Configurar perfil NAM de cliente seguro no Windows usando ISE

Opções de download

  • PDF     (3.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de maio de 2025
ID do documento:222236

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como implantar o perfil do Cisco Secure Client Network Access Manager (NAM) através do Identity Services Engine (ISE).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Identity services engine (ISE)
    • AnyConnect NAM e Editor de perfis
    • Política de postura
    • Configuração do Cisco Catalyst para serviços 802.1x

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ISE, versão 3.3 e posterior
    • Windows 10 com Cisco Secure Mobility Client 5.1.4.74 e posterior
    • Switch Cisco Catalyst 9200 com software Cisco IOS® XE 17.6.5 e posterior
    • Ative Diretory 2016

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    A autenticação EAP-FAST ocorre em duas fases. Na primeira fase, o EAP-FAST emprega um handshake TLS para fornecer e autenticar trocas de chaves usando objetos Type-Length-Values (TLV) para estabelecer um túnel protegido. Esses objetos TLV são usados para transmitir dados relacionados à autenticação entre o cliente e o servidor. Uma vez estabelecido o túnel, a segunda fase começa com o cliente e o nó ISE iniciando outras conversas para estabelecer as políticas de autenticação e autorização necessárias.

    O perfil de configuração NAM é configurado para usar EAP-FAST como o método de autenticação e está disponível para redes definidas administrativamente.
    Além disso, os tipos de conexão de máquina e usuário podem ser configurados no perfil de configuração do NAM.
    O dispositivo Windows corporativo obtém acesso corporativo completo usando o NAM com verificação de postura.
    O dispositivo Windows pessoal obtém acesso a uma rede restrita usando a mesma configuração NAM.

    Este documento fornece instruções para implantar o perfil do Cisco Secure Client Network Access Manager (NAM) através do Portal de Postura do Identity Services Engine (ISE) usando a implantação da Web, juntamente com a Verificação de Conformidade de Postura.

    Configuração

    Diagrama de Rede

    Network Diagram

    Fluxo de dados

    Quando um PC se conecta à rede, o ISE fornece a política de autorização para redirecionamento ao Portal de postura.
    O tráfego http no PC é redirecionado para a página de provisionamento do cliente ISE, onde o aplicativo NSA é baixado do ISE.
    Em seguida, o NSA instala os módulos do agente do Secure Client no PC.
    Após a conclusão da instalação do agente, o agente faz o download do perfil de postura e do perfil NAM configurados no ISE.
    A instalação do módulo NAM aciona uma reinicialização no PC.
    Após a reinicialização, o módulo NAM executa a autenticação EAP-FAST com base no perfil NAM.
    A verificação de postura é acionada e a conformidade é verificada com base na política de postura do ISE.

    Configurar o switch

    Configure o switch de acesso para autenticação e redirecionamento dot1x.

    aaa new-model

    aaa authentication dot1x default group radius
    aaa authorization network default group radius
    aaa accounting dot1x default start-stop group radius
    aaa server radius dynamic-author
    cliente 10.127.197.53 chave-servidor Qwerty123
    auth-type any

    aaa session-id common
    ip radius source-interface Vlan1000
    radius-server attribute 6 on-for-login-auth
    radius-server attribute 8 include-in-access-req
    radius-server attribute 25 access-request include
    radius-server attribute 31 mac format ietf upper-case
    RAD1 de servidor radius
    address ipv4 <IP do servidor ISE> auth-port 1812 acct-port 1813
    key <secret-key>

    dot1x system-auth-control

    Configure a ACL de redirecionamento para o usuário a ser redirecionado para o Portal de provisionamento do cliente ISE.

    ip access-list extended redirect-acl
    10 deny udp any any eq domain
    20 deny tcp any any eq domain
    30 deny udp any eq bootpc any eq bootps
    40 deny ip any host <IP do servidor ISE>
    50 permit tcp any any eq www
    60 permit tcp any any eq 443

    Habilite o rastreamento de dispositivo e o redirecionamento http no switch.

    device-tracking policy <device tracking policy name>
     tracking enable
    interface <interface name>
     device-tracking attach-policy <device tracking policy name>

    ip http server
    ip http secure-server

    Faça o download do pacote do Secure Client

    Baixe manualmente os arquivos do Editor de perfis, das janelas de Cliente seguro e do módulo de conformidade do software.cisco.com 

    Na barra de pesquisa do nome do produto, digite Secure Client 5.

    Downloads Home > Segurança > Segurança de endpoint > Cliente seguro (incluindo AnyConnect) > Cliente seguro 5 > Software AnyConnect VPN Client

    • cisco-secure-client-win-5.1.x-webdeploy-k9.pkg
    • cisco-secure-client-win-4.3.x-isecompliance-webdeploy-k9.pkg
    • tools-cisco-secure-client-win-5.1.x-profileeditor-k9.msi

    Configuração do ISE

    Etapa 1. Carregar o pacote no ISE

    Para carregar os pacotes de implantação da Web do Secure Client e do Compliance Module no ISE, navegue para Workcenter > Posture > Client Provisioning > Resources > Add > Agent Resources from Local Disk.

    Upload the Package on ISE

    Resources

    Etapa 2. Criar um perfil NAM usando a ferramenta Editor de perfis

    Para obter informações sobre como configurar um perfil NAM, consulte este guia Configure Secure Client NAM for Dot1x Using Windows and ISE 3.2

    Etapa 3. Fazer upload do perfil NAM no ISE

    Para carregar o arquivo NAM Profile Configuration.xml no ISE como o Perfil do agente, navegue para Provisionamento de cliente > Recursos > Recursos do agente do disco local.

    Upload the NAM Profile on ISE

    Etapa 4. Criar um perfil de postura 

    Create a Posture Profile

    Posture Profile Created

    Na seção Protocolo de postura, não se esqueça de adicionar * para permitir que o Agente se conecte a todos os servidores.

    Etapa 5. Criar configuração do agente

    Create Agent Configuration

    Selecione o cliente seguro carregado e o pacote do módulo de conformidade e, na seleção do Módulo, selecione os módulos ISE Posture, NAM e DART.

    Upload Secure Client and Compliance Module Package

    Em Profile select, escolha o perfil Posture e NAM e clique em Submit.

    Choose Posture and NAM Profile

    Etapa 6. Política de Provisionamento do Cliente

    Crie uma Política de Provisionamento do cliente para o sistema operacional Windows e selecione a Configuração do Agente criada na etapa anterior.

    Client Provisioning Policy

    Etapa 7. Política de postura

    Para obter informações sobre como criar as condições e a política de postura, consulte este guia Guia de implantação prescritiva de postura do ISE.

    Etapa 8. Adicionar dispositivo de rede

    Para adicionar o endereço IP do switch e a chave secreta compartilhada radius, navegue para Administração > Recursos de rede.

    Add Network Device

    Shared Secret

    Etapa 9. Perfil de Autorização

    Para criar um perfil de redirecionamento de postura, navegue para Política > Elementos de política > Resultados.

    Authorization Profile

    Em Common Tasks, selecione o Client Provisioning Portal with Redirect ACL.

    Select Client Provisioning Portal with Redirect ACL

    Etapa 10. Protocolos permitidos

    Navegue até Policy > Policy elements > Results > Authentication > Allowed Protocols, selecione as configurações de EAP Chaining.

    Allowed Protocols

    Allow EAP-FAST and Enable EAP Chaining

    Etapa 11. Ative Diretory

    Validar se o ISE está associado ao domínio do Ative Diretory e os grupos de domínio são selecionados, se necessário, para as condições de autorização.

    Administração > Gerenciamento de Identidades > Origens de Identidades Externas > Ative Diretory

    Active Directory

    Etapa 12. Conjuntos de Políticas

    Crie um conjunto de políticas no ISE para autenticar a solicitação dot1x. Navegue até Política > Conjuntos de política.

    Policy Sets

    Selecione o Ative Diretory como origem de identidade para a Política de autenticação.

    Select Active Directory

    Configure diferentes regras de Autorização com base no status de postura desconhecido, não compatível e compatível.

    Neste caso de uso.

    • Acesso inicial: Redirecionamento para o Portal de provisionamento do cliente ISE para instalar o agente do cliente seguro e o Perfil NAM.
    • Acesso desconhecido: Acesso ao Portal de Provisionamento de Cliente para descoberta de postura baseada em redirecionamento.
    • Acesso em conformidade: Acesso total à rede.
    • Não compatível: Negar acesso.

    Authorization Rules

    Validação

    Etapa 1. Baixar e instalar o módulo Secure Client Posture/NAM do ISE

    Selecione o endpoint autenticado através de dot1x, atingindo a regra Initial Access Authorization. Navegue até Operations > Radius > Live Logs.

    Download and Install Secure Client Posture/NAM Module from ISE

    No Switch, especifique a URL de redirecionamento e a ACL sendo aplicada para o Ponto de Extremidade.

    Switch#show authentication session interface te1/0/24 details
    Interface: TenGigabitEthernet1/0/24
    ID IIF: 0x19262768
    Endereço MAC: x4x6.xxxx.xxxx
    Endereço IPv6: Desconhecido
    Endereço IPv4: <client-IP>
    Nome de usuário: host/DESKTOP-xxxxxx.xxx
    Status: Autorizado
    Domínio: DADOS
    Modo de host operacional: host único
    Diretório de controle operacional: ambos
    Intervalo de sessão: N/A
    ID de sessão comum: 16D5C50A0000002CF067366B
    ID da sessão da conta: 0x0000001f
    Identificador: 0x7a000017
    Política atual: POLICY_Te1/0/24


    Diretivas Locais:
    Modelo de serviço: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (prioridade 150)
    Política de segurança: Deve Proteger
    Status de segurança: Link não seguro

    Políticas de servidor:
    ACL de redirecionamento de URL: redirect-acl
    Redirecionamento de URL: https://ise33.xxxx:8443/portal/gateway?sessionId=16D5C50A0000002CF067366A&portal=ee39fd08-7180-4995-8aa2-9fb282645a8f&action=cpp&token=518f857900a37f9afc6d2da8b6fe3bc2
    ACL ACS: xACSACLx-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3


    Lista de status do método:
    Estado do Método
    Êxito de Autenticação dot1x

    Switch#sh device-tracking database interface te1/0/24

    Endereço da Camada de Rede Endereço da Camada de Link Interface vlan prlvl age state Tempo restante
    ARP X.X.X.X b496.91f9.568b Te1/0/24 1000 0005 4mn ALCANÇÁVEL 39 s try 0

    No endpoint, verifique o tráfego redirecionado para a postura de postura do ISE e clique em Iniciar para fazer o download do Network Setup Assistant no endpoint.

    Device Security Check

    Download and Install Agent

    Clique em Executar para instalar o aplicativo NSA.

    Run Device Security Check

    Agora, o NSA chama o download do Secure Client Agent do ISE e instala o Posture, o módulo NAM e o NAM Profile configuration.xml.

    Secure Client Download in Progress

    Um prompt de reinicialização disparado após a instalação do NAM. Clique em Sim.

    Updates Completed, Restart Computer

    Etapa 2. EAP-FAST 

    Depois que o PC é reiniciado e o usuário faz login, o NAM autentica o usuário e a máquina através do EAP-FAST.

    Se o endpoint for autenticado corretamente, o NAM exibirá que está conectado e o Módulo de postura acionará a Verificação de postura.

    Authentication in Progress

    Nos registros ao vivo do ISE, o endpoint agora está atingindo a regra de acesso desconhecido.

    Endpoint is Hitting Unknown Access Rule

    Agora o protocolo de autenticação é EAP-FAST com base na configuração do perfil NAM e o resultado do encadeamento EAP é Sucesso.

    Result is Success

    Etapa 3. Varredura de postura

    O Módulo de postura de cliente seguro aciona a Verificação de postura e é marcado como Reclamação com base na Política de postura do ISE. 

    Posture Scan

    O CoA é acionado após a Verificação de postura e agora o endpoint atinge a Política de acesso a reclamações.

    CoA Triggered after the Posture Scan

    Troubleshooting

    Etapa 1. Perfil do NAM

    Verifique se o arquivo de configuração do perfil NAM.xml está presente nesse caminho no PC após a instalação do módulo NAM.

    C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system

    NAM Profile

    Etapa 2. Log Estendido do NAM

    Clique no ícone Secure Client na barra de tarefas e selecione o ícone settings.

    NAM Extended Logging

    Navegue até a guia Network > Log Settings. Marque a caixa de seleção Enable Extended Logging.
    Defina o tamanho do arquivo de captura de pacote como 100 MB.

    Após reproduzir o problema, clique em Diagnostics para criar o pacote DART no endpoint.

    Click Diagnostics to Create the DART Bundle on the Endpoint

    A seção Histórico de Mensagens exibe os detalhes de cada etapa executada pelo NAM.

    Etapa 3. Depurações no Switch

    Ative essas depurações no switch para solucionar problemas de dot1x e fluxo de redirecionamento.

    debug ip http all

    debug ip http transactions

    debug ip http url

    set platform software trace smd switch ative R0 aaa debug
    set platform software trace smd switch ative R0 dot1x-all debug
    set platform software trace smd switch ative R0 radius debug
    set platform software trace smd switch ative R0 auth-mgr-all debug
    set platform software trace smd switch ative R0 eap-all debug
    set platform software trace smd switch ative R0 epm-all debug

    set platform software trace smd switch ative R0 epm-redirect debug

    set platform software trace smd switch ative R0 webauth-aaa debug

    set platform software trace smd switch ative R0 webauth-httpd debug

    Para exibir os logs

    show logging

    show logging process smd internal

    Etapa 4. Depurações no ISE

    Colete o pacote de suporte do ISE com estes atributos a serem definidos no nível de depuração:

    • postura 
    • portal 
    • aprovisionamento 
    • runtime-AAA 
    • nsf 
    • nsf-session 
    • suíço 
    • client-webapp 

    Informações Relacionadas

    Configure o NAM do Secure Client para Dot1x usando o Windows e o ISE 3.2

    Guia de implantação prescritiva de postura do ISE

    Identificar e Solucionar Problemas do Dot1x nos Switches Cisco IOS® XE Catalyst 9000 Series

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    30-May-2025
    Título, texto alternativo, requisitos de estilo e formatação atualizados.
    1.0
    29-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Praveenkumar Palanisamy
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos