NAC (CCA): Configure la autenticación en el Access Manager limpio con ACS 5.x y posterior

Introducción

Este documento proporciona la información cómo configurar la autenticación en el Access Manager limpio (CAM) con el Cisco Secure Access Control System (ACS) 5.x y posterior. Para una configuración similar usando las versiones anterior que ACS 5.x, refiera al NAC (CCA): Configure la autenticación en el Access Manager limpio (CAM) con el ACS.

prerrequisitos

Requisitos

Esta configuración es aplicable a la versión 3.5 y posterior CAM.

Componentes Utilizados

La información en este documento se basa en la versión 4.1 CAM.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Note: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Autenticación de la configuración encendido CCA con ACS 5.x

Complete estos pasos:

1. Agregue los nuevos papeles

   1. Cree un papel Admin

      • Del CAM, elija User Management (Administración de usuario) > los rol del usuario > nuevo papel.

        

      • Ingrese un nombre único, admin, para el papel en el campo de nombre del papel.

      • Ingrese el papel de Usuario administrador como descripción opcional del papel.

      • Elija el papel normal del login como el tipo del papel.

      • Configure (OOB) el rol del usuario fuera de banda del VLA N con el VLA N apropiado. Por ejemplo, elija el VLAN ID y especifique el ID como 10.

      • Cuando está acabado, el tecleo crea el papel. Para restablecer las propiedades predeterminadas en la forma, restauración del tecleo.

      • El papel ahora aparece en la lista de lengueta de los papeles tal y como se muestra en de los VLA N de la etiqueta para la sección OOB Papel-basada de las asignaciones.

   2. Cree un rol del usuario

      • Del CAM, elija User Management (Administración de usuario) > los rol del usuario > nuevo papel.

        

      • Ingrese un nombre único, los usuarios, para el papel en el campo de nombre del papel.

      • Ingrese el papel de usuario normal como descripción opcional del papel.

      • Configure (OOB) el rol del usuario fuera de banda del VLA N con el VLA N apropiado. Por ejemplo, elija el VLAN ID y especifique el ID como 20.

      • Cuando está acabado, el tecleo crea el papel. Para restablecer las propiedades predeterminadas en la forma, restauración del tecleo.

      • El papel ahora aparece en la lista de lengueta de los papeles tal y como se muestra en de los VLA N de la etiqueta para la sección OOB Papel-basada de las asignaciones.

2. VLA N de la etiqueta para las asignaciones OOB Papel-basadas

   Del CAM, elija User Management (Administración de usuario) > los rol del usuario > lista de papeles para ver la lista de papeles hasta ahora.

   

3. Agregue al servidor de autenticación RADIUS (el ACS)

   1. Elija User Management (Administración de usuario) > los servidores de autenticación > nuevo.

      

   2. Del menú desplegable del tipo de autenticación, elija el radio.

   3. Ingrese el nombre del proveedor como ACS.

   4. Ingrese Nombre del servidor como auth.cisco.com.

   5. Puerto de servidor — El número del puerto 1812 en el cual el servidor de RADIUS está escuchando.

   6. Tipo del radio — El método de autenticación de RADIUS. Los métodos aceptados incluyen EAPMD5, el PAP, la GRIETA, el MSCHAP y el MSCHAP2.

   7. Se utiliza el papel predeterminado si asocia al ACS no se define ni se fija correctamente, o si el atributo de RADIUS no se define ni se fija correctamente en el ACS.

   8. Secreto compartido — El límite del secreto compartido RADIUS a la dirección IP del cliente especificado.

   9. Nas-ip-address — Este valor que se enviará con todos los paquetes de la autenticación de RADIUS.

   10. El tecleo agrega el servidor.

       

4. Usuarios de ACS del mapa CCA a los rol del usuario

   1. Elija User Management (Administración de usuario) > los servidores de autenticación > las reglas de la asignación > Add que asocian el link para asociar al Usuario administrador en el ACS CCA al papel de Usuario administrador.

      

   2. Elija User Management (Administración de usuario) > los servidores de autenticación > las reglas de la asignación > Add que asocian el link para asociar al usuario normal en el ACS CCA al rol del usuario.

      

      Aquí está el rol del usuario del resumen de la asignación:

      

5. Proveedores alternos del permiso en la página del usuario

   Elija la administración > las páginas del usuario > la página de registro > Add > contenido para habilitar los proveedores alternos en la página del ingreso del usuario al sistema.

   

Configuración ACS5.x

1. Elija los recursos de red > los dispositivos de red y a los clientes AAA, después haga clic crean para agregar el CAM como cliente AAA.

   

2. Proporcione el nombre, dirección IP y elija el RADIUS bajo opciones de autenticación. Entonces, proporcione el secreto compartido para el CAM y el tecleo someten.

   

3. Elija los recursos de red > los dispositivos de red y a los clientes AAA, después haga clic crean para agregar CAS como cliente AAA.

   

4. Proporcione el nombre, dirección IP y elija el RADIUS bajo opciones de autenticación. Entonces, proporcione el secreto compartido para CAS y el tecleo somete.

   

5. Elija los recursos de red > los dispositivos de red y los clientes AAA y el tecleo crean para agregar el ASA como cliente AAA.

   

6. Proporcione el nombre, dirección IP y elija el RADIUS bajo opciones de autenticación. Entonces, proporcione el secreto compartido para el ASA y el tecleo someten.

   

7. Elija a los usuarios y la identidad salva > los grupos de la identidad y el tecleo crea para crear a un nuevo grupo de la identidad.

   

8. Proporcione el nombre del grupo y el tecleo somete.

   

9. Elija a los usuarios y la identidad salva > los grupos de la identidad y el tecleo crea para crear a un nuevo grupo de la identidad.

   

10. Proporcione el nombre del grupo y el tecleo somete.

    

11. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users y el tecleo crea para crear a un usuario nuevo.

    

12. Proporcione el nombre del usuario y cambie la membresía del grupo al admin group. Entonces, proporcione la contraseña y confirme la contraseña. Haga clic en Submit (Enviar).

    

13. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users y el tecleo crea para crear a un usuario nuevo.

    

14. Proporcione el nombre del usuario y cambie la membresía del grupo al grupo de usuarios. Entonces, proporcione la contraseña y confirme la contraseña. Haga clic en Submit (Enviar).

    

15. Elija los elementos > la autorización de la directiva y los permisos > el acceso a la red > los perfiles y el tecleo de la autorización crean para crear un nuevo perfil de la autorización.

    

16. Proporcione el nombre del perfil y haga clic los atributos de RADIUS.

    

17. De los atributos de RADIUS tabule, elija RADIUS-IETF como el tipo de diccionario. Entonces, tecleo selecto al lado del atributo de RADIUS.

    

18. Elija el atributo de clase y haga clic la AUTORIZACIÓN.

    

19. Asegúrese de que el valor de atributo sea estático y ingrese el Admin como el valor. El tecleo agrega, después hace clic somete.

    

20. Elija los elementos > la autorización de la directiva y los permisos > el acceso a la red > los perfiles y el tecleo de la autorización crean para crear un nuevo perfil de la autorización.

    

21. Proporcione el nombre del perfil y haga clic los atributos de RADIUS.

    

22. De los atributos de RADIUS tabule, elija RADIUS-IETF como el tipo de diccionario. Entonces, tecleo selecto al lado del atributo de RADIUS.

    

23. Elija el atributo de clase y haga clic la AUTORIZACIÓN.

    

24. Asegúrese de que el valor de atributo sea estático y ingrese a los usuarios como el valor. El tecleo agrega, después hace clic somete.

    

25. Elija las políticas de acceso > el acceso mantiene > las reglas de selección del servicio e identifica qué servicio está procesando el pedido de RADIUS. En este ejemplo, el servicio es acceso de red predeterminada.

    

26. Elija las políticas de acceso > el acceso mantiene > acceso de red predeterminada (el servicio identificado en el paso anterior que procesó el pedido de RADIUS) > autorización. El tecleo personaliza.

    

27. Mueva al grupo de la identidad desde disponible a la columna seleccionada. Click OK.

    

28. El tecleo crea para crear una nueva regla.

    

29. Asegúrese de que el cuadro de casilla del grupo de la identidad esté marcado, después hacen clic selecto al lado del grupo de la identidad.

    

30. Seleccione el admin group y haga clic la AUTORIZACIÓN.

    

31. Haga clic selecto en la sección de los perfiles de la autorización.

    

32. Seleccione el perfil de la autorización Admin y haga clic la AUTORIZACIÓN.

    

33. El tecleo crea para crear una nueva regla.

    

34. Asegúrese de que el cuadro de casilla del grupo de la identidad esté marcado y haga clic selecto al lado del grupo de la identidad.

    

35. Seleccione al grupo de usuarios y haga clic la AUTORIZACIÓN.

    

36. Haga clic selecto en la sección de los perfiles de la autorización.

    

37. Seleccione el perfil de la autorización de los usuarios y haga clic la AUTORIZACIÓN.

    

38. Click OK.

    

39. Cambios de la salvaguardia del tecleo.

    

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

• Soporte del dispositivo NAC de Cisco
• Cisco Secure Access Control System
• Soporte Técnico y Documentación - Cisco Systems