Diferenciar tipos de autenticação em plataformas ASA para decisões de política sobre o ISE

Opções de download

  • PDF     (136.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (163.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (263.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de março de 2013
ID do documento:115962

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar o Cisco Identity Services Engine (ISE) para utilizar o atributo específico de fornecedor (VSA) RADIUS tipo cliente, a fim diferenciar vários tipos de autenticação usados no Cisco Adaptive Security Appliance (ASA). As empresas geralmente exigem decisões de política com base na forma como o usuário é autenticado no ASA. Isso também permite que você aplique a política às conexões de gerenciamento recebidas no ASA, que nos permite usar o RADIUS em vez do TACACS+, quando prudente.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Autenticação e autorização do ISE.

  • Métodos de autenticação ASA e configuração RADIUS.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adaptive Security Appliance versão 8.4.3.

  • Cisco Identity Services Engine versão 1.1.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Atributo do tipo cliente RADIUS VSA 3076/150

O atributo Client-Type foi adicionado ao ASA versão 8.4.3, que permite que o ASA envie o tipo de cliente que se autentica ao ISE em pacotes de solicitação de acesso (e solicitação de relatório) e permite que o ISE tome decisões de política com base nesse atributo. Este atributo não requer configuração no ASA e é enviado automaticamente.

O atributo Client-Type está definido atualmente com estes valores inteiros:

  1. Cisco VPN Client (Versão do Internet Key Exchange (IKEv1))

  2. VPN SSL do AnyConnect Client

  3. VPN SSL sem cliente

  4. Cut-Through-Proxy

  5. VPN SSL L2TP/IPsec

  6. VPN IPsec do AnyConnect Client (IKEv2)

Configurar

Nesta seção, você recebe as informações necessárias para configurar o ISE para utilizar o atributo Client-Type descrito neste documento.

Passo 1

Crie o atributo personalizado

Para adicionar os valores do atributo Tipo de cliente ao ISE, crie o atributo e preencha seus valores como um dicionário personalizado.

  1. No ISE, navegue até Policy > Policy Elements > Dictionaries > System.

  2. Nos dicionários do sistema, navegue até RADIUS > RADIUS Vendors > Cisco-VPN3000.

  3. A ID do fornecedor na tela deve ser 3076. Clique na guia Dictionary Attributes.

    1. Clique em Adicionar (consulte a Figura 1).

      Figura 1: Atributos do dicionário

      differ-auth-types-asa-ise-01.gif

    2. Preencha os campos no formulário de Atributo do fornecedor RADIUS personalizado, conforme mostrado na Figura 2.

      Figura 2: Atributo do fornecedor RADIUS

      differ-auth-types-asa-ise-02.gif

    3. Clique no botão Salvar na parte inferior da tela.

Passo 2

Adicionar atributo de tipo de cliente

Para utilizar o novo atributo para decisões de política, adicione o atributo a uma regra de autorização na seção condições.

  1. No ISE, navegue até Policy > Authorization.

  2. Criar uma nova regra ou modificar uma política existente.

  3. Na seção condições da regra, expanda o painel de condições e selecione Criar uma nova condição (para uma nova regra) ou Adicionar atributo/valor (para uma regra pré-existente).

  4. No campo Select Attribute, navegue para Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.

  5. Escolha o operador apropriado (Iguais ou Não Iguais) para o seu ambiente.

  6. Escolha o tipo de autenticação que deseja corresponder.

  7. Atribua um resultado de autorização adequado à sua política.

  8. Clique em Concluído.

  9. Click Save.

Depois que a regra for criada, a Condição de autorização deve ser semelhante ao exemplo na Figura 3.

Figura 3: Exemplo de condição de autorização

differ-auth-types-asa-ise-03.gif

Verificar

Para verificar se o atributo Client-Type está em uso, examine as autenticações do ASA no ISE.

  1. Navegue até Operações > Autenticações

  2. Clique no botão Details para a autenticação do ASA.

  3. Role para baixo até Other Attributes e procure CVPN3000/ASA/PIX7x-Client-Type= (veja a Figura 4)

    Figura 4: Detalhes de outros atributos

    differ-auth-types-asa-ise-04.gif

  4. O campo Outros atributos deve indicar o valor recebido para a autenticação. A regra deve corresponder à política definida na etapa 2 da seção de configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
03-Mar-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Beau Wallace
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos