In questo documento viene descritto come configurare Secure Client Network Analysis Module (NAM) su Windows.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
In questo documento viene descritto come configurare Secure Client NAM su Windows. Vengono utilizzati l'opzione di pre-distribuzione e l'Editor di profili per eseguire l'autenticazione dot1x. Vengono inoltre forniti alcuni esempi di come questo obiettivo viene raggiunto.
In rete, un supplicant è un'entità a un'estremità di un segmento LAN point-to-point, che cerca di essere autenticato da un autenticatore collegato all'altra estremità del collegamento.
Lo standard IEEE 802.1X utilizza il termine supplicant per riferirsi sia all'hardware che al software. In pratica, un supplicant è un'applicazione software installata sul computer di un utente finale. L'utente richiama il supplicant e invia le credenziali per connettere il computer a una rete protetta. Se l'autenticazione ha esito positivo, in genere l'autenticatore consente al computer di connettersi alla rete.
Network Access Manager è un software client che fornisce una rete di layer 2 protetta in conformità alle relative policy. Rileva e seleziona la rete di accesso di livello 2 ottimale ed esegue l'autenticazione dei dispositivi per l'accesso alle reti cablate e wireless. Network Access Manager gestisce l'identità di utenti e dispositivi e i protocolli di accesso alla rete necessari per l'accesso protetto. Funziona in modo intelligente per impedire agli utenti finali di stabilire connessioni che violano le policy definite dagli amministratori.
Network Access Manager è progettato come una sola rete domestica e consente una sola connessione alla volta. Inoltre, le connessioni cablate hanno una priorità più alta rispetto alle connessioni wireless, quindi se si è collegati alla rete con una connessione cablata, la scheda wireless viene disabilitata senza indirizzo IP.
È fondamentale comprendere che per le autenticazioni dot1x sono necessarie 3 parti:
In questo esempio, il supplicant viene installato e configurato in modi diversi. Successivamente, viene visualizzato uno scenario con la configurazione del dispositivo di rete e il server di autenticazione.
Esempio di rete
Download del software Cisco
1. Nella barra di ricerca del nome del prodotto, digitare Secure Client 5.
Download Home > Sicurezza > Client VPN e per la sicurezza degli endpoint > Client sicuro (AnyConnect inclusa) > Secure Client 5 > Software client VPN AnyConnect.
2. Nell'esempio di configurazione, viene utilizzata la versione 5.1.2.42.
Esistono diversi modi per distribuire Secure Client ai dispositivi Windows. da SCCM, dal motore del servizio Identity e dall'headend VPN. Tuttavia, in questo articolo, il metodo di installazione utilizzato è il metodo pre-distribuzione.
3. In questa pagina cercare il file Cisco Secure Client Headend Deployment Package (Windows).
File zip Msi
4. Una volta scaricati ed estratti, fare clic su Setup (Imposta).
Protezione dei file client
5. Installare i moduli Network Access Manager e Diagnostics and Reporting Tool.
Avviso: Se si utilizza la procedura guidata Cisco Secure Client, il modulo VPN viene installato automaticamente e nascosto nell'interfaccia utente. NAM non funziona se il modulo VPN non è installato. Se si utilizzano singoli file MSI o un metodo di installazione diverso, assicurarsi di installare il modulo VPN.
Selettore di installazione
6. Fare clic su Installa selezione.
7. Accettare il contratto di licenza.
Finestra EULA
8. Dopo l'installazione di NAM è necessario riavviare il sistema.
Finestra Requisiti per il riavvio
9. Una volta installato, può essere trovato e aperto dalla barra di ricerca di Windows.
Programma Secure Client1. Per configurare le preferenze Dot1x, è necessario l'Editor di profili di Cisco Network Access Manager.
2. Dalla stessa pagina in cui è stato scaricato Secure Client, è disponibile l'opzione Editor di profili.
3. Nell'esempio viene usata l'opzione con la versione 5.1.2.42.
Editor di profili
4. Una volta scaricato, procedere con l'installazione.
5. Eseguire il file msi.
Finestra di impostazione dell'Editor di profili
6. Utilizzare l'opzione di impostazione Tipica.
Installazione dell'Editor di profili
Finestra di installazione7. Fare clic su Fine.
Fine installazione editor di profili
8. Una volta installato, aprire l'Editor di profili di Network Access Manager dalla barra di ricerca.
Editor di profili per NAM sulla barra di ricerca
9. L'installazione di Network Access Manager e dell'Editor di profili è stata completata.
1. Tutti gli scenari presentati in questo articolo contengono configurazioni per:
Criterio client Editor profili NAM
Criterio di autenticazione dell'Editor di profili NAM
Scheda Gruppi di rete
1. Passare alla sezione Reti.
2. È possibile eliminare il profilo di rete predefinito.
3. Fare clic su Aggiungi.
Creazione profilo di rete
4. Assegnare un nome al profilo di rete.
5. Selezionare Globale per l'appartenenza al gruppo. Selezionare Supporto rete cablata.
Sezione Tipo di supporto del profilo di rete
6. Fare clic su Avanti.
7. Selezionare Autenticazione della rete e utilizzare il valore predefinito per le altre opzioni nella sezione Livello di protezione.
Livello di protezione profilo di rete
8. Fare clic su Avanti per continuare con la sezione Tipo di connessione.
Tipo di connessione profilo di rete
9. Selezionare il tipo di connessione Connessione utente.
10. Fare clic su Avanti per continuare con la sezione Autenticazione utente, che è ora disponibile.
11. Selezionare PEAP come metodo EAP generale.
Autenticazione utente profilo di rete
12. Non modificare i valori predefiniti nelle impostazioni EAP-PEAP.
13. Continuare con la sezione Metodi interni basati su origine credenziali.
14. Tra i vari metodi interni esistenti per EAP PEAP, selezionare Autentica tramite password e selezionare EAP-MSCHAPv2.
15. Fare clic su Avanti per passare alla sezione Certificato.
Nota: La sezione Certificato viene visualizzata quando l'opzione Convalida identità server è selezionata nelle impostazioni EAP-PEAP. Per EAP PEAP, esegue l'incapsulamento utilizzando il certificato del server.
16. Nella sezione Certificati, Regole server trusted, la regola Nome comune termina con c.com, che fa riferimento al certificato utilizzato dal server durante il flusso PEAP EAP. Se nell'ambiente in uso è utilizzato Identity Service Engine (ISE), è possibile utilizzare il nome comune del certificato EAP del nodo di Policy Server.
Sezione Certificato profilo di rete
17. Nell'Autorità di certificazione attendibile è possibile selezionare due opzioni. In questo scenario, anziché aggiungere un certificato CA specifico che firmi il certificato RADIUS EAP, viene utilizzata l'opzione Considera attendibile qualsiasi autorità di certificazione (CA) radice installata nel sistema operativo.
18. Con questa opzione, il dispositivo Windows considera attendibile qualsiasi certificato EAP firmato da un certificato incluso nel programma Certificati per la gestione dei certificati utente — Utente corrente > Autorità di certificazione radice attendibili > Certificati.
19. Fare clic su Avanti.
Sezione Credenziali profilo di rete
20. Nella sezione Credenziali, viene modificata solo la sezione Credenziali utente.
21. L'opzione Richiedi credenziali > Non ricordare mai è selezionata, in ogni autenticazione l'utente che seleziona l'autenticazione deve immettere le proprie credenziali.
22. Fare clic su Fine.
23. Salvare il profilo di Secure Client Network Access Manager come configuration.xml con l'opzione File > Salva con nome.
24. Per garantire che Secure Client Network Access Manager utilizzi il profilo appena creato, sostituire il file configuration.xml nella directory successiva con quello nuovo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: Il file deve essere denominato configuration.xml, altrimenti non funzionerà.
Sezione Sostituisci file
1. Aprire l'Editor di profili NAM e passare alla sezione Reti.
2. Fare clic su Aggiungi.
Scheda Rete dell'Editor di profili NAM
3. Inserire un nome nel profilo di rete.
4. Selezionare Globale per l'appartenenza al gruppo. Selezionare Wired Network Media.
Sezione tipo di supporto
5. Fare clic su Avanti.
6. Selezionare Autenticazione rete e non modificare i valori predefiniti per le altre opzioni di questa sezione.
Sezione Editor di profili del livello di protezione
7. Fare clic su Avanti per continuare con la sezione Tipo di connessione.
Sezione Tipo di connessione
8. Configurare l'autenticazione di computer e utente contemporaneamente selezionando la terza opzione.
9. Fare clic su Avanti.
Sezione Machine Auth
10. Nella sezione Autenticazione macchina, selezionare EAP-FAST come metodo EAP. Non modificare i valori predefiniti delle impostazioni FAST EAP.
11. Per la sezione Metodi interni basati su origine credenziali, selezionare Autentica utilizzando una password e EAP-MSCHAPv2 come metodo. Selezionare quindi l'opzione Usa PAC.
12. Fare clic su Avanti.
13. Nella sezione Certificati, Regole server trusted, la regola è nome comune che termina con c.com. Questa sezione fa riferimento al certificato utilizzato dal server durante il flusso PEAP EAP. Se nell'ambiente viene utilizzato Identity Service Engine (ISE), è possibile utilizzare il nome comune del certificato EAP del nodo di Policy Server.
Sezione Attendibilità certificato server di autenticazione computer
14. Nell'autorità di certificazione attendibile è possibile selezionare due opzioni. In questo scenario, invece di aggiungere un certificato CA specifico che firmi il certificato RADIUS EAP, utilizzare l'opzione Considera attendibile qualsiasi autorità di certificazione (CA) radice installata nel sistema operativo.
15. Con questa opzione, Windows considera attendibile qualsiasi certificato EAP firmato da un certificato incluso nel programma Gestisci certificati utente (Utente corrente > Autorità di certificazione principali attendibili > Certificati).
16. Fare clic su Avanti.
Sezione Credenziali autenticazione computer
17. Selezionare Usa credenziali computer nella sezione Credenziali computer.
18. Fare clic su Avanti.
Sezione Autenticazione utente
19. Per Autenticazione utente, selezionare EAP-FAST come metodo EAP.
20. Non modificare i valori predefiniti nella sezione delle impostazioni EAP-FAST.
21. Per la sezione Metodo interno basato su origine credenziali, selezionare Autentica utilizzando una password e EAP-MSCHAPv2 come metodo.
22. Selezionare Usa PAC.
23. Fare clic su Avanti.
24. Nella sezione Certificati, Regole server trusted certificato, la regola è Nome comune termina con c.com. Queste configurazioni sono per il certificato utilizzato dal server durante il flusso PEAP EAP. Se nell'ambiente viene utilizzato ISE, è possibile utilizzare il nome comune del certificato EAP del nodo di Policy Server.
Sezione User Auth Server Certificate Trust
25. Nell'autorità di certificazione attendibile è possibile selezionare due opzioni. In questo scenario, viene utilizzata l'opzione Trust Any Root Certificate Authority (CA) Installata nel sistema operativo, anziché aggiungere un certificato CA specifico che firmi il certificato RADIUS EAP.
26. Fare clic su Avanti.
Credenziali autenticazione utente
27. Nella sezione Credenziali, viene modificata solo la sezione Credenziali utente.
28. L'opzione Richiedi credenziali > Non ricordare mai è selezionata. Pertanto, in ogni autenticazione, l'utente che esegue l'autenticazione deve immettere le proprie credenziali.
29. Fare clic sul pulsante Chiudi.
30. Selezionare File > Salva con nome e salvare Secure Client Network Access ManagerProfile come configuration.xml.
31. Per rendere Secure Client Network Access Manager, utilizzare il profilo appena creato e sostituire il file configuration.xml nella directory successiva con quello nuovo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: Il file deve essere denominato configuration.xml, altrimenti non funzionerà.
1. Aprire NAM Profile Editor e passare alla sezione Reti.
2. Fare clic su Aggiungi.
Sezione Creazione rete
3. Assegnare un nome al profilo di rete, in questo caso il nome è il protocollo EAP.
4. Selezionare Globale per l'appartenenza al gruppo. E Supporti Di Rete Cablati.
Sezione tipo di supporto
5. Fare clic su Avanti.
6. Selezionare Autenticazione della rete e non modificare i valori predefiniti per le altre opzioni nella sezione Livello di protezione.
Livello di protezione
7. Questo scenario è relativo all'autenticazione utente tramite un certificato. Per questo motivo, viene utilizzata l'opzione User Connection (Connessione utente).
Tipo di connessione
8. Configurare EAP-TLS come metodo EAP e non modificare i valori predefiniti nella sezione Impostazioni EAP-TLS.
Sezione Autenticazione utente
9. Per la sezione Certificati, creare una regola che corrisponda al certificato AAA EAP-TLS. Se si utilizza ISE, trovare questa regola nella sezione Amministrazione > Sistema > Certificati.
10. Per la sezione Autorità di certificazione attendibile, selezionare Considera attendibile qualsiasi autorità di certificazione (CA) radice installata nel sistema operativo.
Impostazioni di attendibilità del certificato del server di autenticazione utente
11. Fare clic su Avanti.
12, Per la sezione Credenziali utente, non modificare i valori predefiniti nella prima sezione.
Sezione Credenziali autenticazione utente
13. È importante configurare una regola che corrisponda al certificato di identità inviato dall'utente durante il processo TLS EAP. A tale scopo, fare clic sulla casella di controllo accanto a Usa regola di corrispondenza certificato (max 10).
14. Fare clic su Aggiungi.
Finestra Regola di corrispondenza certificato
15. Sostituire il valore della stringa CA.com interna O di terze parti con il CN del certificato utente.
Sezione Credenziali certificato di autenticazione utente
16. Fare clic su Fine per completare la configurazione.
17. Selezionare File > Salva con nome per salvare il profilo di Secure Client Network Access Manager come configuration.xml.
18. Per aggiungere Secure Client Network Access Manager, utilizzare il profilo appena creato e sostituire il file configuration.xml nella directory successiva con quello nuovo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: Il file deve essere denominato configuration.xml, altrimenti non funzionerà.
1. Configurare il router ISR 1100.
2. Questa sezione descrive la configurazione di base di NAD per garantire il funzionamento previsto del dot1x.
Nota: Per le distribuzioni ISE a più nodi, puntare a qualsiasi nodo con la persona nodo Policy Server abilitata. Per verificare questa condizione, selezionare ISE nella scheda Amministrazione > Sistema >Distribuzione.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3. Configurare Identity Service Engine 3.2.
4. Configurare il dispositivo di rete.
5. Aggiungere l'ISR e ISE ad Amministrazione > Risorse di rete > Dispositivi di rete.
6. Fare clic su Aggiungi.
Sezione Periferica di rete
7. Assegnare un nome al NAD che si sta creando. Aggiungere l'indirizzo IP del dispositivo di rete.
Creazione di dispositivi di rete
8. Nella parte inferiore della stessa pagina, aggiungere lo stesso segreto condiviso utilizzato nella configurazione del dispositivo di rete.
Impostazioni raggio dispositivo di rete
8. Salvare le modifiche.
9. Configurare l'identità utilizzata per autenticare l'endpoint.
10. Viene utilizzata l'autenticazione ISE locale e l'autenticazione ISE esterna non è spiegata in questo articolo.
11. Passare alla scheda Amministrazione > Gestione delle identità > Gruppi e creare il gruppo di cui fa parte l'utente. Il gruppo di identità creato per questo esempio è iseUsers.
Creazione gruppo di identità
12. Fare clic su Sottometti.
13. Passare alla scheda Amministrazione > Gestione delle identità > Identità.
14. Fare clic su Aggiungi.
Sezione Utenti accesso alla rete
15. Come parte dei campi obbligatori. iniziare con il nome dell'utente. Nell'esempio riportato viene utilizzato il nome utente iseiscool.
Creazione utente di accesso alla rete
16. Assegnare una password all'utente. Nell'esempio viene utilizzato VainillaISE97.
Sezione Password di creazione utente
17. Assegnare l'utente al gruppo iseUsers.
Assegnazione gruppo utenti
18. Configurare il set di criteri.
19. Selezionare ISE Menu > Policy > Policy Sets.
20. È possibile utilizzare il set di criteri predefinito. Tuttavia, per questo esempio viene creato un elemento denominato Wired.
Nota: La classificazione e la differenziazione dei set di criteri facilitano la risoluzione dei problemi,
Se l'icona di aggiunta o di aggiunta "+" non è visibile, è possibile fare clic sull'icona di ingranaggio di qualsiasi set di criteri, quindi selezionare Inserisci nuova riga sopra.
Opzioni icona ingranaggio
21. La condizione utilizzata è Wired 8021x, quindi trascinarla. quindi fare clic su Use (Usa).
Studio condizione criteri di autenticazione
2. Selezionare Accesso alla rete predefinito nella sezione Protocolli autorizzati.
Visualizzazione generale set di criteri
23. Fare clic su Salva.
1. Fare clic sull'icona >.
Set di criteri per reti cablate
2. Espandere la sezione Criteri di autenticazione.
3. Fare clic sull'icona "+".
Criterio di autenticazione
4. Assegnare un nome al criterio di autenticazione; in questo esempio viene utilizzata l'autenticazione interna.
5. Fare clic sull'icona "+" nella colonna delle condizioni per questo nuovo criterio di autenticazione.
6. Viene utilizzata la condizione preconfigurata Wired Dot1x.
7. Nella colonna Utilizza, selezionare Utenti interni.
Criterio di autenticazione
1. La sezione Criteri di autorizzazione si trova nella parte inferiore della pagina. Espanderlo e fare clic sull'icona +.
Criteri di autorizzazione
2. Assegnare un nome al criterio di autorizzazione creato di recente. Nell'esempio di configurazione viene utilizzato il nome Internal ISE Users.
3. Per creare una condizione per questo criterio di autorizzazione, fare clic sull'icona "+" nella colonna Condizioni.
4. Viene utilizzato il gruppo IseUsers.
5. Fare clic sulla sezione Attributo.
6. Selezionare l'icona IdentityGroup.
7. Dal dizionario, selezionare il dizionario InternalUser fornito con l'attributo IdentityGroup.
Creazione di condizioni
8. Dal menu a discesa, selezionare l'operatore Uguale a.
9. Dal menu a discesa Gruppi identità utente, selezionare il gruppo IseUsers.
Creazione di condizioni
10. Fare clic su Usa.
11. Aggiungere il profilo di autorizzazione dei risultati.
12. Viene utilizzato il profilo preconfigurato Permit Access.
Nota: Le autenticazioni provenienti dall'ISE che colpisce il set di criteri Dot1x per reti cablate non fanno parte del gruppo di identità utenti ISEUsers. Passare al criterio di autorizzazione predefinito, che restituisce DenyAccess.
Criteri di autorizzazione
13. Fare clic su Salva.
1. Al termine della configurazione, Secure Client richiede le credenziali e specifica l'utilizzo del profilo PEAP MSCHAPv2.
2. Vengono inserite le credenziali create in precedenza.
Secure Client NAM
3. Se l'endpoint viene autenticato correttamente, NAM visualizza che è connesso.
Secure Client NAM
4. Facendo clic sull'icona delle informazioni e passando alla sezione Cronologia messaggi, vengono visualizzati i dettagli di ogni passo NAM completato.
Cronologia messaggi client sicuri
Cronologia messaggi client sicuri
5. Da ISE, selezionare Operations > Radius LiveLogs per visualizzare i dettagli dell'autenticazione. Come mostrato nell'immagine seguente, viene visualizzato il nome utente utilizzato.
Sono disponibili ulteriori informazioni, ad esempio:
Live log ISE RADIUS
6. In questa vista vengono visualizzati tutti i criteri corretti e il risultato è uno stato di autenticazione corretto. La configurazione è corretta.
1. Se il nuovo profilo è stato creato nell'Editor di profili e non è utilizzato da NAM, utilizzare l'opzione Ripristino rete per Secure Client.
2. È possibile trovare questa opzione navigando alla Barra di Windows > Facendo clic sull'icona circonflessa > Fare clic con il pulsante destro del mouse sull'icona Secure Client > Fare clic su Ripristino rete.
Sezione Ripristino configurazione di rete
1. Abilita registrazione estesa NAM
2. Aprire NAM e fare clic sull'icona ingranaggio.
Interfaccia NAM
3. Passare alla scheda Impostazioni log. Selezionare la casella di controllo Abilita registrazione estesa.
4. Impostare Packet Capture File Size (Dimensioni file di acquisizione pacchetti) su 100 MB.
Impostazioni registro NAM client protetto
5. Dopo aver abilitato la registrazione estesa, riprodurre il problema più volte per verificare che i log siano stati generati e che il traffico sia stato acquisito.
6. Da Windows, spostarsi sulla barra di ricerca e digitare Cisco Secure Client Diagnostics and Reporting Tool.
Modulo DART
7. Durante il processo di installazione, è stato installato anche questo modulo. Si tratta di uno strumento che assiste durante i processi di risoluzione dei problemi raccogliendo registri e informazioni rilevanti sulla sessione dot1x.
8. Fare clic su Avanti nella prima finestra.
Modulo DART
9. Fare clic su Avanti per salvare il bundle di log sul desktop.
Modulo DART
10. Se necessario, fare clic sulla casella di controllo Abilita crittografia bundle.
Modulo DART
11. Viene avviata la raccolta di log DART.
Raccolta di log DART
12. Possono essere necessari circa 10 minuti fino al termine del processo.
Risultato creazione bundle DART
13. Il file dei risultati DART è disponibile nella directory del desktop.
File di risultati DART
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
02-Jul-2026
|
Aggiornati gli avvisi relativi a ortografia, spaziatura, grammatica, struttura delle frasi e CCW. |
1.0 |
29-Apr-2024
|
Versione iniziale |