安全 : 思科身份服务引擎

区分在ASA平台的认证类型在ISE的政策决策的

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何配置思科身份服务引擎(ISE)使用客户端类型RADIUS供应商专用属性(VSA)为了区分在思科可适应安全工具使用的验证多种类型(ASA)。组织经常要求根据用户验证对ASA的方式的政策决策。这也允许您运用策略到在ASA的已接收管理连接,允许我们在TACACS+位置使用RADIUS,当慎密。

注意: 贡献由花花公子华莱士, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • ISE认证和授权。

  • ASA认证方法和RADIUS配置。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科可适应安全工具版本8.4.3。

  • 思科身份服务引擎版本1.1。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

RADIUS VSA 3076/150类型属性

类型属性在ASA版本8.4.3被添加了,允许ASA发送客户端种类验证对在Access-Request (和记帐请求)数据包的ISE,并且允许ISE做出根据该属性的政策决策。此属性不要求在ASA的配置和自动地发送。

类型属性当前定义与这些整数值:

  1. Cisco VPN Client (互联网密钥交换版本(IKEv1))

  2. AnyConnect客户端SSL VPN

  3. 无客户端SSL VPN

  4. 剪切通过代理

  5. L2TP/IPsec SSL VPN

  6. AnyConnect客户端IPSec VPN (IKEv2)

配置

在此部分,提供您需要为了配置ISE使用在本文描述的类型属性您的信息。

步骤 1

创建自定义属性

添加对ISE的客户端类型属性值,创建属性并且填充其值作为自定义字典。

  1. 在ISE,请导航对策略>Policy元素>字典>System。

  2. 在系统词典内,请导航对RADIUS> RADIUS供应商> Cisco-VPN3000

  3. 在屏幕的厂商ID应该是3076。点击字典属性选项卡。

    1. 单击添加(请参见图1)。

      图 1:字典属性

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. 如在图2.中看到填充字段以自定义RADIUS供应商属性形式。

      图 2:RADIUS供应商属性

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. 在底部的屏幕单击保存按钮

步骤 2

添加类型属性

为了为政策决策使用新团体,请添加属性到在情况部分的一个授权规则。

  1. 在ISE,请导航对策略>授权

  2. 创建新规则或修改现有策略。

  3. 在规则的情况部分,请展开情况窗格并且选择创造新的条件(新规则)或添加属性/值(一个已存在的规则)。

  4. 挑选属性字段,请导航对Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type

  5. 选择适当的操作员(不是等于等于)您的环境的。

  6. 选择您希望匹配的认证类型

  7. 分配适当授权的结果到您的策略。

  8. 点击完成。

  9. 单击 Save

在规则创建后,授权情况在表3.应该看起来类似于示例。

图 3:授权情况示例

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

验证

为了验证类型属性是在使用中的,检查从ASA的认证在ISE。

  1. 导航对操作>认证

  2. 点击验证的详细信息按钮从ASA。

  3. 移下来对其他属性并且寻找CVPN3000/ASA/PIX7x-Client-Type= (请参见图4)

    图 4:其他属性详细信息

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. 另一个属性字段应该指示验证的已接收值。规则应该匹配在配置部分的步骤定义的策略2。


相关信息


Document ID: 115962