Безопасность : Устройство Cisco NAC (Clean Access)

NAC (CCA): Настройте аутентификацию на чистом Access Manager с ACS 5.x и позже

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ предоставляет сведения, как настроить аутентификацию на Clean Access Manager (CAM) с системой управления доступом Cisco Secure Access Control System (ACS) 5.x и позже. Для подобной конфигурации с помощью версий ранее, чем ACS 5.x, обратитесь к NAC (CCA): Настройка проверки подлинности Clean Access Manager (CAM) с помощью ACS.

Предварительные условия

Требования

Эта конфигурация применима к версии 3.5 CAM и позже.

Используемые компоненты

Сведения в этом документе основываются на версии 4.1 CAM.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

Настройте аутентификацию на CCA с ACS 5. x

Выполните следующие действия:

  1. Добавьте новые роли
    1. Создайте роль Admin

      • От CAM выберите User Management> User Roles> New Role.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • Введите уникальное имя, admin, для роли в поле Role Name.

      • Введите Роль пользователя Admin как дополнительное Описание Роли.

      • Выберите Normal Login Role в качестве типа роли.

      • Настройте Внеполосную (OOB) VLAN роли пользователя с соответствующей VLAN. Например, выберите VLAN ID и задайте ID как 10.

      • По окончании нажмите Create Role. Для восстановления свойств по умолчанию на форме нажмите Reset.

      • Роль теперь появляется во вкладке List of Roles как показано в VLAN Метки для Основанного на роли раздела сопоставлений OOB.

    2. Создайте роль пользователя

      • От CAM выберите User Management> User Roles> New Role.

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • Введите уникальное имя, пользователей, для роли в поле Role Name.

      • Введите Роль Обычного пользователя как дополнительное Описание Роли.

      • Настройте Внеполосную (OOB) VLAN роли пользователя с соответствующей VLAN. Например, выберите VLAN ID и задайте ID как 20.

      • По окончании нажмите Create Role. Для восстановления свойств по умолчанию на форме нажмите Reset.

      • Роль теперь появляется во вкладке List of Roles как показано в VLAN Метки для Основанного на роли раздела сопоставлений OOB.

  2. VLAN метки для Основанных на роли сопоставлений OOB

    От CAM выберите User Management> User Roles> List of Roles для наблюдения списка ролей до сих пор.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. Добавьте сервер проверки подлинности RADIUS (ACS)

    1. Выберите User Management> Auth Servers> New.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. От раскрывающегося меню Типа проверки подлинности выберите Radius.

    3. Введите имя поставщика как ACS.

    4. Введите Имя сервера как auth.cisco.com.

    5. Порт сервера — номер порта 1812, на котором слушает сервер RADIUS.

    6. RADIUS Type. Метод аутентификации RADIUS. Поддерживаемые методы включают EAPMD5, PAP, CHAP, MSCHAP и MSCHAP2.

    7. Роль по умолчанию используется, если сопоставление с ACS не определено или установлено правильно, или если атрибут RADIUS не определен или установлен правильно на ACS.

    8. Общий секретный ключ — общий секретный ключ RADIUS, связанный с IP-адресом указанного клиента.

    9. NAS-IP-Address — Это значение, которое будет передаваться со всеми пакетами Проверки подлинности RADIUS.

    10. Нажмите Add сервер.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. Сопоставьте пользователей ACS с ролями пользователя CCA

    1. Выберите User Management> Auth Servers> Mapping Rules> Add Mapping Link для сопоставления пользователя с правами администратора в ACS к роли пользователя с правами администратора CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. Выберите User Management> Auth Servers> Mapping Rules> Add Mapping Link для сопоставления обычного пользователя в ACS к роли пользователя CCA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      Вот сводка сопоставления роли пользователя:

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. Включите альтернативным поставщикам на странице пользователя

    Выберите Administration> User Pages> Login Page> Add> Content, чтобы включить альтернативным поставщикам на странице регистрационной информации пользователя для входа.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

Конфигурация ACS5.x

  1. Выберите Network Resources> Network Devices и AAA Clients, затем нажмите Create для добавления CAM как Клиент AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. Предоставьте Название, IP-адрес и выберите RADIUS под Параметрами проверки подлинности. Затем предоставьте Общий секретный ключ для CAM и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. Выберите Network Resources> Network Devices и AAA Clients, затем нажмите Create для добавления CAS как Клиент AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. Предоставьте Название, IP-адрес и выберите RADIUS под Параметрами проверки подлинности. Затем предоставьте Общий секретный ключ для CAS и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. Выберите Network Resources> Network Devices и AAA Clients и нажмите Create для добавления ASA как Клиент AAA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. Предоставьте Название, IP-адрес и выберите RADIUS под Параметрами проверки подлинности. Затем предоставьте Общий секретный ключ для ASA и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. Выберите Users и Identity Stores> Identity Groups и нажмите Create для создания новой Identity Group.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. Предоставьте Имя группы и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. Выберите Users и Identity Stores> Identity Groups и нажмите Create для создания новой Identity Group.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. Предоставьте Имя группы и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. Выберите Users и Identity Stores>> Users Internal Identity Stores и нажмите Create для создания нового пользователя.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. Предоставьте Имя пользователя и измените состав группы на Административную группу. Затем предоставьте пароль и подтвердите пароль. Щелкните Submit (отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. Выберите Users и Identity Stores>> Users Internal Identity Stores и нажмите Create для создания нового пользователя.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. Предоставьте Имя пользователя и измените состав группы на Users group. Затем предоставьте пароль и подтвердите пароль. Щелкните Submit (отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. Выберите Policy Elements> Authorization и Permissions> Network Access> Authorization Profiles и нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. Предоставьте Имя профиля и нажмите RADIUS Attributes.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. От вкладки RADIUS Attributes выберите RADIUS-IETF в качестве Типа словаря. Затем нажмите Select, следующий за Атрибутом RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. Выберите Атрибут Class и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. Гарантируйте, что Значение атрибута Статично, и введите Admin как значение. Нажмите Add, затем нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. Выберите Policy Elements> Authorization и Permissions> Network Access> Authorization Profiles и нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. Предоставьте Имя профиля и нажмите RADIUS Attributes.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. От вкладки RADIUS Attributes выберите RADIUS-IETF в качестве Типа словаря. Затем нажмите Select, следующий за Атрибутом RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. Выберите Атрибут Class и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. Гарантируйте, что Значение атрибута Статично, и введите Пользователей как значение. Нажмите Add, затем нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. Выберите Access Policies> Access Services> Service Selection Rules и определите, какой сервис обрабатывает запрос RADIUS. В данном примере сервисом является Доступ к сети по умолчанию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. Выберите Acces Policies> Access Services> Default Network Access (сервис, определенный в предыдущем шаге, который обработал запрос RADIUS),> Авторизация. Нажмите Customize.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. Move Identity Group от Доступного до Выбранного столбца. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. Нажмите Create для создания нового правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. Гарантируйте, что Идентификационный флажок Флажка Группа установлен, затем нажмите Select, следующий за Identity Group.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. Выберите Административную группу и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. Нажмите Select в разделе Профилей Авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. Выберите Admin Authorization Profile и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. Нажмите Create для создания нового правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. Гарантируйте, что Идентификационный флажок Флажка Группа установлен, и нажмите Select, следующий за Identity Group..

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. Выберите Users group и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. Нажмите Select в разделе Профилей Авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. Выберите Users Authorization Profile и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. Нажмите кнопку Save Changes (Сохранить изменения).

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения