Seguridad : Cisco NAC Appliance (Clean Access)

NAC (CCA): Configure la autenticación en el Access Manager limpio con ACS 5.x y posterior

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona la información cómo configurar la autenticación en el Access Manager limpio (CAM) con el Cisco Secure Access Control System (ACS) 5.x y posterior. Para una configuración similar usando las versiones anterior que ACS 5.x, refiera al NAC (CCA): Configure la autenticación en el Access Manager limpio (CAM) con el ACS.

prerrequisitos

Requisitos

Esta configuración es aplicable a la versión 3.5 y posterior CAM.

Componentes Utilizados

La información en este documento se basa en la versión 4.1 CAM.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

Autenticación de la configuración encendido CCA con ACS 5.x

Complete estos pasos:

  1. Agregue los nuevos papeles
    1. Cree un papel Admin

      • Del CAM, elija User Management (Administración de usuario) > los rol del usuario > nuevo papel.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • Ingrese un nombre único, admin, para el papel en el campo de nombre del papel.

      • Ingrese el papel de Usuario administrador como descripción opcional del papel.

      • Elija el papel normal del login como el tipo del papel.

      • Configure (OOB) el rol del usuario fuera de banda del VLA N con el VLA N apropiado. Por ejemplo, elija el VLAN ID y especifique el ID como 10.

      • Cuando está acabado, el tecleo crea el papel. Para restablecer las propiedades predeterminadas en la forma, restauración del tecleo.

      • El papel ahora aparece en la lista de lengueta de los papeles tal y como se muestra en de los VLA N de la etiqueta para la sección OOB Papel-basada de las asignaciones.

    2. Cree un rol del usuario

      • Del CAM, elija User Management (Administración de usuario) > los rol del usuario > nuevo papel.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • Ingrese un nombre único, los usuarios, para el papel en el campo de nombre del papel.

      • Ingrese el papel de usuario normal como descripción opcional del papel.

      • Configure (OOB) el rol del usuario fuera de banda del VLA N con el VLA N apropiado. Por ejemplo, elija el VLAN ID y especifique el ID como 20.

      • Cuando está acabado, el tecleo crea el papel. Para restablecer las propiedades predeterminadas en la forma, restauración del tecleo.

      • El papel ahora aparece en la lista de lengueta de los papeles tal y como se muestra en de los VLA N de la etiqueta para la sección OOB Papel-basada de las asignaciones.

  2. VLA N de la etiqueta para las asignaciones OOB Papel-basadas

    Del CAM, elija User Management (Administración de usuario) > los rol del usuario > lista de papeles para ver la lista de papeles hasta ahora.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. Agregue el servidor de autenticación RADIUS (el ACS)

    1. Elija User Management (Administración de usuario) > los servidores de autenticación > nuevo.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. Del menú desplegable del tipo de autenticación, elija el radio.

    3. Ingrese el nombre del proveedor como ACS.

    4. Ingrese Nombre del servidor como auth.cisco.com.

    5. Puerto de servidor — El número del puerto 1812 en el cual el servidor de RADIUS está escuchando.

    6. Tipo del radio — El método de autenticación de RADIUS. Los métodos aceptados incluyen EAPMD5, el PAP, la GRIETA, el MSCHAP y el MSCHAP2.

    7. Se utiliza el papel predeterminado si asocia al ACS no se define ni se fija correctamente, o si el atributo de RADIUS no se define ni se fija correctamente en el ACS.

    8. Secreto compartido — El límite del secreto compartido RADIUS a la dirección IP del cliente especificado.

    9. Nas-ip-address — Este valor que se enviará con todos los paquetes de la autenticación de RADIUS.

    10. El tecleo agrega el servidor.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. Usuarios de ACS del mapa CCA a los rol del usuario

    1. Elija User Management (Administración de usuario) > los servidores de autenticación > las reglas de la asignación > Add que asocian el link para asociar al Usuario administrador en el ACS CCA al papel de Usuario administrador.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. Elija User Management (Administración de usuario) > los servidores de autenticación > las reglas de la asignación > Add que asocian el link para asociar al usuario normal en el ACS CCA al rol del usuario.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      Aquí está el rol del usuario del resumen de la asignación:

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. Proveedores alternos del permiso en las páginas del usuario

    Elija la administración > las páginas del usuario > las páginas de registro > Add > contenido para habilitar los proveedores alternos en la página de los ingresos del usuario al sistema.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

Configuración ACS5.x

  1. Elija los recursos de red > los dispositivos de red y a los clientes AAA, después haga clic crean para agregar el CAM como cliente AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. Proporcione el nombre, dirección IP y elija el RADIUS bajo opción de autenticación. Entonces, proporcione el secreto compartido para el CAM y el tecleo someten.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. Elija los recursos de red > los dispositivos de red y a los clientes AAA, después haga clic crean para agregar CAS como cliente AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. Proporcione el nombre, dirección IP y elija el RADIUS bajo opción de autenticación. Entonces, proporcione el secreto compartido para CAS y el tecleo somete.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. Elija los recursos de red > los dispositivos de red y los clientes AAA y el tecleo crean para agregar el ASA como cliente AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. Proporcione el nombre, dirección IP y elija el RADIUS bajo opción de autenticación. Entonces, proporcione el secreto compartido para el ASA y el tecleo someten.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. Elija a los usuarios y la identidad salva > los grupos de la identidad y el tecleo crea para crear a un nuevo grupo de la identidad.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. Proporcione el nombre del grupo y el tecleo somete.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. Elija a los usuarios y la identidad salva > los grupos de la identidad y el tecleo crea para crear a un nuevo grupo de la identidad.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. Proporcione el nombre del grupo y el tecleo somete.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users y el tecleo crea para crear a un usuario nuevo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. Proporcione el nombre del usuario y cambie la membresía del grupo al admin group. Entonces, proporcione la contraseña y confirme la contraseña. Haga clic en Submit (Enviar).

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users y el tecleo crea para crear a un usuario nuevo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. Proporcione el nombre del usuario y cambie la membresía del grupo al grupo de usuarios. Entonces, proporcione la contraseña y confirme la contraseña. Haga clic en Submit (Enviar).

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. Elija los elementos > la autorización de la directiva y los permisos > el acceso a la red > los perfiles y el tecleo de la autorización crean para crear un nuevo perfil de la autorización.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. Proporcione el nombre del perfil y haga clic los atributos de RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. De los atributos de RADIUS tabule, elija RADIUS-IETF como el tipo de diccionario. Entonces, tecleo selecto al lado del atributo de RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. Elija el atributo de clase y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. Asegúrese de que el valor de atributo sea estático y ingrese el Admin como el valor. El tecleo agrega, después hace clic somete.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. Elija los elementos > la autorización de la directiva y los permisos > el acceso a la red > los perfiles y el tecleo de la autorización crean para crear un nuevo perfil de la autorización.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. Proporcione el nombre del perfil y haga clic los atributos de RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. De los atributos de RADIUS tabule, elija RADIUS-IETF como el tipo de diccionario. Entonces, tecleo selecto al lado del atributo de RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. Elija el atributo de clase y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. Asegúrese de que el valor de atributo sea estático y ingrese a los usuarios como el valor. El tecleo agrega, después hace clic somete.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. Elija las políticas de acceso > el acceso mantiene > las reglas de selección del servicio e identifica qué servicio está procesando el pedido de RADIUS. En este ejemplo, el servicio es acceso de red predeterminada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. Elija las políticas de acceso > el acceso mantiene > acceso de red predeterminada (el servicio identificado en el paso anterior que procesó el pedido de RADIUS) > autorización. El tecleo personaliza.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. Mueva al grupo de la identidad desde disponible a la columna seleccionada. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. El tecleo crea para crear una nueva regla.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. Asegúrese de que el cuadro de casilla del grupo de la identidad esté marcado, después hacen clic selecto al lado del grupo de la identidad.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. Seleccione el admin group y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. El tecleo selecto en la autorización perfila la sección.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. Seleccione el perfil de la autorización Admin y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. El tecleo crea para crear una nueva regla.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. Asegúrese de que el cuadro de casilla del grupo de la identidad esté marcado y haga clic selecto al lado del grupo de la identidad.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. Seleccione al grupo de usuarios y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. El tecleo selecto en la autorización perfila la sección.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. Seleccione el perfil de la autorización de los usuarios y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. Cambios de la salvaguardia del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113560