Configurazione di Secure Access per RA-VPNaaS con Duo SSO e valutazione della postura con ISE

Introduzione

Questo documento descrive come configurare la valutazione della postura per gli utenti VPN ad accesso remoto con Identity Service Engine (ISE) e Secure Access con Duo.

Prerequisiti

• Configura provisioning utenti su accesso protetto
• Configurazione di Duo SSO con proxy di autenticazione o IDP di terze parti
• Cisco ISE connesso per un accesso sicuro tramite tunnel

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Identity Service Engine
• Accesso sicuro
• Cisco Secure Client
• Guida all'autenticazione a due fattori - Duo Security
• Postura ISE
• Autenticazione, autorizzazione e accounting

Componenti usati

Le informazioni fornite in questo documento si basano su: 

• Patch 1 per Identity Service Engine (ISE) versione 3.3
• Accesso sicuro
• Cisco Secure Client - Anyconnect VPN versione 5.1.2.42

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

L'integrazione di Duo SAML con Cisco Identity Services Engine (ISE) migliora il processo di autenticazione e aggiunge un altro livello di sicurezza alle soluzioni Cisco Secure Access. Duo SAML fornisce una funzionalità Single Sign-On (SSO) che semplifica il processo di accesso dell'utente garantendo al contempo standard di sicurezza elevati.

Dopo l'autenticazione tramite Duo SAML, il processo di autorizzazione viene gestito da Cisco ISE. Ciò consente di prendere decisioni dinamiche sul controllo dell'accesso in base all'identità dell'utente e alla postura del dispositivo. ISE può applicare policy dettagliate che stabiliscono a quali risorse un utente può accedere, quando e da quali dispositivi.

Nota: Per configurare l'integrazione RADIUS, è necessario verificare la comunicazione tra entrambe le piattaforme.

Esempio di rete

Configurazione

Nota: prima di iniziare il processo di configurazione, è necessario completare i primi passaggi con Secure Access e ISE Integration.

Configurazione Duo

Per configurare l'applicazione RSA-VPN, procedere con i passi successivi: 

Passare al pannello di amministrazione Duo

• Passa a Applications > Protect an Application
• Cerca Generic SAML Service Provider
• Fare clic su   Protect

È necessario che l'applicazione sia visualizzata sullo schermo; memorizzare il nome dell'applicazione per la configurazione VPN.

In questo caso è Generic SAML Service Provider.

Configurazione accesso sicuro

Configurazione del gruppo Radius sui pool IP

Per configurare il profilo VPN utilizzando Radius, procedere con i passaggi seguenti: 

Passare al Dashboard di accesso sicuro.

• Fare clic su Connect > Enduser Connectivity > Virtual Private Network
• In Configurazione pool (Manage IP Pools), fare clic suManage

• Scegliere l'IP Pool Regionopzione e configurare Radius Server

• Fare clic sulla matita da modificare

• A questo punto, nell'elenco a discesa Configurazione della sezione Pool IP in Radius Group (Optional)
• Fare clic su Add RADIUS Group

• In Generale configurare le opzioni seguenti: 

• Group Name: Configurazione di un nome per l'integrazione ISE in Secure Access
  • AAA method
    
    • Authentication: Selezionare la casella di controllo per Authentication e selezionare la porta, per impostazione predefinita, 1812
      • Se per l'autenticazione è necessarioMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)selezionare la casella di controllo
    • Authorization:  Contrassegnare la casella di controllo perAuthorizatione selezionare la porta, per impostazione predefinita, 1812
      • Contrassegnare la casella di controllo per Authorization mode Only e perChange of Authorization (CoA) mode consentire la postura e le modifiche da ISE
    • Accounting: selezionare la casella di controllo Autorizzazione e selezionare la porta predefinita, 1813
      • Selezionare Single or Simultaneous (in modalità singola i dati di accounting vengono inviati a un solo server). in modalità simultanea, dati di accounting per tutti i server del gruppo)
      • Selezionare la casella di controllo per Accounting update abilitare la generazione periodica dei messaggi di aggiornamento dell'accounting RADIUS intermedio.

Attenzione: Entrambi i metodiAuthenticationeAuthorization, se selezionati, devono utilizzare la stessa porta.

• Quindi, configurare l'RADIUS Servers(ISE) da utilizzare per l'autenticazione tramite AAA sulla sezione RADIUS Servers:
• Fare clic su + Add

• Quindi, configurare le opzioni successive:

• Server Name: Configurare un nome per identificare il server ISE.
• IP Address: Configurare l'indirizzo IP del dispositivo Cisco ISE raggiungibile tramite l'accesso sicuro
• Secret Key: Configurare la chiave privata RADIUS
• Password: Configurare la password Radius

• Fare clic Save su e assegnare il server Radius in corrispondenza dellAssign Server'opzione e selezionare il server ISE:

• Fare di nuovo clic Save per salvare tutte le configurazioni completate

Ora che il server ISE è stato configurato nel pool IP, è necessario configurarlo nel VPN Profilesserver.

Configurazione del profilo VPN per l'uso di ISE

Per configurare il profilo VPN, passare al dashboard di accesso sicuro.

• Fare clic su Connect > Enduser Connectivity > Virtual Private Network
• SottoVPN Profiles clic + Add
• Configurare quindi le opzioni successive:

Impostazioni generali

• VPN Profile name: Configurare un nome per il profilo
• Default Domain: Configurare il dominio.
• DNS Server: Scegliere il server DNS (Domain Name Server) configurato
• Protocol: Configurare i protocolli che devono essere autorizzati dalla VPN
• Connect Time posture: Scegliere una postura o lasciarla invariata

• Quindi fare clic su Next

Autenticazione, autorizzazione e accounting

Autenticazione

• Authentication
  
  • Protocols: Scegli SAML
• Fare clic su  Download Service Provider XML file
• Sostituire le informazioni nell'applicazione configurata nella fase Duo Configuration

• Una volta configurate tali informazioni, modificare il nome della Duo in qualcosa relativo all'integrazione che si sta creando

• Fare clic Save sull'applicazione su Duo.
• Dopo aver fatto clic su Save (Salva), è necessario scaricare il file SAML Metadata facendo clic sul pulsante Download XML

• Caricare il file SAML Metadata su Secure Access nell'opzione 3. Upload IdP security metadata XML file e fare clic su Next

Procedere con l'autorizzazione.

Nota: Dopo aver configurato l'autenticazione con SAML, la si autorizzerà tramite ISE, ossia il pacchetto radius inviato da Secure Access conterrà solo il nome utente. Il campo della password non esiste.

Authorization

• Authorization
  • Enable Radius Authorization: Selezionare la casella di controllo per attivare l'autorizzazione del raggio
  • Selezionare un gruppo per tutte le regioni: Selezionare la casella di controllo per utilizzare un server RADIUS specifico per tutti i pool di Accesso remoto - Rete privata virtuale (RA-VPN) oppure definirlo separatamente per ogni pool
• Fare clic su  Next

Dopo aver configurato tutta la Authorization parte, procedere con la Accountingprocedura.

Nota: Se non attivate Radio Authorization, la postura non può funzionare.

Amministrazione

• Accounting
  • Map Authorization groups to regions: Scegli le regioni e scegli il tuo Radius Groups
• Fare clic su Next

After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

Traffic Steering

In Traffic Steering è necessario configurare il tipo di comunicazione tramite l'accesso sicuro.

• Se lo si desidera, Connect to Secure Accessil traffico Internet verrà instradato Secure Access

Se si desidera aggiungere esclusioni per domini Internet o IPs, fare clic sul + Add pulsante, quindi fare clic su Next.

• Se si decide di Bypass Secure Accessfarlo, tutto il traffico Internet passa attraverso il provider Internet, non attraversoSecure Access(nessuna protezione Internet)

Nota: Aggiungere enroll.cisco.com per la postura ISE quando si sceglie Bypass Secure Access.

In questo passaggio verranno selezionate tutte le risorse di rete private a cui si desidera accedere tramite la VPN. A tale scopo, fare clic su + Add, quindi su Next dopo aver aggiunto tutte le risorse.

Cisco Secure Client Configuration

In questo passaggio è possibile mantenere tutto come predefinito e fare clic su Save, ma se si desidera personalizzare ulteriormente la configurazione, consultare la Cisco Secure Client Administrator Guide.

Configurazioni ISE

Configura elenco dispositivi di rete

Per configurare l'autenticazione tramite Cisco ISE, è necessario configurare i dispositivi autorizzati che possono eseguire query su Cisco ISE:

• Passa a Administration > Network Devices
• Fare clic su + Add 

• Name: Usa un nome per identificare l'accesso sicuro
• IP  Address: Configurare il valoreManagement Interfacedella fase, Area pool IP
• Device Profile: Scegli Cisco
  • Radius Authentication Settings
    
    • Shared Secret: Configurare lo stesso segreto condiviso configurato nella fase, Chiave privata
    • CoA Port: Imposta come predefinito; 1700 è utilizzato anche in Secure Access

Dopo aver fatto clic su Save, per verificare se l'integrazione funziona correttamente, procedere con la creazione di un utente locale per la verifica dell'integrazione.

Configurare un gruppo

Per configurare un gruppo per l'utilizzo con utenti locali, procedere come segue:

• Fare clic su Administration > Groups
• Fare clic su  User Identity Groups
• Fare clic su  + Add
• Creare unaNameper il gruppo e fare clic su Submit

Configura utente locale

Per configurare un utente locale per la verifica dell'integrazione:

• Passa a Administration > Identities
• Fare clic su Add +

• Username: Configurare il nome utente con un provisioning UPN noto in Secure Access; basato sulla fase Prerequisiti
• Status: Active
• Password Lifetime: È possibile configurarlo With Expiration oNever Expires, a seconda dell'utente
• Login Password: Creare una password per l'utente
• User Groups: Scegliere il gruppo creato nel passo, Configurare un gruppo

Nota: L'autenticazione basata sull'UPN verrà modificata nelle versioni future di Secure Access.

Quindi, è possibile Save eseguire la configurazione e continuare con il passaggio Configure Policy Set.

Configura set di criteri

In base al set di criteri, configurare l'azione intrapresa da ISE durante l'autenticazione e l'autorizzazione. In questo scenario viene illustrato lo scenario di utilizzo per la configurazione di un criterio semplice per consentire l'accesso degli utenti. In primo luogo, ISE verifica l'origine delle autenticazioni RADIUS e verifica se le identità esistono nel database utenti ISE per fornire l'accesso

Per configurare tale criterio, passare al proprio Cisco ISE Dashboard: 

• Fare clic su Policy > Policy Sets
• Fare clic per + aggiungere un nuovo set di criteri

In questo caso, creare un nuovo set di criteri anziché utilizzare quello predefinito. Configurare quindi l'autenticazione e l'autorizzazione in base al criterio impostato. Il criterio configurato consente l'accesso al dispositivo di rete definito nel passaggio Configura elenco dispositivi di rete per verificare che le autenticazioni provengano daCSA Network Device Liste quindi accedere al criterio come Conditions. E infine, i Protocolli permessi, come Default Network Access.

Per creare l'oggetto condition che corrisponde al set di criteri, procedere con le istruzioni seguenti:

• Fare clic su +
• Nella sezione Condition Studio, le informazioni disponibili includono: 

1. Per creare le Condizioni, fare clic su Click to add an attribute
2. Fare clic sul Network Device pulsante 
3. Sotto le opzioni sottostanti, fare clic su Network Access - Network Device Name opzione
4. Sotto l'opzione Equals, scrivere il nome del Network Device nel passaggio Configure Network Devices List
5. Fare clic su  Save

Questo criterio approva solo la richiesta dell'origineCSAdi continuare l'installazione Authentication e l'installazione in base Authorization al set di criteri CSA-ISEe verifica i protocolli consentiti in base al  Default Network Access per i protocolli consentiti.

Il risultato del criterio definito deve essere: 

• Per verificare il Default Network Access Protocols permesso, procedere con le istruzioni seguenti: 
  • Fare clic suPolicy > Results
  • Fare clic su Allowed Protocols
  • Fare clic su Default Network Access

• Quindi, vengono visualizzati tutti i protocolli consentiti su Default Network Access

Configura autorizzazione set di criteri

Per creare il Authorization criterio in, Policy Setprocedere come segue:

• Fare clic su >

• Quindi, vengonoAuthorization visualizzate le regole: 

Il criterio è lo stesso definito nel passaggio Configura set di criteri.

Criteri di autorizzazione

È possibile configurare i criteri di autorizzazione in diversi modi. In questo caso, autorizzare solo gli utenti del gruppo definito nel passaggio Configurare un gruppo. Vedere l'esempio successivo per configurare i criteri di autorizzazione:

• Fare clic su Authorization Policy
• Fare clic su + per definire i criteri per l'autorizzazione nel modo seguente: 

• Per il passo successivo, modificare leRule Name,Conditionse Profiles
• Durante l'impostazione della Name configurazione di un nome per identificare facilmente il criterio di autorizzazione 
• Per configurare la Conditionfunzione, fare clic sul pulsante +
• In Condition Studio, sono disponibili le informazioni seguenti: 

1. Per creare le Condizioni, fare clic su Click to add an attribute
2. Fare clic sul Identity Group pulsante 
3. Sotto le opzioni sottostanti, fare clic su Internal User - IdentityGroup option
4. Sotto l'Equalsopzione, utilizzare l'elenco a discesa per trovare l'Groupapprovazione per l'autenticazione nel passo, Configura un gruppo
5. Fare clic su  Save
6. Fare clic su  Use

Successivamente, è necessario definire Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. Sotto il Authorization Policy, fare clic sul pulsante a discesa Profiles
2. Cerca permesso
3. Seleziona PermitAccess
4. Fare clic su  Save

In seguito, hai definito la tua Authorization politica. Eseguire l'autenticazione per verificare se l'utente si connette senza problemi e se è possibile visualizzare i log su Secure Access e ISE.

Per connettersi alla VPN, è possibile utilizzare il profilo creato su Secure Access e connettersi tramite Secure Client con il profilo ISE.

• Come viene visualizzato il registro in Accesso sicuro quando l'autenticazione viene approvata? 
  • Passare al Dashboard di accesso protetto
  • Fare clic su Monitor > Remote Access Log

• Come viene visualizzato il registro in ISE quando l'autenticazione viene approvata?
  • Passare alla Cisco ISE Dashboard
  • Fare clic su Operations > Live Logs

Come viene visualizzato il registro in Duo quando l'autenticazione viene approvata?

• Passare al Pannello Duo Admin
• Fare clic su Reports > Authentication Log

Configura utenti locali o di Active Directory Radius

Configurazione della postura ISE

In questo scenario, creare la configurazione per verificare la conformità dell'endpoint prima di concedere o negare l'accesso alle risorse interne.

Per configurarlo, procedere con i passaggi seguenti:

Configura condizioni di postura

• Passa al dashboard ISE
• Fare clic su Work Center > Policy Elements > Conditions
• Fare clic su Anti-Malware

Nota: In questa pagina sono disponibili numerose opzioni per verificare la postura dei dispositivi e per effettuare la valutazione corretta in base alle politiche interne.

• In, Anti-Malware Conditionsfare clic su + Add

• L'utente configura ilAnti-Malware Conditionper rilevare l'installazione del software antivirus sul sistema; se necessario, è inoltre possibile scegliere la versione del sistema operativo.

• Name: Usa un nome per riconoscere la condizione antimalware
• Operating System: Scegliere il sistema operativo che si desidera impostare come condizione
• Vendor: Scegli un fornitore o QUALSIASI
• Check Type: È possibile verificare se l'agente è installato o la versione della definizione per tale opzione.

• Per Products for Selected Vendor, è possibile configurare ciò che si desidera verificare relativamente all'antimalware sul dispositivo.

1. Selezionare la casella di controllo relativa alle condizioni che si desidera valutare
2. Configurare la versione minima da verificare
3. Fare clic su Salva per continuare con il passaggio successivo

Una volta configurata, è possibile procedere con la procedura, Configure Posture Requirements.

Configura requisiti postura

• Passa al dashboard ISE
• Fare clic su Work Center > Policy Elements > Requeriments
• Fare clic su uno Edit dei requisiti e selezionare Insert new Requirement

• In base al nuovo requisito, configurare i parametri successivi:

• Name: Configurare un nome per riconoscere il requisito antimalware
• Operating System: Scegliere il sistema operativo scelto nella fase della condizione Sistema operativo  
• Compliance Module: È necessario assicurarsi di selezionare lo stesso modulo di conformità che si dispone nella fase della condizione Condizione antimalware
• Posture Type: Scegli agente
• Conditions: Scegliere la condizione o le condizioni create nel passo Configura condizioni postura
• Remediations Actions: Scegliere Message Text Only questa opzione per l'esempio oppure, se si dispone di un'altra azione di correzione, utilizzarla
• Fare clic su  Save

Una volta configurata, è possibile procedere con la procedura, Configure Posture Policy

Configura criterio postura

• Passa al dashboard ISE
• Fare clic su Work Center > Posture Policy
• Fare clic su uno Edit dei criteri e selezionare Insert new Policy

• In base al nuovo criterio, configurare i parametri successivi:

• Status: Selezionare la casella di controllo per attivare il criterio
• Rule Name: configurare un nome per il riconoscimento del criterio configurato
• Identity Groups: Scegliere le identità da valutare
• Operating Systems: Scegliere il sistema operativo in base alla condizione e ai requisiti configurati prima
• Compliance Module: Scegliere il modulo di conformità in base alla condizione e al requisito configurati prima
• Posture Type: Scegli agente
• Requeriments: Scegliere i requisiti configurati nel passo Configura requisiti postura
• Fare clic su  Save

Configura provisioning client

Per fornire agli utenti il modulo ISE, configurare il provisioning del client in modo che i computer dispongano del modulo ISE Posture. Ciò consente di verificare la postura dei computer dopo l'installazione dell'agente. Per continuare con questo processo, procedere come segue:

Passare al dashboard ISE.

• Fare clic su Work Center > Client Provisioning
• Scegli Resources

In provisioning client è necessario configurare tre elementi:

Step 1 Scarica e carica risorse agente

• Per aggiungere una nuova risorsa agente, accedere al portale di download Cisco e scaricare il pacchetto di distribuzione Web; il file di distribuzione web deve essere in formato pkg.

• Fare clic su+ Add > Agent resources from local disk e caricare i pacchetti

Step 2Scarica il modulo sulla conformità 

• Fare clic su + Add > Agent resources from Cisco Site

• Selezionare la casella di controllo per ogni modulo di conformità necessario e fare clic su Save

Step 3Configurare il profilo agente

• Fare clic su + Add > Agent Posture Profile

• Creare un Name file per Posture Profile

• In Regole per il nome del server, inserire un * e fare clic Save dopo

Step 4 Configurazione dell'agente

• Fare clic su + Add > Agent Configuration

• Quindi, configurare i parametri successivi: 

• Select Agent Package : Scegliere il pacchetto caricato in Step1 Download and Upload Agent Resources
• Configuration Name: Scegliere un nome per riconoscere Agent Configuration
• Compliance Module: Scegli il Modulo di conformità scaricato nella Fase 2 Scarica il modulo di conformità
• Cisco Secure Client Module Selection
  
  • ISE Posture: Selezionare la casella di controllo
• Profile Selection
  
  • ISE Posture: Scegliere il profilo ISE configurato nella Fase 3 Configurazione del profilo dell'agente
• Fare clic su  Save

Nota: Si consiglia che ogni sistema operativo, Windows, Mac OS o Linux, disponga di una configurazione client indipendente.

Configura criterio di provisioning client

Per abilitare il provisioning della postura ISE e dei moduli configurati nell'ultimo passaggio, è necessario configurare una policy per eseguire il provisioning.

• Passa al dashboard ISE
• Fare clic su Work Center > Client Provisioning

Nota: È consigliabile che ogni sistema operativo, Windows, Mac OS o Linux, disponga di un criterio di configurazione client.

• Rule Name: Configurare il nome del criterio in base al tipo di dispositivo e alla selezione del gruppo di identità in modo da semplificare l'identificazione di ogni criterio
• Identity Groups: Scegliere le identità da valutare nel criterio
• Operating Systems: Scegliere il sistema operativo in base al pacchetto dell'agente selezionato nella fase Seleziona pacchetto agente
• Other Condition: Scegliere Network Access in base al Authentication MethodEQUALSmetodo configurato nella fase Aggiungi gruppo RADIUS oppure lasciare vuoto
• Result: Scegliere la configurazione dell'agente configurata nel passaggio 4 Configurare la configurazione dell'agente 
  • Native Supplicant Configuration: ScegliConfig Wizarde Wizard Profile
• Contrassegnare il criterio come abilitato se non è elencato come abilitato nella casella di controllo.

Creare i profili di autorizzazione

Il profilo di autorizzazione limita l'accesso alle risorse a seconda della postura dell'utente dopo il passaggio di autenticazione. È necessario verificare l'autorizzazione per determinare a quali risorse l'utente può accedere in base alla postura.

Per configurare il DACL, passare al dashboard ISE:

• Fare clic su Work Centers > Policy Elements > Downloadable ACLs
• Fare clic su +Add
• Creare la Compliant DACL

• Name: Aggiungere un nome che faccia riferimento alla conformità DACL
• IP version: Scegli IPv4
• DACL Content: Creare un elenco di controllo di accesso scaricabile (DACL, Downloadable Access Control List) che dia accesso a tutte le risorse della rete

permit ip any any

Fare clic su Save e creare l'elenco DACL di conformità sconosciuto

• Fare clic su Work Centers > Policy Elements > Downloadable ACLs
• Fare clic su +Add
• Creare la Unknown Compliant DACL

• Name: Aggiungere un nome che faccia riferimento al file DACL-Unknown-Compliant
• IP version: Scegli IPv4
• DACL Content: Creare un DACL che offra accesso limitato alla rete, a DHCP, DNS, HTTP e al portale di provisioning sulla porta 8443

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

Nota: In questo scenario, l'indirizzo IP 192.168.10.206 corrisponde al server Cisco Identity Services Engine (ISE) e la porta 8443 è stata designata per il portale di provisioning. Ciò significa che è consentito il traffico TCP verso l'indirizzo IP 192.168.10.206 tramite la porta 8443, facilitando l'accesso al portale di provisioning.

A questo punto, si dispone dell'elenco DACL richiesto per creare i profili di autorizzazione.

Per configurare i profili di autorizzazione, passare al dashboard ISE:

• Fare clic su Work Centers > Policy Elements > Authorization Profiles
• Fare clic su +Add
• Creare la Compliant Authorization Profile

• Name: Creare un nome che faccia riferimento al profilo di autorizzazione conforme
• Access Type: Scegli ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Scegliere il DACL configurato nel passo DACL conforme

Fate clic su Save e create la Unknown Authorization Profile

• Fare clic su Work Centers > Policy Elements > Authorization Profiles
• Fare clic su +Add
• Creare la Uknown Compliant Authorization Profile

• Name: Creare un nome che faccia riferimento al profilo di autorizzazione conforme sconosciuto
• Access Type: Scegli ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Scegliere il DACL configurato nel passaggio DACL conforme sconosciuto
  • Web Redirection (CWA,MDM,NSP,CPP)
    • Scegli Client Provisioning (Posture)
    • ACL: Deve essere redirect
    • Value: scegliere il portale di provisioning predefinito oppure, se ne è stato definito un altro, sceglierlo

Nota: Il nome dell'ACL di reindirizzamento sull'accesso sicuro per tutte le distribuzioni è redirect.

Dopo aver definito tutti questi valori, è necessario disporre di qualcosa di simile inAttributes Details.

Fare clic Save per terminare la configurazione e continuare con il passaggio successivo.

Configura set di criteri di postura

I tre criteri creati si basano sui profili di autorizzazione configurati. ad DenyAccessesempio, non è necessario crearne un altro.

Passa al dashboard ISE

• Fare clic su Work Center > Policy Sets
• Fare clic sul> per accedere al criterio creato

• Fare clic sul pulsante Authorization Policy

• Creare i tre criteri successivi nell'ordine seguente:

• Fare clic su + per definire il CSA-Compliance criterio: 

• Per il passo successivo, modificare leRule Name,Conditionse Profiles
• Quando si imposta la proprietà Name configure a name to CSA-Compliance
• Per configurare la Conditionfunzione, fare clic sul pulsante +
• In Condition Studio, sono disponibili le informazioni seguenti: 

1. Per creare la condizione, cercare compliant
2. È necessario aver visualizzato Compliant_Devices
3. Trascinare e rilasciare sotto Editor
4. Fare clic sotto la casellaEditorin New
5. Fare clic sull'Identity Groupicona
6. Scegli Internal User Identity Group
7. In Equals, scegliere il tipo di User Identity Group corrispondenza desiderato
8. Fare clic su  Use

• Di conseguenza, si otterrà l'immagine successiva

• In Profile fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo configurato nella fase, Profilo autorizzazione conforme

A questo punto è stato configurato il Compliance Policy Setrouter.

• Fare clic su + per definire il CSA-Unknown-Compliance criterio: 

• Per il passo successivo, modificare leRule Name,Conditionse Profiles
• Quando si imposta la proprietà Name configure a name to CSA-Unknown-Compliance
• Per configurare la Conditionfunzione, fare clic sul pulsante +
• In Condition Studio, sono disponibili le informazioni seguenti: 

1. Per creare la condizione, cercare compliance
2. È necessario aver visualizzato Compliant_Unknown_Devices
3. Trascinare e rilasciare sotto Editor
4. Fare clic sotto la casellaEditorin New
5. Fare clic sull'Identity Groupicona
6. Scegli Internal User Identity Group
7. In Equals, scegliere il tipo di User Identity Group corrispondenza desiderato
8. Fare clic su  Use

• Di conseguenza, si otterrà l'immagine successiva

• In Profile fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo configurato nella fase, Profilo autorizzazione conforme sconosciuto

A questo punto è stato configurato il Unknown Compliance Policy Setrouter.

• Fare clic su + per definire la CSA- Non-Compliant policy: 

• Per il passo successivo, modificare leRule Name,Conditionse Profiles
• Quando si imposta la proprietà Name configure a name to CSA-Non-Compliance
• Per configurare la Conditionfunzione, fare clic sul pulsante +
• In Condition Studio, sono disponibili le informazioni seguenti: 

1. Per creare la condizione, cercare non
2. È necessario aver visualizzato Non_Compliant_Devices
3. Trascinare e rilasciare sotto Editor
4. Fare clic sotto la casellaEditorin New
5. Fare clic sull'Identity Groupicona
6. Scegli Internal User Identity Group
7. In Equals, scegliere il tipo di User Identity Group corrispondenza desiderato
8. Fare clic su  Use

• Di conseguenza, si otterrà l'immagine successiva

• In Profile fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo DenyAccess

Una volta terminata la configurazione dei tre profili, è possibile testare l'integrazione con la postura.

Verifica

Convalida postura

Connessione nel computer

Connettersi al dominio FQDN RA-VPN fornito su Secure Access via Secure Client.

Nota: Per questa fase non è necessario installare alcun modulo ISE.

1. Connettersi utilizzando Secure Client.

2. Fornire le credenziali per l'autenticazione tramite Duo.

3. A questo punto, ti colleghi alla VPN e, molto probabilmente, verrai reindirizzato all'ISE; in caso contrario, è possibile provare a passare a http:1.1.1.1.

Nota: A questo punto, l'utente è soggetto al set di criteri CSA-Unknown-Compliance per autorizzazione - perché sul computer non è installato ISE Posture Agent e viene reindirizzato al portale di provisioning per l'installazione dell'agente.

4. Fare clic su Avvia per procedere con il provisioning dell'agente.

5. Fare clic su + This is my first time here.

6. Fare clic su Click here to download and install agent

7. Installare l'agente 

8. Dopo aver installato l'agente, ISE Posture inizia a verificare la postura corrente delle macchine. Se i requisiti della politica non vengono soddisfatti, viene visualizzata una schermata di popup che guida l'utente verso la conformità.

Nota: SeCancelo il tempo rimanente termina, l'utente diventa automaticamente non conforme, rientra nei criteri di autorizzazione impostati come CSA-Non-Compliance e viene immediatamente disconnesso dalla VPN.

9. Installare l'agente endpoint sicuro e riconnettersi alla VPN.

10. Dopo che l'agente ha verificato la conformità della macchina, la postura cambia per essere in reclamo e dare accesso a tutte le risorse sulla rete.

Nota: Una volta ottenuta la conformità, si rientra nel gruppo di criteri di autorizzazione CSA-Conformità e si ha immediatamente accesso a tutte le risorse di rete.

Come verificare i log in ISE

Per verificare il risultato dell'autenticazione per un utente, sono disponibili due esempi di conformità e non conformità. Per esaminarlo ad ISE, attenersi alle seguenti istruzioni:

• Passa al dashboard ISE
• Fare clic su Operations > Live Logs

Lo scenario successivo mostra come gli eventi di conformità e non conformità vengono visualizzati in Live Logs:

Conformità

Non conformità

Primi passi verso un accesso sicuro e l'integrazione con ISE

Nell'esempio successivo, Cisco ISE si trova nella rete 192.168.10.0/24, e la configurazione delle reti raggiungibili tramite il tunnel deve essere aggiunta alla configurazione del tunnel.

Step 1: Verificare la configurazione del tunnel:

Per verificare questa condizione, passare al Dashboard di accesso protetto.

• Fare clic su Connect > Network Connections
• Fare clic su Network Tunnel Groups > Your Tunnel

• In riepilogo, verificare che il tunnel abbia configurato lo spazio di indirizzi in cui si trova Cisco ISE:

Step 2: Autorizzare il traffico sul firewall.

Per consentire a Secure Access di utilizzare il dispositivo ISE per l'autenticazione Radius, è necessario aver configurato una regola da Secure Access alla rete con le porte Radius richieste:

Nota: Per ulteriori informazioni sulle porte correlate ad ISE, consultare il Manuale dell'utente - Riferimento porta.

Nota: Una regola DNS è necessaria se l'ISE è stata configurata per l'individuazione tramite un nome, ad esempio ise.ciscosppt.es

Pool di gestione e pool IP degli endpoint

Per verificare il pool IP di gestione e endpoint, passare al dashboard di accesso sicuro:

• Fare clic su Connect > End User Connectivity
• Fare clic su Virtual Private Network
• Inferiore Manage IP Pools
• Fare clic su Manage

Fase 3: Verificare che l'ISE sia configurata in Private Resources

Per consentire agli utenti connessi tramite la VPN di passare a ISE Provisioning Portal, è necessario accertarsi di aver configurato il dispositivo come risorsa privata per consentire l'accesso, che viene utilizzata per consentire il provisioning automatico dellaISE Posture Modulerete tramite la VPN.

Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:

• Fare clic su Resources > Private Resources
• Fare clic sulla risorsa ISE

Se necessario, è possibile limitare la regola alla porta del portale di provisioning (8443).

Nota: Assicurarsi di aver selezionato la casella di controllo per le connessioni VPN.

Fase 4: Permetti l'accesso ad ISE in base alla policy di accesso

Per consentire agli utenti connessi tramite la VPN di accedere a ISE Provisioning Portal, è necessario verificare di aver configurato e configurato Access Policy in modo da consentire agli utenti configurati in base a tale regola di accedere alla risorsa privata configurata inStep3.

Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:

• Fare clic su Secure > Access Policy
• Fare clic sulla regola configurata per consentire l'accesso degli utenti VPN ad ISE

Risoluzione dei problemi

Come scaricare i log di debug di ISE Posture

Per scaricare i log ISE per verificare un problema relativo alla postura, procedere come segue: 

• Passa al dashboard ISE
• Fare clic su Operations > Troubleshoot > Debug Wizard

• Fare clic su Debug Profile Configuration

• Selezionare la casella di controllo Posture > Debug Nodes 

• Selezionare la casella di controllo relativa ai nodi ISE su cui si desidera abilitare la modalità di debug per risolvere il problema

• Fare clic su  Save

Attenzione: Dopo questo punto, è necessario iniziare a riprodurre il problema; the debug logs can affect the performance of your device.

Dopo aver riprodotto il problema, procedere con i passi successivi:

• Fare clic su Operations > Download Logs
• Scegliere il nodo da cui estrarre i registri

• In Support Bundle, scegliere le opzioni seguenti:

• Include debug logs
• Inferiore Support Bundle Encryption
  • Shared Key Encryption
    • Riempi Encryption key e Re-Enter Encryption key
• Fare clic su  Create Support Bundle
• Fare clic su  Download

Avviso: Disabilitare la modalità di debug abilitata nella fase Debug Profile Configuration

Verifica dei registri di accesso remoto per l'accesso protetto

Accedere al Dashboard di accesso protetto:

• Fare clic su Monitor > Remote Access Logs

Genera pacchetto DART su client protetto

Per generare il pacchetto DART sul computer, verificare l'articolo successivo: 

Strumento di diagnostica e reporting (DART) Cisco Secure Client

Nota: Dopo aver raccolto i log indicati nella sezione risoluzione dei problemi, aprire una richiesta con TAC per procedere all'analisi delle informazioni.

Informazioni correlate

• Supporto tecnico Cisco e download
• Documentazione e guida per l'utente di Secure Access
• Download del software Cisco Secure Client
• Guida dell'amministratore di Cisco Identity Services Engine, versione 3.3