NAC (CCA): Configuración de la Autenticación en Clean Access Manager con ACS 5.x y posteriores

Introducción

Este documento proporciona información sobre cómo configurar la autenticación en Clean Access Manager (CAM) con Cisco Secure Access Control System (ACS) 5.x y versiones posteriores. Para una configuración similar utilizando versiones anteriores a ACS 5.x, consulte NAC (CCA): Configure la autenticación en Clean Access Manager (CAM) con ACS.

prerrequisitos

Requisitos

Esta configuración se aplica a la versión 3.5 y posteriores del CAM.

Componentes Utilizados

La información en este documento se basa en la versión 4.1 del CAM.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuración de la Autenticación en CCA con ACS 5.x

Complete estos pasos:

1. Agregar nuevas funciones

   1. Crear una función de administrador

      • En el CAM, elija User Management > User Roles > New Role.

        

      • Introduzca un nombre único, admin, para la función en el campo Nombre de rol.

      • Ingrese Admin User Role como una Descripción de Función opcional.

      • Elija Rol de Inicio de Sesión Normal como Tipo de Rol.

      • Configure la VLAN de rol de usuario fuera de banda (OOB) con la VLAN adecuada. Por ejemplo, elija el ID de VLAN y especifique el ID como 10.

      • Cuando haya terminado, haga clic en Crear rol. Para restaurar las propiedades predeterminadas en el formulario, haga clic en Restablecer.

      • La función ahora aparece en la pestaña Lista de funciones, como se muestra en la sección Etiquetas VLAN para asignaciones basadas en roles OOB.

   2. Crear una función de usuario

      • En el CAM, elija User Management > User Roles > New Role.

        

      • Introduzca un nombre único, usuarios, para la función en el campo Nombre de rol.

      • Introduzca rol de usuario normal como descripción de rol opcional.

      • Configure la VLAN de rol de usuario fuera de banda (OOB) con la VLAN adecuada. Por ejemplo, elija el ID de VLAN y especifique el ID como 20.

      • Cuando haya terminado, haga clic en Crear rol. Para restaurar las propiedades predeterminadas en el formulario, haga clic en Restablecer.

      • La función ahora aparece en la pestaña Lista de funciones, como se muestra en la sección Etiquetas VLAN para asignaciones basadas en roles OOB.

2. Etiquetar VLAN para asignaciones basadas en roles OOB

   Desde el CAM, elija Administración de usuarios > Roles de usuario > Lista de funciones para ver la lista de roles hasta ahora.

   

3. Agregar servidor de autenticación RADIUS (ACS)

   1. Elija User Management > Auth Servers > New.

      

   2. En el menú desplegable Authentication Type , elija Radius.

   3. Introduzca el nombre del proveedor como ACS.

   4. Introduzca el nombre del servidor como auth.cisco.com.

   5. Puerto del servidor: el número de puerto 1812 en el que escucha el servidor RADIUS.

   6. Tipo de RADIUS: el método de autenticación RADIUS. Los métodos admitidos incluyen EAPMD5, PAP, CHAP, MSCHAP y MSCHAP2.

   7. El rol predeterminado se utiliza si el mapeo a ACS no está definido o configurado correctamente, o si el atributo RADIUS no está definido o configurado correctamente en el ACS.

   8. Secreto compartido: secreto compartido RADIUS enlazado a la dirección IP del cliente especificado.

   9. NAS-IP-Address: este valor se envía con todos los paquetes de autenticación RADIUS.

   10. Haga clic en Agregar servidor.

       

4. Asignar usuarios ACS a funciones de usuario de CCA

   1. Elija User Management > Auth Servers > Mapping Rules > Add Mapping Link para asignar el usuario administrador en ACS al rol de usuario administrador de CCA.

      

   2. Elija User Management > Auth Servers > Mapping Rules > Add Mapping Link para asignar al usuario normal en ACS a la función de usuario de CCA.

      

      Este es el resumen de asignación de roles de usuario:

      

5. Habilitar proveedores alternativos en la página Usuario

   Elija Administration > User Pages > Login Page > Add > Content para habilitar proveedores alternativos en la página de inicio de sesión del usuario.

   

Configuración de ACS5.x

1. Elija Recursos de Red > Dispositivos de Red y Clientes AAA, luego haga clic en Crear para agregar CAM como Cliente AAA.

   

2. Proporcione el nombre, la dirección IP y elija RADIUS en Opciones de autenticación. A continuación, proporcione el secreto compartido para CAM y haga clic en Enviar.

   

3. Elija Network Resources > Network Devices and AAA Clients, luego haga clic en Create para agregar CAS como AAA Client.

   

4. Proporcione el nombre, la dirección IP y elija RADIUS en Opciones de autenticación. A continuación, proporcione el secreto compartido para CAS y haga clic en Enviar.

   

5. Elija Network Resources > Network Devices and AAA Clients y haga clic en Create para agregar ASA como AAA Client.

   

6. Proporcione el nombre, la dirección IP y elija RADIUS en Opciones de autenticación. A continuación, proporcione el secreto compartido para ASA y haga clic en Enviar.

   

7. Elija Users and Identity Stores > Identity Groups y haga clic en Create para crear un nuevo grupo de identidad.

   

8. Proporcione el nombre del grupo y haga clic en Enviar.

   

9. Elija Users and Identity Stores > Identity Groups y haga clic en Create para crear un nuevo grupo de identidad.

   

10. Proporcione el nombre del grupo y haga clic en Enviar.

    

11. Elija Users and Identity Stores > Internal Identity Stores > Users y haga clic en Create para crear un nuevo usuario.

    

12. Proporcione el nombre del usuario y cambie la pertenencia al grupo a Admin group. A continuación, proporcione la contraseña y confírmela. Haga clic en Submit (Enviar).

    

13. Elija Users and Identity Stores > Internal Identity Stores > Users y haga clic en Create para crear un nuevo usuario.

    

14. Proporcione el nombre del usuario y cambie la pertenencia al grupo a grupo Usuarios. A continuación, proporcione la contraseña y confírmela. Haga clic en Submit (Enviar).

    

15. Elija Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles y haga clic en Create para crear un nuevo Authorization Profile.

    

16. Proporcione el Nombre del Perfil y haga clic en Atributos RADIUS.

    

17. En la pestaña Atributos RADIUS, elija RADIUS-IETF como el Tipo de diccionario. A continuación, haga clic en Seleccionar junto a Atributo RADIUS.

    

18. Elija el atributo Class y haga clic en Aceptar.

    

19. Asegúrese de que el Valor de atributo sea estático e introduzca Admin como valor. Haga clic en Agregar y luego haga clic en Enviar.

    

20. Elija Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles y haga clic en Create para crear un nuevo Authorization Profile.

    

21. Proporcione el Nombre del Perfil y haga clic en Atributos RADIUS.

    

22. En la pestaña Atributos RADIUS, elija RADIUS-IETF como el Tipo de diccionario. A continuación, haga clic en Seleccionar junto a Atributo RADIUS.

    

23. Elija el atributo Class y haga clic en Aceptar.

    

24. Asegúrese de que el Valor de atributo sea estático e introduzca Usuarios como valor. Haga clic en Agregar y luego haga clic en Enviar.

    

25. Elija Access Policies > Access Services > Service Selection Rules e identifique qué servicio está procesando la solicitud RADIUS. En este ejemplo, el servicio es Acceso de red predeterminado.

    

26. Elija Access Policies > Access Services > Default Network Access (el servicio identificado en el paso anterior que procesó la solicitud RADIUS) > Authorization. Haga clic en Personalizar.

    

27. Mover grupo de identidad de Disponible a la columna Seleccionado. Click OK.

    

28. Haga clic en Crear para crear una nueva regla.

    

29. Asegúrese de que la casilla de verificación Grupo de identidad esté marcada y, a continuación, haga clic en Seleccionar junto a Grupo de identidad.

    

30. Seleccione el grupo Admin y haga clic en OK.

    

31. Haga clic en Seleccionar en la sección Perfiles de Autorización.

    

32. Seleccione el perfil de autorización de administración y haga clic en Aceptar.

    

33. Haga clic en Crear para crear una nueva regla.

    

34. Asegúrese de que la casilla de verificación Grupo de identidad esté marcada y haga clic en Seleccionar junto a Grupo de identidad.

    

35. Seleccione el grupo Usuarios y haga clic en Aceptar.

    

36. Haga clic en Seleccionar en la sección Perfiles de Autorización.

    

37. Seleccione el perfil de autorización de usuarios y haga clic en Aceptar.

    

38. Click OK.

    

39. Haga clic en Guardar cambios.

    

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

• Compatibilidad con dispositivos Cisco NAC
• Cisco Secure Access Control System
• Soporte Técnico y Documentación - Cisco Systems