Este documento descreve como configurar o NAM (Secure Client Network Analysis Module) no Windows.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este documento descreve como configurar o NAM do Secure Client no Windows. A opção de pré-implantação e o Editor de perfis para executar a autenticação dot1x são usados. Além disso, são fornecidos alguns exemplos de como isso é obtido.
Em redes, um suplicante é uma entidade em uma extremidade de um segmento de LAN ponto-a-ponto, que busca ser autenticada por um autenticador conectado à outra extremidade desse link.
O padrão IEEE 802.1X usa o termo suplicante para se referir a hardware ou software. Na prática, um requerente é um aplicativo de software instalado no computador de um usuário final. O usuário chama o solicitante e envia as credenciais para conectar o computador a uma rede segura. Se a autenticação for bem-sucedida, o autenticador geralmente permitirá que o computador se conecte à rede.
O Network Access Manager é um software cliente que fornece uma rede segura de Camada 2 de acordo com suas políticas. Ele detecta e seleciona a rede de acesso de Camada 2 ideal e executa a autenticação de dispositivo para acesso a redes com e sem fio. O gerenciador de acesso à rede gerencia a identidade do usuário e do dispositivo e os protocolos de acesso à rede necessários para acesso seguro. Ele funciona de forma inteligente para evitar que os usuários finais façam conexões que violem as políticas definidas pelo administrador.
O gerenciador de acesso à rede foi projetado como single-homed, permitindo apenas uma conexão de rede por vez. Além disso, as conexões com fio têm prioridade mais alta do que as conexões sem fio; portanto, se você estiver conectado à rede com uma conexão com fio, o adaptador sem fio será desativado sem nenhum endereço IP.
É crucial entender que para as autenticações dot1x são necessárias 3 partes:
Neste exemplo, o suplicante é instalado e configurado de diferentes maneiras. Mais tarde, é mostrado um cenário com a configuração do dispositivo de rede e o servidor de autenticação.
Diagrama de Rede
Download de software da Cisco
1. Na barra de pesquisa do nome do produto, digite Secure Client 5.
Downloads Home > Segurança > Clientes de segurança de VPN e endpoint > Cliente seguro (incluindo AnyConnect) > Cliente seguro 5 > Software AnyConnect VPN Client.
2. Neste exemplo de configuração, a Versão 5.1.2.42 é usada.
Há várias maneiras de implantar o Secure Client em dispositivos Windows; do SCCM, do mecanismo de serviço de identidade e do headend da VPN. No entanto, neste artigo, o método de instalação usado é o método de pré-implantação.
3. Nesta página, procure o arquivo Pacote de Implantação de Headend do Cisco Secure Client (Windows).
Arquivo zip Msi
4. Após o download e a extração, clique em Configuração.
Proteger arquivos do cliente
5. Instale o Network Access Manager e os módulos da Ferramenta de Diagnóstico e Relatório.
aviso: Se você usar o Cisco Secure Client Wizard, o módulo VPN será instalado automaticamente e oculto na GUI. O NAM não funcionará se o módulo VPN não estiver instalado. Se você usar arquivos MSI individuais ou um método de instalação diferente, certifique-se de instalar o módulo VPN.
Seletor de instalação
6. Clique em Instalar Selecionado.
7. Aceite o EULA.
Janela do EULA
8. É necessário reiniciar o computador após instalar o NAM.
Janela de Requisitos de Reinicialização
9. Uma vez instalado, ele pode ser encontrado e aberto a partir da barra Windows Search.
Programa Secure Client1. O Editor de Perfis do Cisco Network Access Manager é necessário para configurar as preferências do Dot1x.
2. Na mesma página em que o Secure Client é baixado, a opção Profile Editor é encontrada.
3. Este exemplo usa a opção com a Versão 5.1.2.42.
Editor de perfis
4. Após o download, prossiga com a instalação.
5. Execute o arquivo msi.
Janela Configuração do Editor de perfis
6. Use a opção de configuração Típica.
Configuração do Editor de perfis
Janela de instalação7. Clique em Finalizar.
Fim da Configuração do Editor de Perfis
8. Uma vez instalado, abra o Editor de Perfis do Network Access Manager na barra de pesquisa.
Editor de perfis para NAM na barra de pesquisa
9. A instalação do Network Access Manager e do Editor de Perfis foi concluída.
1. Todos os cenários apresentados neste artigo contêm configurações para:
Política do Cliente do Editor de Perfis do NAM
Política de Autenticação do Editor de Perfil NAM
Guia Grupos de rede
1. Navegue até a seção Redes.
2. O perfil de Rede padrão pode ser excluído.
3. Clique em Adicionar.
Criação de perfil de rede
4. Nomeie o perfil de Rede.
5. Selecione Global para Associação de Grupo. Selecione a mídia Wired Network.
Seção Tipo de Mídia de Perfil de Rede
6. Clique em Próximo.
7. Selecione Authenticating Network e use default para o restante das opções na seção Security Level.
Nível de Segurança do Perfil de Rede
8. Clique em Próximo para continuar com a seção Tipo de Conexão.
Tipo de Conexão de Perfil de Rede
9. Selecione o tipo de conexão Conexão do Usuário.
10. Clique em Próximo para continuar com a seção Autenticação do Usuário, que agora está disponível.
11. Selecione PEAP como o Método EAP geral.
Autenticação de Usuário do Perfil de Rede
12. Não altere os valores padrão nas Configurações EAP-PEAP.
13. Continue com a seção Métodos Internos com Base na Origem de Credenciais.
14. A partir dos vários métodos internos existentes para EAP PEAP, selecione Authenticate using a Password e selecione EAP-MSCHAPv2.
15. Clique em Próximo para continuar na seção Certificado.
Note: A seção Certificate é exibida como a opção Validate Server Identity em EAP-PEAP Settings está selecionada. Para EAP PEAP, ele faz o encapsulamento usando o certificado do servidor.
16. Na seção Certificados, Regras do Servidor Confiável de Certificados, a regra Nome Comum termina com c.com é usada. Esta seção da configuração se refere ao certificado que o servidor usa durante o fluxo PEAP EAP. Se o Identity Service Engine (ISE) for usado em seu ambiente, você poderá usar o nome comum do Certificado EAP do Nó do Servidor de Políticas.
Seção Certificado de Perfil de Rede
17. Duas opções podem ser selecionadas na Autoridade de Certificação Confiável. Para esse cenário, em vez de adicionar um Certificado de CA específico que assinou o certificado RADIUS EAP, a opção Confiar em qualquer Autoridade de Certificação Raiz Instalada no SO é usada.
18. Com esta opção, o dispositivo Windows confia em qualquer certificado EAP que seja assinado por um certificado incluído no programa Gerenciar Certificados de Usuário Certificados — Usuário Atual > Autoridades de Certificação Raiz Confiáveis > Certificados.
19. Clique em Próximo.
Seção Credenciais de Perfil de Rede
20. Na seção Credenciais, apenas a seção Credenciais do Usuário é alterada.
21. A opção Prompt para Credenciais > Nunca Lembrar é selecionada, em cada autenticação, o usuário que seleciona a autenticação deve inserir suas credenciais.
22. Clique em Concluído.
23. Salve o perfil Secure Client Network Access Manager, como configuration.xml com a opção File > Save As.
24. Para garantir que o Secure Client Network Access Manager use o perfil recém-criado, substitua o arquivo configuration.xml no próximo diretório pelo novo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Note: O arquivo deve ser nomeado como configuration.xml, caso contrário ele não funcionará.
Substituir Seção de Arquivo
1. Abra o NAM Profile Editor e navegue para a seção Redes.
2. Clique em Adicionar.
Guia Rede do Editor de perfis do NAM
3. Informe um nome no perfil de rede.
4. Selecione Global para Associação de Grupo. Selecione WiredNetwork Media.
Seção Tipo de Mídia
5. Clique em Próximo.
6. Selecione Authenticating Network e não altere os valores padrão para o restante das opções nesta seção.
Seção Editor de perfil de nível de segurança
7. Clique em Próximo para continuar com a seção Tipo de Conexão.
Seção Tipo de Conexão
8. Configure a autenticação do usuário e da máquina simultaneamente selecionando a terceira opção.
9. Clique em Próximo.
Seção de Autenticação da Máquina
10. Na seção Machine Auth, selecione EAP-FAST como o método EAP. Não altere os valores padrão das configurações EAP FAST.
11. Para a seção Métodos internos baseados na origem de credenciais, selecione Autenticar usando uma senha e EAP-MSCHAPv2 como o método. Em seguida, selecione a opção Usar PACs.
12. Clique em Próximo.
13. Na seção Certificados, Regras do Servidor Confiável de Certificados, a regra é nome comum que termina com c.com. Esta seção se refere ao certificado que o servidor usa durante o fluxo PEAP EAP. Se o Identity Service Engine (ISE) for usado em seu ambiente, o nome comum do Certificado EAP do Nó do Servidor de Políticas poderá ser usado.
Seção Confiança de Certificado de Servidor de Autenticação de Computador
14. Podem ser selecionadas duas opções na Autoridade de Certificação Confiável. Neste cenário, em vez de adicionar um certificado CA específico que assinou o certificado RADIUS EAP, use a opção Trust Any Root Certificate Authority (CA) Installed on the OS.
15. Com esta opção, o Windows confia em qualquer certificado EAP assinado por um certificado incluído no programa Gerenciar Certificados de Usuário (Usuário Atual > Autoridades de Certificação Raiz Confiáveis > Certificados).
16. Clique em Próximo.
Seção Credenciais de Autenticação de Máquina
17. Selecione Usar Credenciais da Máquina na seção Credenciais da Máquina.
18. Clique em Próximo.
Seção Autenticação de Usuário
19. Para Autenticação do Usuário, selecione EAP-FAST como o Método EAP.
20. Não altere os valores padrão na seção de configurações de EAP-FAST.
21. Para a seção Método Interno com base na origem das credenciais, selecione Autenticar usando uma Senha e EAP-MSCHAPv2 como o método.
22. Selecione Usar PACs.
23. Clique em Próximo.
24. Na seção Certificados, Regras do Servidor Confiável de Certificados, a regra é nome comum que termina com c.com. Essas configurações são para o certificado que o servidor usa durante o fluxo PEAP EAP. Se o ISE for usado em seu ambiente, o nome comum do certificado EAP do nó do servidor de políticas poderá ser usado.
Seção Confiança de Certificado do Servidor de Autenticação de Usuário
25. Podem ser selecionadas duas opções na Autoridade de Certificação Confiável. Neste cenário, em vez de adicionar um certificado CA específico que assinou o certificado RADIUS EAP, a opção Trust Any Root Certificate Authority (CA) Installed on the OS é usada.
26. Clique em Próximo.
Credenciais de Autenticação do Usuário
27. Na seção Credenciais, apenas a seção Credenciais do Usuário é alterada.
28. A opção Solicitar Credenciais > Nunca Lembrar é selecionada. Portanto, em cada autenticação, o usuário que estiver autenticando deverá inserir suas credenciais.
29. Clique no botão Concluído.
30. Selecione File > Save as e salve o Secure Client Network Access ManagerProfile como configuration.xml.
31. Para tornar o Secure Client Network Access Manager, use o perfil que você acabou de criar e substitua o arquivo configuration.xml no próximo diretório pelo novo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Note: O arquivo deve ser nomeado como configuration.xml, caso contrário ele não funcionará.
1. Abra o NAM Profile Editor e navegue para a seção Redes.
2. Clique em Adicionar.
Seção de criação de rede
3. Nomeie o perfil de rede; nesse caso, o nome é o protocolo EAP.
4. Selecione Global para Associação de Grupo. E Meios De Rede Com Fio.
Seção Tipo de Mídia
5. Clique em Próximo.
6. Selecione Authenticating Network e não altere os valores padrão para o restante das opções na seção Security Level.
Nível de segurança
7. Este cenário destina-se à autenticação de usuário utilizando um certificado. Por esse motivo, a opção User Connection é usada.
Tipo de conexão
8. Configure EAP-TLS como o método EAP e não altere os valores padrão na seção Configurações de EAP-TLS.
Seção Autenticação de Usuário
9. Para a seção Certificados, crie uma regra que corresponda ao certificado AAA EAP-TLS. Se você estiver usando o ISE, encontre essa regra na seção Administração > Sistema > Certificados.
10. Para a seção Certificate Trusted Authority, selecione Trust any Root Certificate Authority (CA) installed on the OS.
Configurações de Confiança de Certificado do Servidor de Autenticação de Usuário
11. Clique em Próximo.
12, Para a seção Credenciais do usuário, não altere os valores padrão na primeira seção.
Seção Credenciais de Autenticação do Usuário
13. É importante configurar uma regra que corresponda ao certificado de identidade que o usuário envia durante o processo EAP TLS. Para fazer isso, clique na caixa de seleção ao lado de Usar regra de correspondência de certificado (máx. 10).
14. Clique em Adicionar.
Janela Regra de Correspondência de Certificado
15. Substitua o valor da string My Internal OR 3rd Party CA.com pelo CN do certificado do usuário.
Seção Credenciais de Certificado de Autenticação de Usuário
16. Clique em Concluído para concluir a configuração.
17. Selecione File > Save as para salvar o Secure Client Network Access Manager Profile como configuration.xml.
18. Para adicionar o Secure Client Network Access Manager, use o perfil que você acabou de criar e substitua o arquivo configuration.xml no próximo diretório pelo novo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Note: O arquivo deve ser nomeado como configuration.xml, caso contrário ele não funcionará.
1. Configure o roteador ISR 1100.
2. Esta seção abrange a configuração básica que o NAD deve ter para garantir que o dot1x funcione conforme esperado.
Note: Para implantações ISE de vários nós, aponte para qualquer nó que tenha a persona Policy Server Node habilitada. Para verificar isso, navegue até o ISE na guia Administração > Sistema > Implantação.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3. Configure o Identity Service Engine 3.2.
4. Configure o Dispositivo de Rede.
5. Adicione o ISR NAD ao ISE Administração > Recursos de rede > Dispositivos de rede.
6. Clique em Adicionar.
Seção Dispositivo de rede
7. Atribua um nome ao NAD que está sendo criado. Adicione o IP do dispositivo de rede.
Criação de dispositivo de rede
8. Na parte inferior da mesma página, adicione o mesmo Shared Secret usado na configuração do dispositivo de rede.
Configurações Radius do Dispositivo de Rede
8. Salve as alterações.
9. Configure a identidade usada para autenticar o ponto final.
10. A autenticação local do ISE é usada e a autenticação externa do ISE não é explicada neste artigo.
11. Navegue até a guia Administração > Gerenciamento de identidades > Grupos e crie o grupo do qual seu usuário faz parte. O grupo de identidade criado para este exemplo é iseUsers.
Criação do grupo de identidade
12. Clique em Submeter.
13. Navegue até a guia Administração > Gerenciamento de identidades > Identidade.
14. Clique em Adicionar.
Seção Usuários de Acesso à Rede
15. Como parte dos campos obrigatórios. comece com o nome do usuário. O nome de usuário isiscool é usado neste exemplo.
Criação de usuário de acesso à rede
16. Atribua uma senha ao usuário; neste exemplo, VainillaISE97 é usada.
Seção Senha de Criação do Usuário
17. Atribua o usuário ao grupo iseUsers.
Atribuição de grupo de usuários
18. Configure a Política definida.
19. Navegue até Menu ISE > Política > Conjuntos de políticas.
20. O conjunto de Políticas padrão pode ser usado. No entanto, um chamado Com fio é criado para este exemplo.
Note: Classificar e diferenciar os conjuntos de políticas ajuda na solução de problemas,
Se o ícone de adição ou adição "+" não estiver visível, o ícone de engrenagem de qualquer conjunto de políticas pode ser clicado e, em seguida, selecione Inserir nova linha acima.
Opções de ícone de engrenagem
21. A condição usada é Wired 8021x, arraste-a. em seguida, clique em Usar.
Estúdio de Condição de Política de Autenticação
22. Selecione Default Network Access na seção Allowed Protocols.
Exibição Geral de Conjuntos de Políticas
23. Clique em Salvar.
1. Clique no ícone >.
Conjunto de políticas com fio
2. Expanda a seção Authentication Policy.
3. Clique no ícone "+".
Política de autenticação
4. Atribua um nome à Política de Autenticação; Autenticação Interna é usada neste exemplo.
5. Clique no ícone "+" na coluna condições para esta nova Política de autenticação.
6. A condição pré-configurada Wired Dot1x é usada.
7. Na coluna Usar, selecione Usuários Internos.
Política de autenticação
1. A seção Política de Autorização está na parte inferior da página. Expanda-o e clique no ícone +.
Política de Autorização
2. Nomeie a Política de Autorização recém-criada. Neste exemplo de configuração, o nome Usuários Internos do ISE é usado.
3. Para criar uma condição para esta Política de Autorização, clique no ícone "+" na coluna Condições.
4. O grupo IseUsers é usado.
5. Clique na seção Atributo.
6. Selecione o ícone IdentityGroup.
7. No dicionário, selecione o dicionário InternalUser que vem com o atributo IdentityGroup.
Criação de Condição
8. No menu suspenso, selecione o operador Equals.
9. No menu suspenso User Identity Groups , selecione o grupo IseUsers.
Criação de Condição
10. Clique em Usar.
11. Adicione o Perfil de Resultado de Autorização.
12. O perfil pré-configurado Permitir Acesso é usado.
Note: As autenticações que chegam ao ISE atingindo o conjunto de políticas Wired Dot1x não fazem parte do grupo de identidade de usuários ISEUsers. Pressione a Política de autorização padrão, que resulta em NegarAcesso.
Política de Autorização
13. Clique em Salvar.
1. Quando a configuração estiver concluída, o Secure Client solicitará as credenciais e especificará o uso do perfil PEAP MSCHAPv2.
2. As credenciais criadas anteriormente são informadas.
NAM de Cliente Seguro
3. Se o endpoint for autenticado corretamente, o NAM o exibirá conectado.
NAM de Cliente Seguro
4. Clicando no ícone de informações e navegando até a seção Histórico de Mensagens, os detalhes de cada etapa concluída pelo NAM são exibidos.
Histórico de mensagens do cliente seguro
Histórico de mensagens do cliente seguro
5. No ISE, navegue até Operations > Radius LiveLogs para exibir os detalhes da autenticação. Como visto na imagem a seguir, o nome de usuário que foi usado é exibido.
Detalhes adicionais estão disponíveis, como:
Logs ao vivo do ISE RADIUS
6. Nessa exibição, são exibidas todas as políticas corretas e o resultado é um status de autenticação bem-sucedido. Isso conclui que a configuração está correta.
1. Se o novo perfil tiver sido criado no Editor de perfis e não for usado pelo NAM, use a opção Reparo de Rede para Cliente Seguro.
2. Você pode encontrar esta opção navegando até a Barra do Windows > Clicando no ícone de circunflexo > Clique com o botão direito do mouse no ícone do Secure Client > Clique em Reparo de Rede.
Seção de Reparo de Rede
1. Habilitar log estendido do NAM
2. Abra o NAM e clique no ícone de engrenagem.
Interface NAM
3. Navegue até a guia Configurações de Log. Marque a caixa de seleção Enable Extended Logging.
4. Defina o Tamanho do Arquivo de Captura de Pacotes como 100 MB.
Configurações de log NAM de cliente seguro
5. Quando o registro estendido estiver ativado, reproduza o problema várias vezes para garantir que os registros sejam gerados e o tráfego seja capturado.
6. No Windows, navegue até a barra de pesquisa e digite: Cisco Secure Client Diagnostics and Reporting Tool.
Módulo DART
7. Durante o processo de instalação, você também instalou este módulo. É uma ferramenta que auxilia durante os processos de solução de problemas, coletando registros e informações relevantes da sessão dot1x.
8. Clique em Próximo na primeira janela.
Módulo DART
9. Clique em Avançar, isso permite que o pacote de log seja salvo na área de trabalho.
Módulo DART
10. Se necessário, clique na caixa de seleção Enable Bundle Encryption.
Módulo DART
11. A coleta de logs do DART é iniciada.
Coleta de logs do DART
12. Pode levar cerca de 10 minutos até que o processo termine.
Resultado da criação do pacote DART
13. O arquivo de resultados do DART pode ser encontrado no diretório desktop.
Arquivo de resultado do DART
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
02-Jul-2026
|
Ortografia, espaçamento, gramática, estrutura de frases e alertas do CCW atualizados. |
1.0 |
29-Apr-2024
|
Versão inicial |