安全 : Cisco NAC Appliance (Clean Access)

NAC设备:Cisco NAC版本4.5的Mac OSX AV状态配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 29 日) | 反馈


目录


简介

本文描述如何通过版本的4.5网络准入控制(NAC)管理器Web控制台配置Mac OS X Clean Access代理程序状态评估。

Mac在此版本的状态评估对仅AV/AS支持被限制。参考Mac OSX支持AV/AS列表的Cisco NAC Appliance (Clean Access)版本注释

先决条件

要求

在您尝试此配置前,请完成这些步骤:

本文假设您运行Cisco NAC设备版本4.5,并且那您根据在Cisco NAC设备的指南完成以下步骤– Clean Access管理器安装和配置指南,版本4.5

  1. 安装或升级您的美洲台管理器和美洲台服务器用Cisco NAC设备版本4.5正如Cisco NAC设备硬件安装快速入门指南所描述,版本4.5

  2. 保证最新的Mac OS X代理程序(版本4.5),并且AV/AS支援程序包是可用的在您的NAC管理器正如所描述配置并且下载更新

  3. 创建默认用户登录页正如用户登录页所描述

  4. 要求使用Mac OS X Clean Access代理程序4.5正如所描述要求使用代理程序

  5. 创建麦金塔用户的一个或更多用户角色正如所描述创建用户角色

注意: 请参考OS x版本和AV/AS产品和为Mac状态评估支持的需求类型的MAC OS X代理程序Restrictions部分

使用的组件

本文档中的信息根据思科美洲台版本4.5。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Mac与蛤蜊防病毒(ClamAV)的状态评估

此步骤目标是验证ClamAV 1.1.0安装并且更新与在客户端机器的最新的病毒定义。

如果ClamAV 1.1.0在客户端机器没有安装,您必须提供用户链路到ClamAV网站为了下载和安装软件。其次,您必须验证ClamAV更新与最新的定义。否则, Clean Access代理程序能连通与蛤蜊AV通过API呼叫(与AV更新需求类型)和请求ClamAV更新。

注意: 自思科美洲台4.5版本, AV更新需求类型仅支持与ClamWin AV。对于其他AV/AS,如果他们的病毒定义没有更新,需求的林克分配本地检查类型可以配置对修正用户。

步骤1.配置规则检查ClamAV是否安装

  1. 设备管理> Clean Access > Clean Access代理程序>规则>New AV规则

    osx_nac_config01a.gif

  2. 键入一名称对于规则。此示例使用Is_Clamwin_Installed_OSX

    注意: 是说明性的,以便您能容易地识别规则的目的。您在名称不能使用位和下划线,但是空间。

  3. 从防病毒供应商下拉列表选择ClamWin

  4. 从下拉式的类型选择安装

  5. 从操作系统的下拉列表选择Mac OSX

    表在页底端带有这些值。

    /image/gif/paws/107922/osx_nac_config01b.gif

  6. 检查安装复选框1.x。

  7. 在规则说明文本字段键入一说明,并且点击保存规则

新的AV规则增加到规则列表的底部。

/image/gif/paws/107922/osx_nac_config02.gif

步骤2.,如果ClamAV没有安装,请配置需求给修正用户

如果Clean Access代理程序检测ClamAV 1.1.0在客户端机器没有安装,检疫用户。这时,您能配置林克分配需求类型为了提供用户链路下载ClamAV 1.1.0。

  1. 点击Clean Access代理程序选项卡,然后单击需求

  2. 点击新要求

    osx_nac_config03.gif

  3. 从需求类型下拉列表选择林克分配

  4. 从强制执行类型下拉列表选择必须

    在本例中,除非客户端系统符合要求,最终用户是消息灵通的此需求,并且不能继续或访问网络访问。

    参考配置一个可选/审计要求关于其他实施的信息键入。

  5. 选择此需求的执行优先级在客户端机器。

    高优先级(例如, 1)含义此需求被检查在其他需求前的系统(和在Clean Access代理程序对话出现按该顺序)。此示例假设, ClamWin安装检查是第一个状态需求并且设置优先权到一(1)。

    注意: Mac OS X代理程序不支持自动修正。所以,修正类型设置为指南。并且,出现在新要求配置页的功能(修正类型、间隔和重试计数)不为任何目的服务,当您创建Macintosh客户端修正的时需求类型。

  6. 在文件链接URL文本字段,请键入最终用户应该处理为了下载ClamAV 1.1.0的URL。

  7. 在需求名称文本归档了,键入表达操作给最终用户的一唯一的名称。

    此名称是可视对Clean Access代理程序对话的用户。此示例使用下载ClamAV

  8. 在说明文本字段,请键入需求和说明的说明指导未能会见需求的用户。

  9. 点击在操作系统的部分列出的Mac OS复选框。

  10. 单击添加需求为了添加需求到需求列表。

新要求被添加到需求列表。

/image/gif/paws/107922/osx_nac_config04.gif

步骤3.映射与AV安装规则的林克分配需求

  1. 点击Clean Access代理程序选项卡,然后单击需求

  2. 点击要求规则

    osx_nac_config05a.gif

  3. 从需求名称下拉列表,请选择您在步骤2.创建的需求

  4. 从操作系统的下拉列表选择Mac OSX

    为选定的操作系统创建的规则显示在页底端。

    /image/gif/paws/107922/osx_nac_config05b.gif

  5. 点击您在Step1创建的规则的复选框,然后单击更新

步骤4.配置规则检查ClamAV是否更新

  1. 设备管理> Clean Access > Clean Access代理程序>规则>New AV规则

    osx_nac_config06a.gif

  2. 键入一名称对于规则。此示例使用Is_ClamAV_Updated_OSX

    注意: 是说明性的,以便您能容易地识别规则的目的。您在名称不能使用位和下划线,但是空间。

  3. 从防病毒供应商下拉列表选择ClamWin

  4. 从类型下拉列表选择病毒定义

  5. 从操作系统的下拉列表选择Mac OSX

    病毒定义检查Mac OSX表在页底端填充。

    /image/gif/paws/107922/osx_nac_config06b.gif

  6. 检查安装复选框1.x。

  7. 在规则说明文本字段键入一说明,并且点击保存规则

新的AV规则增加到规则列表的底部。

/image/gif/paws/107922/osx_nac_config07.gif

步骤5.,如果ClamAV没有更新,请配置需求给修正用户

如果Clean Access代理程序检测ClamAV 1.1.0在客户端机器没有更新,检疫用户。这时,用户带有一Update按钮为了修正。

一旦用户点击更新按钮, Clean Access代理程序连通与基础ClamAV软件并且请求ClamAV更新。

您能配置AV定义更新需求类型为了实现此功能。

  1. 点击Clean Access代理程序选项卡,然后单击需求

  2. 点击新要求

    osx_nac_config08.gif

  3. 从需求类型下拉列表选择AV定义更新

  4. 从强制执行类型下拉列表选择必须

    在本例中,除非客户端系统符合要求,最终用户是消息灵通的此需求,并且不能继续或访问网络访问。

    参考配置一个可选/审计要求关于其他实施的信息键入。

  5. 选择此需求的执行优先级在客户端机器。

    高优先级(例如, 1)含义此需求被检查在其他需求前的系统(和在Clean Access代理程序对话出现按该顺序)。此示例假设, ClamWin更新检查是第二个状态需求并且设置优先权到两(2)。

    注意: Mac OS X代理程序不支持自动修正。所以,修正类型设置为指南。并且,请注意出现在新要求配置页的修正类型、间隔和重试计数选项不为任何目的服务,当您创建Macintosh客户端修正的时需求类型。

  6. 选择ClamWin – (Mac OS)从防病毒供应商名称下拉列表。

    警告 警告: 确保您选择ClamWin – (Mac OS)选项,不是ClamWin选项。

    注意: 自思科美洲台4.5版本, AV更新需求类型仅支持与ClamAVon Mac OSX。对于在Mac OSX的其他AV/AS,如果他们的病毒定义没有更新,林克分配或本地检查需求类型可以配置对修正用户。

  7. 在需求名称文本字段,请键入表达操作给最终用户的唯一的名称。

    此名称是可视对Clean Access代理程序对话的用户。此示例使用更新ClamAV

  8. 在说明文本字段,请键入需求和说明的说明指导未能会见需求的用户。

  9. 点击在操作系统的部分列出的Mac OS复选框。

  10. 单击添加需求为了添加需求到需求列表。

新要求被添加到需求列表。

/image/gif/paws/107922/osx_nac_config09.gif

步骤6.映射与病毒定义规则的AV定义更新需求

  1. 点击Clean Access代理程序选项卡,然后单击需求

  2. 点击要求规则

    osx_nac_config10a.gif

  3. 从需求名称下拉列表,请选择您在步骤5.创建的需求

  4. 从操作系统的下拉列表选择Mac OSX

    为选定的操作系统创建的规则显示在页底端。

    /image/gif/paws/107922/osx_nac_config10b.gif

  5. 点击您在步骤4创建的规则的复选框,然后单击更新

步骤7.映射需求对角色

这时,您能与最终用户安置的角色连接被映射对规则)的状态需求(。

  1. 点击Clean Access代理程序选项卡,然后单击角色要求

  2. 点击角色要求

    osx_nac_config11a.gif

  3. 从角色选择正常洛金角色类型下拉列表。

  4. 从用户角色下拉列表,请选择您想要状态需求应用的角色。此示例应用状态需求对雇员角色。

    在本例中创建的前需求显示在页底端。

    /image/gif/paws/107922/osx_nac_config11b.gif

  5. 检查复选框您要应用到此角色的需求,并且点击更新

步骤8.对修正站点的允许临时角色的

一旦发现用户固执的,他们在临时角色被检疫并且安置。这时,用户一定能到达修正资源(AV服务器、网站、补丁程序服务器等等),以便他们能修正。

为此,您必须打开在临时角色的适当的访问。在本例中,用户一定能到达leavingcisco.com 两个需求的http://www.clamxav.com (安装和病毒定义更新)。

  1. 选择用户管理>用户角色,然后单击数据流控制选项卡。

  2. 点击主机

    osx_nac_config12.gif

  3. 从下拉列表选择临时角色,并且移下来到列表的底部。

  4. 添加clamxav.com到允许主机列表,并且单击添加

    /image/gif/paws/107922/osx_nac_config13.gif

    此步骤保证从客户端的流量http://www.clamxav.com的leavingcisco.com 通过美洲台服务器允许。

    注意: 这两个情况是重要:

    • 美洲台服务器使用从DNS服务器的DNS答复动态地打开访问。因此,从DNS服务器(DNS答复)的回程数据流必须通过美洲台服务器。

    • 您必须安排委托DNS服务器定义。对于最佳实践,思科建议您添加特定DNS服务器条目此处与委托所有DNS服务器相对(*)。此示例添加DNS服务器IP (192.168.2.44)作为委托DNS服务器。您能添加多个委托DNS服务器。如果不安排一个委托DNS服务器定义,如此镜像所显示,美洲台管理器通过消息相应地建议您:

      /image/gif/paws/107922/osx_nac_config14.gif

验证终端用户经验

使用本部分可确认配置能否正常运行。

此Mac状态验证方案假设,您最初的美洲台设置(美洲台管理器和服务器)完成,并且美洲台服务器从客户端机器是可及的。思科运行OSX 10.4或更加高在Mac应该安装的Clean Access代理程序4.5.0.0。此方案假设, Mac没有在此测验之前安装的ClamAV。

  1. 对您的Clean Access代理程序(版本4.5.0.0)的登录。

    /image/gif/paws/107922/osx_nac_config15.gif

    您被检疫并且询问对修正。

    /image/gif/paws/107922/osx_nac_config16.gif

    注意: 因为需求是必须, Run复选框被检查,但是不编辑可能。如果需求配置如可选, Run复选框是编辑可能的,并且您能选择跳过该需求。

  2. 点击修正

    您重定向到ClamAV网站。

    /image/gif/paws/107922/osx_nac_config17.gif

  3. 下载和安装ClamAV。

    如此镜像所显示前,在您能使用ClamAV也许提示您运行蛤蜊防病毒引擎:

    osx_nac_config18.gif

  4. 遵从屏幕上指令为了完成安装。

    /image/gif/paws/107922/osx_nac_config19.gif

    Clean Access代理程序显示下载ClamAV需求的状况作为成功并且继续前进向第二个需求(更新ClamAV)。

    osx_nac_config20.gif

    一旦ClamAV更新,更新ClamAV需求的状况显示成功。

    osx_nac_config21.gif

  5. 单击完整登陆到网络。

    一旦顺利登陆对网络,此消息出现。

    /image/gif/paws/107922/osx_nac_config22.gif

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 107922