De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u de Secure Client Network Analysis Module (NAM) in Windows kunt configureren.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Dit document beschrijft hoe u Secure Client NAM in Windows kunt configureren. Er worden een optie voor het vooraf implementeren en een profieleditor gebruikt voor het uitvoeren van dot1x-verificatie. Er worden ook enkele voorbeelden gegeven van hoe dit wordt bereikt.
In netwerken is een supplicant een entiteit aan de ene kant van een point-to-point LAN-segment dat wil worden geverifieerd door een verificator die aan de andere kant van die link is gekoppeld. De standaard IEEE 802.1X gebruikt de term supplicant om te verwijzen naar hardware of software. In de praktijk is een supplicant een softwaretoepassing die op een eindgebruikerscomputer is geïnstalleerd. De gebruiker haalt de aanvrager aan en dient de referenties in om de computer aan te sluiten op een beveiligd netwerk. Als de verificatie slaagt, stelt de verificator de computer doorgaans in staat verbinding te maken met het netwerk.
Over Network Access Manager
Network Access Manager is clientsoftware die een beveiligd Layer 2-netwerk biedt in overeenstemming met het bijbehorende beleid. Het detecteert en selecteert het optimale Layer 2-toegangsnetwerk en voert apparaatverificatie uit voor toegang tot zowel bekabelde als draadloze netwerken. Network Access Manager beheert de gebruikers- en apparaatidentiteit en de netwerktoegangsprotocollen die nodig zijn voor beveiligde toegang. Het werkt op een intelligente manier om te voorkomen dat eindgebruikers verbindingen maken die in strijd zijn met door de beheerder gedefinieerde beleidsregels.
De Network Access Manager is ontworpen voor enkelvoudig calibreren, zodat u slechts één netwerkverbinding tegelijk kunt maken. Ook bekabelde verbindingen hebben een hogere prioriteit dan draadloze verbindingen, dus als u wordt aangesloten op het netwerk met een bekabelde verbinding, wordt de draadloze adapter uitgeschakeld zonder IP-adres.
Het is van cruciaal belang om te begrijpen dat voor dot1x-authenticaties 3 onderdelen nodig zijn; de aanvrager die dot1x kan doen, de authenticator ook bekend als NAS/NAD die fungeert als een proxy die het dot1x-verkeer in RADIUS inkapselt, en de authenticatieserver.
In dit voorbeeld is de supplicant geïnstalleerd en geconfigureerd op verschillende manieren. Later wordt een scenario met de netwerkapparaatconfiguratie en de verificatieserver weergegeven.
Cisco-softwaredownloads
Type Secure Client 5 in de zoekbalk voor productnamen.
Downloads - Home > Beveiliging > Clients voor VPN- en endpointbeveiliging > Beveiligde client (inclusief AnyConnect) > Beveiligde client 5 > AnyConnect VPN-clientsoftware.
In dit configuratievoorbeeld wordt versie 5.1.2.42 gebruikt.
Er zijn meerdere manieren om Secure Client te implementeren op Windows-apparaten; vanaf SCM, vanaf de Identity Service Engine en vanaf de VPN-head-end. In dit artikel wordt echter de voorimplementatiemethode gebruikt.
Zoek op de pagina naar het bestand Cisco Secure Client Head-end implementatiepakket (Windows).
Klik op Setup als u het bestand hebt gedownload en geëxtraheerd.
Installeer de Network Access Manager en de modules van de Diagnostics and Reporting Tool.
Waarschuwing: als u de Secure Client Wizard van Cisco gebruikt, wordt de VPN-module automatisch geïnstalleerd en in de GUI verborgen. NAM werkt niet als de VPN module niet geïnstalleerd is. Als u individuele MSI-bestanden of een andere installatiemethode gebruikt, zorg er dan voor dat u de VPN-module installeert.
Klik op Install Selected (Selectie installeren).
Accepteer de EULA.
Na de NAM-installatie moet opnieuw worden gestart.
Eenmaal geïnstalleerd kan het worden gevonden en geopend vanuit de Windows Search bar.
De Cisco Network Access Manager Profile Editor is vereist voor het configureren van de Dot1x-voorkeuren.
De optie Profieleditor is gevonden op dezelfde pagina waarop Secure Client is gedownload.
Dit voorbeeld gebruikt de optie met versie 5.1.2.42.
Zodra het is gedownload, gaat u verder met de installatie.
Start het MSI-bestand.
Gebruik de optie Typische installatie.
Klik op Finish (Voltooien).
Open na installatie de profieleditor van Network Access Manager vanuit de zoekbalk.
De installatie van Network Access Manager en Profile Editor is voltooid.
Alle scenario's in dit artikel bevatten configuraties voor:
Ga naar het gedeelte Netwerken.
Het standaard netwerkprofiel kan worden verwijderd.
Klik op Add (Toevoegen).
Geef het netwerkprofiel een naam.
Selecteer Global for Group Membership. Selecteer de media voor bekabeld netwerk.
Klik op Next (Volgende).
Selecteer Netwerk verifiëren en gebruik de standaardinstelling voor de rest van de opties in het gedeelte Beveiligingsniveau.
Klik op Volgende om door te gaan met het gedeelte Verbindingstype.
Selecteer het type gebruikersverbinding.
Klik op Volgende om door te gaan met de sectie Gebruikersautorisatie die nu beschikbaar is.
Selecteer PEAP als de algemene EAP-methode.
Wijzig de standaardwaarden in de EAP-PEAP-instellingen niet.
Ga verder met de Innerlijke Methodes die op Credentials Bron sectie worden gebaseerd.
Selecteer Verifiëren met een wachtwoord en selecteer EAP-MSCHAPv2 vanuit de meerdere innerlijke methoden die bestaan voor EAP PEAP.
Klik op Volgende om verder te gaan naar het gedeelte Certificaat.
Opmerking: het gedeelte Certificaat wordt weergegeven omdat de optie Serveridentiteit valideren in EAP-PEAP-instellingen is geselecteerd. Voor EAP PEAP wordt de insluiting uitgevoerd met behulp van het servercertificaat.
In het gedeelte Certificaten wordt in de Certificate Trusted Server-regels de regel Common Name end met c.com gebruikt. Dit deel van de configuratie verwijst naar het certificaat dat de server gebruikt tijdens de EAP PEAP-stroom. Als Identity Service Engine (ISE) in uw omgeving wordt gebruikt, kunt u de algemene naam van het EAP-certificaat voor Policy Server Node gebruiken.
Er kunnen twee opties worden geselecteerd in Certificate Trusted Authority. In dit scenario wordt in plaats van een specifiek CA-certificaat dat het EAP-certificaat van RADIUS heeft ondertekend, de optie Vertrouwen elke Root Certificate Authority (CA) die op het besturingssysteem is geïnstalleerd, gebruikt.
Met deze optie vertrouwt het Windows-apparaat op een EAP cert die is ondertekend door een cert die is opgenomen in het programma Gebruikerscertificaten beheren — Huidige gebruiker > Trusted Root Certification Authorities > Certificates.
Klik op Next (Volgende).
In het gedeelte Credentials wordt alleen het gedeelte Gebruikersreferenties gewijzigd.
De optie Vragen om referenties > Nooit herinneren is geselecteerd, dus bij elke verificatie moet de gebruiker die de verificatie uitvoert, zijn referenties invoeren.
Klik op Gereed.
Sla het profiel voor Secure Client Network Access Manager op als configuratie.xml met de optie Bestand > Opslaan als.
Als u Secure Client Network Access Manager wilt gebruiken voor het profiel dat zojuist is gemaakt, vervangt u het bestand Configuration.xml in de volgende map door het nieuwe:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager/systeem
Opmerking: het bestand moet Configuration.xml worden genoemd, anders werkt het niet.
Open de NAM Profile Editor en navigeer naar de Networks sectie.
Klik op Add (Toevoegen).
Geef een naam op in het netwerkprofiel.
Selecteer Global for Group Membership. Selecteer de media voor bekabeld netwerk.
Klik op Next (Volgende).
Selecteer Netwerk verifiëren en wijzig de standaardwaarden voor de rest van de opties in deze sectie niet.
Klik op Volgende om door te gaan met het gedeelte Verbindingstype.
Configureer de gebruiker- en machine-verificatie tegelijkertijd door de derde optie te selecteren.
Klik op Next (Volgende).
Selecteer in het gedeelte Machinemachine EAP-FAST als de EAP-methode. Wijzig de standaardwaarden van de EAP FAST-instellingen niet. Voor de Innerlijke methodes die op Credentials Bron sectie worden gebaseerd selecteer Verifiëren met een Wachtwoord en EAP-MSCHAPv2 als de methode. Selecteer vervolgens de optie PAC's gebruiken.
Klik op Next (Volgende).
In de sectie Certificaten, in Certificate Trusted Server Rules eindigt de regel gemeenschappelijke naam met c.com. Dit deel verwijst naar het certificaat dat de server gebruikt tijdens de EAP PEAP-stroom. Als Identity Service Engine (ISE) in uw omgeving wordt gebruikt, kan de algemene naam van het EAP-certificaat van het Policy Server-knooppunt worden gebruikt.
Er kunnen twee opties worden geselecteerd in Certificate Trusted Authority. Voor dit scenario in plaats van een specifiek CA-certificaat toe te voegen dat het EAP-certificaat van RADIUS heeft ondertekend, gebruikt u de optie Vertrouwen op elke Root Certificate Authority (CA) die op het besturingssysteem is geïnstalleerd.
Met deze optie vertrouwt Windows op elke EAP cert die is ondertekend door een cert die is opgenomen in het programma Gebruikerscertificaten beheren (huidige gebruiker > Trusted Root Certification Authorities > Certificates).
Klik op Next (Volgende).
Selecteer Machine-referenties gebruiken in het gedeelte Machine-referenties.
Klik op Next (Volgende).
Selecteer voor Gebruikersautorisatie EAP-FAST als de EAP-methode.
Wijzig de standaardwaarden niet in het gedeelte EAP-FAST-instellingen.
Selecteer in het gedeelte Inner Method gebaseerd op aanmeldingsbron de optie Verifiëren met een wachtwoord en EAP-MSCHAPv2 als methode.
Selecteer PAC's gebruiken.
Klik op Next (Volgende).
In de sectie Certificaten, in Certificate Trusted Server Regels, is de regel Common Name eindigt met c.com. Deze configuraties dienen voor het certificaat dat de server gebruikt tijdens de EAP PEAP-stroom. Als ISE in uw omgeving wordt gebruikt, kan de algemene naam van het EAP-certificaat voor de beleidsserverknooppunt worden gebruikt.
Er kunnen twee opties worden geselecteerd in Certificate Trusted Authority. In dit scenario wordt in plaats van een specifiek CA-certificaat dat het EAP-certificaat van RADIUS heeft ondertekend, de optie Vertrouwen elke Root Certificate Authority (CA) die op het besturingssysteem is geïnstalleerd, gebruikt.
Klik op Next (Volgende).
In het gedeelte Credentials wordt alleen het gedeelte Gebruikersreferenties gewijzigd.
De optie Vragen om referenties > Niet onthouden is geselecteerd. Bij elke verificatie moet de gebruiker die de verificatie uitvoert dus zijn referenties invoeren.
Klik op de knop Gereed.
Selecteer Bestand > Opslaan als en sla het profiel voor Secure Client Network Access Manager op als configuratie.xml.
Als u de Secure Client Network Access Manager wilt laten gebruiken van het profiel dat zojuist is gemaakt, vervangt u het bestand Configuration.xml in de volgende map door het nieuwe:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager/systeem
Opmerking: het bestand moet Configuration.xml worden genoemd, anders werkt het niet.
Open de NAM Profile Editor en navigeer naar de sectie Networks.
Klik op Add (Toevoegen).
Geef het netwerkprofiel een naam, in dit geval is de naam gelijk aan het EAP-protocol dat voor dit scenario wordt gebruikt.
Selecteer Global for Group Membership. en bekabelde netwerkmedia.
Klik op Next (Volgende).
Selecteer Netwerk verifiëren en wijzig de standaardwaarden voor de rest van de opties in de sectie Beveiligingsniveau niet.
Dit scenario is voor gebruikersverificatie met behulp van een certificaat. Daarom wordt de optie Gebruikersverbinding gebruikt.
Configureer EAP-TLS als de EAP-methode. Wijzig de standaardwaarden in het gedeelte EAP-TLS-instellingen niet.
Voer in het gedeelte Certificaten een regel in die overeenkomt met het AAA EAP-TLS-certificaat. Als u ISE gebruikt, vindt u deze regel in sectie Beheer > Systeem > Certificaten.
Selecteer in het gedeelte Certificate Trusted Authority de optie Trust Any Root Certificate Authority (CA) dat in het besturingssysteem is geïnstalleerd.
Klik op Next (Volgende).
Wijzig de standaardwaarden in het eerste deel van het gedeelte Gebruikersreferenties niet.
Het is belangrijk om een regel te configureren die overeenkomt met het identiteitscertificaat dat de gebruiker verstuurt tijdens het EAP TLS-proces. Om dit te doen klik op het selectievakje naast Certificaatbewerkingsregel gebruiken (max. 10).
Klik op Add (Toevoegen).
Vervang de waarde My Internal OR 3rd Party CA.com string door de CN van het gebruikerscertificaat.
Klik op Gereed om de configuratie te voltooien.
Selecteer Bestand > Opslaan als om het profiel voor Secure Client Network Access Manager op te slaan als configuratie.xml.
Als u de Secure Client Network Access Manager wilt laten gebruiken van het profiel dat zojuist is gemaakt, vervangt u het bestand Configuration.xml in de volgende map door het nieuwe:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager/systeem
Opmerking: het bestand moet Configuration.xml worden genoemd, anders werkt het niet.
Configureer de ISR 1100 router.
In dit hoofdstuk wordt ingegaan op de basisconfiguratie die de NAD moet hebben om dot1x te laten werken.
Opmerking: voor de implementatie van ISE voor meerdere knooppunten, wijs naar elk knooppunt dat de Policy Server Node-persoonlijkheid heeft ingeschakeld. Dit kan worden gecontroleerd door naar ISE te navigeren in het tabblad Beheer > Systeem > Installatie.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
Identity Service Engine configureren 3.2.
Configureer het netwerkapparaat.
Voeg de ISR en de ISE toe aan ISE-beheer > Netwerkbronnen > Netwerkapparaten.
Klik op Add (Toevoegen).
Wijs een naam toe aan de NAD die u maakt. Voeg het IP-netwerkapparaat toe.
Onderaan dezelfde pagina voegt u hetzelfde gedeelde geheim toe dat u in uw netwerkapparaatconfiguratie hebt gebruikt.
Sla de wijzigingen op.
Configureer de identiteit die wordt gebruikt voor de verificatie van het eindpunt.
Lokale verificatie met ISE wordt gebruikt. De externe authentificatie van ISE wordt niet verklaard in dit artikel.
Navigeer naar het tabblad Beheer > Identity Management > Groepen en maak de groep aan waar de gebruiker deel van uitmaakt. De identiteitsgroep die voor deze demonstratie werd gecreëerd is iseUser.
Klik op Verzenden.
Navigeer naar Beheer > Identity Management > tabblad Identity.
Klik op Add (Toevoegen).
Als onderdeel van de verplichte velden begint de naam van de gebruiker. De gebruikersnaam isisisecool wordt in dit voorbeeld gebruikt.
Wijs een wachtwoord toe aan de gebruiker. Er wordt een Vainilla ISE97 gebruikt.
Wijs de gebruiker toe aan de groep ISEusers.
Configureer de beleidsset.
Navigeer naar het ISE-menu > Beleidssets > Beleidssets.
De standaard Beleidsset kan worden gebruikt. Er is echter een met de naam Wired aangemaakt voor dit voorbeeld.
Opmerking: het classificeren en differentiëren van de beleidssets helpt bij het oplossen van problemen,
Opmerking: Als het pictogram add of plus niet zichtbaar is, kan het versnellingspictogram van elke beleidsset worden geklikt en selecteer vervolgens Nieuwe rij invoegen hierboven.
De gebruikte voorwaarde is Wired 8021x. Sleep het bestand en klik op Gebruik.
Selecteer in het gedeelte Toegestane protocollen de optie Standaard netwerktoegang.
Klik op Save (Opslaan).
2. Configureer het verificatie- en autorisatiebeleid.
Klik op het >pictogram.
Breid het gedeelte Verificatiebeleid uit.
Klik op het pictogram +.
Wijs een naam toe aan het verificatiebeleid. Interne verificatie wordt in dit voorbeeld gebruikt.
Klik op het +-pictogram in de kolom Voorwaarden voor dit nieuwe verificatiebeleid.
De bekabelde Dot1x-verbinding wordt gebruikt in de vooraf geconfigureerde toestand.
Selecteer in de kolom Gebruik tot slot de optie Interne gebruikers.
Vergunningsbeleid.
De sectie Autorisatiebeleid staat onderaan de pagina. Breid het uit en klik op het + pictogram.
Geef het recent gemaakte autorisatiebeleid een naam. In dit configuratievoorbeeld wordt de naam Interne ISE-gebruikers gebruikt.
Als u een voorwaarde voor dit autorisatiebeleid wilt maken, klikt u op het +-pictogram in de kolom Voorwaarden.
De groep IseGebruikers wordt gebruikt.
Klik op de sectie Kenmerken.
Selecteer het pictogram IdentityGroup.
Selecteer in het woordenboek het interne gebruikerswoordenboek dat bij het kenmerk IdentityGroup wordt geleverd.
Selecteer de operator Gelijk.
Selecteer vanuit Gebruikersidentiteitsgroepen de groep IseGebruikers.
Klik op Gebruik.
Voeg het resultaat autorisatieprofiel toe.
Er wordt gebruikgemaakt van het vooraf ingestelde profiel Permit Access.
Opmerking: Merk op dat de authenticaties die naar ISE komen op deze Wired Dot1x Policy-set die geen deel uitmaken van de User Identity Group ISEU-gebruikers, het standaard autorisatiebeleid raken, wat het resultaat DenyAccess heeft.
Klik op Save (Opslaan).
Nadat de configuratie is voltooid, wordt Secure Client gevraagd om de referenties en wordt het gebruik van het PEAP MSCHAPv2-profiel gespecificeerd.
De eerder gemaakte referenties worden ingevoerd.
Als het eindpunt op de juiste manier wordt geverifieerd,. NAM toont dat het verbonden is.
Door op het informatiepictogram te klikken en naar de sectie Berichtgeschiedenis te navigeren, worden de details van elke stap die de NAM heeft uitgevoerd weergegeven.
Ga van ISE naar Operations > Radius LiveLogs om de details van de verificatie te zien. Zoals in de volgende afbeelding wordt de gebruikersnaam weergegeven die is gebruikt.
Ook andere details, zoals:
Aangezien u kunt zien dat het de juiste beleidsregels raakt en het resultaat een succesvolle verificatiestatus is, wordt geconcludeerd dat de configuratie correct is.
Als het nieuwe profiel dat is gemaakt in de profieleditor niet wordt gebruikt door NAM, gebruikt u de optie Network Repair voor Secure Client.
U kunt deze optie vinden door naar de Windows-balk te navigeren > Klik op het pictogram circumflex > Klik met de rechtermuisknop op het pictogram Secure Client > Klik op Network Repair.
Open NAM en klik op het tandwielpictogram.
Navigeer naar het tabblad Loginstellingen. Schakel het selectievakje Uitgebreid vastlegging inschakelen in.
Stel de grootte van het pakketopnamebestand in op 100 MB.
Als uitgebreide vastlegging is ingeschakeld, reproduceert u het probleem meerdere malen om er zeker van te zijn dat de logbestanden worden gegenereerd en het verkeer wordt opgenomen.
Navigeer vanuit Windows naar de zoekbalk en typ Cisco Secure Client Diagnostics and Reporting Tool.
Tijdens het installatieproces, installeerde u ook deze module. Het is een hulpmiddel dat tijdens het probleemoplossingsproces helpt door logboeken en relevante dot1x-sessieinformatie te verzamelen.
Klik op Volgende in het eerste venster.
Klik nogmaals op Volgende, zodat de logbundel kan worden opgeslagen op het bureaublad.
Indien nodig vinkt u het aanvinkvakje Bundle-encryptie inschakelen aan.
DART-logboekverzameling start.
Het kan 10 minuten of langer duren totdat het proces is voltooid.
Het DART-resultaatbestand vindt u in de desktopmap.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
29-Apr-2024 |
Eerste vrijgave |