Seguridad : Cisco Identity Services Engine

Distinga los tipos de autenticación en las Plataformas ASA para las decisiones de políticas en el ISE

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar el Cisco Identity Services Engine (ISE) para utilizar el RADIUS Vendor-Specific Attribute del tipo de cliente (VSA) para distinguir los tipos múltiples de autenticación usados en el dispositivo de seguridad adaptante de Cisco (ASA). Las organizaciones requieren a menudo las decisiones de políticas basadas en la manera que autentican al usuario al ASA. Esto también permite usted aplique la directiva a las Conexiones de Administración recibidas en el ASA, que permite que utilicemos el RADIUS en lugar del TACACS+, cuando es prudente.

Nota: Contribuido por el galán Wallace, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Autenticación y autorización ISE.

  • Métodos de autentificación y configuración de RADIUS ASA.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión adaptante 8.4.3 del dispositivo de seguridad de Cisco.

  • Versión 1.1 del Cisco Identity Services Engine.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Atributo de tipo de cliente RADIUS VSA 3076/150

El atributo de tipo de cliente fue agregado en la versión 8.4.3 ASA, que permite el ASA envíe el tipo de cliente que autentique al ISE en los paquetes del pedido de acceso (y Estadística-petición), y permite que el ISE tome las decisiones de políticas basadas en ese atributo. Este atributo no requiere ninguna configuración en el ASA, y se envía automáticamente.

El atributo de tipo de cliente se define actualmente con estos valores del número entero:

  1. Cliente Cisco VPN (versión del intercambio de claves de Internet (IKEv1))

  2. Cliente SSL VPN de AnyConnect

  3. Clientless SSL VPN

  4. Corte-Por-proxy

  5. L2TP/IPsec SSL VPN

  6. IPSec VPN del cliente de AnyConnect (IKEv2)

Configurar

En esta sección, le proporcionan la información que usted necesita para configurar el ISE para utilizar el atributo de tipo de cliente descrito en este documento.

Paso 1

Cree el atributo personalizado

Para agregar los valores de atributo del tipo de cliente al ISE, cree el atributo y pueble sus valores como Diccionario personalizado.

  1. En el ISE, navegue a la directiva > a los elementos > a los diccionarios > al sistema de la directiva.

  2. Dentro de los diccionarios de sistema, navegue a RADIUS > los proveedores de RADIUS > Cisco-VPN3000.

  3. El Vendor ID en la pantalla debe ser 3076. Haga clic en la lengueta de los atributos del diccionario.

    1. El tecleo agrega (véase el cuadro 1).

      Figura 1: Atributos del diccionario

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. Pueble los campos en la forma de encargo del atributo del proveedor de RADIUS como se ve en el cuadro 2.

      Figura 2: Atributo del proveedor de RADIUS

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. Haga clic el botón Save Button en la parte inferior de la pantalla.

Paso 2

Agregue el atributo de tipo de cliente

Para utilizar el nuevo atributo para las decisiones de políticas, agregue el atributo a una regla de la autorización en la sección de las condiciones.

  1. En el ISE, navegue a la directiva > a la autorización.

  2. Cree una nueva regla o modifique una política existente.

  3. En la sección de las condiciones de la regla, amplíe el cristal de las condiciones y selecciónelo crean una nueva condición (para una nueva regla) o agregan el atributo/el valor (para una regla preexistente).

  4. En el campo selecto del atributo, navegue a Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Elija al operador apropiado (los iguales o no los iguales) para su entorno.

  6. Elija el tipo de autenticación que usted desea hacer juego.

  7. Asigne un resultado de la autorización apropiado a su directiva.

  8. Haga clic en Done (Listo).

  9. Haga clic en Save (Guardar).

Después de que se cree la regla, la condición de la autorización debe parecer similar al ejemplo en el cuadro 3.

Figura 3: Ejemplo de la condición de la autorización

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

Verificación

Para verificar el atributo de tipo de cliente es funcionando, examina las autenticaciones del ASA en el ISE.

  1. Navegue a las operaciones > a las autenticaciones

  2. Haga clic el botón Details Button para la autenticación del ASA.

  3. Navegue hacia abajo a otros atributos y busque CVPN3000/ASA/PIX7x-Client-Type= (véase el cuadro 4)

    Figura 4: Otro atribuye los detalles

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. El otro campo de los atributos debe indicar el valor recibido para la autenticación. La regla debe hacer juego la directiva definida en el paso 2 de la sección de configuración.


Información Relacionada


Document ID: 115962