    • 默认角色:选择用户将被放到一次已验证的默认角色。

    • 说明:使用供参考。

    • 运营商名称:这是用于用户页的LDAP服务器的名称设置在CAM。

    • 搜索密码:sheldon muir的域密码

    • 搜索过滤器:SAMAccountName=$user$

  7. 单击添加服务器

    这时,您的验证测验应该工作。

  8. 为了测试验证:

    1. 用户管理> Test选项认证服务器>的验证,请选择您要测试在供应商列表的凭证的供应商。如果供应商没出现,请确保它正确地配置在服务器选项卡列表

    2. 若需要输入用户和VLAN ID值的用户名和密码。

    3. 单击 Authenticate

      测试结果在窗口的底部出现。

      /image/gif/paws/91562/cca-ldap-config3.gif

      成功的验证:

      任何供应商类型,结果:当验证测验成功时,成功用户的验证和角色显示。

      对于LDAP/RADIUS服务器,当验证是成功的时,并且映射规则配置,在映射规则指定的属性/值也显示,如果认证服务器(LDAP/RADIUS)返回那些值。例如:

      Result: Authentication successful 
      Role: <role name> 
      Attributes for Mapping: 
      <Attribute Name>=<Attribute value>

      验证失败:

      当验证发生故障时,与验证失败一起的信息显示结果如显示。

      消息 说明
      消息:无效用户凭证 正确用户名,不正确的密码
      消息:无法查找用户<user name>的全双工DN 正确密码,不正确的用户名(LDAP供应商)
      消息:客户端接收例外:失败的数据包接收(被计时的接收) 正确密码,不正确的用户名(RADIUS供应商)
      消息:无效Admin(Search)凭证 正确用户名,正确密码,在验证供应商(即为LDAP服务器配置的不正确CN的) Search(Admin)全双工DN字段配置的不正确的值
      消息:名字错误(x.x.x.x :x) 正确用户名,正确密码,在验证供应商的服务器URL字段配置的不正确的值(即为LDAP或URL配置的错误的端口)

角色的地图用户使用属性或VLAN ID

映射规则表可以用于映射用户到根据这些参数的用户角色:

  • 于CAS起源用户数据流的VLAN ID (所有认证服务器类型)的不信任侧

  • 从LDAP和RADIUS认证服务器通过的验证从Cisco VPN集中器通过的属性(和RADIUS属性)

例如,如果有两套用户同样IP子网的,但是用不同的网络访问访问权限,例如无线员工和学员,您能使用从LDAP服务器的一个属性映射一套用户到特定用户角色。您能然后创建数据流策略允许对一个角色的网络访问和拒绝对其他角色的网络访问。

Cisco NAC设备执行映射顺序如显示:

/image/gif/paws/91562/cca-ldap-config4.gif

Cisco NAC设备允许管理员指定复杂布尔表示式,当定义映射时为Kerberos规定, LDAP和RADIUS验证服务器。映射规则是被分解为的情况,并且您能使用布尔表示式结合多个用户属性和多个VLAN ID为了映射用户到用户角色。映射规则可以为范围VLAN ID创建,并且属性匹配可以被做不区分大小写。这允许为映射规则灵活地配置的多个情况。

映射规则包括一个验证供应商类型,规则表达式和映射用户的用户角色。规则表达式包括一或用户参数必须匹配被映射到指定的用户角色情况的组合。情况特定的属性匹配的包括情况类型、来源属性名称、操作员和属性值。

为了创建映射规则,您首先添加(保存)情况配置规则表达式。然后,规则表达式一次创建,您能增加映射规则到指定的用户角色的认证服务器。

映射规则可以是层叠。如果来源有超过一个映射的规则,规则按他们在映射规则列表出现的顺序被评估。使用第一个正映射规则的角色。一旦规则满足,其他规则没有测试。如果规则不是真的,使用该验证来源的默认角色。

配置映射规则

完成这些步骤:

  1. 用户管理>认证服务器>映射规则并且点击认证服务器的添加映射规则链路。

    添加映射规则表出现。

    /image/gif/paws/91562/cca-ldap-config5.gif

  2. 配置映射的规则(a)条件:

  3. 增加映射规则到角色(b) :增加映射规则(在图的步骤B),在您配置并且添加了条件后。

    • 角色名称—在您添加了至少一个情况后,请选择您将应用从下拉菜单的映射的用户角色。

    • 优先级—选择从下拉式的优先级确定映射规则测试的命令。评估对真的第一个规则是使用的分配用户角色。

    • 规则表达式—为了帮助在配置映射规则的条件语句,此字段显示将被添加的最后情况的内容。在添加条件以后,您必须单击增加映射规则为了保存所有条件到规则。

    • 说明—映射规则的可选说明。

    • 添加映射(保存映射) —点击此按钮,当完成添加的情况创建角色的映射规则。您必须添加或保存一个指定的角色的映射,否则您的配置和您的情况不会保存。

编辑映射规则

  • 优先级—为了更改后映射的规则的优先级,请在服务器用户管理>认证服务器>列表的条目旁边单击up/down箭头。优先级确定规则测试的命令。评估对真的第一个规则是使用的分配用户对角色。

  • 编辑—在规则修改映射规则旁边单击编辑按钮或者删除从规则的条件。请注意,当编辑一个复合条件,条件(已创建以后)时在底下没有显示。这是为了避免环路。

  • 删除—在认证服务器的映射规则条目旁边单击删除按钮删除单个映射规则。在编辑映射规则表的一个条件旁边单击删除按钮从映射规则删除条件。注意您不能删除依靠另一个规则于一个复合语句的情况。为了删除一个单个情况,您必须首先删除复合条件。

故障排除

如果映射CCA用户角色的AD用户不工作,则请确保您映射用户对根据与属性Names= memberof、Operator=contains和属性Value= (组名)的属性的角色。


相关信息


Document ID: 91562