セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

ISE バージョン 1.3 設定例の AnyConnect 4.0 統合

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 5 日) | フィードバック

概要

この資料は複数の AnyConnect セキュアな機動性 クライアント モジュールを設定し、エンドポイントに自動的に提供することを可能にする Cisco Identity Services Engine (ISE)バージョン 1.3 で新しい機能性を説明したものです。 この資料に ISE の VPN、ネットワーク アクセス マネージャ(NAM)、およびポスチャ モジュールを設定し企業ユーザに押す方法を示されています。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ISE 配備、認証および許可
  • ワイヤレス LAN コントローラ(WLCs)の設定
  • 基本 VPN および 802.1X ナレッジ
  • AnyConnect プロファイル エディタとの VPN および NAM プロファイルの設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 7
  • Cisco WLC バージョン 7.6 および それ 以降
  • Cisco ISE ソフトウェア バージョン 1.3 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

トポロジーおよびフロー

ここで、フローを示します。

ステップ 1.企業ユーザ acceses Service Set Identifier (SSID): 提供。 拡張可能認証によってプロトコル保護される EAP (EAP-PEAP)と 802.1X 認証を行います。 プロビジョニング承認規則は ISE で見つけられ、ユーザは AnyConnect プロビジョニングのためにリダイレクトされます(Protal クライアント提供によって)。 AnyConnect がマシンで検出する場合、すべての設定されたモジュールはインストールされています(VPN、NAM、ポスチャ)。 そのプロファイルと共に、各モジュールのための設定は押されます。

ステップ 2: AnyConnect がインストールされていれば、ユーザは PC をリブートする必要があります。 再度ブートするが、AnyConnect および動作した後正しい SSID は設定された NAM プロファイル(Secure_access)によって自動的に使用されます。 EAP-PEAP は使用されます(一例として、拡張可能認証プロトコル転送する 層 セキュリティ(EAP-TLS も)使用できます)。 同時に、ポスチャ モジュールはステーションが対応であるかどうか確認します(c:\test.txt ファイルのプロシージャがあるように確認します)。

ステップ 3: ステーション ポスチャ ステータスが不明(ポスチャ モジュールからの No レポート)なら、未知数 Authz ルールが ISE で見つけられるので、まだ提供のためにリダイレクトされます。 ステーションが対応なら、ISE は再認証を引き起こす ワイヤレス LAN コントローラに許可(CoA)の変更を送信 します。 第 2 認証は行われ、対応ルールはネットワークにフルアクセスをユーザに与える ISE で見つかります。

その結果、ユーザはネットワークに統一されたアクセスを可能にする AnyConnect VPN、NAM およびポスチャ モジュールと提供されました。 同じような機能性は適応性があるセキュリティ アプライアンス モデル(ASA)で VPN アクセスのために使用することができます。 現在、ISE は非常に粒状アプローチを用いるアクセスのあらゆる型のために同じをすることができます。

この funcionality は企業ユーザに制限されませんが、それは可能性のある ユーザのそのグループのためにそれを展開するもっとも一般的なです。

設定

WLC

WLC は 2 SSID で設定されます:

  • 提供- [WPA + WPA2][Auth(802.1X)]。 この SSID は AnyConnect プロビジョニングのために使用されます。

  • Secure_access - [WPA + WPA2][Auth(802.1X)]。 この SSID は安全なアクセスのためにエンドポイントがその SSID のために設定される NAM モジュールによって提供された後使用されます。

ISE

ステップ 1. WLC を追加して下さい

ISE のネットワークデバイスに WLC を追加して下さい。

ステップ 2. VPN プロファイルを設定して下さい

VPN のための AnyConnect プロファイル エディタで VPN プロファイルを設定して下さい。

1 つのエントリだけ VPN アクセスのために追加されました。 VPN.xml にその XML ファイルを保存して下さい

ステップ 3. NAM プロファイルを設定して下さい

NAM のための AnyConnect プロファイル エディタで NAM プロファイルを設定して下さい。

1 SSID だけ設定されました: secure_accessNAM.xml にその XML ファイルを保存して下さい

ステップ 4.アプリケーションをインストールして下さい

  1. Cisco.com からアプリケーションを手動でダウンロードして下さい。

    • anyconnect-win-4.0.00048-k9.pkg
    • anyconnect-win-compliance-3.6.9492.2.pkg


  2. ISE で、ポリシー > 結果 > クライアント プロビジョニング > リソースにナビゲート し、ローカルディスクからエージェント の リソースを追加して下さい。
  3. 提供し、パッケージを選択します anyconnect-win-4.0.00048-k9.pkg を『Cisco』 を選択 して下さい:



  4. 準拠性 モジュールのためのステップ 4 を繰り返して下さい。

ステップ 5. VPN/NAM プロファイルをインストールして下さい

  1. ポリシー > 結果 > クライアント プロビジョニング > リソースにナビゲート し、ローカルディスクからエージェント の リソースを追加して下さい。
  2. 顧客によって作成されるパッケージおよび型 AnyConnect プロファイルを選択して下さい。 以前に作成された NAM プロファイル(XML ファイル)を選択して下さい:



  3. VPN プロファイルのための同じようなステップを繰り返して下さい:

ステップ 6.ポスチャを設定して下さい

NAM および VPN プロファイルは AnyConnect プロファイル エディタで外部に設定され、ISE にインポートされなければなりません。 しかしポスチャは ISE で申し分なく設定されます。

ポリシー > 条件 > ポスチャ > ファイル Condition.You へのナビゲートはファイル プロシージャのための単純条件が作成されたことがわかる場合があります。 ファイル ポスチャ モジュールによって確認されるポリシーと対応であるためこと持たなければなりません:

この条件は要件のために使用されます:

そして要件は Microsoft Windows システムのためにポスチャ ポリシーで使用されます:

ポスチャ 設定に関する詳細については、Cisco ISE コンフィギュレーション ガイドのポスチャ サービスを参照して下さい。

ポスチャ ポリシーが準備ができていれば、それはポスチャ エージェントのコンフィギュレーションを追加する時間です。

  1. ポリシー > 結果 > クライアント プロビジョニング > リソースにナビゲート し、ネットワーク アドミッション コントロール(NAC) エージェントまたは AnyConnect エージェント ポスチャ プロファイルを追加して下さい。

  2. AnyConnect を選択して下さい(ISE バージョン 1.3 からの新しいポスチャ モジュールは古い NAC エージェントの代りに使用されました):



  3. ポスチャ プロトコルセクションから、*エージェントがすべてのサーバに接続するようにするために追加することを忘れないで下さい。



  4. サーバ名 Rules フィールドが空のままになる場合、ISE は設定を保存しないし、このエラーを報告します:

    Server name rules: valid value is required

ステップ 7. AnyConnect を設定して下さい

この段階では、アプリケーション(AnyConnect)すべておよびすべてのモジュール(VPN、NAM およびポスチャ)のためのプロファイル設定は設定されました。 それはそれを一括してバインドする時間です。

  1. ポリシー > 結果 > クライアント プロビジョニング > リソースにナビゲート し、AnyConnect 設定を追加して下さい。

  2. 名前を設定し、準拠性 モジュールおよび AnyConnect 必要なすべてのモジュール(VPN、NAM およびポスチャ)を選択して下さい。

  3. プロファイル選択で、各モジュールのために先に設定されるプロファイルを選択して下さい。



  4. VPN モジュールは他のすべてのモジュールが corrrectly 機能することができるがように必須です。 VPN モジュールはインストールに選択されなくても、クライアントで押され、インストールされます。 VPN を使用したいと思わない場合 VPN モジュールのためのユーザインターフェイスを隠す VPN のための特別なプロファイルを設定する可能性があります。 これらの行は VPN.xml ファイルに追加する必要があります:

     <ClientInitialization>
    <ServiceDisable>true</ServiceDisable>
    </ClientInitialization>


  5. ISO パッケージ(anyconnect-win-3.1.06073-pre-deploy-k9.iso)からの Setup.exe を使用するときこの種類のプロファイルはまたインストールされています それから、VPN モジュールのためのユーザインターフェイスをディセーブルにする VPN のための VPNDisable_ServiceProfile.xml プロファイルは設定と共にインストールされています。

ステップ 8.クライアント プロビジョニング ルール

ステップ 7 で作成される AnyConnect 設定はクライアント プロビジョニング ルールで参照する必要があります:

クライアント プロビジョニング ルールはどのアプリケーションがクライアントに押されるか決定します。 1 つのルールだけステップ 7.で作成される設定を指す結果とここに必要とされます。 こうすればはモジュールおよびプロファイルすべてと、クライアント プロビジョニングのためにリダイレクトされる Microsoft Windows すべてのエンドポイント AnyConnect 設定を使用します。

ステップ 9.許可プロファイル

作成されるクライアント プロビジョニング必要のための許可 プロファイル。 既定のクライアント提供ポータルは使用されます:

このプロファイルはユーザを既定のクライアント提供ポータルに提供のためにリダイレクトさせます。 このポータルはクライアント Provisiong ポリシー(ステップで 8)作成されるルールを評価します。 許可プロファイルはステップ 10.で設定される承認規則の結果です。

GuestRedirect Access Control List (ACL)は WLC で定義される ACL の名前です。 この ACL はどのトラフィックが ISE にリダイレクトする必要があるか決定します。 詳細については、スイッチおよび Identity Services Engine 設定例の中央 Web 認証を参照して下さい。

またもう一つの許可 プロファイルがあります不適合なユーザ向けに限られたネットワーク アクセス(DACL)を提供する(LimitedAccess と問い合わせられる)。

ステップ 10.承認規則

すべてそれは 4 つの承認規則に結合されます:

最初に提供 SSID に接続し、既定のクライアント提供ポータル(ルール ネームド Provisioning)への提供のためにリダイレクトされます。 Secure_access SSID に接続すれば、ポスチャ モジュールからの No レポートが ISE (ルール ネームド Unknown)によって受け取られる場合まだ提供のためにリダイレクトします。 エンドポイントが完全に対応していれば、フルアクセスは許可されます(ルール ネーム対応)。 エンドポイントが不適合ように報告される場合、ネットワーク アクセス(ルール ネームド NonCompliant)を制限しました。

確認

提供 SSID と関連付け、Webページにアクセスすることを試みクライアント提供ポータルにリダイレクトされます:

AnyConnect が検出するので、それをインストールするように頼まれます:

小さいアプリケーションは全インストールプロセスを担当するネットワーク セットアップ アシスタントにダウンロードされます問い合わせました。 それがバージョン 1.2 のネットワーク セットアップ アシスタントと異なっていることに注意して下さい。

すべてのモジュール(VPN、NAM およびポスチャ)はインストールされ、設定されます。 PC をリブートして下さい:

再度ブートするが、AnyConnect 自動的におよび実行された後 NAM は secure_access SSID と関連付けることを試みます(設定されたプロファイルによって)。 VPN プロファイルが正しくインストールされていることに注意して下さい(VPN のための asav2 エントリ):

認証の後で、AnyConnect ダウンロード更新はまた確認が実行されたルールをポーズをとらせ、:

この段階では、まだ制限されたアクセス(ISE の未知承認規則に出会います)があるかもしれません。 ステーションが対応なら、それはポスチャ モジュールによって報告されます:

詳細はまた確認することができます(FileRequirement は満足します):

メッセージ履歴は詳細なステップを説明します:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

正常なレポートは許可の変更を引き起こす ISE に送られます。 第 2 認証は対応ルールに出会い、完全なネットワーク アクセスは認められます。 それでも関連付けられて、これらのログ間ポスチャ レポートが提供 SSID に ISE で見られれば送られれば:

ポスチャ レポートは示します:

Detailed レポートは満足する FileRequirement を示します:

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118714