In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Konfiguration der Statusüberprüfung für Remote-Access-VPN-Benutzer mit Identity Service Engine (ISE) und Secure Access mit Duo beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Die Integration von Duo SAML mit der Cisco Identity Services Engine (ISE) verbessert den Authentifizierungsprozess und erweitert die Cisco Secure Access-Lösungen um eine weitere Sicherheitsebene. Duo SAML bietet eine Single Sign-On (SSO)-Funktion, die den Benutzeranmeldeprozess vereinfacht und gleichzeitig hohe Sicherheitsstandards gewährleistet.
Nach der Authentifizierung über Duo SAML wird der Autorisierungsprozess von der Cisco ISE durchgeführt. Dies ermöglicht dynamische Entscheidungen bei der Zugriffskontrolle, die auf der Benutzeridentität und dem Gerätestatus basieren. Die ISE kann detaillierte Richtlinien durchsetzen, die festlegen, auf welche Ressourcen ein Benutzer zugreifen kann, wann und von welchen Geräten.
Anmerkung: Um die RADIUS-Integration zu konfigurieren, müssen Sie sicherstellen, dass die Kommunikation zwischen beiden Plattformen stattfindet.
Hinweis: Bevor Sie mit der Konfiguration beginnen, müssen Sie die ersten Schritte mit Secure Access und ISE-Integration durchführen.
Um die RA-VPN-Anwendung zu konfigurieren, gehen Sie wie folgt vor:
Navigieren Sie zu Ihrem Duo Admin-Bereich.
Applications > Protect an Application
Generic SAML Service Provider
Protect
Die Anwendung muss auf dem Bildschirm angezeigt werden. Speichern des Anwendungsnamens für die VPN-Konfiguration
In diesem Fall ist Generic SAML Service Provider.
Um das VPN-Profil mit Radius zu konfigurieren, gehen Sie wie folgt vor:
Navigieren Sie zu Ihrem Dashboard für sicheren Zugriff.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
) aufManage
Radius Group (Optional)
Add RADIUS Group
Group Name
: Konfigurieren Sie einen Namen für Ihre ISE-Integration in Secure Access.
AAA method
Authentication
: Aktivieren Sie das Kontrollkästchen für, Authentication
und wählen Sie den Port aus, der standardmäßig 1812 ist.
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
Authorization
: Aktivieren Sie das Kontrollkästchen für,Authorization
und wählen Sie den Port als Standardport 1812 aus.
Authorization mode Only
undChange of Authorization (CoA) mode
, um den Status und Änderungen von der ISE zuzulassen.Accounting
: Aktivieren Sie das Kontrollkästchen für die Autorisierung, und wählen Sie den Port als Standard 1813 aus.
Single or Simultaneous
(Im Einzelmodus werden Buchhaltungsdaten nur an einen Server gesendet. Im Simultanmodus werden Accounting-Daten an alle Server in der Gruppe übertragen.)Accounting update
um die regelmäßige Generierung von RADIUS-Nachrichten für die Zwischenabrechnung und Aktualisierung zu aktivieren.Vorsicht: Wenn dieAuthentication
und Authorization
Methoden ausgewählt sind, müssen sie denselben Port verwenden.
RADIUS Servers
ISE) konfigurieren, die für die Authentifizierung über AAA verwendet wird. Siehe Abschnitt RADIUS Servers
:+ Add
Server Name
: Konfigurieren Sie einen Namen, um Ihren ISE-Server zu identifizieren.IP Address
: Konfigurieren Sie die IP-Adresse Ihres Cisco ISE-Geräts, die über sicheren Zugriff erreichbar ist.Secret Key
: Konfigurieren des geheimen RADIUS-SchlüsselsPassword
: Konfigurieren Sie Ihr Radius-KennwortSave
Klicken Sie unter derAssign Server
Option auf Radius Server, weisen Sie ihn zu, und wählen Sie Ihren ISE-Server aus:Save
erneut auf, um die gesamte Konfiguration zu speichern.Nachdem Sie den ISE-Server unter dem IP-Pool konfiguriert haben, müssen Sie ihn unter Ihrem VPN Profiles
konfigurieren.
Um das VPN-Profil zu konfigurieren, navigieren Sie zu Ihrem Dashboard für sicheren Zugriff.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
+ Add
VPN Profile name
: Konfigurieren Sie einen Namen für Ihren Profilnamen.Default Domain
: Konfigurieren Sie Ihre Domäne.DNS Server
: Wählen Sie den von Ihnen konfigurierten DNS-Server (Domain Name Server) aus.Protocol
: Konfigurieren Sie die Protokolle, die Sie im VPN zulassen müssen.Connect Time posture
: Wählen Sie eine Körperhaltung oder lassen Sie sie als KeineNext
Authentifizierung
Authentication
Protocols
: Auswählen SAML
Download Service Provider XML file
Save
auf Ihre Anwendung auf Duo.SAML Metadata
indem Sie auf die Schaltfläche klicken Download XML
SAML Metadata
Sicherer Zugriff unter der Option hoch, 3. Upload IdP security metadata XML file
und klicken Sie auf Next
Setzen Sie die Autorisierung fort.
Anmerkung: Wenn Sie die Authentifizierung mit SAML konfigurieren, autorisieren Sie sie über die ISE. Das heißt, das von Secure Access gesendete RADIUS-Paket enthält nur den Benutzernamen. Das Kennwortfeld ist hier nicht vorhanden.
Autorisierung
Authorization
Enable Radius Authorization
: Aktivieren Sie das Kontrollkästchen, um die RADIUS-Autorisierung zu aktivieren.Next
Nachdem Sie alle Teile konfiguriert habenAuthorization
, fahren Sie bitte mit dem Accounting
fort.
Anmerkung: Wenn Sie diese Option nicht aktivieren, Radio Authorization
kann die Statusüberprüfung nicht ausgeführt werden.
Buchhaltung
Accounting
Map Authorization groups to regions
: Wählen Sie die Regionen und dann Ihre Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
Unter "Traffic Steering" (Steuerung des Datenverkehrs) müssen Sie den Kommunikationstyp über Secure Access konfigurieren.
Connect to Secure Access
werden alle Internet-Datenverkehrsrouten Secure Access
Wenn Sie Ausschlüsse für Internet-Domains oder IP-Adressen hinzufügen möchten, klicken Sie auf die + Add
Schaltfläche und dann auf Next
.
Bypass Secure Access
wird der gesamte Internet-Datenverkehr über Ihren Internet-Provider geleitet, nicht überSecure Access
(kein Internet-Schutz)Anmerkung: Fügen Sie einen ISE-Status enroll.cisco.com
hinzu, wenn Sie möchten Bypass Secure Access
.
In diesem Schritt wählen Sie alle privaten Netzwerkressourcen aus, auf die Sie über das VPN zugreifen möchten. Klicken Sie dazu auf + Add
, und klicken Sie dann aufNext
, wenn Sie alle Ressourcen hinzugefügt haben.
In diesem Schritt können Sie alles als Standard verwalten und auf klicken, Save
aber wenn Sie Ihre Konfiguration weiter anpassen möchten, lesen Sie bitte das Cisco Secure Client Administratorhandbuch.
Um die Authentifizierung über die Cisco ISE zu konfigurieren, müssen Sie die zulässigen Geräte konfigurieren, die Abfragen an die Cisco ISE senden können:
Administration > Network Devices
+ Add
Name
: Verwenden eines Namens zur Identifizierung von sicherem ZugriffIP Address
: Konfigurieren Sie denManagement Interface
Schritt IP-Pool-Region.Device Profile
: Cisco auswählen
Radius Authentication Settings
Shared Secret
: Konfigurieren Sie den geheimen Schlüssel, der für den Schritt konfiguriert wurde.CoA Port
: Als Standard zulassen; 1700 wird auch für sicheren Zugriff verwendetNach diesem Klick Save
, um zu überprüfen, ob die Integration ordnungsgemäß funktioniert, fahren Sie mit der Erstellung eines lokalen Benutzers für die Integrationsverifizierung fort.
Gehen Sie wie folgt vor, um eine Gruppe zur Verwendung mit lokalen Benutzern zu konfigurieren:
Administration > Groups
User Identity Groups
+ Add
Name
für die Gruppe, und klicken Sie auf Submit
So konfigurieren Sie einen lokalen Benutzer, um Ihre Integration zu überprüfen:
Administration > Identities
Add +
Username
: Konfigurieren Sie den Benutzernamen mit einer bekannten UPN-Bereitstellung in Secure Access. basiert auf dem Schritt, VoraussetzungenStatus
: AktivPassword Lifetime
: Sie können es konfigurieren With Expiration
oderNever Expires
, je nachLogin Password
: Erstellen Sie ein Kennwort für den Benutzer.User Groups
: Wählen Sie die Gruppe aus, die auf dem Schritt erstellt wurde, Konfigurieren Sie eine GruppeAnmerkung: Die auf UPN basierende Authentifizierung wird in den kommenden Versionen von Secure Access geändert.
Anschließend können Sie Save
die Konfiguration vornehmen und mit dem Schritt fortfahrenConfigure Policy Set
.
Konfigurieren Sie unter dem Richtliniensatz die Aktion, die die ISE während der Authentifizierung und Autorisierung ausführt. Dieses Szenario veranschaulicht den Anwendungsfall für die Konfiguration einer einfachen Richtlinie, die den Benutzerzugriff ermöglicht. Zunächst überprüft die ISE den Ursprung der RADIUS-Authentifizierungen und überprüft, ob die Identitäten in der ISE-Benutzerdatenbank vorhanden sind, um den Zugriff zu ermöglichen.
Um diese Richtlinie zu konfigurieren, navigieren Sie zu Ihrem Cisco ISE Dashboard:
Policy > Policy Sets
+
, um einen neuen Richtliniensatz hinzuzufügen.Erstellen Sie in diesem Fall einen neuen Richtliniensatz, anstatt ihn unter dem Standardsatz zu verwenden. Konfigurieren Sie anschließend die Authentifizierung und Autorisierung auf der Grundlage dieses Richtlinienpakets. Die konfigurierte Richtlinie ermöglicht den Zugriff auf das Netzwerkgerät, das im Schritt Configure Network Devices List (Liste der Netzwerkgeräte konfigurieren) definiert wurde, um zu überprüfen, ob diese Authentifizierungen von stammen, und um dann in die Richtlinie als zu gelangenCSA Network Device List
. Conditions
. Und schließlich die zulässigen Protokolle, wie Default Network Access
.
So erstellen Sie dencondition
, der mit dem Richtliniensatz übereinstimmt:
+
Condition Studio
den verfügbaren Informationen gehören: Click to add an attribute
Network Device
Schaltfläche Network Access
- (Network Device Name
) OptionNetwork Device
dem Schritt Configure Network Devices List (Liste der Netzwerkgeräte konfigurieren)Save
Diese Richtlinie genehmigt nur die Anforderung der QuelleCSA
, die Konfiguration Authentication
und Authorization
Einrichtung unter dem Richtliniensatz fortzusetzen, CSA-ISE
und überprüft außerdem die zulässigen Protokolle auf der Grundlage der Default Network Access
für die zulässigen Protokolle.
Das Ergebnis der definierten Richtlinie muss sein:
Default Network Access Protocols
zugelassen ist, fahren Sie mit den folgenden Anweisungen fort:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Gehen Sie wie folgt vor, um die Authorization
Richtlinie unter Policy Set
zu erstellen:
>
Authorization
Richtlinien angezeigt: Die Richtlinie ist die gleiche, die Sie im Schritt Configure Policy Set definiert haben.
Autorisierungsrichtlinie
Sie haben viele Möglichkeiten, die Autorisierungsrichtlinie zu konfigurieren. In diesem Fall autorisieren Sie nur die Benutzer in der Gruppe, die im Schritt Konfigurieren einer Gruppe definiert ist.Im nächsten Beispiel wird die Autorisierungsrichtlinie konfiguriert:
Authorization Policy
+
, um die Autorisierungsrichtlinie wie folgt zu definieren: Rule Name
,Conditions
und Profiles
Name
Autorisierungsrichtlinie leicht zu identifizieren. Condition
klicken Sie auf die Schaltfläche +
Condition Studio
finden Sie die Informationen: Click to add an attribute
Identity Group
Schaltfläche IdentityGroup
OptionEquals
Option das Dropdown-Menü, um die für die Authentifizierung im Schritt Konfigurieren einer Gruppe Group
genehmigte Gruppe zu finden.Save
Use
Anschließend müssen Sie die Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
auf die Dropdown-Schaltfläche Profiles
PermitAccess
Save
Anschließend haben Sie Ihre Authorization
Richtlinie definiert. Authentifizieren Sie sich, um zu überprüfen, ob der Benutzer problemlos eine Verbindung herstellt und ob Sie die Protokolle auf Secure Access und ISE sehen können.
Um eine Verbindung zum VPN herzustellen, können Sie das auf Secure Access erstellte Profil verwenden und sich über Secure Client mit dem ISE-Profil verbinden.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
Wie wird das Protokoll in Duo angezeigt, wenn die Authentifizierung genehmigt wird?
Reports > Authentication Log
Erstellen Sie in diesem Szenario die Konfiguration, um die Endpunkt-Compliance zu überprüfen, bevor Sie den Zugriff auf interne Ressourcen gewähren oder verweigern.
Gehen Sie wie folgt vor, um die Konfiguration vorzunehmen:
Work Center > Policy Elements > Conditions
Anti-Malware
Anmerkung: Dort finden Sie viele Optionen, um den Status Ihrer Geräte zu überprüfen und die richtige Bewertung auf Grundlage Ihrer internen Richtlinien vorzunehmen.
Anti-Malware Conditions
auf + Add
Anti-Malware Condition
dass die Antivirus-Installation auf dem System erkannt wird. Sie können bei Bedarf auch die Betriebssystemversion auswählen.Name
: Verwenden Sie einen Namen, um den Anti-Malware-Zustand zu erkennen.Operating System
: Wählen Sie das operative System, das Sie unter die Bedingung setzen möchtenVendor
: Wählen Sie einen Anbieter oder BELIEBIGECheck Type
: Sie können überprüfen, ob der Agent installiert ist, oder die Definitionsversion für diese Option angeben.Products for Selected Vendor
konfigurieren Sie, was Sie über den Malwareschutz auf dem Gerät überprüfen möchten.Sobald Sie es konfigurieren, können Sie mit dem Schritt fortfahren, Configure Posture Requirements
.
Work Center > Policy Elements > Requeriments
Edit
der Anforderungen, und klicken Sie auf Insert new Requirement
Name
: Konfigurieren eines Namens zur Erkennung der Anti-Malware-AnforderungOperating System
: Wählen Sie unter dem Bedingungsschritt Betriebssystem das gewünschte Betriebssystem aus. Compliance Module
: Sie müssen sicherstellen, dass Sie das gleiche Compliance-Modul auswählen, das Sie unter dem Bedingungsschritt "Anti-Malware Condition" haben.Posture Type
: Agent auswählenConditions
: Wählen Sie die Bedingung(en) aus, die Sie im Schritt Statusbedingungen konfigurieren erstellt haben.Remediations Actions
: Wählen Message Text Only
Sie dieses Beispiel aus, oder verwenden Sie eine andere Wiederherstellungsaktion.Save
Nach der Konfiguration können Sie mit dem Schritt fortfahren, Configure Posture Policy
Work Center > Posture Policy
Edit
der Richtlinien, und klicken Sie auf Insert new Policy
Status
: Aktivieren Sie das Kontrollkästchen zum Aktivieren der Richtlinie.Rule Name
: Konfigurieren Sie einen Namen zur Erkennung der konfigurierten Richtlinie.Identity Groups
: Wählen Sie die zu bewertenden Identitäten aus.Operating Systems
: Wählen Sie das Betriebssystem basierend auf der Bedingung und den zuvor konfigurierten Anforderungen aus.Compliance Module
: Wählen Sie das Compliance-Modul basierend auf der Bedingung und den zuvor konfigurierten Anforderungen aus.Posture Type
: Agent auswählenRequeriments
: Wählen Sie die im Schritt "Configure Posture Requirements" (Statusanforderungen konfigurieren) konfigurierten Anforderungen aus.Save
Um den Benutzern das ISE-Modul bereitzustellen, konfigurieren Sie die Client-Bereitstellung so, dass die Computer mit dem ISE-Statusmodul ausgestattet werden. Auf diese Weise können Sie den Systemstatus überprüfen, sobald der Agent installiert wurde. Um mit diesem Prozess fortzufahren, gehen Sie wie folgt vor:
Navigieren Sie zu Ihrem ISE Dashboard.
Work Center > Client Provisioning
Resources
Bei der Clientbereitstellung müssen drei Dinge konfiguriert werden:
Zu konfigurierende Ressourcen |
Beschreibung |
1. |
Secure Client-Webbereitstellungspaket. |
2. |
Cisco ISE Compliance-Modul |
3. |
Steuerung des Bereitstellungsprofils |
3. |
Legen Sie fest, welche Module bereitgestellt werden sollen, indem Sie das Bereitstellungsportal mithilfe des Agentenprofils und der Agentenressourcen einrichten. |
Step 1
Agentenressourcen herunterladen und hochladen
+ Add > Agent resources from local disk
und laden Sie die Pakete hoch.Step 2
Compliance-Modul herunterladen
+ Add > Agent resources from Cisco Site
Save
Konfigurieren des AgentenprofilsStep 3
+ Add > Agent Posture Profile
Name
für Posture Profile
*
und klicken Sie Save
danach aufStep 4
Konfigurieren der Agentenkonfiguration
+ Add > Agent Configuration
Select Agent Package
: Wählen Sie das hochgeladene Paket aus den Step1-Download- und -Upload-Agent-Ressourcen aus.Configuration Name
: Wählen Sie einen Namen für die Agent Configuration
Compliance Module
: Wählen Sie das heruntergeladene Compliance-Modul aus.Schritt 2: Compliance-Modul herunterladenCisco Secure Client Module Selection
ISE Posture
: Kontrollkästchen markierenProfile Selection
ISE Posture
: Wählen Sie das ISE-Profil aus, das auf der Seite Step3 Configure the Agent Profile konfiguriert wurde.Save
Anmerkung: Es wird empfohlen, dass jedes Betriebssystem, Windows, Mac OS oder Linux, über eine unabhängige Client-Konfiguration verfügt.
Um die Bereitstellung des ISE-Status und der im letzten Schritt konfigurierten Module zu ermöglichen, müssen Sie eine Richtlinie für die Bereitstellung konfigurieren.
Work Center > Client Provisioning
Anmerkung: Es wird empfohlen, dass für jedes Betriebssystem, Windows, Mac OS oder Linux, eine Client-Konfigurationsrichtlinie gilt.
Rule Name
: Konfigurieren Sie den Namen der Richtlinie auf Basis des Gerätetyps und der Identitätsgruppenauswahl, um jede Richtlinie leicht identifizieren zu können.Identity Groups
: Wählen Sie die Identitäten aus, die Sie für die Richtlinie auswerten möchten.Operating Systems
: Wählen Sie das Betriebssystem basierend auf dem im Schritt ausgewählten Agentenpaket aus. Wählen Sie AgentenpaketOther Condition
: Wählen Network Access
Sie die Option für die Authentication Method
EQUALS
im Schritt konfigurierte Methode aus, fügen Sie RADIUS-Gruppe hinzu, oder lassen Sie das Feld leer.Result
: Wählen Sie die unter Schritt 4 Konfigurieren der Agentenkonfiguration konfigurierte Agentenkonfiguration aus.
Native Supplicant Configuration
: AuswählenConfig Wizard
und Wizard Profile
Das Autorisierungsprofil schränkt den Zugriff auf die Ressourcen je nach dem Benutzerstatus nach dem Authentifizierungsprozess ein. Die Autorisierung muss überprüft werden, um anhand des Status zu bestimmen, auf welche Ressourcen der Benutzer zugreifen kann.
Autorisierungsprofil |
Beschreibung |
Benutzerkonform - Agent installiert - Status verifiziert |
|
Benutzer nicht bekannt - Umleitung zur Installation des Agenten - Zur Überprüfung ausstehende Statusüberprüfung |
|
Benutzer nicht konform - Zugriff verweigern |
Um die DACL zu konfigurieren, navigieren Sie zum ISE Dashboard:
Work Centers > Policy Elements > Downloadable ACLs
+Add
Compliant DACL
Name
: Fügen Sie einen Namen hinzu, der auf die DACL-konformeIP version
: Auswählen IPv4
DACL Content
:
Erstellen einer herunterladbaren Zugriffskontrollliste (DACL), die Zugriff auf alle Ressourcen des Netzwerks bietetpermit ip any any
Klicken Sie auf, Save
und erstellen Sie die unbekannte Compliance-DACL.
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: Fügen Sie einen Namen hinzu, der auf die DACL-Unknown-Compliant verweist.IP version
: Auswählen IPv4
DACL Content:
Erstellen einer DACL mit eingeschränktem Zugriff auf Netzwerk, DHCP, DNS, HTTP und das Bereitstellungsportal über Port 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
Anmerkung: In diesem Szenario entspricht die IP-Adresse 192.168.10.206 dem Cisco Identity Services Engine (ISE)-Server, und Port 8443 ist für das Bereitstellungsportal festgelegt. Dies bedeutet, dass TCP-Datenverkehr an die IP-Adresse 192.168.10.206 über Port 8443 zugelassen wird, wodurch der Zugriff auf das Bereitstellungsportal erleichtert wird.
Jetzt verfügen Sie über die erforderliche DACL zum Erstellen der Autorisierungsprofile.
Rufen Sie zum Konfigurieren der Autorisierungsprofile das ISE Dashboard auf:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: Erstellen eines Namens, der auf das kompatible Autorisierungsprofil verweistAccess Type
: Auswählen ACCESS_ACCEPT
Common Tasks
DACL NAME
: Wählen Sie die auf dem Schritt "Compliant DACL" konfigurierte DACL aus.Klicken Sie auf Save
, und erstellen Sie Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: Erstellen eines Namens, der auf das unbekannte, kompatible Autorisierungsprofil verweistAccess Type
: Auswählen ACCESS_ACCEPT
Common Tasks
DACL NAME
: Wählen Sie die auf dem Schritt Unknown Compliant DACL konfigurierte DACL aus.Web Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: Muss redirect
Value
: Wählen Sie das Standard-Bereitstellungsportal aus, oder wählen Sie es aus, wenn Sie ein anderes Portal definiert haben.Anmerkung: Der Name der Umleitungs-ACL für sicheren Zugriff für alle Bereitstellungen lautet redirect
.
Nachdem Sie alle diese Werte definiert haben, müssen Sie etwas Ähnliches unterAttributes Details
haben.
Klicken Sie hierSave
, um die Konfiguration zu beenden und mit dem nächsten Schritt fortzufahren.
Die drei Richtlinien, die Sie erstellen, basieren auf den Autorisierungsprofilen, die Sie konfiguriert haben. für DenyAccess
, müssen Sie nicht noch eine erstellen.
Richtliniensatz - Autorisierung |
Autorisierungsprofil |
Konformität |
|
Unbekannte Compliance |
|
Nicht konform |
Rufen Sie Ihr ISE Dashboard auf.
Work Center > Policy Sets
>
, um auf die von Ihnen erstellte Richtlinie zuzugreifen.Authorization Policy
+
, um die CSA-Compliance
Richtlinie zu definieren: Rule Name
,Conditions
und Profiles
Name
Einstellung für einen Namen auf CSA-Compliance
Condition
klicken Sie auf die Schaltfläche +
Condition Studio
finden Sie die Informationen: compliant
Compliant_Devices
Editor
Editor
in New
Identity Group
SymbolInternal User Identity Group
Equals
unter den User Identity Group
gewünschten Treffer aus.Use
Profile
unter der Dropdown-Schaltfläche auf das im Schritt konfigurierte Autorisierungsprofil für die Beschwerde. Wählen Sie das entsprechende Autorisierungsprofil aus.Jetzt haben Sie die konfiguriert Compliance Policy Set
.
Rule Name
,Conditions
und Profiles
Name
Einstellung für einen Namen auf CSA-Unknown-Compliance
Condition
klicken Sie auf die Schaltfläche +
Condition Studio
finden Sie die Informationen: compliance
Compliant_Unknown_Devices
Editor
Editor
in New
Identity Group
SymbolInternal User Identity Group
Equals
unter den User Identity Group
gewünschten Treffer aus.Use
Profile
unter der Dropdown-Schaltfläche auf das im Schritt konfigurierte Autorisierungsprofil für die Beschwerde, Unknown Compliant Authorization Profile (Unbekanntes konformes Autorisierungsprofil).Jetzt haben Sie die konfiguriert Unknown Compliance Policy Set
.
+
, um die CSA- Non-Compliant
Richtlinie zu definieren: Rule Name
,Conditions
und Profiles
Name
Einstellung für einen Namen auf CSA-Non-Compliance
Condition
klicken Sie auf die Schaltfläche +
Condition Studio
finden Sie die Informationen: non
Non_Compliant_Devices
Editor
Editor
in New
Identity Group
SymbolInternal User Identity Group
Equals
unter den User Identity Group
gewünschten Treffer aus.Use
Profile
dem Dropdown-Menü auf und wählen Sie das Reklamationsautorisierungsprofil aus. DenyAccess
Wenn Sie die Konfiguration der drei Profile abgeschlossen haben, können Sie die Integration mit dem Status testen.
Stellen Sie über Secure Client eine Verbindung zu Ihrer FQDN RA-VPN-Domäne bei sicherem Zugriff her.
Anmerkung: Für diesen Schritt muss kein ISE-Modul installiert werden.
1. Verbindung über Secure Client herstellen.
2. Geben Sie die Anmeldeinformationen für die Authentifizierung über Duo an.
3. An diesem Punkt werden Sie mit dem VPN verbunden, und meistens werden Sie wahrscheinlich zur ISE umgeleitet. Wenn nicht, können Sie versuchen, zu navigieren http:1.1.1.1
.
Anmerkung: An diesem Punkt fallen Sie unter Autorisierung - Richtliniensatz CSA-Unknown-Compliance, da Sie den ISE Posture Agent nicht auf dem Computer installiert haben, und Sie werden zum ISE-Bereitstellungsportal umgeleitet, um den Agenten zu installieren.
4. Klicken Sie auf Start, um mit der Agentenbereitstellung fortzufahren.
5. Klicken Sie auf + This is my first time here
.
6. Klicken Sie Click here to download and install agent
7. Installieren Sie den Agenten
8. Nach der Installation des Agenten beginnt die ISE-Statusüberprüfung mit der Überprüfung des aktuellen Systemstatus. Wenn die Richtlinienanforderungen nicht erfüllt werden, wird ein Popup-Fenster angezeigt, das Sie auf die Einhaltung der Richtlinien hinweist.
Anmerkung: Wenn SieCancel
oder die verbleibende Zeit endet, werden Sie automatisch nicht konform, fallen unter die Autorisierungsrichtlinie "CSA-Non-Compliance" und werden sofort vom VPN getrennt.
9. Installieren Sie den Secure Endpoint Agent, und stellen Sie erneut eine Verbindung mit dem VPN her.
10. Nachdem der Agent überprüft hat, dass der Computer die Anforderungen erfüllt, ändert sich Ihr Status, sodass er eine Beschwerde auslöst und Zugriff auf alle Ressourcen im Netzwerk erhält.
Anmerkung: Sobald die Compliance-Anforderungen erfüllt sind, unterliegen Sie dem CSA-Compliance-Autorisierungsrichtlinienset und haben sofort Zugriff auf alle Netzwerkressourcen.
Um das Authentifizierungsergebnis für einen Benutzer zu überprüfen, gibt es zwei Beispiele für Compliance und Nichtkonformität. Um es in der ISE zu überprüfen, befolgen Sie die folgenden Anweisungen:
Operations > Live Logs
Das nächste Szenario zeigt, wie erfolgreiche Compliance- und Nicht-Compliance-Ereignisse angezeigt werden unter Live Logs
:
Im nächsten Beispiel befindet sich die Cisco ISE unter dem Netzwerk 192.168.10.0/24, und die Konfiguration der Netzwerke, die über den Tunnel erreichbar sind, muss unter der Tunnelkonfiguration hinzugefügt werden.
Step 1
: Überprüfen Sie Ihre Tunnelkonfiguration:
Navigieren Sie zu Ihrem Secure Access Dashboard, um dies zu überprüfen.
Connect > Network Connections
Network Tunnel Groups
> Ihr TunnelStep 2
: Zulassen des Datenverkehrs auf Ihrer Firewall
Damit Secure Access das ISE-Gerät für die Radius-Authentifizierung verwenden kann, müssen Sie eine Regel von Secure Access für Ihr Netzwerk mit den erforderlichen Radius-Ports konfiguriert haben:
Regel |
Quelle |
Ziel |
Zielport |
ISE für sicheren Zugriff Management-Pool |
ISE-Server |
Management-IP-Pool (RA-VPN) |
KAO UDP 1700 (Standard-Port) |
Sicherer Access Management-IP-Pool zur ISE |
Management-IP-Pool |
ISE-Server |
Authentifizierung, Autorisierung UDP 1812 (Standard-Port) Buchhaltung UDP 1813 (Standard-Port) |
IP-Pool für sicheren Zugriff auf ISE |
Endpunkt-IP-Pool |
ISE-Server |
Bereitstellungsportal TCP 8443 (Standard-Port) |
IP-Pool für sicheren Zugriff auf DNS-SERVER |
Endpunkt-IP-Pool |
DNS-Server |
DNS UDP und TCP 53 |
Anmerkung: Weitere ISE-Ports finden Sie im Benutzerhandbuch - Port-Referenz.
Anmerkung: Eine DNS-Regel ist erforderlich, wenn Sie Ihre ISE so konfiguriert haben, dass sie über einen Namen wie ise.ciscosspt.es erkannt wird.
Management-Pool und Endpunkt-IP-Pools
Um Ihren Management- und Endpunkt-IP-Pool zu überprüfen, navigieren Sie zu Ihrem Secure Access Dashboard:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
Klicken Sie Manage
Schritt 3: Überprüfen Sie, ob die ISE unter Private Ressourcen konfiguriert ist.
Damit die Benutzer, die über das VPN verbunden sind, zu navigieren ISE Provisioning Portal
können, müssen Sie das Gerät als private Ressource konfiguriert haben, die den Zugriff ermöglicht. Damit wird die automatische Bereitstellung des Geräts über das VPN ermöglichtISE Posture Module
.
Um zu überprüfen, ob ISE korrekt konfiguriert ist, navigieren Sie zu Ihrem Secure Access Dashboard:
Resources > Private Resources
Bei Bedarf können Sie die Regel auf den Bereitstellungsportal-Port (8443) beschränken.
Anmerkung: Vergewissern Sie sich, dass Sie das Kontrollkästchen für VPN-Verbindungen aktiviert haben.
Schritt 4: Zulassen des ISE-Zugriffs gemäß der Zugriffsrichtlinie
Damit die Benutzer, die über das VPN verbunden sind, zu navigieren ISE Provisioning Portal
können, müssen Sie sicherstellen, dass Sie eine konfiguriert haben, Access Policy
damit die Benutzer, die gemäß dieser Regel konfiguriert sind, auf die in konfigurierte private Ressource zugreifen könnenStep3
.
Um zu überprüfen, ob ISE korrekt konfiguriert ist, navigieren Sie zu Ihrem Secure Access Dashboard:
Secure > Access Policy
So laden Sie ISE-Protokolle herunter, um ein Statusproblem zu überprüfen:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
Vorsicht: Danach müssen Sie mit der Reproduktion des Problems beginnen. the debug logs can affect the performance of your device
.
Wenn Sie das Problem reproduziert haben, fahren Sie mit den folgenden Schritten fort:
Operations > Download Logs
Support Bundle
den folgenden Optionen aus:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
und Re-Enter Encryption key
Create Support Bundle
Download
Warnung: Deaktivieren Sie den Debug-Modus, der im Schritt "Debug Profile Configuration" aktiviert ist.
Navigieren Sie zu Ihrem Secure Access Dashboard:
Monitor > Remote Access Logs
Überprüfen Sie den folgenden Artikel, um das DART-Paket auf Ihrem Computer zu generieren:
Cisco Secure Client Diagnostic and Reporting Tool (DART)
Anmerkung: Sobald Sie die im Abschnitt zur Fehlerbehebung angegebenen Protokolle gesammelt haben, öffnen Sie ein Ticket bei , TAC
um mit der Analyse der Informationen fortzufahren.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Apr-2024
|
Erstveröffentlichung |