Безопасность : Платформа Cisco Identity Services Engine

Дифференцируйте типы проверки подлинности на платформах ASA для решений о применении политики на ISE

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить платформу Cisco Identity Services Engine (ISE) для использования RADIUS Vendor-Specific Attribute Типа клиентской части (VSA) для дифференциации множественых видов аутентификации, используемой на устройстве адаптивной защиты Cisco (ASA). Организации часто требуют решений о применении политики на основе способа, которым пользователь аутентифицируется на ASA. Это также позволяет вам применять политику к полученным подключениям управления на ASA, который позволяет нам использовать RADIUS вместо TACACS +, когда благоразумный.

Примечание: Внесенный Бо Уоллесом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Проверка подлинности и авторизация ISE.

  • Методы аутентификации ASA и Конфигурация RADIUS.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Выпуск 8.4.3 устройства адаптивной защиты Cisco.

  • Выпуск 1.1 платформы Cisco Identity Services Engine.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

VSA RADIUS 3076/150 Атрибут Типа клиентской части

Атрибут Типа клиентской части был добавлен в Выпуске 8.4.3 ASA, который позволяет ASA передавать тип клиента, который аутентифицирует на ISE в Access-Request (и Бухгалтерский Запрос) пакеты и позволяет ISE делать решения о применении политики на основе того атрибута. Этот атрибут не требует никакой конфигурации на ASA и передается автоматически.

Атрибут Типа клиентской части в настоящее время определяется с этими целыми значениями:

  1. Cisco VPN Client (версия (IKEv1) обмена ключами между сетями)

  2. VPN SSL клиента AnyConnect

  3. Clientless SSLVPN (Бесклиентская сеть VPN на основе SSL)

  4. Cut-through Proxy

  5. VPN SSL L2TP/IPsec

  6. IPSec VPN клиента AnyConnect (IKEv2)

Настройка

В этом разделе вы предоставлены необходимая информация для настройки ISE для использования атрибута Типа клиентской части, описанного в этом документе.

Шаг 1

Создайте настраиваемый атрибут

Для добавления значений атрибута Типа клиентской части к ISE создайте атрибут и заполните его значения как настраиваемый словарь.

  1. На ISE перейдите к Политике> Элементы Политики> Словари> Система.

  2. В рамках Системных словарей перейдите к RADIUS> Поставщики RADIUS> Vpn3000 Cisco.

  3. Иденификатор поставщика на экране должен быть 3076. Щелкните по вкладке Dictionary Attributes.

    1. Нажмите Add (см. рисунок 1).

      Рисунок 1: Атрибуты словаря

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. Заполните поля в пользовательской форме Атрибута ПОСТАВЩИКА RADIUS, как замечено на рисунке 2.

      Рис. 2: Атрибут ПОСТАВЩИКА RADIUS

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. Нажмите кнопку Save внизу экрана.

Шаг 2

Добавьте атрибут типа клиентской части

Для использования нового атрибута для решений о применении политики добавьте атрибут к правилу авторизации в разделе условий.

  1. В ISE перейдите к Политике> Авторизация.

  2. Создайте новое правило или модифицируйте существующую политику.

  3. В разделе условий правила разверните область условий и выберите Create a New Condition (для нового правила) или Добавьте Атрибут/Значение (для существующего ранее правила).

  4. В поле Select Attribute перейдите к Vpn3000 Cisco> Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Выберите соответствующий оператор (Равняется или Не Равняется) для вашей среды.

  6. Выберите Тип проверки подлинности, с которым вы хотите совпасть.

  7. Назначьте Результат Авторизации, соответствующий вашей политике.

  8. Нажмите "Готово".

  9. Нажмите Save.

После того, как правило создано, Условие Авторизации должно выглядеть подобным примеру на рисунке 3.

Рис. 3: Пример условия авторизации

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

Проверка

Чтобы проверить, что атрибут Типа клиентской части используется, исследуйте аутентификации от ASA в ISE.

  1. Перейдите к Операциям> Аутентификации

  2. Нажмите кнопку Details для аутентификации от ASA.

  3. Прокрутите вниз к Другим Атрибутам и ищите CVPN3000/ASA/PIX7x-Client-Type = (См. рисунок 4),

    Рис. 4: Другие подробные данные атрибутов

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. Поле Other Attributes должно указать на полученное значение для аутентификации. Правило должно совпасть с политикой, определенной в шаге 2 раздела конфигурации.


Дополнительные сведения


Document ID: 115962