Konfigurieren von sicherem Zugriff für RA-VPNaaS mit Duo SSO und Statusüberprüfung mit der ISE

Einleitung

In diesem Dokument wird die Konfiguration der Statusüberprüfung für Remote-Access-VPN-Benutzer mit Identity Service Engine (ISE) und Secure Access mit Duo beschrieben.

Voraussetzungen

• Konfiguration der Benutzerbereitstellung bei sicherem Zugriff
• Duo SSO mit Authentifizierungsproxy oder Drittanbieter-IDP konfigurieren
• Verbindung der Cisco ISE mit Secure Access über den Tunnel

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Identity Service Engine
• Sicherer Zugriff
• Cisco Secure Client
• Guide to Two-Factor Authentication - Duo Security
• ISE-Status
• Authentisierung, Ermächtigung und Buchhaltung

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf: 

• Identity Service Engine (ISE) Version 3.3 Patch 1
• Sicherer Zugriff
• Cisco Secure Client - AnyConnect VPN Version 5.1.2.42

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Die Integration von Duo SAML mit der Cisco Identity Services Engine (ISE) verbessert den Authentifizierungsprozess und erweitert die Cisco Secure Access-Lösungen um eine weitere Sicherheitsebene. Duo SAML bietet eine Single Sign-On (SSO)-Funktion, die den Benutzeranmeldeprozess vereinfacht und gleichzeitig hohe Sicherheitsstandards gewährleistet.

Nach der Authentifizierung über Duo SAML wird der Autorisierungsprozess von der Cisco ISE durchgeführt. Dies ermöglicht dynamische Entscheidungen bei der Zugriffskontrolle, die auf der Benutzeridentität und dem Gerätestatus basieren. Die ISE kann detaillierte Richtlinien durchsetzen, die festlegen, auf welche Ressourcen ein Benutzer zugreifen kann, wann und von welchen Geräten.

Anmerkung: Um die RADIUS-Integration zu konfigurieren, müssen Sie sicherstellen, dass die Kommunikation zwischen beiden Plattformen stattfindet.

Netzwerkdiagramm

Konfigurieren

Hinweis: Bevor Sie mit der Konfiguration beginnen, müssen Sie die ersten Schritte mit Secure Access und ISE-Integration durchführen.

Duo Konfiguration

Um die RA-VPN-Anwendung zu konfigurieren, gehen Sie wie folgt vor: 

Navigieren Sie zu Ihrem Duo Admin-Bereich.

• Navigieren Sie zu  Applications > Protect an Application
• Suchen nach Generic SAML Service Provider
• Klicken Sie auf   Protect

Die Anwendung muss auf dem Bildschirm angezeigt werden. Speichern des Anwendungsnamens für die VPN-Konfiguration

In diesem Fall ist Generic SAML Service Provider.

Konfiguration des sicheren Zugriffs

Konfigurieren der Radius-Gruppe auf den IP-Pools

Um das VPN-Profil mit Radius zu konfigurieren, gehen Sie wie folgt vor: 

Navigieren Sie zu Ihrem Dashboard für sicheren Zugriff.

• Klicken Sie Connect > Enduser Connectivity > Virtual Private Network
• Klicken Sie unter der Pool-Konfiguration (Manage IP Pools) aufManage

• Wählen Sie die IP Pool Region aus, und konfigurieren Sie Radius Server

• Zum Bearbeiten auf den Bleistift klicken

• Wählen Sie nun im Dropdown-Menü "Konfiguration" des Abschnitts "IP-Pool" unter Radius Group (Optional)
• Klicken Sie auf Add RADIUS Group

• Konfigurieren Sie unter Allgemein die folgenden Optionen: 

• Group Name: Konfigurieren Sie einen Namen für Ihre ISE-Integration in Secure Access.
  • AAA method
    
    • Authentication: Aktivieren Sie das Kontrollkästchen für, Authentication und wählen Sie den Port aus, der standardmäßig 1812 ist.
      • Falls Ihre Authentifizierung das Aktivieren des Kontrollkästchens erfordertMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
    • Authorization:  Aktivieren Sie das Kontrollkästchen für,Authorizationund wählen Sie den Port als Standardport 1812 aus.
      • Aktivieren Sie das Kontrollkästchen für Authorization mode Only undChange of Authorization (CoA) mode, um den Status und Änderungen von der ISE zuzulassen.
    • Accounting: Aktivieren Sie das Kontrollkästchen für die Autorisierung, und wählen Sie den Port als Standard 1813 aus.
      • Wählen Sie Single or Simultaneous (Im Einzelmodus werden Buchhaltungsdaten nur an einen Server gesendet. Im Simultanmodus werden Accounting-Daten an alle Server in der Gruppe übertragen.)
      • Aktivieren Sie das Kontrollkästchen für, Accounting update um die regelmäßige Generierung von RADIUS-Nachrichten für die Zwischenabrechnung und Aktualisierung zu aktivieren.

Vorsicht: Wenn dieAuthenticationund Authorization Methoden ausgewählt sind, müssen sie denselben Port verwenden.

• Danach müssen Sie die (RADIUS ServersISE) konfigurieren, die für die Authentifizierung über AAA verwendet wird. Siehe Abschnitt RADIUS Servers:
• Klicken Sie + Add

• Konfigurieren Sie dann die nächsten Optionen:

• Server Name: Konfigurieren Sie einen Namen, um Ihren ISE-Server zu identifizieren.
• IP Address: Konfigurieren Sie die IP-Adresse Ihres Cisco ISE-Geräts, die über sicheren Zugriff erreichbar ist.
• Secret Key: Konfigurieren des geheimen RADIUS-Schlüssels
• Password: Konfigurieren Sie Ihr Radius-Kennwort

•  Save Klicken Sie unter derAssign ServerOption auf Radius Server, weisen Sie ihn zu, und wählen Sie Ihren ISE-Server aus:

• Klicken Sie Save erneut auf, um die gesamte Konfiguration zu speichern.

Nachdem Sie den ISE-Server unter dem IP-Pool konfiguriert haben, müssen Sie ihn unter Ihrem VPN Profileskonfigurieren.

Konfigurieren Ihres VPN-Profils für die Verwendung von ISE

Um das VPN-Profil zu konfigurieren, navigieren Sie zu Ihrem Dashboard für sicheren Zugriff.

• Klicken Sie Connect > Enduser Connectivity > Virtual Private Network
• Klicken Sie unterVPN Profiles + Add
• Konfigurieren Sie anschließend die folgenden Optionen:

Allgemeine Einstellungen

• VPN Profile name: Konfigurieren Sie einen Namen für Ihren Profilnamen.
• Default Domain: Konfigurieren Sie Ihre Domäne.
• DNS Server: Wählen Sie den von Ihnen konfigurierten DNS-Server (Domain Name Server) aus.
• Protocol: Konfigurieren Sie die Protokolle, die Sie im VPN zulassen müssen.
• Connect Time posture: Wählen Sie eine Körperhaltung oder lassen Sie sie als Keine

• Klicken Sie anschließend auf   Next

Authentisierung, Ermächtigung und Buchhaltung

Authentifizierung

• Authentication
  
  • Protocols: Auswählen SAML
• Klicken Sie auf  Download Service Provider XML file
• Ersetzen Sie die Informationen in der Anwendung, die im Schritt "Duo Configuration" konfiguriert wurde.

• Nachdem Sie diese Informationen konfiguriert haben, ändern Sie den Namen des Duo in einen Namen, der mit der von Ihnen vorgenommenen Integration zusammenhängt

• Klicken Sie Save auf Ihre Anwendung auf Duo.
• Wenn Sie auf "Speichern" klicken, müssen Sie das herunterladen, SAML Metadata indem Sie auf die Schaltfläche klicken Download XML

• Laden Sie die über SAML Metadata Sicherer Zugriff unter der Option hoch, 3. Upload IdP security metadata XML file und klicken Sie auf Next

Setzen Sie die Autorisierung fort.

Anmerkung: Wenn Sie die Authentifizierung mit SAML konfigurieren, autorisieren Sie sie über die ISE. Das heißt, das von Secure Access gesendete RADIUS-Paket enthält nur den Benutzernamen. Das Kennwortfeld ist hier nicht vorhanden.

Autorisierung

• Authorization
  • Enable Radius Authorization: Aktivieren Sie das Kontrollkästchen, um die RADIUS-Autorisierung zu aktivieren.
  • Wählen Sie eine Gruppe für alle Regionen aus: Aktivieren Sie das Kontrollkästchen, um einen bestimmten Radius-Server für alle Remote Access Virtual Private Network (RA-VPN)-Pools zu verwenden, oder definieren Sie ihn für jeden Pool separat.
• Klicken Sie auf  Next

Nachdem Sie alle Teile konfiguriert habenAuthorization, fahren Sie bitte mit dem Accountingfort.

Anmerkung: Wenn Sie diese Option nicht aktivieren, Radio Authorizationkann die Statusüberprüfung nicht ausgeführt werden.

Buchhaltung

• Accounting
  • Map Authorization groups to regions: Wählen Sie die Regionen und dann Ihre Radius Groups
• Klicken Sie auf Next

After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

Verkehrssteuerung

Unter "Traffic Steering" (Steuerung des Datenverkehrs) müssen Sie den Kommunikationstyp über Secure Access konfigurieren.

• Wenn Sie möchten, Connect to Secure Accesswerden alle Internet-Datenverkehrsrouten Secure Access

Wenn Sie Ausschlüsse für Internet-Domains oder IP-Adressen hinzufügen möchten, klicken Sie auf die + Add Schaltfläche und dann auf Next.

• Wenn Sie sich entscheiden, Bypass Secure Accesswird der gesamte Internet-Datenverkehr über Ihren Internet-Provider geleitet, nicht überSecure Access(kein Internet-Schutz)

Anmerkung: Fügen Sie einen ISE-Status enroll.cisco.com hinzu, wenn Sie möchten Bypass Secure Access.

In diesem Schritt wählen Sie alle privaten Netzwerkressourcen aus, auf die Sie über das VPN zugreifen möchten. Klicken Sie dazu auf + Add, und klicken Sie dann aufNext, wenn Sie alle Ressourcen hinzugefügt haben.

Cisco Secure Client-Konfiguration

In diesem Schritt können Sie alles als Standard verwalten und auf klicken, Saveaber wenn Sie Ihre Konfiguration weiter anpassen möchten, lesen Sie bitte das Cisco Secure Client Administratorhandbuch.

ISE-Konfigurationen

Konfiguration der Liste der Netzwerkgeräte

Um die Authentifizierung über die Cisco ISE zu konfigurieren, müssen Sie die zulässigen Geräte konfigurieren, die Abfragen an die Cisco ISE senden können:

• Navigieren Sie zu  Administration > Network Devices
• Klicken Sie + Add 

• Name: Verwenden eines Namens zur Identifizierung von sicherem Zugriff
• IP  Address: Konfigurieren Sie denManagement InterfaceSchritt IP-Pool-Region.
• Device Profile: Cisco auswählen
  • Radius Authentication Settings
    
    • Shared Secret: Konfigurieren Sie den geheimen Schlüssel, der für den Schritt konfiguriert wurde.
    • CoA Port: Als Standard zulassen; 1700 wird auch für sicheren Zugriff verwendet

Nach diesem Klick Save, um zu überprüfen, ob die Integration ordnungsgemäß funktioniert, fahren Sie mit der Erstellung eines lokalen Benutzers für die Integrationsverifizierung fort.

Konfigurieren einer Gruppe

Gehen Sie wie folgt vor, um eine Gruppe zur Verwendung mit lokalen Benutzern zu konfigurieren:

• Klicken Sie in Administration > Groups
• Klicken Sie auf  User Identity Groups
• Klicken Sie auf  + Add
• Erstellen Sie einenNamefür die Gruppe, und klicken Sie auf Submit

Lokalen Benutzer konfigurieren

So konfigurieren Sie einen lokalen Benutzer, um Ihre Integration zu überprüfen:

• Navigieren Sie zu  Administration > Identities
• Klicken Sie Add +

• Username: Konfigurieren Sie den Benutzernamen mit einer bekannten UPN-Bereitstellung in Secure Access. basiert auf dem Schritt, Voraussetzungen
• Status: Aktiv
• Password Lifetime: Sie können es konfigurieren With Expiration oderNever Expires, je nach
• Login Password: Erstellen Sie ein Kennwort für den Benutzer.
• User Groups: Wählen Sie die Gruppe aus, die auf dem Schritt erstellt wurde, Konfigurieren Sie eine Gruppe

Anmerkung: Die auf UPN basierende Authentifizierung wird in den kommenden Versionen von Secure Access geändert.

Anschließend können Sie Save die Konfiguration vornehmen und mit dem Schritt fortfahrenConfigure Policy Set.

Policy Set konfigurieren

Konfigurieren Sie unter dem Richtliniensatz die Aktion, die die ISE während der Authentifizierung und Autorisierung ausführt. Dieses Szenario veranschaulicht den Anwendungsfall für die Konfiguration einer einfachen Richtlinie, die den Benutzerzugriff ermöglicht. Zunächst überprüft die ISE den Ursprung der RADIUS-Authentifizierungen und überprüft, ob die Identitäten in der ISE-Benutzerdatenbank vorhanden sind, um den Zugriff zu ermöglichen.

Um diese Richtlinie zu konfigurieren, navigieren Sie zu Ihrem Cisco ISE Dashboard: 

• Klicken Sie Policy > Policy Sets
• Klicken Sie auf + , um einen neuen Richtliniensatz hinzuzufügen.

Erstellen Sie in diesem Fall einen neuen Richtliniensatz, anstatt ihn unter dem Standardsatz zu verwenden. Konfigurieren Sie anschließend die Authentifizierung und Autorisierung auf der Grundlage dieses Richtlinienpakets. Die konfigurierte Richtlinie ermöglicht den Zugriff auf das Netzwerkgerät, das im Schritt Configure Network Devices List (Liste der Netzwerkgeräte konfigurieren) definiert wurde, um zu überprüfen, ob diese Authentifizierungen von stammen, und um dann in die Richtlinie als zu gelangenCSA Network Device List. Conditions. Und schließlich die zulässigen Protokolle, wie Default Network Access.

So erstellen Sie dencondition, der mit dem Richtliniensatz übereinstimmt:

• Klicken Sie +
• Zu Condition Studioden verfügbaren Informationen gehören: 

1. Klicken Sie zum Erstellen der Bedingungen auf Click to add an attribute
2. Klicken Sie auf die Network Device Schaltfläche 
3. Klicken Sie unter den Optionen dahinter auf Network Access - (Network Device Name) Option
4. Schreiben Sie unter der Option Equals den Namen des unter Network Device dem Schritt Configure Network Devices List (Liste der Netzwerkgeräte konfigurieren)
5. Klicken Sie auf  Save

Diese Richtlinie genehmigt nur die Anforderung der QuelleCSA, die Konfiguration Authentication und Authorization Einrichtung unter dem Richtliniensatz fortzusetzen, CSA-ISEund überprüft außerdem die zulässigen Protokolle auf der Grundlage der  Default Network Access für die zulässigen Protokolle.

Das Ergebnis der definierten Richtlinie muss sein: 

• Um zu überprüfen, ob die Default Network Access Protocols zugelassen ist, fahren Sie mit den folgenden Anweisungen fort: 
  • Klicken SiePolicy > Results
  • Klicken Sie Allowed Protocols
  • Klicken Sie Default Network Access

• Anschließend werden alle Protokolle angezeigt, die auf Default Network Access

Autorisierung für Policy Set konfigurieren

Gehen Sie wie folgt vor, um die Authorization Richtlinie unter Policy Setzu erstellen:

• Klicken Sie >

• Danach werden dieAuthorization Richtlinien angezeigt: 

Die Richtlinie ist die gleiche, die Sie im Schritt Configure Policy Set definiert haben.

Autorisierungsrichtlinie

Sie haben viele Möglichkeiten, die Autorisierungsrichtlinie zu konfigurieren. In diesem Fall autorisieren Sie nur die Benutzer in der Gruppe, die im Schritt Konfigurieren einer Gruppe definiert ist.Im nächsten Beispiel wird die Autorisierungsrichtlinie konfiguriert:

• Klicken Sie Authorization Policy
• Klicken Sie auf + , um die Autorisierungsrichtlinie wie folgt zu definieren: 

• Im nächsten Schritt ändern Sie dasRule Name,Conditionsund Profiles
• Konfigurieren Sie einen Namen, um die Name Autorisierungsrichtlinie leicht zu identifizieren. 
• Um das zu konfigurieren, Conditionklicken Sie auf die Schaltfläche +
• Unter Condition Studiofinden Sie die Informationen: 

1. Klicken Sie zum Erstellen der Bedingungen auf Click to add an attribute
2. Klicken Sie auf die Identity Group Schaltfläche 
3. Klicken Sie unter den Optionen dahinter auf Interner Benutzer - IdentityGroup Option
4. Verwenden Sie unter der Equals Option das Dropdown-Menü, um die für die Authentifizierung im Schritt Konfigurieren einer Gruppe Groupgenehmigte Gruppe zu finden.
5. Klicken Sie auf  Save
6. Klicken Sie auf  Use

Anschließend müssen Sie die Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. Klicken Sie unter Authorization Policyauf die Dropdown-Schaltfläche Profiles
2. Nach Genehmigung suchen
3. Auswählen PermitAccess
4. Klicken Sie auf  Save

Anschließend haben Sie Ihre Authorization Richtlinie definiert. Authentifizieren Sie sich, um zu überprüfen, ob der Benutzer problemlos eine Verbindung herstellt und ob Sie die Protokolle auf Secure Access und ISE sehen können.

Um eine Verbindung zum VPN herzustellen, können Sie das auf Secure Access erstellte Profil verwenden und sich über Secure Client mit dem ISE-Profil verbinden.

• Wie wird das Protokoll in Secure Access angezeigt, wenn die Authentifizierung genehmigt wird? 
  • Navigieren zum Dashboard für sicheren Zugriff
  • Klicken Sie Monitor > Remote Access Log

• Wie wird das Protokoll in der ISE angezeigt, wenn die Authentifizierung genehmigt wird?
  • Navigieren Sie zum Cisco ISE Dashboard
  • Klicken Sie Operations > Live Logs

Wie wird das Protokoll in Duo angezeigt, wenn die Authentifizierung genehmigt wird?

• Navigieren Sie zum Duo Admin-Bereich.
• Klicken Sie Reports > Authentication Log

Konfigurieren von lokalen Radius- oder Active Directory-Benutzern

Konfigurieren des ISE-Status

Erstellen Sie in diesem Szenario die Konfiguration, um die Endpunkt-Compliance zu überprüfen, bevor Sie den Zugriff auf interne Ressourcen gewähren oder verweigern.

Gehen Sie wie folgt vor, um die Konfiguration vorzunehmen:

Statusbedingungen konfigurieren

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Work Center > Policy Elements > Conditions
• Klicken Sie Anti-Malware

Anmerkung: Dort finden Sie viele Optionen, um den Status Ihrer Geräte zu überprüfen und die richtige Bewertung auf Grundlage Ihrer internen Richtlinien vorzunehmen.

• Klicken Sie unter Anti-Malware Conditionsauf + Add

• Sie konfigurieren das so,Anti-Malware Conditiondass die Antivirus-Installation auf dem System erkannt wird. Sie können bei Bedarf auch die Betriebssystemversion auswählen.

• Name: Verwenden Sie einen Namen, um den Anti-Malware-Zustand zu erkennen.
• Operating System: Wählen Sie das operative System, das Sie unter die Bedingung setzen möchten
• Vendor: Wählen Sie einen Anbieter oder BELIEBIGE
• Check Type: Sie können überprüfen, ob der Agent installiert ist, oder die Definitionsversion für diese Option angeben.

• Für Products for Selected Vendorkonfigurieren Sie, was Sie über den Malwareschutz auf dem Gerät überprüfen möchten.

1. Aktivieren Sie das Kontrollkästchen für die Bedingungen, die Sie evaluieren möchten.
2. Konfigurieren Sie die zu überprüfende Mindestversion.
3. Klicken Sie auf Speichern, um mit dem nächsten Schritt fortzufahren

Sobald Sie es konfigurieren, können Sie mit dem Schritt fortfahren, Configure Posture Requirements.

Statusanforderungen konfigurieren

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Work Center > Policy Elements > Requeriments
• Klicken Sie auf eine Edit der Anforderungen, und klicken Sie auf Insert new Requirement

• Konfigurieren Sie unter den neuen Anforderungen die folgenden Parameter:

• Name: Konfigurieren eines Namens zur Erkennung der Anti-Malware-Anforderung
• Operating System: Wählen Sie unter dem Bedingungsschritt Betriebssystem das gewünschte Betriebssystem aus.  
• Compliance Module: Sie müssen sicherstellen, dass Sie das gleiche Compliance-Modul auswählen, das Sie unter dem Bedingungsschritt "Anti-Malware Condition" haben.
• Posture Type: Agent auswählen
• Conditions: Wählen Sie die Bedingung(en) aus, die Sie im Schritt Statusbedingungen konfigurieren erstellt haben.
• Remediations Actions: Wählen Message Text Only Sie dieses Beispiel aus, oder verwenden Sie eine andere Wiederherstellungsaktion.
• Klicken Sie auf  Save

Nach der Konfiguration können Sie mit dem Schritt fortfahren, Configure Posture Policy

Statusrichtlinie konfigurieren

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Work Center > Posture Policy
• Klicken Sie auf eine Edit der Richtlinien, und klicken Sie auf Insert new Policy

• Konfigurieren Sie unter der neuen Richtlinie die folgenden Parameter:

• Status: Aktivieren Sie das Kontrollkästchen zum Aktivieren der Richtlinie.
• Rule Name: Konfigurieren Sie einen Namen zur Erkennung der konfigurierten Richtlinie.
• Identity Groups: Wählen Sie die zu bewertenden Identitäten aus.
• Operating Systems: Wählen Sie das Betriebssystem basierend auf der Bedingung und den zuvor konfigurierten Anforderungen aus.
• Compliance Module: Wählen Sie das Compliance-Modul basierend auf der Bedingung und den zuvor konfigurierten Anforderungen aus.
• Posture Type: Agent auswählen
• Requeriments: Wählen Sie die im Schritt "Configure Posture Requirements" (Statusanforderungen konfigurieren) konfigurierten Anforderungen aus.
• Klicken Sie auf  Save

Konfiguration der Client-Bereitstellung

Um den Benutzern das ISE-Modul bereitzustellen, konfigurieren Sie die Client-Bereitstellung so, dass die Computer mit dem ISE-Statusmodul ausgestattet werden. Auf diese Weise können Sie den Systemstatus überprüfen, sobald der Agent installiert wurde. Um mit diesem Prozess fortzufahren, gehen Sie wie folgt vor:

Navigieren Sie zu Ihrem ISE Dashboard.

• Klicken Sie Work Center > Client Provisioning
• Auswählen Resources

Bei der Clientbereitstellung müssen drei Dinge konfiguriert werden:

Step 1 Agentenressourcen herunterladen und hochladen

• Um eine neue Agentenressource hinzuzufügen, navigieren Sie zum Cisco Download Portal, und laden Sie das Web-Bereitstellungspaket herunter. Die Web-Bereitstellungsdatei muss das Format .pkg aufweisen.

• Klicken Sie auf+ Add > Agent resources from local disk und laden Sie die Pakete hoch.

Step 2Compliance-Modul herunterladen 

• Klicken Sie + Add > Agent resources from Cisco Site

• Aktivieren Sie das Kontrollkästchen für jedes erforderliche Compliance-Modul, und klicken Sie auf Save

Step 3Konfigurieren des Agentenprofils

• Klicken Sie + Add > Agent Posture Profile

• Erstellen Sie einen Name für Posture Profile

• Legen Sie unter "Servernamen" ein * und klicken Sie Save danach auf

Step 4 Konfigurieren der Agentenkonfiguration

• Klicken Sie + Add > Agent Configuration

• Konfigurieren Sie anschließend die folgenden Parameter: 

• Select Agent Package : Wählen Sie das hochgeladene Paket aus den Step1-Download- und -Upload-Agent-Ressourcen aus.
• Configuration Name: Wählen Sie einen Namen für die Agent Configuration
• Compliance Module: Wählen Sie das heruntergeladene Compliance-Modul aus.Schritt 2: Compliance-Modul herunterladen
• Cisco Secure Client Module Selection
  
  • ISE Posture: Kontrollkästchen markieren
• Profile Selection
  
  • ISE Posture: Wählen Sie das ISE-Profil aus, das auf der Seite Step3 Configure the Agent Profile konfiguriert wurde.
• Klicken Sie auf  Save

Anmerkung: Es wird empfohlen, dass jedes Betriebssystem, Windows, Mac OS oder Linux, über eine unabhängige Client-Konfiguration verfügt.

Client-Bereitstellungsrichtlinie konfigurieren

Um die Bereitstellung des ISE-Status und der im letzten Schritt konfigurierten Module zu ermöglichen, müssen Sie eine Richtlinie für die Bereitstellung konfigurieren.

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Work Center > Client Provisioning

Anmerkung: Es wird empfohlen, dass für jedes Betriebssystem, Windows, Mac OS oder Linux, eine Client-Konfigurationsrichtlinie gilt.

• Rule Name: Konfigurieren Sie den Namen der Richtlinie auf Basis des Gerätetyps und der Identitätsgruppenauswahl, um jede Richtlinie leicht identifizieren zu können.
• Identity Groups: Wählen Sie die Identitäten aus, die Sie für die Richtlinie auswerten möchten.
• Operating Systems: Wählen Sie das Betriebssystem basierend auf dem im Schritt ausgewählten Agentenpaket aus. Wählen Sie Agentenpaket
• Other Condition: Wählen Network Access Sie die Option für die Authentication MethodEQUALSim Schritt konfigurierte Methode aus, fügen Sie RADIUS-Gruppe hinzu, oder lassen Sie das Feld leer.
• Result: Wählen Sie die unter Schritt 4 Konfigurieren der Agentenkonfiguration konfigurierte Agentenkonfiguration aus. 
  • Native Supplicant Configuration: AuswählenConfig Wizardund Wizard Profile
• Markieren Sie die Richtlinie als aktiviert, wenn sie nicht im Kontrollkästchen als aktiviert aufgeführt ist.

Erstellen der Autorisierungsprofile

Das Autorisierungsprofil schränkt den Zugriff auf die Ressourcen je nach dem Benutzerstatus nach dem Authentifizierungsprozess ein. Die Autorisierung muss überprüft werden, um anhand des Status zu bestimmen, auf welche Ressourcen der Benutzer zugreifen kann.

Um die DACL zu konfigurieren, navigieren Sie zum ISE Dashboard:

• Klicken Sie Work Centers > Policy Elements > Downloadable ACLs
• Klicken Sie +Add
• Erstellen Sie Compliant DACL

• Name: Fügen Sie einen Namen hinzu, der auf die DACL-konforme
• IP version: Auswählen IPv4
• DACL Content: Erstellen einer herunterladbaren Zugriffskontrollliste (DACL), die Zugriff auf alle Ressourcen des Netzwerks bietet

permit ip any any

Klicken Sie auf, Save und erstellen Sie die unbekannte Compliance-DACL.

• Klicken Sie Work Centers > Policy Elements > Downloadable ACLs
• Klicken Sie +Add
• Erstellen Sie Unknown Compliant DACL

• Name: Fügen Sie einen Namen hinzu, der auf die DACL-Unknown-Compliant verweist.
• IP version: Auswählen IPv4
• DACL Content: Erstellen einer DACL mit eingeschränktem Zugriff auf Netzwerk, DHCP, DNS, HTTP und das Bereitstellungsportal über Port 8443

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

Anmerkung: In diesem Szenario entspricht die IP-Adresse 192.168.10.206 dem Cisco Identity Services Engine (ISE)-Server, und Port 8443 ist für das Bereitstellungsportal festgelegt. Dies bedeutet, dass TCP-Datenverkehr an die IP-Adresse 192.168.10.206 über Port 8443 zugelassen wird, wodurch der Zugriff auf das Bereitstellungsportal erleichtert wird.

Jetzt verfügen Sie über die erforderliche DACL zum Erstellen der Autorisierungsprofile.

Rufen Sie zum Konfigurieren der Autorisierungsprofile das ISE Dashboard auf:

• Klicken Sie Work Centers > Policy Elements > Authorization Profiles
• Klicken Sie +Add
• Erstellen Sie Compliant Authorization Profile

• Name: Erstellen eines Namens, der auf das kompatible Autorisierungsprofil verweist
• Access Type: Auswählen ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Wählen Sie die auf dem Schritt "Compliant DACL" konfigurierte DACL aus.

Klicken Sie auf Save , und erstellen Sie Unknown Authorization Profile

• Klicken Sie Work Centers > Policy Elements > Authorization Profiles
• Klicken Sie +Add
• Erstellen Sie Uknown Compliant Authorization Profile

• Name: Erstellen eines Namens, der auf das unbekannte, kompatible Autorisierungsprofil verweist
• Access Type: Auswählen ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Wählen Sie die auf dem Schritt Unknown Compliant DACL konfigurierte DACL aus.
  • Web Redirection (CWA,MDM,NSP,CPP)
    • Auswählen Client Provisioning (Posture)
    • ACL: Muss redirect
    • Value: Wählen Sie das Standard-Bereitstellungsportal aus, oder wählen Sie es aus, wenn Sie ein anderes Portal definiert haben.

Anmerkung: Der Name der Umleitungs-ACL für sicheren Zugriff für alle Bereitstellungen lautet redirect.

Nachdem Sie alle diese Werte definiert haben, müssen Sie etwas Ähnliches unterAttributes Detailshaben.

Klicken Sie hierSave, um die Konfiguration zu beenden und mit dem nächsten Schritt fortzufahren.

Festlegen von Statusrichtlinien

Die drei Richtlinien, die Sie erstellen, basieren auf den Autorisierungsprofilen, die Sie konfiguriert haben. für DenyAccess, müssen Sie nicht noch eine erstellen.

Rufen Sie Ihr ISE Dashboard auf.

• Klicken Sie Work Center > Policy Sets
• Klicken Sie auf das>, um auf die von Ihnen erstellte Richtlinie zuzugreifen.

• Klicken Sie auf Authorization Policy

• Erstellen Sie die nächsten drei Richtlinien in der folgenden Reihenfolge:

• Klicken Sie auf + , um die CSA-Compliance Richtlinie zu definieren: 

• Im nächsten Schritt ändern Sie dasRule Name,Conditionsund Profiles
• Wenn Sie die Name Einstellung für einen Namen auf CSA-Compliance
• Um das zu konfigurieren, Conditionklicken Sie auf die Schaltfläche +
• Unter Condition Studiofinden Sie die Informationen: 

1. Um die Bedingung zu erstellen, suchen Sie nach compliant
2. Sie müssen Folgendes anzeigen: Compliant_Devices
3. Drag & Drop unter dem Editor
4. Klicken Sie unterEditorin New
5. Klicken Sie auf das Identity Group Symbol
6. Auswählen Internal User Identity Group
7. Wählen Sie Equalsunter den User Identity Group gewünschten Treffer aus.
8. Klicken Sie auf  Use

• Als Ergebnis haben Sie das nächste Bild

• Klicken Sie Profile unter der Dropdown-Schaltfläche auf das im Schritt konfigurierte Autorisierungsprofil für die Beschwerde. Wählen Sie das entsprechende Autorisierungsprofil aus.

Jetzt haben Sie die konfiguriert Compliance Policy Set.

• Klicken Sie auf + , um die CSA-Unknown-Compliance Richtlinie zu definieren: 

• Im nächsten Schritt ändern Sie dasRule Name,Conditionsund Profiles
• Wenn Sie die Name Einstellung für einen Namen auf CSA-Unknown-Compliance
• Um das zu konfigurieren, Conditionklicken Sie auf die Schaltfläche +
• Unter Condition Studiofinden Sie die Informationen: 

1. Um die Bedingung zu erstellen, suchen Sie nach compliance
2. Sie müssen Folgendes anzeigen: Compliant_Unknown_Devices
3. Drag & Drop unter dem Editor
4. Klicken Sie unterEditorin New
5. Klicken Sie auf das Identity Group Symbol
6. Auswählen Internal User Identity Group
7. Wählen Sie Equalsunter den User Identity Group gewünschten Treffer aus.
8. Klicken Sie auf  Use

• Als Ergebnis haben Sie das nächste Bild

• Klicken Sie Profile unter der Dropdown-Schaltfläche auf das im Schritt konfigurierte Autorisierungsprofil für die Beschwerde, Unknown Compliant Authorization Profile (Unbekanntes konformes Autorisierungsprofil).

Jetzt haben Sie die konfiguriert Unknown Compliance Policy Set.

• Klicken Sie auf + , um die CSA- Non-Compliant Richtlinie zu definieren: 

• Im nächsten Schritt ändern Sie dasRule Name,Conditionsund Profiles
• Wenn Sie die Name Einstellung für einen Namen auf CSA-Non-Compliance
• Um das zu konfigurieren, Conditionklicken Sie auf die Schaltfläche +
• Unter Condition Studiofinden Sie die Informationen: 

1. Um die Bedingung zu erstellen, suchen Sie nach non
2. Sie müssen Folgendes anzeigen: Non_Compliant_Devices
3. Drag & Drop unter dem Editor
4. Klicken Sie unterEditorin New
5. Klicken Sie auf das Identity Group Symbol
6. Auswählen Internal User Identity Group
7. Wählen Sie Equalsunter den User Identity Group gewünschten Treffer aus.
8. Klicken Sie auf  Use

• Als Ergebnis haben Sie das nächste Bild

• Klicken Sie unter Profile dem Dropdown-Menü auf und wählen Sie das Reklamationsautorisierungsprofil aus. DenyAccess

Wenn Sie die Konfiguration der drei Profile abgeschlossen haben, können Sie die Integration mit dem Status testen.

Überprüfung

Statusüberprüfung

Verbindung am Rechner

Stellen Sie über Secure Client eine Verbindung zu Ihrer FQDN RA-VPN-Domäne bei sicherem Zugriff her.

Anmerkung: Für diesen Schritt muss kein ISE-Modul installiert werden.

1. Verbindung über Secure Client herstellen.

2. Geben Sie die Anmeldeinformationen für die Authentifizierung über Duo an.

3. An diesem Punkt werden Sie mit dem VPN verbunden, und meistens werden Sie wahrscheinlich zur ISE umgeleitet. Wenn nicht, können Sie versuchen, zu navigieren http:1.1.1.1.

Anmerkung: An diesem Punkt fallen Sie unter Autorisierung - Richtliniensatz CSA-Unknown-Compliance, da Sie den ISE Posture Agent nicht auf dem Computer installiert haben, und Sie werden zum ISE-Bereitstellungsportal umgeleitet, um den Agenten zu installieren.

4. Klicken Sie auf Start, um mit der Agentenbereitstellung fortzufahren.

5. Klicken Sie auf + This is my first time here.

6. Klicken Sie Click here to download and install agent

7. Installieren Sie den Agenten 

8. Nach der Installation des Agenten beginnt die ISE-Statusüberprüfung mit der Überprüfung des aktuellen Systemstatus. Wenn die Richtlinienanforderungen nicht erfüllt werden, wird ein Popup-Fenster angezeigt, das Sie auf die Einhaltung der Richtlinien hinweist.

Anmerkung: Wenn SieCanceloder die verbleibende Zeit endet, werden Sie automatisch nicht konform, fallen unter die Autorisierungsrichtlinie "CSA-Non-Compliance" und werden sofort vom VPN getrennt.

9. Installieren Sie den Secure Endpoint Agent, und stellen Sie erneut eine Verbindung mit dem VPN her.

10. Nachdem der Agent überprüft hat, dass der Computer die Anforderungen erfüllt, ändert sich Ihr Status, sodass er eine Beschwerde auslöst und Zugriff auf alle Ressourcen im Netzwerk erhält.

Anmerkung: Sobald die Compliance-Anforderungen erfüllt sind, unterliegen Sie dem CSA-Compliance-Autorisierungsrichtlinienset und haben sofort Zugriff auf alle Netzwerkressourcen.

So überprüfen Sie die Protokolle in der ISE

Um das Authentifizierungsergebnis für einen Benutzer zu überprüfen, gibt es zwei Beispiele für Compliance und Nichtkonformität. Um es in der ISE zu überprüfen, befolgen Sie die folgenden Anweisungen:

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Operations > Live Logs

Das nächste Szenario zeigt, wie erfolgreiche Compliance- und Nicht-Compliance-Ereignisse angezeigt werden unter Live Logs:

Einhaltung

Nichteinhaltung

Erste Schritte mit sicherem Zugriff und ISE-Integration

Im nächsten Beispiel befindet sich die Cisco ISE unter dem Netzwerk 192.168.10.0/24, und die Konfiguration der Netzwerke, die über den Tunnel erreichbar sind, muss unter der Tunnelkonfiguration hinzugefügt werden.

Step 1: Überprüfen Sie Ihre Tunnelkonfiguration:

Navigieren Sie zu Ihrem Secure Access Dashboard, um dies zu überprüfen.

• Klicken Sie Connect > Network Connections
• Klicken Sie auf Network Tunnel Groups > Ihr Tunnel

• Prüfen Sie unter Zusammenfassung, ob der Tunnel den Adressraum konfiguriert hat, in dem sich Ihre Cisco ISE befindet:

Step 2: Zulassen des Datenverkehrs auf Ihrer Firewall

Damit Secure Access das ISE-Gerät für die Radius-Authentifizierung verwenden kann, müssen Sie eine Regel von Secure Access für Ihr Netzwerk mit den erforderlichen Radius-Ports konfiguriert haben:

Anmerkung: Weitere ISE-Ports finden Sie im Benutzerhandbuch - Port-Referenz.

Anmerkung: Eine DNS-Regel ist erforderlich, wenn Sie Ihre ISE so konfiguriert haben, dass sie über einen Namen wie ise.ciscosspt.es erkannt wird.

Management-Pool und Endpunkt-IP-Pools

Um Ihren Management- und Endpunkt-IP-Pool zu überprüfen, navigieren Sie zu Ihrem Secure Access Dashboard:

• Klicken Sie Connect > End User Connectivity
• Klicken Sie Virtual Private Network
• Unter Manage IP Pools
• Klicken Sie Manage

Schritt 3: Überprüfen Sie, ob die ISE unter Private Ressourcen konfiguriert ist.

Damit die Benutzer, die über das VPN verbunden sind, zu navigieren ISE Provisioning Portalkönnen, müssen Sie das Gerät als private Ressource konfiguriert haben, die den Zugriff ermöglicht. Damit wird die automatische Bereitstellung des Geräts über das VPN ermöglichtISE Posture Module.

Um zu überprüfen, ob ISE korrekt konfiguriert ist, navigieren Sie zu Ihrem Secure Access Dashboard:

• Klicken Sie Resources > Private Resources
• Klicken Sie auf die ISE-Ressource

Bei Bedarf können Sie die Regel auf den Bereitstellungsportal-Port (8443) beschränken.

Anmerkung: Vergewissern Sie sich, dass Sie das Kontrollkästchen für VPN-Verbindungen aktiviert haben.

Schritt 4: Zulassen des ISE-Zugriffs gemäß der Zugriffsrichtlinie

Damit die Benutzer, die über das VPN verbunden sind, zu navigieren ISE Provisioning Portalkönnen, müssen Sie sicherstellen, dass Sie eine konfiguriert haben, Access Policy damit die Benutzer, die gemäß dieser Regel konfiguriert sind, auf die in konfigurierte private Ressource zugreifen könnenStep3.

Um zu überprüfen, ob ISE korrekt konfiguriert ist, navigieren Sie zu Ihrem Secure Access Dashboard:

• Klicken Sie Secure > Access Policy
• Klicken Sie auf die konfigurierte Regel, um den Zugriff für die VPN-Benutzer auf die ISE zuzulassen.

Fehlerbehebung

Herunterladen von ISE Posture Debug-Protokollen

So laden Sie ISE-Protokolle herunter, um ein Statusproblem zu überprüfen: 

• Rufen Sie Ihr ISE Dashboard auf.
• Klicken Sie Operations > Troubleshoot > Debug Wizard

• Klicken Sie Debug Profile Configuration

• Aktivieren Sie das Kontrollkästchen für Posture > Debug Nodes 

• Aktivieren Sie das Kontrollkästchen für die ISE-Knoten, auf denen Sie den Debugmodus aktivieren möchten, um das Problem zu beheben.

• Klicken Sie auf  Save

Vorsicht: Danach müssen Sie mit der Reproduktion des Problems beginnen. the debug logs can affect the performance of your device.

Wenn Sie das Problem reproduziert haben, fahren Sie mit den folgenden Schritten fort:

• Klicken Sie Operations > Download Logs
• Wählen Sie den Knoten aus, von dem Sie die Protokolle übernehmen möchten.

• Wählen Sie unter Support Bundleden folgenden Optionen aus:

• Include debug logs
• Unter Support Bundle Encryption
  • Shared Key Encryption
    • Füllen Encryption key und Re-Enter Encryption key
• Klicken Sie auf  Create Support Bundle
• Klicken Sie auf  Download

Warnung: Deaktivieren Sie den Debug-Modus, der im Schritt "Debug Profile Configuration" aktiviert ist.

So überprüfen Sie Protokolle für den sicheren Zugriff auf Remote-Zugriff

Navigieren Sie zu Ihrem Secure Access Dashboard:

• Klicken Sie Monitor > Remote Access Logs

DART-Paket auf sicherem Client generieren

Überprüfen Sie den folgenden Artikel, um das DART-Paket auf Ihrem Computer zu generieren: 

Cisco Secure Client Diagnostic and Reporting Tool (DART)

Anmerkung: Sobald Sie die im Abschnitt zur Fehlerbehebung angegebenen Protokolle gesammelt haben, öffnen Sie ein Ticket bei , TAC um mit der Analyse der Informationen fortzufahren.

Zugehörige Informationen

• Technischer Support und Downloads von Cisco
• Secure Access-Dokumentation und Benutzerhandbuch
• Software-Download für Cisco Secure Client
• Administratorleitfaden für die Cisco Identity Services Engine, Version 3.3