Безопасность : Устройство Cisco NAC (Clean Access)

NAC-устройство (CCA): Настройка и устранение неполадок единого входа Windows в Active Directory

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как использовать Единую точку входа (SSO) Active Directory (AD) Microsoft Windows, чтобы настроить и устранить неполадки системы контроля доступа к сети Cisco NAC (NAC) Устройство, раньше известное как Cisco Clean Access (CCA).

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения в этом документе основываются на версии программного обеспечения 4.x NAC-устройства или позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройте Windows SSO

Информация в этом разделе описывает, как настроить функции, представленные в этом документе.

Установите AD Поставщика SSO

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso1.gif

  • Вы не можете выполнить опознавательный тест AD поставщику SSO или SSO VPN.

  • Сервер поиска LDAP необходим, только если пользователи хотят сделать правила сопоставления для AD SSO, так, чтобы после AD SSO, пользователи были размещены в роли на основе AD атрибутов. Это не необходимо для получения основной работы SSO (без сопоставления роли).

Выполните KTPass на DC

KTPass является программным средством, доступным как часть инструментов поддержки Windows 2000/2003. Обратитесь к устройству Cisco NAC - Чистое Руководство по установке и конфигурированию Сервера доступа, Выпуск 4.1 (2) для получения дополнительной информации.

При выполнении KTPass важно обратить внимание, что имя компьютера, которое всегда падает между “/” и, совпадает с названием DC, как это появилось бы под Панелью управления> Система> Имя компьютера> Полное Имя компьютера на DC.

Кроме того, удостоверьтесь, что имя области, которое кажется после выделенным, всегда находится в прописных буквах.

C:\Program Files\Support Tools>ktpass -princ
	 ccasso/prem-vm-2003.win2k3.local@WIN2K3.LOCAL -mapuser ccasso
	 -pass Cisco123 -out c:\test.keytab -ptype KRB5_NT_PRINCIPAL +DesOnly
Using legacy password setting method
//confirms ccasso acct is mapped
Successfully mapped ccasso/prem-vm-2003.win2k3.local to ccasso.
Key created.
Output keytab to c:\test.keytab
Keytab version: 0x502
keysize 80 ccasso/prem-vm-2003.win2k3.local@WIN2K3.LOCAL ptype 1
	 (KRB5_NT_PRINCIPAL) vno 3 etype 0x17 (RC4-HMAC) keylength 16
	 (0xf2e787d376cbf6d6dd3600132e9c215d)
Account ccasso has been set for DES-only encryption.

Для поддержки Windows 7 необходимо выполнить KTPASS как показано в данном примере:

C:\Program Files\Support Tools>KTPASS.EXE -princ 
newadsso/[adserver.]domain.com@DOMAIN.COM -mapuser newadsso 
-pass PasswordText -out c:\newadsso.keytab -ptype KRB5_NT_PRINCIPAL

Кроме того, удостоверьтесь, что имя области, которое кажется после выделенным, всегда находится в прописных буквах.

Настройте SSO на CAS

Выберите CCA Servers> Manage> Authentication> Windows Auth> Active Directory SSO, чтобы открыть окно AD и проверить эти элементы:

  • Домен Active Directory: название Области "Kerberos" = Потребности быть верхним регистром.

  • Сервер Active Directory (FQDN): Удостоверьтесь, что CAS может решить это название через DNS. Этим полем не может быть IP-адрес. Использование значений в данном примере, можно войти в систему CAS через Secure Shell (SSH) и выполнить “nslookup prem-vm-2003.win2k3.local”. Затем удостоверьтесь, что это решает успешно.

  • Удостоверьтесь, что FQDN совпадает с названием AD сервера (DC) точно, как это появляется под Панелью управления> Система> Имя компьютера | Полное имя компьютера на AD сервере (DC).

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso2.gif

Проверьте, что запущен Сервис SSO

Выполните следующие действия:

  1. Перейдите к Server> CCA, Управляют> Статус, чтобы проверить, что запущен сервис SSO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso3.gif

  2. Выполните эту команду, чтобы проверить, что CAS теперь слушает на TCP 8910 (используемый для Windows SSO).

    [root@cs-ccas02 ~]#netstat -a | grep 8910
       tcp        0      0 *:8910                      *:*
       LISTEN

Открытые порты к DC

Для открытия соответствующих портов для DC выполните эти шаги:

Примечание: Для тестирования, всегда открытый полный доступ к DC. Затем как только SSO работает, можно привязать его к определенным портам.

  1. Удостоверьтесь, что придерживающимся портам разрешают в недоверяемой роли Active Directory:

    • TCP  /*: 88, 135, 445, 389/636, 1025, 1026

    • UDP: 88, 389

    Примечание:  ПОРТ TCP 445 должен быть открыт для Сброса Пароля Windows для работы правильно.

  2. Гарантируйте, что клиент выполняет Агента CCA 4.0.0.1 или позже.

  3. Войдите к ПК с учетными данными Домена Windows.

    Примечание: Удостоверьтесь, что вы входите в домен а не локальную учетную запись.

Клиент видит, что агент выполняет SSO

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso4.gif

Завершенный SSO

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso5.gif

Пользователь SSO, замеченный в списке подключенного пользователя

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso6.gif

Устраните неполадки Windows SSO

Ошибка: не Мог запустить сервис SSO. Проверьте конфигурацию.

Проблема

Вы получаете эту ошибку:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso7.gif

Решение

Чтобы решить эту проблему, выполните следующие действия:

  1. Проверьте для проверки выполнений KTPass правильно. Важно проверить поля, как упомянуто в понижении X. Если KTPass был выполнен неправильно, удалите учетную запись и создайте новую учетную запись на AD и выполните KTPass снова.

  2. Удостоверьтесь, что время на CAS синхронизируется с DC.

    Этот шаг может быть выполнен путем обращения им обоим к тому же временному серверу. В лабораторных установках, указывают CAS к самому DC в течение времени (DC выполняет время Windows). Kerberos чувствителен к часам, и перекос не может быть больше, чем 5 минут (300 secs).

    Примечание: Когда вы пытаетесь запустить AD сервис SSO CAS, проблема могла бы произойти со временем syncronization, NTP. Если NTP будет настроен, и часы не являются syncronized, то сервисы не будут работать. После того, как исправленный сервисы должны работать.

  3. Удостоверьтесь, что Домен Active Directory находится в верхнем регистре (именованная область (Realm)), и CAS может решить FQDN в DNS. Для лабораторных установок можно указать к DC, который выполняет DNS (AD требует в арендном договоре одного сервера DNS).

  4. Войдите в CAS непосредственно как https://<IP-АДРЕС CAS> / admin. Затем нажмите Support Logs и измените уровень регистрации для Регистрации Связи Active Directory к Информации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso8.gif

  5. Воссоздайте проблему и загрузите журналы поддержки.

Аутентификация клиента не Работает

Проблема

AD сервис SSO запущен, но не работает аутентификация клиента.

Решение

Порты UDP не были открыты в неаутентифицированной роли. После добавления этих портов к политике трафика аутентификация должна работать.

Неспособный выполнить SSO на окнах 7 пк

Проблема

SSO не работает для машин, которые выполняют операционную систему Windows 7.

Решение 1

Для решения этого вопроса включите Шифрование по алгоритму DES (стандарт шифрования данных) на машине, которая выполняет операционную систему Windows 7, и затем повторно выполняет KTPass. Выполните эти шаги для включения DES на Windows 7 PC:

  1. Войдите к клиентскому компьютеру Windows 7 как администратор.

  2. Перейдите запускаются> Панель управления> Система и Безопасность> Средства администрирования> Политика Локального уровня безопасности> Локальная Политика/Безопасность> Опции.

  3. Выберите Сетевая безопасность> Настраивают позволенные типы шифрования.

  4. На вкладке Local Security Settings проверьте флажки для включения всех опций, кроме будущей опции типов шифрования.

Решение 2

Для решения этого вопроса выполните эту команду на Windows 2003 Server (если это должно поддержать Windows 7 также):

C:\Program Files\Support Tools> ktpass.exe -princ 
casuser/cca-eng-domain.cisco.com@CCA-ENG-DOMAIN.CISCO.COM-mapusercasuser -pass 
Cisco123 -out c:\casuser.keytab -ptype KRB5_NT_PRINCIPAL

Для получения дополнительной информации отнеситесь для Настройки AD SSO в Windows 7 Environment.

Неспособный настроить поддержку клиента Linux пользователя в среде NAC

Проблема

Неспособный настроить поддержку Клиента Linux пользователя в среде NAC.

Решение

Веб-Агент или Агент не поддерживаются на Linux. NAC поддерживает Linux с веб-Входом в систему только без любой оценки положения. Как только машина заверена посредством веб-Входа в систему, пользователя нужно назначить на заключительную роль пользователя, которую вы настраиваете. У пользователя тогда будет доступ согласно политике трафика роли пользователя. Обратитесь к ошибке Cisco CSCti54517 (только зарегистрированные клиенты) для получения дополнительной информации.

Сервис SSO запущен, но Клиент не Выполняет SSO

Это обычно происходит из-за некоторой проблемы подключения между DC/клиентским компьютером или между клиентским компьютером и CAS.

Вот несколько вещей проверить:

  • У клиента есть ключи Kerberos.

  • Порты открыты для DC, таким образом, клиент может подключить, получить журналы агента и получить вход в систему CAS.

  • Время или отмечает время прихода на работу, клиентский компьютер синхронизируется с DC.

  • Подтвердите, что CAS слушает на порту 8910. Отслеживание средств прослушивания на клиентском компьютере также поможет.

  • Агент CCA 4.0.0.1 или позже.

  • Пользователь фактически зарегистрирован в использовании учетной записи в домене и не использовании локальной учетной записи.

Kerbtray

Kerbtray может использоваться, чтобы подтвердить, что клиент получил билеты Kerberos (TGT и ST). Беспокойство для Сервисного билета (ST), который является для учетной записи CAS, которую вы создали на DC.

Kerbtray является бесплатным инструментом, доступным от Microsoft Support tools. Это может также использоваться для удаления билетов Kerberos на клиентском компьютере.

Зеленый Значок Kerbtray на панели задач указывает, что у клиента есть активные билеты Kerberos. Однако необходимо проверить, что билет корректен (допустимый) для учетной записи CAS.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/97251-nac-ad-sso9.gif

Журналы CAS – не могут запустить сервис SSO

Файл журнала процента по CAS/perfigo/logs/perfigo-redirect-log0.log.0.

AD Сервис SSO не запускается на CAS, проблема подключения DC CAS:

  1. SEVERE: startServer - SSO Service authentication failed. 
    Clock skew too great (37)
    Aug 3, 2006 7:52:48 PM com.perfigo.wlan.jmx.admin.GSSServer loginToKDC

    Это означает, что часы "not synchronized" между CAS и контроллером домена.

  2. Aug 21, 2006 3:39:11 PM com.perfigo.wlan.jmx.admin.GSSServer loginToKDC
        INFO: GSSServer - SPN : [ccass/PreM-vM-2003.win2k3public.local@WIN2K3PUBLIC.LOCAL]
    Aug 21, 2006 3:39:11 PM com.perfigo.wlan.jmx.admin.GSSServer loginToKDC
    SEVERE: startServer - SSO Service authentication failed. 
    Client not found in Kerberos database (6)
    Aug 21, 2006 3:39:11 PM com.perfigo.wlan.jmx.admin.GSSServer startServer
    WARNING: GSSServer loginSubject could not be created.
    

    Это означает, что имя пользователя является неправильным. Примечание неверное имя пользователя “ccass”, код ошибки 6 и последнее предупреждение.

  3. Aug 21, 2006 3:40:26 PM com.perfigo.wlan.jmx.admin.GSSServer loginToKDC
    INFO: GSSServer - SPN : [ccasso/PreM-vM-2003.win2k3public.local@WIN2K3PUBLIC.LOCAL]
    Aug 21, 2006 3:40:26 PM com.perfigo.wlan.jmx.admin.GSSServer loginToKDC
    SEVERE: startServer - SSO Service authentication failed. 
    Pre-authentication information was invalid (24)
    Aug 21, 2006 3:40:26 PM com.perfigo.wlan.jmx.admin.GSSServer startServer
    WARNING: GSSServer loginSubject could not be created.
    

    Пароль является неправильным, или область недопустима (не в верхнем регистре?). Плохой FQDN? KTPass выполняется неправильно? Примечание Ошибка 24 и последнее предупреждение.

    Примечание: Удостоверьтесь, что версия KTPass 5.2.3790.0. Пока нет плохая версия KTPass, что, даже если сценарий выполнен должным образом, не запустится сервис SSO.

Клиент – проблема подключения CAS:

Aug 3, 2006 10:03:05 AM com.perfigo.wlan.jmx.admin.GSSHandler run
         SEVERE: GSS Error: Failure unspecified at GSS-API level 
(Mechanism level: Clock skew too great (37))

Когда время клиентского компьютера "not synchronized" с DC, эта ошибка замечена.

Примечание: Различие между этой ошибкой и той, где время CAS "not synchronized" с DC.

Типичные ошибки

  • Идентификатор ошибки Cisco CSCse64395 (только зарегистрированные клиенты) — 4.0 Агента не решает DNS для Windows SSO.

    Этот вопрос решен в Агенте CCA 4.0.0.1.

  • Идентификатор ошибки Cisco CSCse46141 (только зарегистрированные клиенты) — SSO отказывает в случае, если CAS не может достигнуть AD сервера во время запуска.

    Обходной путь должен перейти к Server> CCA, Управляют Аутентификацией [CAS_IP]> Windows Auth> SSO Active Directory и нажимают Update для перезапуска AD сервиса SSO.

  • Выполните сервисный перезапуск perfigo на CAS. Существует кэширующаяся проблема, когда старые учетные данные кэшируются на CAS, и это не использует новый, пока не перезапущен Tomcat.

  • Вы не можете ограничить одиночного пользователя, входят для SSO. Это - нормальное поведение для SSO, потому что это - протокол kerberos, и нет никакой опции для ограничения одиночного пользователя, входят в протокол kerberos.

  • Windows 7 и Windows 2008 не поддерживают SSO, поскольку SSO использует Шифрование по алгоритму DES (стандарт шифрования данных), которое не поддерживается Windows 7 или Windows 2008.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения