In diesem Dokument wird die Konfiguration des Secure Client Network Analysis Module (NAM) unter Windows beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
In diesem Dokument wird beschrieben, wie Secure Client NAM unter Windows konfiguriert wird. Es werden die Option "pre-deploy" und der Profil-Editor für die dot1x-Authentifizierung verwendet. Außerdem werden einige Beispiele dafür gegeben, wie dies erreicht wird.
Im Netzwerk ist ein Supplicant eine Einheit an einem Ende eines Punkt-zu-Punkt-LAN-Segments, die durch einen Authentifikator authentifiziert werden soll, der mit dem anderen Ende dieser Verbindung verbunden ist.
Der IEEE 802.1X-Standard verwendet den Begriff "Supplicant" für Hardware oder Software. In der Praxis ist eine Komponente eine Softwareanwendung, die auf dem Computer eines Endbenutzers installiert ist. Der Benutzer ruft die Komponente auf und sendet Anmeldeinformationen, um den Computer mit einem sicheren Netzwerk zu verbinden. Wenn die Authentifizierung erfolgreich ist, ermöglicht der Authentifizierer dem Computer in der Regel, eine Verbindung mit dem Netzwerk herzustellen.
Network Access Manager ist eine Client-Software, die ein sicheres Layer-2-Netzwerk im Einklang mit den entsprechenden Richtlinien bereitstellt. Es erkennt und wählt das optimale Layer-2-Zugriffsnetzwerk aus und führt eine Geräteauthentifizierung für den Zugriff auf kabelgebundene und Wireless-Netzwerke durch. Der Network Access Manager verwaltet die Benutzer- und Geräteidentitäten sowie die für den sicheren Zugriff erforderlichen Netzwerkzugriffsprotokolle. Die Lösung verhindert auf intelligente Weise, dass Endbenutzer Verbindungen herstellen, die gegen vom Administrator definierte Richtlinien verstoßen.
Der Network Access Manager ist als Single-Homed-Lösung konzipiert und ermöglicht jeweils nur eine Netzwerkverbindung. Kabelgebundene Verbindungen haben zudem eine höhere Priorität als drahtlose Verbindungen. Wenn Sie also über eine Kabelverbindung mit dem Netzwerk verbunden sind, wird der Wireless-Adapter ohne IP-Adresse deaktiviert.
Es ist wichtig zu wissen, dass für 802.1x-Authentifizierungen drei Teile erforderlich sind:
In diesem Beispiel wird die Komponente auf unterschiedliche Weise installiert und konfiguriert. Später wird ein Szenario mit der Konfiguration des Netzwerkgeräts und dem Authentifizierungsserver angezeigt.
Netzwerkdiagramm
Cisco Software-Download
1. Geben Sie in der Suchleiste des Produktnamens "Secure Client 5" ein.
Downloads Startseite > Sicherheit > VPN- und Endpunkt-Sicherheits-Clients > Sicherer Client (einschließlich AnyConnect) > Sicherer Client 5 > AnyConnect VPN-Client-Software.
2. In diesem Konfigurationsbeispiel wird Version 5.1.2.42 verwendet.
Es gibt mehrere Möglichkeiten, Secure Client auf Windows-Geräten bereitzustellen. vom SCCM, von der Identity Service Engine und vom VPN-Headend. In diesem Artikel wird jedoch als Installationsmethode die Pre-Deploy-Methode verwendet.
3. Suchen Sie auf dieser Seite nach der Datei Cisco Secure Client Headend Deployment Package (Windows).
MSI-ZIP-Datei
4. Klicken Sie nach dem Herunterladen und Entpacken auf Setup.
Sichere Client-Dateien
5. Installieren Sie die Module Network Access Manager und Diagnostics and Reporting Tool.
Warnung: Wenn Sie den Cisco Secure Client Wizard verwenden, wird das VPN-Modul automatisch installiert und in der grafischen Benutzeroberfläche ausgeblendet. NAM funktioniert nicht, wenn das VPN-Modul nicht installiert ist. Wenn Sie einzelne MSI-Dateien oder eine andere Installationsmethode verwenden, stellen Sie sicher, dass Sie das VPN-Modul installieren.
Installationsauswahl
6. Klicken Sie auf Ausgewählte installieren.
7. Akzeptieren Sie die EULA.
EULA-Fenster
8. Nach der Installation von NAM ist ein Neustart erforderlich.
Fenster "Neustart erforderlich"
9. Einmal installiert, kann es gefunden werden und von der Windows-Suchleiste geöffnet werden.
Secure Client-Programm1. Der Profil-Editor des Cisco Network Access Manager ist erforderlich, um die Dot1x-Einstellungen zu konfigurieren.
2. Auf derselben Seite, von der der sichere Client heruntergeladen wird, befindet sich auch die Option Profile Editor.
3. In diesem Beispiel wird die Option mit Version 5.1.2.42 verwendet.
Profil-Editor
4. Sobald heruntergeladen, fahren Sie mit der Installation fort.
5. Führen Sie die msi-Datei aus.
Setup-Fenster des Profileditors
6. Verwenden Sie die Option Typisch.
Profil-Editor einrichten
Installationsfenster7. Klicken Sie auf Fertig stellen.
Ende der Profil-Editor-Einrichtung
8. Öffnen Sie nach der Installation den Network Access Manager Profile Editor von der Suchleiste aus.
Profil-Editor für NAM in der Suchleiste
9. Die Installation von Network Access Manager und Profile Editor ist abgeschlossen.
1. Alle in diesem Artikel vorgestellten Szenarien enthalten Konfigurationen für:
NAM Profile Editor-Clientrichtlinie
Authentifizierungsrichtlinie des NAM-Profil-Editors
Registerkarte "Netzwerkgruppen"
1. Navigieren Sie zum Abschnitt Netzwerke.
2. Das standardmäßige Netzwerkprofil kann gelöscht werden.
3. Klicken Sie auf Hinzufügen.
Erstellung von Netzwerkprofilen
4. Nennen Sie das Netzwerkprofil.
5. Wählen Sie Global als Gruppenmitgliedschaft. Wählen Sie Kabelgebundene Netzwerkmedien aus.
Abschnitt "Netzwerkprofil Medientyp"
6. Klicken Sie auf Weiter.
7. Wählen Sie Authentifizierendes Netzwerk und verwenden Sie default für die restlichen Optionen im Abschnitt Sicherheitsstufe.
Netzwerkprofil - Sicherheitsstufe
8. Klicken Sie auf Weiter, um mit dem Abschnitt Verbindungstyp fortzufahren.
Verbindungstyp des Netzwerkprofils
9. Wählen Sie den Verbindungstyp Benutzerverbindung.
10. Klicken Sie auf Weiter, um mit dem jetzt verfügbaren Abschnitt Benutzerauthentifizierung fortzufahren.
11. Wählen Sie PEAP als allgemeine EAP-Methode.
Netzwerkprofil-Benutzerauthentifizierung
12. Ändern Sie nicht die Standardwerte in den EAP-PEAP-Einstellungen.
13. Fahren Sie mit dem Abschnitt Innere Methoden auf Basis der Anmeldeinformationsquelle fort.
14. Wählen Sie aus den mehreren internen Methoden für EAP-PEAP die Option Authentifizieren mit einem Kennwort und dann EAP-MSCHAPv2 aus.
15. Klicken Sie auf Weiter, um zum Abschnitt Zertifikat zu gelangen.
Anmerkung: Der Abschnitt Zertifikat wird als Option Serveridentität validieren in den EAP-PEAP-Einstellungen angezeigt. Bei EAP PEAP erfolgt die Kapselung mithilfe des Serverzertifikats.
16. Im Abschnitt Zertifikate, den Regeln für vertrauenswürdige Server für Zertifikate, wird die Regel Common Name (Gemeinsamer Name) mit c.com verwendet. Dieser Abschnitt der Konfiguration bezieht sich auf das Zertifikat, das der Server während des EAP-PEAP-Flusses verwendet. Wenn die Identity Service Engine (ISE) in Ihrer Umgebung verwendet wird, können Sie den allgemeinen Namen des Policy Server Node EAP-Zertifikats verwenden.
Abschnitt "Netzwerkprofil-Zertifikat"
17. In der vertrauenswürdigen Zertifizierungsstelle können zwei Optionen ausgewählt werden. In diesem Szenario wird die Option Jede auf dem Betriebssystem installierte Stammzertifizierungsstelle vertrauen verwendet, anstatt ein bestimmtes Zertifizierungsstellenzertifikat hinzuzufügen, das das RADIUS-EAP-Zertifikat signiert hat.
18. Mit dieser Option vertraut das Windows-Gerät jedem EAP-Zertifikat, das von einem Zertifikat signiert wird, das unter Benutzerzertifikate verwalten - Aktueller Benutzer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate enthalten ist.
19. Klicken Sie auf Weiter.
Abschnitt "Netzwerkprofil-Anmeldedaten"
20. Im Abschnitt Anmeldedaten wird nur der Abschnitt Benutzeranmeldedaten geändert.
21. Die Option Nach Anmeldeinformationen fragen > Nie merken ist ausgewählt. Bei jeder Authentifizierung muss der Benutzer, der die Authentifizierung auswählt, seine Anmeldeinformationen eingeben.
22. Klicken Sie auf Fertig.
23. Speichern Sie das Profil des Secure Client Network Access Manager als configuration.xml mit der Option Datei > Speichern unter.
24. Um sicherzustellen, dass Secure Client Network Access Manager das soeben erstellte Profil verwendet, ersetzen Sie die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Anmerkung: Die Datei muss den Namen configuration.xml haben, andernfalls funktioniert sie nicht.
Dateiabschnitt ersetzen
1. Öffnen Sie den NAM Profile Editor, und navigieren Sie zum Abschnitt Netzwerke.
2. Klicken Sie auf Hinzufügen.
NAM Profile Editor - Registerkarte "Netzwerk"
3. Geben Sie einen Namen in das Netzwerkprofil ein.
4. Wählen Sie Global als Gruppenmitgliedschaft aus. Wählen Sie WiredNetwork Media.
Bereich Medientyp
5. Klicken Sie auf Weiter.
6. Wählen Sie Authentifizierendes Netzwerk und ändern Sie nicht die Standardwerte für die restlichen Optionen in diesem Abschnitt.
Abschnitt "Sicherheitsebenenprofil-Editor"
7. Klicken Sie auf Weiter, um mit dem Abschnitt Verbindungstyp fortzufahren.
Abschnitt "Verbindungstyp"
8. Konfigurieren Sie die Benutzer- und Computerauthentifizierung gleichzeitig, indem Sie die dritte Option auswählen.
9. Klicken Sie auf Weiter.
Bereich "Computerauthentifizierung"
10. Wählen Sie im Abschnitt Computerauthentifizierung die Option EAP-FAST als EAP-Methode aus. Ändern Sie nicht die Standardwerte der EAP FAST-Einstellungen.
11. Wählen Sie für den Abschnitt Innere Methoden auf Basis der Anmeldeinformationsquelle die Option Authentifizieren mit einem Kennwort und EAP-MSCHAPv2 als Methode aus. Wählen Sie anschließend die Option PACs verwenden.
12. Klicken Sie auf Weiter.
13. Im Abschnitt Zertifikate, den Regeln für vertrauenswürdige Server für Zertifikate, endet die Regel mit c.com. Dieser Abschnitt bezieht sich auf das Zertifikat, das der Server während des EAP-PEAP-Flusses verwendet. Wenn die Identity Service Engine (ISE) in Ihrer Umgebung verwendet wird, kann der allgemeine Name des Policy Server Node EAP-Zertifikats verwendet werden.
Abschnitt "Zertifikatvertrauensstellung des Computer-Authentifizierungsservers"
14. In der vertrauenswürdigen Zertifizierungsstelle können zwei Optionen ausgewählt werden. In diesem Szenario können Sie anstelle eines spezifischen Zertifizierungsstellenzertifikats, das das RADIUS-EAP-Zertifikat signiert hat, die Option Alle auf dem Betriebssystem installierten Stammzertifizierungsstellen vertrauen verwenden.
15. Mit dieser Option vertraut Windows jedem EAP-Zertifikat, das von einem Zertifikat signiert wird, das im Programm Benutzerzertifikate verwalten enthalten ist (Aktueller Benutzer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate).
16. Klicken Sie auf Weiter.
Abschnitt "Anmeldeinformationen für die Authentifizierung der Maschine"
17. Wählen Sie im Abschnitt Computeranmeldeinformationen die Option Computeranmeldeinformationen verwenden.
18. Klicken Sie auf Weiter.
Abschnitt "Benutzerauthentifizierung"
19. Wählen Sie für die Benutzerauthentifizierung EAP-FAST als EAP-Methode aus.
20. Ändern Sie die Standardwerte im Abschnitt EAP-FAST-Einstellungen nicht.
21. Wählen Sie für den Quellabschnitt "Interne Methode auf Basis von Anmeldeinformationen" die Option Authentifizieren mit einem Kennwort und EAP-MSCHAPv2 als Methode aus.
22. Wählen Sie PACs verwenden.
23. Klicken Sie auf Weiter.
24. Im Abschnitt Zertifikate, den Regeln für vertrauenswürdige Server für Zertifikate, endet die Regel allgemeiner Name mit c.com. Diese Konfigurationen gelten für das Zertifikat, das der Server während des EAP-PEAP-Flows verwendet. Wenn ISE in Ihrer Umgebung verwendet wird, kann der allgemeine Name des Policy Server Node EAP-Zertifikats verwendet werden.
Zertifikatvertrauenswürdigkeitsabschnitt des Benutzerauthentifizierungsservers
25. In der vertrauenswürdigen Zertifizierungsstelle können zwei Optionen ausgewählt werden. In diesem Szenario wird anstelle eines spezifischen Zertifizierungsstellenzertifikats, das das RADIUS-EAP-Zertifikat signiert hat, die Option Auf dem Betriebssystem installierte Stammzertifizierungsstelle vertrauen (Trust Any Root Certificate Authority, CA) verwendet.
26. Klicken Sie auf Weiter.
Anmeldeinformationen für Benutzerauthentifizierung
27. Im Abschnitt "Anmeldedaten" wird nur der Abschnitt "Benutzeranmeldedaten" geändert.
28. Die Option Nach Anmeldeinformationen fragen > Nie merken ist aktiviert. Bei jeder Authentifizierung muss der authentifizierende Benutzer also seine Anmeldeinformationen eingeben.
29. Klicken Sie auf die Schaltfläche Fertig.
30. Wählen Sie Datei > Speichern unter, und speichern Sie das Secure Client Network Access ManagerProfile als configuration.xml.
31. Um den Secure Client Network Access Manager zu erstellen, verwenden Sie das Profil, das Sie gerade erstellt haben, und ersetzen die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Anmerkung: Die Datei muss den Namen configuration.xml haben, andernfalls funktioniert sie nicht.
1. Öffnen Sie den NAM-Profil-Editor, und navigieren Sie zum Abschnitt Netzwerke.
2. Klicken Sie auf Hinzufügen.
Bereich Netzwerkerstellung
3. Nennen Sie das Netzwerkprofil, in diesem Fall ist der Name das EAP-Protokoll.
4. Wählen Sie Global als Gruppenmitgliedschaft aus. und kabelgebundene Netzwerk-Medien.
Bereich Medientyp
5. Klicken Sie auf Weiter.
6. Wählen Sie Authentifizierendes Netzwerk und ändern Sie nicht die Standardwerte für die restlichen Optionen im Abschnitt Sicherheitsstufe.
Sicherheitsstufe
7. Dieses Szenario bezieht sich auf die Benutzerauthentifizierung mit einem Zertifikat. Aus diesem Grund wird die Option User Connection verwendet.
Verbindungstyp
8. Konfigurieren Sie EAP-TLS als EAP-Methode, und ändern Sie die Standardwerte im Abschnitt mit den EAP-TLS-Einstellungen nicht.
Bereich "Benutzerauthentifizierung"
9. Erstellen Sie für den Abschnitt "Zertifikate" eine Regel, die mit dem AAA-EAP-TLS-Zertifikat übereinstimmt. Wenn Sie die ISE verwenden, finden Sie diese Regel im Abschnitt Administration > System > Certificates (Verwaltung > System > Zertifikate).
10. Wählen Sie im Abschnitt Certificate Trusted Authority (Vertrauenswürdige Behörde für Zertifikate) die Option Trust any Root Certificate Authority (CA), die auf dem Betriebssystem installiert ist, aus.
Zertifikatvertrauenseinstellungen des Benutzerauthentifizierungsservers
11. Klicken Sie auf Weiter.
12, Ändern Sie für den Abschnitt User Credentials (Benutzeranmeldeinformationen) nicht die Standardwerte im ersten Abschnitt.
Abschnitt "Benutzer-Authentifizierungsdaten"
13. Es ist wichtig, eine Regel zu konfigurieren, die mit dem Identitätszertifikat übereinstimmt, das der Benutzer während des EAP-TLS-Prozesses sendet. Klicken Sie dazu auf das Kontrollkästchen neben der Regel für die Zertifikatzuordnung verwenden (Max. 10).
14. Klicken Sie auf Hinzufügen.
Fenster "Certificate Matching Rule"
15. Ersetzen Sie den Wert für die Zeichenfolge "Meine interne Zertifizierungsstelle oder Drittanbieter" durch die CN des Benutzerzertifikats.
Abschnitt "Anmeldeinformationen für Benutzerauthentifizierungszertifikat"
16. Klicken Sie auf Fertig, um die Konfiguration abzuschließen.
17. Wählen Sie Datei > Speichern unter, um das Secure Client Network Access Manager-Profil als configuration.xml zu speichern.
18. Um den Secure Client Network Access Manager hinzuzufügen, verwenden Sie das Profil, das Sie gerade erstellt haben, und ersetzen die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Anmerkung: Die Datei muss den Namen configuration.xml haben, andernfalls funktioniert sie nicht.
1. Konfigurieren Sie den ISR 1100 Router.
2. In diesem Abschnitt wird die grundlegende Konfiguration beschrieben, die NAD benötigt, um die erwarteten dot1x-Funktionen sicherzustellen.
Anmerkung: Zeigen Sie bei ISE-Bereitstellungen mit mehreren Knoten auf einen beliebigen Knoten, auf dem die Rolle "Policy Server Node" aktiviert ist. Sie können dies überprüfen, indem Sie auf der Registerkarte Administration > System > Deployment (Administration > System > Bereitstellung) zur ISE navigieren.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3. Konfigurieren der Identity Service Engine 3.2
4. Konfigurieren Sie das Netzwerkgerät.
5. Fügen Sie ISR NAD zu ISE Administration > Network Resources > Network Devices hinzu.
6. Klicken Sie auf Hinzufügen.
Abschnitt "Netzwerkgerät"
7. Weisen Sie dem von Ihnen erstellten NAD einen Namen zu. Fügen Sie die IP des Netzwerkgeräts hinzu.
Erstellung von Netzwerkgeräten
8. Fügen Sie am unteren Rand derselben Seite den gleichen gemeinsamen geheimen Schlüssel hinzu, der in Ihrer Netzwerkgerätekonfiguration verwendet wird.
RADIUS-Einstellungen für Netzwerkgeräte
8. Speichern Sie die Änderungen.
9. Konfigurieren Sie die Identität für die Authentifizierung des Endpunkts.
10. Die lokale ISE-Authentifizierung wird verwendet, und die externe ISE-Authentifizierung wird in diesem Artikel nicht erläutert.
11. Navigieren Sie zur Registerkarte Administration > Identity Management > Groups (Verwaltung > Identitätsverwaltung > Gruppen), und erstellen Sie die Gruppe, der Ihr Benutzer angehört. Die für dieses Beispiel erstellte Identitätsgruppe ist iseUsers.
Erstellung von Identitätsgruppen
12. Klicken Sie auf Senden.
13. Navigieren Sie zur Registerkarte Administration > Identity Management > Identity.
14. Klicken Sie auf Hinzufügen.
Abschnitt "Netzwerkzugriffsbenutzer"
15. Als Teil der Pflichtfelder. mit dem Namen des Benutzers beginnen. Der Benutzername iseiscool wird in diesem Beispiel verwendet.
Erstellung von Netzwerkzugriffsbenutzern
16. Weisen Sie dem Benutzer ein Kennwort zu. In diesem Beispiel wird VainillaISE97 verwendet.
Abschnitt "Benutzerkennwort erstellen"
17. Weisen Sie den Benutzer der Gruppe iseUsers zu.
Benutzergruppenzuweisung
18. Konfigurieren Sie den Policy Set.
19. Navigieren Sie zu ISE Menu > Policy > Policy Sets.
20. Der Standardrichtliniensatz kann verwendet werden. Für dieses Beispiel wird jedoch eine mit dem Namen Wired erstellt.
Anmerkung: Die Klassifizierung und Differenzierung der Richtliniensätze erleichtert die Fehlerbehebung,
Wenn das Add- oder Plus-Symbol "+" nicht angezeigt wird, kann auf das Zahnrad-Symbol eines Policy Sets geklickt werden, und dann Neue Zeile einfügen oben auswählen.
Optionen für Zahnradsymbole
21. Der verwendete Zustand ist Wired 8021x, ziehen Sie ihn. und dann auf Verwenden.
Bedingung für Authentifizierungsrichtlinie Studio
22. Wählen Sie Standard-Netzwerkzugriff im Abschnitt Zulässige Protokolle.
Policy Sets - Allgemeine Ansicht
23. Klicken Sie auf Speichern.
1. Klicken Sie auf das Symbol >.
Kabelgebundener Richtliniensatz
2. Erweitern Sie den Abschnitt Authentifizierungsrichtlinie.
3. Klicken Sie auf das "+"-Symbol.
Authentifizierungsrichtlinie
4. Weisen Sie der Authentifizierungsrichtlinie einen Namen zu. In diesem Beispiel wird die interne Authentifizierung verwendet.
5. Klicken Sie in der Spalte "Bedingungen" für diese neue Authentifizierungsrichtlinie auf das Symbol "+".
6. Die vorkonfigurierte Bedingung Wired Dot1x wird verwendet.
7. Wählen Sie in der Spalte Verwenden die Option Interne Benutzer.
Authentifizierungsrichtlinie
1. Der Abschnitt Autorisierungsrichtlinie befindet sich unten auf der Seite. Erweitern Sie das Fenster, und klicken Sie auf das Symbol +.
Autorisierungsrichtlinie
2. Geben Sie der kürzlich erstellten Autorisierungsrichtlinie einen Namen. In diesem Konfigurationsbeispiel wird der Name Interne ISE-Benutzer verwendet.
3. Um eine Bedingung für diese Autorisierungsrichtlinie zu erstellen, klicken Sie in der Spalte "Bedingungen" auf das Symbol +.
4. Die Gruppe IseUsers wird verwendet.
5. Klicken Sie auf den Abschnitt Attribute.
6. Wählen Sie das Symbol IdentityGroup.
7. Wählen Sie aus dem Dictionary das InternalUser-Dictionary aus, das dem IdentityGroup-Attribut beiliegt.
Bedingungserstellung
8. Wählen Sie im Dropdown-Menü den Operator Gleich.
9. Wählen Sie aus dem Dropdown-Menü Benutzeridentitätsgruppen die Gruppe IseUsers aus.
Bedingungserstellung
10. Klicken Sie auf Verwenden.
11. Fügen Sie das Autorisierungsprofil für Ergebnisse hinzu.
12. Das vorkonfigurierte Profil Zugriffsberechtigung wird verwendet.
Anmerkung: Die Authentifizierungen, die an die ISE übermittelt werden und die den Wired Dot1x-Richtliniensatz erreichen, sind nicht Teil der Benutzeridentitätsgruppe ISEUsers. Rufen Sie die Standard-Autorisierungsrichtlinie auf, was zu DenyAccess führt.
Autorisierungsrichtlinie
13. Klicken Sie auf Speichern.
1. Nach Abschluss der Konfiguration fordert Secure Client die Anmeldeinformationen an und gibt die Verwendung des PEAP MSCHAPv2-Profils an.
2. Die zuvor erstellten Anmeldeinformationen werden eingegeben.
NAM des sicheren Clients
3. Wenn sich das Endgerät korrekt authentifiziert, zeigt das NAM an, dass eine Verbindung besteht.
NAM des sicheren Clients
4. Durch Klicken auf das Informationssymbol und Navigieren zum Abschnitt Nachrichtenverlauf werden die Details zu jedem abgeschlossenen Schritt angezeigt.
Nachrichten des sicheren Clients
Nachrichten des sicheren Clients
5. Navigieren Sie von der ISE zu Operations > Radius LiveLogs, um die Details der Authentifizierung anzuzeigen. Wie im nächsten Bild zu sehen ist, wird der verwendete Benutzername angezeigt.
Weitere Details sind verfügbar, z. B.:
ISE RADIUS-Live-Protokolle
6. In dieser Ansicht werden alle korrekten Richtlinien angezeigt, und das Ergebnis ist ein erfolgreicher Authentifizierungsstatus. Hiermit ist die Konfiguration abgeschlossen.
1. Wenn das neue Profil im Profil-Editor erstellt wurde und nicht von NAM verwendet wird, verwenden Sie die Option Network Repair für Secure Client.
2. Sie finden diese Option, indem Sie zur Windows-Leiste navigieren > auf das Zirkumflex-Symbol klicken > mit der rechten Maustaste auf das Symbol "Sicherer Client" klicken > auf "Netzwerkreparatur" klicken.
Bereich Netzwerkreparatur
1. Erweiterte NAM-Protokollierung aktivieren
2. Öffnen Sie NAM, und klicken Sie auf das Zahnrad-Symbol.
NAM-Schnittstelle
3. Navigieren Sie zur Registerkarte Protokolleinstellungen. Aktivieren Sie das Kontrollkästchen "Erweiterte Protokollierung aktivieren".
4. Legen Sie die Größe der Paketerfassungsdatei auf 100 MB fest.
NAM-Protokolleinstellungen des sicheren Clients
5. Wenn die erweiterte Protokollierung aktiviert ist, reproduzieren Sie das Problem mehrmals, um sicherzustellen, dass die Protokolle erstellt und der Datenverkehr erfasst wird.
6. Navigieren Sie in Windows zur Suchleiste, und geben Sie Cisco Secure Client Diagnostics and Reporting Tool ein.
DART-Modul
7. Während des Installationsvorgangs haben Sie auch dieses Modul installiert. Dieses Tool unterstützt Sie bei der Fehlerbehebung, indem es Protokolle und relevante dot1x-Sitzungsinformationen sammelt.
8. Klicken Sie im ersten Fenster auf Weiter.
DART-Modul
9. Klicken Sie auf Weiter, um das Protokollpaket auf dem Desktop zu speichern.
DART-Modul
10. Klicken Sie ggf. auf das Kontrollkästchen Paketverschlüsselung aktivieren.
DART-Modul
11. Die DART-Protokollsammlung wird gestartet.
DART-Protokollsammlung
12. Es kann etwa 10 Minuten dauern, bis der Prozess beendet ist.
Ergebnis der DART-Paketerstellung
13. Die DART-Ergebnisdatei befindet sich im Desktop-Verzeichnis.
DART-Ergebnisdatei
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
2.0 |
02-Jul-2026
|
Aktualisierte Rechtschreibung, Abstände, Grammatik, Satzstruktur und CCW-Warnmeldungen. |
1.0 |
29-Apr-2024
|
Erstveröffentlichung |