安全 : Cisco NAC Appliance (Clean Access)

NAC(CCA) :在Clean Access Manager (CAM) with ACS上配置认证

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何配置在Clean Access管理器(CAM)的验证用思科安全访问控制服务器(ACS)。对于一相似的配置使用ACS 5.x和以后,参考NAC(CCA) :配置在Clean Access管理器的验证有ACS的5.x和以后

先决条件

要求

此配置是可适用的对CAM版本3.5和以上。

使用的组件

本文档中的信息根据CAM版本4.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/107396/acs-auth-cam1.gif

配置在CCA的验证的步骤与ACS

完成这些步骤:

  1. 添加新的角色
    1. 创建Admin角色

      • 在CAM中,请选择用户管理>用户角色>New角色

        /image/gif/paws/107396/acs-auth-cam2.gif

      • 输入唯一的名称, admin,在角色的作用的Name字段。

      • 输入管理员用户角色作为一个可选角色说明。

      • 选择正常洛金角色作为角色类型。

      • 配置带外(OOB)用户角色与适当的VLAN的VLAN。例如,请选择VLAN ID并且指定ID作为10。

      • 当完成,请单击创建角色。为了恢复在表的默认属性,请点击“Reset”

      • 角色在角色列表当前出现选项卡如OOB基于任务的映射部分的标记VLAN所显示

    2. 创建用户角色

      • 在CAM中,请选择用户管理>用户角色>New角色

        /image/gif/paws/107396/acs-auth-cam3.gif

      • 输入唯一的名称,用户,在角色的作用的Name字段。

      • 输入普通用户角色作为一个可选角色说明。

      • 配置带外(OOB)用户角色与适当的VLAN的VLAN。例如,请选择VLAN ID并且指定ID作为20。

      • 当完成,请单击创建角色。为了恢复在表的默认属性,请点击“Reset”

      • 角色在角色列表当前出现选项卡如OOB基于任务的映射部分的标记VLAN所显示

  2. OOB基于任务的映射的标记VLAN

    到目前为止在CAM中,请选择用户管理>角色用户角色>列表为了看到角色列表。

    /image/gif/paws/107396/acs-auth-cam4.gif

  3. 添加RADIUS认证服务器(ACS)

    1. 选择用户管理>认证服务器>New

      /image/gif/paws/107396/acs-auth-cam5.gif

    2. 从认证类型下拉菜单,请选择Radius

    3. 输入运营商名称作为ACS

    4. 输入服务器名作为auth.cisco.com

    5. 服务器端口—端口号RADIUS服务器侦听的1812

    6. Radius类型— RADIUS验证方法。支持的方法包括EAPMD5、PAP、CHAP、MSCHAP和MSCHAP2。

    7. 使用默认角色,如果映射对ACS没有正确地定义也没有设置,或者,如果RADIUS属性在ACS没有正确地定义也没有设置。

    8. 共享塞克雷— RADIUS共享秘密区域对指定的客户端IP地址。

    9. nas-ip-address —用所有RADIUS验证数据包将传送的此值。

    10. 单击添加服务器

      acs-auth-cam6.gif

  4. 映射ACS用户对CCA用户角色

    1. 选择用户管理>认证服务器>映射映射林克的规则>Add为了映射ACS的管理员用户到CCA管理员用户角色。

      /image/gif/paws/107396/acs-auth-cam7.gif

    2. 选择用户管理>认证服务器>映射映射林克的规则>Add为了映射在ACS的普通用户到CCA用户角色。

      /image/gif/paws/107396/acs-auth-cam8.gif

    3. 这是用户角色映射摘要:

      acs-auth-cam9.gif

  5. 在用户页的Enable (event)备选供应商

    选择Administration >用户页>登录页>Add >内容为了启用在用户登录页的备选供应商。

    /image/gif/paws/107396/acs-auth-cam10.gif

ACS配置

  1. 选择接口配置为了确保, RADIUS (IETF)类别属性[025]启用。

    /image/gif/paws/107396/acs-auth-cam11.gif

  2. 添加RADIUS客户端到ACS服务器

    1. 选择网络配置为了添加AAA客户端CAM如显示:

      /image/gif/paws/107396/acs-auth-cam12.gif

      单击 Submit+ Restart

      注意: 确保RADIUS密钥配比与AAA客户端并且使用RADIUS (IETF)。

    2. 选择网络配置为了添加AAA客户端CAS如显示:

      /image/gif/paws/107396/acs-auth-cam13.gif

      单击 Submit+ Restart

      注意: 对于认为VPN网关的RADIUS, CCA策略必须允许RADIUS认为的数据包(UDP 1646/1813)从CAS IP地址通过未经鉴定到ACS服务器IP地址。

    3. 选择网络配置为了添加AAA客户端ASA如显示:

      /image/gif/paws/107396/acs-auth-cam14.gif

      • 用户左侧PIX/ASA接口地址(典型地内部接口)

      • 对RADIUS (思科IOS/PIX)的Set type。

  3. 添加ACS服务器的/Configure组

    1. 创建Admin group

      /image/gif/paws/107396/acs-auth-cam15.gif

      • 设置IETF RADIUS类别属性[025]合适组的值。

      • 值必须匹配在CAS映射配置的那。

    2. 创建用户组

      acs-auth-cam16.gif

      添加/配置能将被映射的每个Clean Access用户角色的组。

    3. 添加/配置ACS服务器的用户

      /image/gif/paws/107396/acs-auth-cam17.gif

      • 添加/配置ACS能将验证的每个Clean Access用户的ACS用户。

      • 设置ACS组成员。

      • ACS也支持代理验证到其他外部服务器。

验证

使用本部分可确认配置能否正常运行。

在监控部分的ACS,您能看到关于合格认证的信息如显示:

/image/gif/paws/107396/acs-auth-cam18.gif

同样地,您能为RADIUS核算看到屏幕画面:

/image/gif/paws/107396/acs-auth-cam19.gif

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 107396