Безопасность : Устройство Cisco NAC (Clean Access)

NAC: Настройка LDAP Через SSL на Clean Access Manager (CAM)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить Протокол LDAP через SSL на Clean Access Manager (CAM).

Предварительные условия

Требования

Эта конфигурация применима к версии 3.5 CAM и позже.

Используемые компоненты

Сведения в этом документе основываются на Чистой версии 4.1 Access Manager.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Шаги для Настройки LDAP через SSL на CAM

Выполните следующие действия:

  1. Получите корневой сертификат недоверяемого CA, который выполнил сертификат к Контроллеру домена и размещает его в рабочий стол.

    1. Выберите Administrator> CAM> сертификат SSL, и затем просмотрите и загрузите Корневой сертификат CA как Доверие, Нестандартное Приблизительно

      nac-ldap-ssl-cam-01.gif

    2. Нажмите Verify и установите Корневой сертификат CA.

  2. Настройте Сервер LDAP на CAM.

    1. Выберите User Management> Auth Servers и выберите New.

    2. Выберите LDAP в качестве Типа проверки подлинности.

    3. Выберите ldaps://ip.address:636 в качестве URL Сервера.

    4. Выберите SSL в качестве типа безопасности.

    5. Выберите Handle (Follow)! как Рекомендация. Эта опция установлена для Среды Домена Разделения, например, Root и Дочерних доменов.

    6. Пользователь административной привилегии и пароль обязаны успешно связывать CAM (клиент ldap) к Серверу LDAP.

      /image/gif/paws/107322/nac-ldap-ssl-cam-02.gif

  3. Получите сертификат на Контроллере домена (DC).

    При запросе сертификата на DC удостоверьтесь, что поместили CN как полное доменное имя Active Directory. Сертификат LDAP расположен в хранилище персонального сертификата локального компьютера. Обратитесь к тому, Как включить LDAP по SSL со сторонним центром сертификации для получения дополнительной информации.

  4. Настройте контроллер домена для SSL.

    1. На DC выберите Start> All Programs> Administrative Tools> Active Directory Users и Computer.

    2. В окне Active Directory Users and Computers щелкните правой кнопкой мыши на доменном имени и выберите Properties.

    3. В Доменном Диалоговом окне со свойствами выберите вкладку Group Policy.

    4. Выберите политику Группы политик Домена по умолчанию и затем нажмите Edit.

    5. Выберите Computer Configuration> Windows Settings.

    6. Выберите Security Settings и затем выберите Public Key Policies.

    7. Выберите Automatic Certificate Request Settings.

    8. Используйте мастера для добавления политики для Контроллеров домена как в данном примере:

      /image/gif/paws/107322/nac-ldap-ssl-cam-03.gif

  5. Проверьте контроллер домена для LDAP по SSL.

    На DC выберите Start> Run и введите ldp.exe. Из Меню подключения нажмите Connect и заполните значения для сервера и порта. Это проверяет, что LDAP по SSL настроен правильно на DC.

    /image/gif/paws/107322/nac-ldap-ssl-cam-04.gif

  6. Выберите вкладку User Management> Auth Servers> AUTH Test для подтверждения конфигурации LDAP CAM.

    /image/gif/paws/107322/nac-ldap-ssl-cam-05.gif

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения