セキュリティ : Cisco NAC アプライアンス(Clean Access)

Windows GPO のスクリプトと Cisco NAC 相互運用性

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PC の起動時、およびドメインへのユーザのログイン時の Windows GPO の設定例について説明します。 Windows GPO は PC 始動でさまざまなスクリプトおよびドメインにユーザ ログオンを実行するために設定することができます。 スクリプトは企業によって頻繁に使用されます環境変数を設定するために、遠隔ドライブ先祖などをマッピング するために

Cisco NAC はネットワークにユーザが最初に接続し、Windows マシンにログオンすることを試みるときアクセスを制御します。

シャットダウンされるスクリプトは始動/としておよびログオン/ログオフ スクリプト分類することができます。

Windows はマシン コンテキストの始動およびシャットダウン スクリプトを実行します。 これはこれらのスクリプトが一般的に非認証ロールであるシャットダウン実行されるとき NAC アプライアンスが特定のロールにスクリプトによって必要な適切なネットワークリソースを開く場合その時だけ機能します、か PC ブートアップで。

ログオンおよびログオフ スクリプトはユーザー コンテキストで実行されます、つまりユーザがウィンドウ ジナを通ってログオンした後ログイン スクリプトが実行することを意味します。 ログイン スクリプトは場合があります実行するためにおよび/またはユーザ認証かマシン ポスチャ アセスメントが完了しないし、ネットワーク アクセスが時間に認められなければ場合実行を完了しないために。 これらのスクリプトはまた OOB ログオン イベントの後で NAC エージェントによって始められる IP アドレス リフレッシュによって割り込むことができます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

GPOs スクリプトに関する概要推奨事項

これらは GPO スクリプトに関する一般の推奨事項です:

  1. デバッグするとき目に見えるモードのスクリプトを実行して下さい。 これはログイン スクリプトが実際に実行されるという視覚しるしを可能にします。

    この GPO ポリシーはドメイン ポリシー > ユーザコンフィギュレーションの下で > 管理上のテンプレート > システム > スクリプト設定することができます。

    windows_gpo_cisco_nac1.gif

  2. コンピュータがコンピュータ 始動およびログオンで利用可能であるためにネットワークを待っているようにして下さい。

    この GPO ポリシーはドメイン ポリシー > コンピューターの構成の下で > 管理上のテンプレート > システム > ログオン設定することができます。

    /image/gif/paws/108539/windows_gpo_cisco_nac2.gif

NAC セットアップ用の概要推奨事項

これらは GPO と共に設定される NAC もし使用するならに関する一般の推奨事項です:

  1. 必須トラフィックが非認証ロールで CAS を渡って AD からの実行のためのネットワーク上のクライアントマシンにログイン スクリプトのウィンドウズドメインログオンおよびコピーを許可するためにフローするようにして下さい。

    Ports are TCP : 88,123,135,137,139,389,445,1025,1026,3268
    Ports are UDP : 88,123,135,137,139,389,445,1025,1026,3268
    Allow Fragmented packets and ICMP to all domain controllers. 

    windows_gpo_cisco_nac4.gif

    注: Windows は PING 発見のプロセスをある特定のドメインのための複数の DC がある最も近い DC を見つけるのに使用します。 ICMP が 2 DC を与えられなければ、クライアントは最初のディスカバリが失敗した場合ランダム DC を取るのでログインするために時間がかかることができます。

  2. これが Windows AD 環境であるので、認証方式として ADSSO を、もし可能なら使用して下さい。 これは自動化し、ユーザ ログオン プロセスを高速化しましたり、また全面的なユーザ エクスペリエンスを高めます。

設定

複数のシナリオおよび推奨される NAC コンフィギュレーションは続きます。

シナリオ 1

Windows ログイン スクリプトは AD コントローラから実行され、非同期的に動作します。

非同期スクリプト実行は Win2003 AD のためのデフォルトの動作です。 Windows ログイン スクリプトは非同期的に動作するとき、スクリプトを呼び出した後 Windows に戻る抜けプロセスをログオンします。 それは実行を終えるためにスクリプトを待っていません。 これは他の始動プログラムおよび NAC エージェントが普通ロードするようにします。

NAC アプライアンスによって制御され、NAC にとって正常なユーザ ログオンの後でアクセス可能であるログイン スクリプトがネットワーク アクセスを必要とする場合、ログイン スクリプトに遅延が生じることができます。 実際のログイン スクリプトが実行する前にネットワークアベイラビリティを、学ぶためにチェックして下さいログイン スクリプトをたとえば:

:CHECK
@echo off
echo Please wait....
ping -n 1 -l 1 10.10.10.10 
if errorlevel 1 goto CHECK
@echo on

# Now the actual Logon script:

net use L: \\fileserver\share

注: ネットワーク トポロジに従ってスクリプトを修正して下さい。

この回避策は簡単であるので、ログイン スクリプトが非同期的に動作する、帯域 NAC 配備からの結果としてまたは別の方法で含まれる IP アドレス変更がありません限りうまく働き。

スクリプトが同期で動作する場合、この回避策は NAC エージェントがクライアントPC を認証する後やっと利用可能になるネットワークリソース アベイラビリティを待っているので NAC エージェントがログイン スクリプト完了実行の前にメモリにロードしない、ログイン スクリプトは決して実行を完了しませんので失敗し。

このスクリーン ショットはクライアントPC が述べられる原因が理由で無限ループのこの状態を維持することを示します。

windows_gpo_cisco_nac3.gif

このシナリオはまたスクリプトがスクリプト自身がダウンロードするためにしばらく時間がかかることができる NAC は IP リフレッシュが設定することができる OOB トポロジーで展開されます低速WANリンクに非同期的に動作する状況に失敗する場合があり。 スクリプト実行の中の IP リフレッシュは可能性としてはスクリプト実行を壊すことができます。 シナリオのようなでは、Cisco は IP リフレッシュ プロセスがスクリプト実行と干渉しないようにスクリプトを同期で実行することを強く推奨します。 このシナリオはそのような状況を描写します。

シナリオ 2

Windows ログイン スクリプトは AD コントローラから同期で動作します。

同期スクリプトは IP リフレッシュが起こる NAC OOB 配備で推奨されます。

基本的な考えは 2 つのスクリプトにオリジナル ログイン スクリプトの機能性を分割することです。

NAC エージェントが認証したら、ネットワーク アクセスは認められますログイン スクリプトとして実行される 1 つのちょうど後でコピーします実行のためのローカルマシンに第 2 スクリプトをスクリプトを書けば。

第 2 スクリプトは Windows 始動プログラムによってユーザの始動フォルダに第 2 スクリプトを置けば、自動的に呼出すことができますたとえば:

スクリプト 1:

AD から実行されたログイン スクリプトはより遅い実行のためのユーザの始動フォルダに「mount.bat」と呼ばれた実際のスクリプトをコピーしました。

echo Please wait....
sleep 20
copy \\1.1.1.11\SHARE\mount.bat 
   "c:\Documents and Settings\All users\Start Menu\Programs\Startup\mount.bat"

注: ネットワーク トポロジに適するためにスクリプトを修正して下さい。

注: 必須トラフィックが非認証ロールで CAS を渡って AD からの実行のためのネットワーク上のクライアントマシンにログイン スクリプトのウィンドウズドメインログオンおよびコピーを許可するためにフローするようにして下さい。

スクリプト 2

実際の操作が発生するセカンダリ スクリプトはシステムから、ローカルで実行され、実行の後でセキュリティの理由から削除されます。

ipconfig
:CHECK
@echo off
echo Please wait....
sleep 10
Ping -n 1 -l 1 10.10.10.10
if errorlevel 1 goto CHECK
@echo on
# Now the actual Logon script:

net use L: \\fileserver\share 
del c:\Documents and Settings\All users\Start Menu\Programs\Startup\mount.bat"

windows_gpo_cisco_nac5.gif

このスクリーン ショットは認証した後バックグラウンドで動作する第 2 スクリプトがユーザの始動フォルダから起動する、NAC エージェントは IP リフレッシュをしますこと描写し。 ドライブを完了し、マッピング する前に認証および IP リフレッシュ プロセスを完了するエージェントのための第 2 スクリプト ループおよび待機。

トラブルシューティング

トラブルシューティングはでクライアントPC が接続されるスイッチポートを離れたパケットをキャプチャ することが開始する大きい方法であるどんなに、基礎場合次第でされなければなりません。 これはネットワークイベントおよびアクティビティについての把握を与えます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 108539