Безопасность : Устройство Cisco NAC (Clean Access)

NAC (CCA): Настройка проверки подлинности Clean Access Manager (CAM) с помощью ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить аутентификацию на Clean Access Manager (CAM) с сервером Cisco Secure Access Control Server (ACS). Для подобной конфигурации с помощью ACS 5.x и позже, обратитесь к NAC (CCA): Настройте Аутентификацию на Чистом Access Manager с ACS 5.x и Позже.

Предварительные условия

Требования

Эта конфигурация применима к версии 3.5 CAM и позже.

Используемые компоненты

Сведения в этом документе основываются на версии 4.1 CAM.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/107396/acs-auth-cam1.gif

Шаги для Настройки аутентификации на CCA с ACS

Выполните следующие действия:

  1. Добавьте новые роли
    1. Создайте роль Admin

      • В CAM выберите User Management> User Roles> New Role.

        /image/gif/paws/107396/acs-auth-cam2.gif

      • Введите уникальное имя, admin, для роли в поле Role Name.

      • Введите Роль пользователя Admin как дополнительное Описание Роли.

      • Выберите Normal Login Role в качестве типа роли.

      • Настройте Внеполосную (OOB) VLAN роли пользователя с соответствующей VLAN. Например, выберите VLAN ID и задайте ID как 10.

      • По окончании нажмите Create Role. Для восстановления свойств по умолчанию на форме нажмите Reset.

      • Роль теперь появляется во вкладке List of Roles как показано в VLAN Метки для Основанного на роли раздела сопоставлений OOB.

    2. Создайте роль пользователя

      • В CAM выберите User Management> User Roles> New Role.

        /image/gif/paws/107396/acs-auth-cam3.gif

      • Введите уникальное имя, пользователей, для роли в поле Role Name.

      • Введите Роль Обычного пользователя как дополнительное Описание Роли.

      • Настройте Внеполосную (OOB) VLAN роли пользователя с соответствующей VLAN. Например, выберите VLAN ID и задайте ID как 20.

      • По окончании нажмите Create Role. Для восстановления свойств по умолчанию на форме нажмите Reset.

      • Роль теперь появляется во вкладке List of Roles как показано в VLAN Метки для Основанного на роли раздела сопоставлений OOB.

  2. VLAN метки для Основанных на роли сопоставлений OOB

    В CAM выберите User Management> User Roles> List of Roles для наблюдения списка ролей до сих пор.

    /image/gif/paws/107396/acs-auth-cam4.gif

  3. Добавьте сервер проверки подлинности RADIUS (ACS)

    1. Выберите User Management> Auth Servers> New.

      /image/gif/paws/107396/acs-auth-cam5.gif

    2. От раскрывающегося меню Типа проверки подлинности выберите Radius.

    3. Введите имя поставщика как ACS.

    4. Введите Имя сервера как auth.cisco.com.

    5. Порт сервера — номер порта 1812, на котором слушает сервер RADIUS.

    6. RADIUS Type. Метод аутентификации RADIUS. Поддерживаемые методы включают EAPMD5, PAP, CHAP, MSCHAP и MSCHAP2.

    7. Роль по умолчанию используется, если сопоставление с ACS не определено или установлено правильно, или если атрибут RADIUS не определен или установлен правильно на ACS.

    8. Общий секретный ключ — общий секретный ключ RADIUS, связанный с IP-адресом указанного клиента.

    9. NAS-IP-Address — Это значение, которое будет передаваться со всеми пакетами Проверки подлинности RADIUS.

    10. Нажмите Add сервер.

      acs-auth-cam6.gif

  4. Сопоставьте пользователей ACS с ролями пользователя CCA

    1. Выберите User Management> Auth Servers> Mapping Rules> Add Mapping Link для сопоставления пользователя с правами администратора в ACS к роли пользователя с правами администратора CCA.

      /image/gif/paws/107396/acs-auth-cam7.gif

    2. Выберите User Management> Auth Servers> Mapping Rules> Add Mapping Link для сопоставления обычного пользователя в ACS к роли пользователя CCA.

      /image/gif/paws/107396/acs-auth-cam8.gif

    3. Вот сводка сопоставления роли пользователя:

      acs-auth-cam9.gif

  5. Включите альтернативным поставщикам на странице пользователя

    Выберите Administration> User Pages> Login Page> Add> Content, чтобы включить альтернативным поставщикам на странице регистрационной информации пользователя для входа.

    /image/gif/paws/107396/acs-auth-cam10.gif

Конфигурация AсS

  1. Выберите Interface Configuration, чтобы удостовериться, что включен RADIUS (IETF) Атрибут Class [025].

    /image/gif/paws/107396/acs-auth-cam11.gif

  2. Добавьте КЛИЕНТА RADIUS к серверу ACS

    1. Выберите Network Configuration для добавления CAM клиента AAA как показано:

      /image/gif/paws/107396/acs-auth-cam12.gif

      Нажмите Submit + Restart.

      Примечание: Удостоверьтесь, что ключ RADIUS совпадает с клиентом AAA и RADIUS использования (IETF).

    2. Выберите Network Configuration для добавления CAS клиента AAA как показано:

      /image/gif/paws/107396/acs-auth-cam13.gif

      Нажмите Submit + Restart.

      Примечание: Для учета RADIUS Шлюза VPN политика CCA должна позволить пакетам учета RADIUS (UDP 1646/1813) от IP-адреса CAS проходить не прошедший поверку подлинности к IP-адресу сервера ACS.

    3. Выберите Network Configuration для добавления ASA клиента AAA как показано:

      /image/gif/paws/107396/acs-auth-cam14.gif

      • Пользовательский PIX/ASA почти стороны взаимодействует адрес (как правило, внутренний интерфейс)

      • Тип набора к RADIUS (Cisco IOS / PIX).

  3. Добавьте, что / Настраивают Группы на Сервере ACS

    1. Создайте Административную группу

      /image/gif/paws/107396/acs-auth-cam15.gif

      • Заставьте Атрибут Class РАДИУСА IETF [025] адаптировать групповое значение.

      • Значение должно совпасть, который настроил на сопоставлении CAS.

    2. Создайте Группу пользователей

      acs-auth-cam16.gif

      Добавьте/настройте группу для каждой Чистой Роли Пользователя доступа, которая будет сопоставлена.

    3. Добавьте/Настройте Пользователей на Сервере ACS

      /image/gif/paws/107396/acs-auth-cam17.gif

      • Добавьте/настройте пользователя ACS для каждого Чистого Пользователя доступа, чтобы быть заверенными ACS.

      • Состав группы ACS набора.

      • ACS также поддерживает проверку подлинности прокси-сервера к другим внешним серверам.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

В разделе мониторинга ACS вы видите информацию о переданных аутентификациях как показано:

/image/gif/paws/107396/acs-auth-cam18.gif

Точно так же вы видите снимок экрана для учета RADIUS:

/image/gif/paws/107396/acs-auth-cam19.gif

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения