La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come configurare la valutazione della postura per gli utenti VPN ad accesso remoto con Identity Service Engine (ISE) e Secure Access con Duo.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano su:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
L'integrazione di Duo SAML con Cisco Identity Services Engine (ISE) migliora il processo di autenticazione e aggiunge un altro livello di sicurezza alle soluzioni Cisco Secure Access. Duo SAML fornisce una funzionalità Single Sign-On (SSO) che semplifica il processo di accesso dell'utente garantendo al contempo standard di sicurezza elevati.
Dopo l'autenticazione tramite Duo SAML, il processo di autorizzazione viene gestito da Cisco ISE. Ciò consente di prendere decisioni dinamiche sul controllo dell'accesso in base all'identità dell'utente e alla postura del dispositivo. ISE può applicare policy dettagliate che stabiliscono a quali risorse un utente può accedere, quando e da quali dispositivi.
Nota: Per configurare l'integrazione RADIUS, è necessario verificare la comunicazione tra entrambe le piattaforme.
Nota: prima di iniziare il processo di configurazione, è necessario completare i primi passaggi con Secure Access e ISE Integration.
Per configurare l'applicazione RSA-VPN, procedere con i passi successivi:
Passare al pannello di amministrazione Duo
Applications > Protect an Application
Generic SAML Service Provider
Protect
È necessario che l'applicazione sia visualizzata sullo schermo; memorizzare il nome dell'applicazione per la configurazione VPN.
In questo caso è Generic SAML Service Provider.
Per configurare il profilo VPN utilizzando Radius, procedere con i passaggi seguenti:
Passare al Dashboard di accesso sicuro.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
), fare clic suManage
Radius Group (Optional)
Add RADIUS Group
Group Name
: Configurazione di un nome per l'integrazione ISE in Secure Access
AAA method
Authentication
: Selezionare la casella di controllo per Authentication
e selezionare la porta, per impostazione predefinita, 1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
selezionare la casella di controlloAuthorization
: Contrassegnare la casella di controllo perAuthorization
e selezionare la porta, per impostazione predefinita, 1812
Authorization mode Only
e perChange of Authorization (CoA) mode
consentire la postura e le modifiche da ISEAccounting
: selezionare la casella di controllo Autorizzazione e selezionare la porta predefinita, 1813
Single or Simultaneous
(in modalità singola i dati di accounting vengono inviati a un solo server). in modalità simultanea, dati di accounting per tutti i server del gruppo)Accounting update
abilitare la generazione periodica dei messaggi di aggiornamento dell'accounting RADIUS intermedio.Attenzione: Entrambi i metodiAuthentication
eAuthorization
, se selezionati, devono utilizzare la stessa porta.
RADIUS Servers
(ISE) da utilizzare per l'autenticazione tramite AAA sulla sezione RADIUS Servers
:+ Add
Server Name
: Configurare un nome per identificare il server ISE.IP Address
: Configurare l'indirizzo IP del dispositivo Cisco ISE raggiungibile tramite l'accesso sicuroSecret Key
: Configurare la chiave privata RADIUSPassword
: Configurare la password RadiusSave
su e assegnare il server Radius in corrispondenza dellAssign Server
'opzione e selezionare il server ISE:Save
per salvare tutte le configurazioni completateOra che il server ISE è stato configurato nel pool IP, è necessario configurarlo nel VPN Profiles
server.
Per configurare il profilo VPN, passare al dashboard di accesso sicuro.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
clic + Add
VPN Profile name
: Configurare un nome per il profiloDefault Domain
: Configurare il dominio.DNS Server
: Scegliere il server DNS (Domain Name Server) configuratoProtocol
: Configurare i protocolli che devono essere autorizzati dalla VPNConnect Time posture
: Scegliere una postura o lasciarla invariataNext
Autenticazione
Authentication
Protocols
: Scegli SAML
Download Service Provider XML file
Save
sull'applicazione su Duo.SAML Metadata
facendo clic sul pulsante Download XML
SAML Metadata
su Secure Access nell'opzione 3. Upload IdP security metadata XML file
e fare clic su Next
Procedere con l'autorizzazione.
Nota: Dopo aver configurato l'autenticazione con SAML, la si autorizzerà tramite ISE, ossia il pacchetto radius inviato da Secure Access conterrà solo il nome utente. Il campo della password non esiste.
Authorization
Authorization
Enable Radius Authorization
: Selezionare la casella di controllo per attivare l'autorizzazione del raggioNext
Dopo aver configurato tutta la Authorization
parte, procedere con la Accounting
procedura.
Nota: Se non attivate Radio Authorization
, la postura non può funzionare.
Amministrazione
Accounting
Map Authorization groups to regions
: Scegli le regioni e scegli il tuo Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
In Traffic Steering è necessario configurare il tipo di comunicazione tramite l'accesso sicuro.
Connect to Secure Access
il traffico Internet verrà instradato Secure Access
Se si desidera aggiungere esclusioni per domini Internet o IPs, fare clic sul + Add
pulsante, quindi fare clic su Next
.
Bypass Secure Access
farlo, tutto il traffico Internet passa attraverso il provider Internet, non attraversoSecure Access
(nessuna protezione Internet)Nota: Aggiungere enroll.cisco.com
per la postura ISE quando si sceglie Bypass Secure Access
.
In questo passaggio verranno selezionate tutte le risorse di rete private a cui si desidera accedere tramite la VPN. A tale scopo, fare clic su + Add
, quindi su Next
dopo aver aggiunto tutte le risorse.
In questo passaggio è possibile mantenere tutto come predefinito e fare clic su Save
, ma se si desidera personalizzare ulteriormente la configurazione, consultare la Cisco Secure Client Administrator Guide.
Per configurare l'autenticazione tramite Cisco ISE, è necessario configurare i dispositivi autorizzati che possono eseguire query su Cisco ISE:
Administration > Network Devices
+ Add
Name
: Usa un nome per identificare l'accesso sicuroIP Address
: Configurare il valoreManagement Interface
della fase, Area pool IPDevice Profile
: Scegli Cisco
Radius Authentication Settings
Shared Secret
: Configurare lo stesso segreto condiviso configurato nella fase, Chiave privataCoA Port
: Imposta come predefinito; 1700 è utilizzato anche in Secure AccessDopo aver fatto clic su Save
, per verificare se l'integrazione funziona correttamente, procedere con la creazione di un utente locale per la verifica dell'integrazione.
Per configurare un gruppo per l'utilizzo con utenti locali, procedere come segue:
Administration > Groups
User Identity Groups
+ Add
Name
per il gruppo e fare clic su Submit
Per configurare un utente locale per la verifica dell'integrazione:
Administration > Identities
Add +
Username
: Configurare il nome utente con un provisioning UPN noto in Secure Access; basato sulla fase PrerequisitiStatus
: ActivePassword Lifetime
: È possibile configurarlo With Expiration
oNever Expires
, a seconda dell'utenteLogin Password
: Creare una password per l'utenteUser Groups
: Scegliere il gruppo creato nel passo, Configurare un gruppoNota: L'autenticazione basata sull'UPN verrà modificata nelle versioni future di Secure Access.
Quindi, è possibile Save
eseguire la configurazione e continuare con il passaggio Configure Policy Set
.
In base al set di criteri, configurare l'azione intrapresa da ISE durante l'autenticazione e l'autorizzazione. In questo scenario viene illustrato lo scenario di utilizzo per la configurazione di un criterio semplice per consentire l'accesso degli utenti. In primo luogo, ISE verifica l'origine delle autenticazioni RADIUS e verifica se le identità esistono nel database utenti ISE per fornire l'accesso
Per configurare tale criterio, passare al proprio Cisco ISE Dashboard:
Policy > Policy Sets
+
aggiungere un nuovo set di criteriIn questo caso, creare un nuovo set di criteri anziché utilizzare quello predefinito. Configurare quindi l'autenticazione e l'autorizzazione in base al criterio impostato. Il criterio configurato consente l'accesso al dispositivo di rete definito nel passaggio Configura elenco dispositivi di rete per verificare che le autenticazioni provengano daCSA Network Device List
e quindi accedere al criterio come Conditions
. E infine, i Protocolli permessi, come Default Network Access
.
Per creare l'oggetto condition
che corrisponde al set di criteri, procedere con le istruzioni seguenti:
+
Condition Studio
, le informazioni disponibili includono: Click to add an attribute
Network Device
pulsante Network Access
- Network Device Name
opzioneNetwork Device
nel passaggio Configure Network Devices ListSave
Questo criterio approva solo la richiesta dell'origineCSA
di continuare l'installazione Authentication
e l'installazione in base Authorization
al set di criteri CSA-ISE
e verifica i protocolli consentiti in base al Default Network Access
per i protocolli consentiti.
Il risultato del criterio definito deve essere:
Default Network Access Protocols
permesso, procedere con le istruzioni seguenti:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Per creare il Authorization
criterio in, Policy Set
procedere come segue:
>
Authorization
visualizzate le regole: Il criterio è lo stesso definito nel passaggio Configura set di criteri.
Criteri di autorizzazione
È possibile configurare i criteri di autorizzazione in diversi modi. In questo caso, autorizzare solo gli utenti del gruppo definito nel passaggio Configurare un gruppo. Vedere l'esempio successivo per configurare i criteri di autorizzazione:
Authorization Policy
+
per definire i criteri per l'autorizzazione nel modo seguente: Rule Name
,Conditions
e Profiles
Name
configurazione di un nome per identificare facilmente il criterio di autorizzazione Condition
funzione, fare clic sul pulsante +
Condition Studio
, sono disponibili le informazioni seguenti: Click to add an attribute
Identity Group
pulsante IdentityGroup
optionEquals
opzione, utilizzare l'elenco a discesa per trovare l'Group
approvazione per l'autenticazione nel passo, Configura un gruppoSave
Use
Successivamente, è necessario definire Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
, fare clic sul pulsante a discesa Profiles
PermitAccess
Save
In seguito, hai definito la tua Authorization
politica. Eseguire l'autenticazione per verificare se l'utente si connette senza problemi e se è possibile visualizzare i log su Secure Access e ISE.
Per connettersi alla VPN, è possibile utilizzare il profilo creato su Secure Access e connettersi tramite Secure Client con il profilo ISE.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
Come viene visualizzato il registro in Duo quando l'autenticazione viene approvata?
Reports > Authentication Log
In questo scenario, creare la configurazione per verificare la conformità dell'endpoint prima di concedere o negare l'accesso alle risorse interne.
Per configurarlo, procedere con i passaggi seguenti:
Work Center > Policy Elements > Conditions
Anti-Malware
Nota: In questa pagina sono disponibili numerose opzioni per verificare la postura dei dispositivi e per effettuare la valutazione corretta in base alle politiche interne.
Anti-Malware Conditions
fare clic su + Add
Anti-Malware Condition
per rilevare l'installazione del software antivirus sul sistema; se necessario, è inoltre possibile scegliere la versione del sistema operativo.Name
: Usa un nome per riconoscere la condizione antimalwareOperating System
: Scegliere il sistema operativo che si desidera impostare come condizioneVendor
: Scegli un fornitore o QUALSIASICheck Type
: È possibile verificare se l'agente è installato o la versione della definizione per tale opzione.Products for Selected Vendor
, è possibile configurare ciò che si desidera verificare relativamente all'antimalware sul dispositivo.Una volta configurata, è possibile procedere con la procedura, Configure Posture Requirements
.
Work Center > Policy Elements > Requeriments
Edit
dei requisiti e selezionare Insert new Requirement
Name
: Configurare un nome per riconoscere il requisito antimalwareOperating System
: Scegliere il sistema operativo scelto nella fase della condizione Sistema operativo Compliance Module
: È necessario assicurarsi di selezionare lo stesso modulo di conformità che si dispone nella fase della condizione Condizione antimalwarePosture Type
: Scegli agenteConditions
: Scegliere la condizione o le condizioni create nel passo Configura condizioni posturaRemediations Actions
: Scegliere Message Text Only
questa opzione per l'esempio oppure, se si dispone di un'altra azione di correzione, utilizzarlaSave
Una volta configurata, è possibile procedere con la procedura, Configure Posture Policy
Work Center > Posture Policy
Edit
dei criteri e selezionare Insert new Policy
Status
: Selezionare la casella di controllo per attivare il criterioRule Name
: configurare un nome per il riconoscimento del criterio configuratoIdentity Groups
: Scegliere le identità da valutareOperating Systems
: Scegliere il sistema operativo in base alla condizione e ai requisiti configurati primaCompliance Module
: Scegliere il modulo di conformità in base alla condizione e al requisito configurati primaPosture Type
: Scegli agenteRequeriments
: Scegliere i requisiti configurati nel passo Configura requisiti posturaSave
Per fornire agli utenti il modulo ISE, configurare il provisioning del client in modo che i computer dispongano del modulo ISE Posture. Ciò consente di verificare la postura dei computer dopo l'installazione dell'agente. Per continuare con questo processo, procedere come segue:
Passare al dashboard ISE.
Work Center > Client Provisioning
Resources
In provisioning client è necessario configurare tre elementi:
Risorse da configurare |
Descrizione |
1. |
Pacchetto di provisioning Web client sicuro. |
2. |
Cisco ISE Compliance Module |
3. |
Controllo del profilo di provisioning. |
3. |
Definire i moduli di cui eseguire il provisioning impostando il portale di provisioning, utilizzando il profilo agente e le risorse agente. |
Step 1
Scarica e carica risorse agente
+ Add > Agent resources from local disk
e caricare i pacchettiStep 2
Scarica il modulo sulla conformità
+ Add > Agent resources from Cisco Site
Save
Configurare il profilo agenteStep 3
+ Add > Agent Posture Profile
Name
file per Posture Profile
*
e fare clic Save
dopoStep 4
Configurazione dell'agente
+ Add > Agent Configuration
Select Agent Package
: Scegliere il pacchetto caricato in Step1 Download and Upload Agent ResourcesConfiguration Name
: Scegliere un nome per riconoscere Agent Configuration
Compliance Module
: Scegli il Modulo di conformità scaricato nella Fase 2 Scarica il modulo di conformitàCisco Secure Client Module Selection
ISE Posture
: Selezionare la casella di controlloProfile Selection
ISE Posture
: Scegliere il profilo ISE configurato nella Fase 3 Configurazione del profilo dell'agenteSave
Nota: Si consiglia che ogni sistema operativo, Windows, Mac OS o Linux, disponga di una configurazione client indipendente.
Per abilitare il provisioning della postura ISE e dei moduli configurati nell'ultimo passaggio, è necessario configurare una policy per eseguire il provisioning.
Work Center > Client Provisioning
Nota: È consigliabile che ogni sistema operativo, Windows, Mac OS o Linux, disponga di un criterio di configurazione client.
Rule Name
: Configurare il nome del criterio in base al tipo di dispositivo e alla selezione del gruppo di identità in modo da semplificare l'identificazione di ogni criterioIdentity Groups
: Scegliere le identità da valutare nel criterioOperating Systems
: Scegliere il sistema operativo in base al pacchetto dell'agente selezionato nella fase Seleziona pacchetto agenteOther Condition
: Scegliere Network Access
in base al Authentication Method
EQUALS
metodo configurato nella fase Aggiungi gruppo RADIUS oppure lasciare vuotoResult
: Scegliere la configurazione dell'agente configurata nel passaggio 4 Configurare la configurazione dell'agente
Native Supplicant Configuration
: ScegliConfig Wizard
e Wizard Profile
Il profilo di autorizzazione limita l'accesso alle risorse a seconda della postura dell'utente dopo il passaggio di autenticazione. È necessario verificare l'autorizzazione per determinare a quali risorse l'utente può accedere in base alla postura.
Profilo di autorizzazione |
Descrizione |
Conforme utente - Agente installato - Postura verificata |
|
Utente non conforme - Reindirizza per installare l'agente - Postura in sospeso da verificare |
|
Utente non conforme - Nega accesso |
Per configurare il DACL, passare al dashboard ISE:
Work Centers > Policy Elements > Downloadable ACLs
+Add
Compliant DACL
Name
: Aggiungere un nome che faccia riferimento alla conformità DACLIP version
: Scegli IPv4
DACL Content
:
Creare un elenco di controllo di accesso scaricabile (DACL, Downloadable Access Control List) che dia accesso a tutte le risorse della retepermit ip any any
Fare clic su Save
e creare l'elenco DACL di conformità sconosciuto
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: Aggiungere un nome che faccia riferimento al file DACL-Unknown-CompliantIP version
: Scegli IPv4
DACL Content:
Creare un DACL che offra accesso limitato alla rete, a DHCP, DNS, HTTP e al portale di provisioning sulla porta 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
Nota: In questo scenario, l'indirizzo IP 192.168.10.206 corrisponde al server Cisco Identity Services Engine (ISE) e la porta 8443 è stata designata per il portale di provisioning. Ciò significa che è consentito il traffico TCP verso l'indirizzo IP 192.168.10.206 tramite la porta 8443, facilitando l'accesso al portale di provisioning.
A questo punto, si dispone dell'elenco DACL richiesto per creare i profili di autorizzazione.
Per configurare i profili di autorizzazione, passare al dashboard ISE:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: Creare un nome che faccia riferimento al profilo di autorizzazione conformeAccess Type
: Scegli ACCESS_ACCEPT
Common Tasks
DACL NAME
: Scegliere il DACL configurato nel passo DACL conformeFate clic su Save
e create la Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: Creare un nome che faccia riferimento al profilo di autorizzazione conforme sconosciutoAccess Type
: Scegli ACCESS_ACCEPT
Common Tasks
DACL NAME
: Scegliere il DACL configurato nel passaggio DACL conforme sconosciutoWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: Deve essere redirect
Value
: scegliere il portale di provisioning predefinito oppure, se ne è stato definito un altro, sceglierloNota: Il nome dell'ACL di reindirizzamento sull'accesso sicuro per tutte le distribuzioni è redirect
.
Dopo aver definito tutti questi valori, è necessario disporre di qualcosa di simile inAttributes Details
.
Fare clic Save
per terminare la configurazione e continuare con il passaggio successivo.
I tre criteri creati si basano sui profili di autorizzazione configurati. ad DenyAccess
esempio, non è necessario crearne un altro.
Set di criteri - Autorizzazione |
Profilo di autorizzazione |
Conforme |
|
Conforme sconosciuto |
|
Non conforme |
Passa al dashboard ISE
Work Center > Policy Sets
>
per accedere al criterio creatoAuthorization Policy
+
per definire il CSA-Compliance
criterio: Rule Name
,Conditions
e Profiles
Name
configure a name to CSA-Compliance
Condition
funzione, fare clic sul pulsante +
Condition Studio
, sono disponibili le informazioni seguenti: compliant
Compliant_Devices
Editor
Editor
in New
Identity Group
iconaInternal User Identity Group
Equals
, scegliere il tipo di User Identity Group
corrispondenza desideratoUse
Profile
fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo configurato nella fase, Profilo autorizzazione conformeA questo punto è stato configurato il Compliance Policy Set
router.
Rule Name
,Conditions
e Profiles
Name
configure a name to CSA-Unknown-Compliance
Condition
funzione, fare clic sul pulsante +
Condition Studio
, sono disponibili le informazioni seguenti: compliance
Compliant_Unknown_Devices
Editor
Editor
in New
Identity Group
iconaInternal User Identity Group
Equals
, scegliere il tipo di User Identity Group
corrispondenza desideratoUse
Profile
fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo configurato nella fase, Profilo autorizzazione conforme sconosciutoA questo punto è stato configurato il Unknown Compliance Policy Set
router.
+
per definire la CSA- Non-Compliant
policy: Rule Name
,Conditions
e Profiles
Name
configure a name to CSA-Non-Compliance
Condition
funzione, fare clic sul pulsante +
Condition Studio
, sono disponibili le informazioni seguenti: non
Non_Compliant_Devices
Editor
Editor
in New
Identity Group
iconaInternal User Identity Group
Equals
, scegliere il tipo di User Identity Group
corrispondenza desideratoUse
Profile
fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo DenyAccess
Una volta terminata la configurazione dei tre profili, è possibile testare l'integrazione con la postura.
Connettersi al dominio FQDN RA-VPN fornito su Secure Access via Secure Client.
Nota: Per questa fase non è necessario installare alcun modulo ISE.
1. Connettersi utilizzando Secure Client.
2. Fornire le credenziali per l'autenticazione tramite Duo.
3. A questo punto, ti colleghi alla VPN e, molto probabilmente, verrai reindirizzato all'ISE; in caso contrario, è possibile provare a passare a http:1.1.1.1
.
Nota: A questo punto, l'utente è soggetto al set di criteri CSA-Unknown-Compliance per autorizzazione - perché sul computer non è installato ISE Posture Agent e viene reindirizzato al portale di provisioning per l'installazione dell'agente.
4. Fare clic su Avvia per procedere con il provisioning dell'agente.
5. Fare clic su + This is my first time here
.
6. Fare clic su Click here to download and install agent
7. Installare l'agente
8. Dopo aver installato l'agente, ISE Posture inizia a verificare la postura corrente delle macchine. Se i requisiti della politica non vengono soddisfatti, viene visualizzata una schermata di popup che guida l'utente verso la conformità.
Nota: SeCancel
o il tempo rimanente termina, l'utente diventa automaticamente non conforme, rientra nei criteri di autorizzazione impostati come CSA-Non-Compliance e viene immediatamente disconnesso dalla VPN.
9. Installare l'agente endpoint sicuro e riconnettersi alla VPN.
10. Dopo che l'agente ha verificato la conformità della macchina, la postura cambia per essere in reclamo e dare accesso a tutte le risorse sulla rete.
Nota: Una volta ottenuta la conformità, si rientra nel gruppo di criteri di autorizzazione CSA-Conformità e si ha immediatamente accesso a tutte le risorse di rete.
Per verificare il risultato dell'autenticazione per un utente, sono disponibili due esempi di conformità e non conformità. Per esaminarlo ad ISE, attenersi alle seguenti istruzioni:
Operations > Live Logs
Lo scenario successivo mostra come gli eventi di conformità e non conformità vengono visualizzati in Live Logs
:
Nell'esempio successivo, Cisco ISE si trova nella rete 192.168.10.0/24, e la configurazione delle reti raggiungibili tramite il tunnel deve essere aggiunta alla configurazione del tunnel.
Step 1
: Verificare la configurazione del tunnel:
Per verificare questa condizione, passare al Dashboard di accesso protetto.
Connect > Network Connections
Network Tunnel Groups
> Your TunnelStep 2
: Autorizzare il traffico sul firewall.
Per consentire a Secure Access di utilizzare il dispositivo ISE per l'autenticazione Radius, è necessario aver configurato una regola da Secure Access alla rete con le porte Radius richieste:
Regola |
Origine |
Destinazione |
Porta di destinazione |
ISE - Accesso sicuro Pool di gestione |
Server_ISE |
Pool di gestione IP (RA-VPN) |
CACAO UDP 1700 (porta predefinita) |
Secure Access Management: IP Pool per ISE |
Pool IP di gestione |
Server_ISE |
Autenticazione, autorizzazione UDP 1812 (porta predefinita) Amministrazione UDP 1813 (porta predefinita) |
Secure Access Endpoint IP Pool a ISE |
Pool IP endpoint |
Server_ISE |
Portale di provisioning TCP 8443 (porta predefinita) |
Pool IP endpoint di accesso sicuro nel SERVER DNS |
Pool IP endpoint |
Server DNS |
DNS UDP e TCP 53 |
Nota: Per ulteriori informazioni sulle porte correlate ad ISE, consultare il Manuale dell'utente - Riferimento porta.
Nota: Una regola DNS è necessaria se l'ISE è stata configurata per l'individuazione tramite un nome, ad esempio ise.ciscosppt.es
Pool di gestione e pool IP degli endpoint
Per verificare il pool IP di gestione e endpoint, passare al dashboard di accesso sicuro:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
Fare clic su Manage
Fase 3: Verificare che l'ISE sia configurata in Private Resources
Per consentire agli utenti connessi tramite la VPN di passare a ISE Provisioning Portal
, è necessario accertarsi di aver configurato il dispositivo come risorsa privata per consentire l'accesso, che viene utilizzata per consentire il provisioning automatico dellaISE Posture Module
rete tramite la VPN.
Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:
Resources > Private Resources
Se necessario, è possibile limitare la regola alla porta del portale di provisioning (8443).
Nota: Assicurarsi di aver selezionato la casella di controllo per le connessioni VPN.
Fase 4: Permetti l'accesso ad ISE in base alla policy di accesso
Per consentire agli utenti connessi tramite la VPN di accedere a ISE Provisioning Portal
, è necessario verificare di aver configurato e configurato Access Policy
in modo da consentire agli utenti configurati in base a tale regola di accedere alla risorsa privata configurata inStep3
.
Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:
Secure > Access Policy
Per scaricare i log ISE per verificare un problema relativo alla postura, procedere come segue:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
Attenzione: Dopo questo punto, è necessario iniziare a riprodurre il problema; the debug logs can affect the performance of your device
.
Dopo aver riprodotto il problema, procedere con i passi successivi:
Operations > Download Logs
Support Bundle
, scegliere le opzioni seguenti:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
e Re-Enter Encryption key
Create Support Bundle
Download
Avviso: Disabilitare la modalità di debug abilitata nella fase Debug Profile Configuration
Accedere al Dashboard di accesso protetto:
Monitor > Remote Access Logs
Per generare il pacchetto DART sul computer, verificare l'articolo successivo:
Strumento di diagnostica e reporting (DART) Cisco Secure Client
Nota: Dopo aver raccolto i log indicati nella sezione risoluzione dei problemi, aprire una richiesta con TAC
per procedere all'analisi delle informazioni.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
14-Apr-2024
|
Versione iniziale |