Seguridad : Cisco NAC Appliance (Clean Access)

Configuración del Active Directory sola Muestra-en para el servidor del invitado del NAC

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El Active Directory solo Muestra-en (AD SSO) el Kerberos de las aplicaciones de la característica entre el buscador Web del cliente y el Cisco NAC Guest Server para autenticar automáticamente a un invitado contra un regulador del dominio de Active Directory.

Nota: Con el fin de este documento, el NTP y los servidores DNS están también en DC, pero éste no es posiblemente el caso en su entorno.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • El DNS se debe configurar y trabajo sobre el Cisco NAC Guest Server.

  • El DNS se debe configurar y trabajo sobre el controlador de dominio.

  • Las entradas DNS para el Cisco NAC Guest Server deben ser definidas:

    • Un expediente

    • Expediente PTR

  • Las entradas DNS para el controlador de dominio deben ser definidas:

    • Un expediente

    • Expediente PTR

  • Las configuraciones horarias del Cisco NAC Guest Server se deben sincronizar con el dominio de Active Directory.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Servidor 2.0 del invitado del NAC

  • Microsoft Windows XP con el Internet Explorer 6.0

  • Servidor Windows 2003

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/109602/config-ad-sso-nac-01.gif

Configuraciones

Este documento utiliza estos IP Addresses:

  • Controlador de dominio — 172.23.117.46 (w2k3-server.cca.cisco.com)

  • Servidor del invitado del NAC — 172.23.117.42 (ngs.cca.cisco.com)

  • Máquina del patrocinador — 172.23.117.45

Complete estos pasos:

  1. Acceda la interfaz NG Admin. Del navegador, vaya a http://172.23.117.42/admin

    /image/gif/paws/109602/config-ad-sso-nac-02.gif

  2. Configuración de red NG

    Elija las configuraciones de red del server>.

    1. Nombre de host — ngs

    2. Dominio — cca.cisco.com

    3. DN primarios — 172.23.117.46

  3. Configuración NTP

    En la fecha/la hora del server>, configure al servidor NTP a IP 172.23.117.46 de DC.

    config-ad-sso-nac-03.gif

  4. Configuración AD SSO

    Antes de que usted configure la sección SSO, aseegurese los expedientes A y PTR existir para el servidor del controlador de dominio y del invitado del NAC.

    En la sección de AuthServer > del auth SSO, configure esto:

    /image/gif/paws/109602/config-ad-sso-nac-04.gif

    Si la configuración es acertada, usted debe ver un Mensaje de éxito.

    /image/gif/paws/109602/config-ad-sso-nac-05.gif

  5. Valide la característica SSO

    De la máquina del usuario, registre en el dominio. En este ejemplo, esta máquina es parte del dominio cca. Solamente soportan al Internet Explorer para la característica SSO. Usted necesita aseegurarse que el servidor del invitado del NAC sea Local Intranet (Intranet local) de la parte de y el auto-login está girado.

    Nota: Utilice el FQDN para el servidor del invitado para probar el SSO del navegador. Por ejemplo, la dirección IP no trabaja.

    1. Verifique las configuraciones del buscador Web:

      /image/gif/paws/109602/config-ad-sso-nac-06.gif

      /image/gif/paws/109602/config-ad-sso-nac-07.gif

    2. Del buscador Web, vaya a http://ngs.cca.cisco.com. Usted debe ser abierto una sesión automáticamente a los ngs con las credenciales del dominio.

      Nota: El link http://ngs.cca.cisco.com trabajará solamente si usted ha configurado el NAC en el modo admin con los credenciales de usuario.

      /image/gif/paws/109602/config-ad-sso-nac-08.gif

      Conforme a los registros de auditoría del servidor del invitado del NAC, usted puede ver al usuario Niall registrado en el grupo predeterminado:

      config-ad-sso-nac-09.gif

  6. Asignación del grupo de usuarios con AD SSO (opcional)

    En esta sección usted aprenderá asociar al usuario SSO a un grupo específico con excepción del grupo predeterminado.

    Para asociar al grupo de usuarios con ADSSO, usted necesita configurar al servidor Active Directory como servidor de autenticación y después asociar al grupo AD con el grupo de usuarios del patrocinador.

    1. Elija los NG (las autenticaciones de http://172.23.117.42/admin) > patrocinan > los servidores Active Directory. Agregue un nuevo controlador de dominio.

      /image/gif/paws/109602/config-ad-sso-nac-10.gif

      La opción de conexión de prueba se ha introducido en NG 2.0 para la facilidad del troubleshooting. Le dice si usted ha configurado DC correctamente.

    2. Configure al grupo de usuarios

      Agregue un nombre del grupo del usuario nuevo — tme. En este ejemplo, usted elige NINGÚN para abultar creación de una cuenta. Esta manera usted sabe inmediatamente si han colocado al usuario al grupo del tme o al grupo predeterminado.

      config-ad-sso-nac-11.gif

      En la asignación del Active Directory, el usuario a prueba Niall es ya dominio Admins de la parte de.

      /image/gif/paws/109602/config-ad-sso-nac-12.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Verifique la asignación del grupo de usuarios ADSSO

Para acceder la máquina del patrocinador, abra a un nuevo navegador y vaya a http://ngs.cca.cisco.com.

Niall debe ser colocado en el grupo del tme sin el acceso para abultar creación de una cuenta.

/image/gif/paws/109602/config-ad-sso-nac-13.gif

Si usted mira los registros de auditoría, usted puede verificar que coloquen al patrocinador en el papel correcto.

config-ad-sso-nac-14.gif

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Éstos son mensajes de error en los registros. Los errores del Kerberos dan lugar a uno de estos errores:

  • El formato del dominio incorrecto/controlador de dominio debe ser un FQDN, no una dirección IP

    El dominio no se ha ingresado en un formato correcto (debe estar de la forma CCA.CISCO.COM).

  • El nombre de host debe ser un FQDN, no una dirección IP

    El nombre de host del servidor del invitado del NAC no puede ser una dirección IP que debe ser un nombre de dominio completamente calificado e.g. nac.cca.cisco.com.

  • No puede determinar el IP Address para el controlador de dominio

    Hay un problema de la Configuración de DNS.

  • No puede conseguir al DNS un expediente para el controlador de dominio

    Hay un problema de la Configuración de DNS.

  • No puede conseguir el expediente DNS A para el nombre de host

    Hay un problema de la Configuración de DNS.

  • No puede conseguir el expediente PTR DNS para la dirección IP del controlador de dominio

    Hay un problema de la Configuración de DNS.

  • No puede conseguir el expediente PTR DNS para la dirección IP del nombre de host

    Hay un problema de la Configuración de DNS.

  • No podido crear el ordenador explique este servidor en el controlador de dominio. Vea el log de aplicaciones para los detalles

    . Vea el log de aplicaciones para ver las profundidades totales del error.

  • Nombre de usuario inválido/contraseña

    El nombre de usuario del administrador/la contraseña es incorrectos.

  • El dominio inválido o no puede resolver a la dirección de red para DC

    Hay un Problema de DNS en el servidor AD.

  • El tiempo del controlador de dominio no hace juego el tiempo de este servidor

    Asegure la coincidencia de las horas del servidor, él se recomienda le el uso NTP de sincronizar las horas del servidor.

  • El CC no puede determinar el nombre de host para el servidor del invitado por la búsqueda inversa. Puede haber un problema con su confiugration DNS.

    Hay un problema de la Configuración de DNS en su servidor AD.


Información Relacionada


Document ID: 109602