配置ISE与Microsoft WSUS的版本1.4状态
目录
简介
本文描述如何配置思科身份服务引擎(ISE)状态功能,当集成与MS Windows服务器更新服务时(WSUS)。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科ISE部署、验证和授权
- 关于ISE和思科AnyConnect摆代理程序姿势的方式的基础知识运行
- 思科可适应安全工具(ASA)的配置
- 基本VPN和802.1x知识
- Microsoft WSUS的配置
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Microsoft Windows版本7
- 与WSUS版本6.3的Microsoft Windows版本2012
- Cisco ASA版本9.3.1和以上
- Cisco ISE软件版本1.3及以后
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
此部分描述如何配置ISE和相关网元。
网络图
这是使用示例在本文中的拓扑:
这是通信流,如网络图所示:
- 远程用户通过VPN访问的思科AnyConnect连接对ASA。这可以是任一种统一的访问,例如在交换机或一无线会话终止在无线局域网控制器的802.1x/MAC验证旁路(MAB)有线的会话(WLC)终止。
- 作为认证过程的部分, ISE确认终端站的状态状况与兼容不是相等的(ASA-VPN_quarantine授权规则),并且重定向属性在Radius Access-Accept消息返回。结果, ASA重定向所有HTTP数据流对ISE。
- 用户打开Web浏览器并且输入所有地址。在对ISE的重定向以后,思科AnyConnect 4状态模块在站点安装。状态模块然后下载从ISE (WSUS的需求的策略)。
- 状态模块搜索Microsoft WSUS,并且执行修正。
- 在成功的修正以后,状态模块发送报告对ISE。
- ISE问题Radius该的崔凡吉莱授权(CoA)提供对一个兼容VPN用户(授权规则)的全双工网络访问。
Microsoft WSUS
WSUS服务通过标准的TCP端口8530部署。为修正记住那,其他端口也使用是重要的。这就是为什么它是安全添加WSUS的IP地址对在ASA (描述的以后的重定向访问控制表(ACL)在本文)。
域的组策略为Microsoft Windows更新和点配置对本地WSUS服务器:
这些是为粒状策略启用根据不同的级别严重性的推荐的更新:
客户端瞄准允许较大适应性。ISE能使用根据不同的Microsoft Active Directory的状态策略(AD)计算机容器。WSUS能审批根据此会员的更新。
ASA
远程用户的简单安全套接字协议层(SSL) VPN访问被使用(详细信息是超出本文的范围)。
这是配置示例:
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
配置access-list ASA是重要的,用于为了确定流量应该重定向到ISE (为不是兼容的)的用户:
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
仅域名系统(DNS)、ISE、WSUS和互联网控制消息协议(ICMP)流量为固执的用户允许。所有另一个流量(HTTP)重定向对AnyConnect 4供应的ISE,对状态和修正负责。
ISE
WSUS的状态修正
完成这些步骤为了配置WSUS的状态修正:
- 导航对策略>情况>状态>修正操作> Windows服务器更新服务修正为了创建新规则。
- 验证Microsoft Windows更新设置设为严重级别。如果修正进程开始,这部分负责检测。
Microsoft Windows更新代理程序然后连接对WSUS和检查是否有等候安装为该PC的任何关键更新:
WSUS的状态需求
导航对策略>情况>状态>需求为了创建新规则。规则使用呼叫pr_WSUSRule的一个假的情况,因此意味着WSUS被接触为了检查情况,当修正是必要的时(关键更新)。
一旦此情况符合, WSUS安装为该PC配置的更新。这些能包括任一种更新,并且那些以低严重性成水平:
AnyConnect配置文件
与AnyConnect 4配置文件一起配置状态模块配置文件, (正如与ISE版本1.3配置示例的AnyConnect 4.0集成所描述) :
客户端供应规则
一旦AnyConnect配置文件准备好,可以从客户端提供的策略被参考:
整个应用程序,与配置一起,在终端安装,重定向对客户端供应入口页面。AnyConnect 4也许升级和已安装的附加模块(状态)。
授权配置文件
创建重定向的一授权配置文件对客户端供应配置文件:
授权规则
此镜像显示授权规则:
第一次,使用ASA-VPN_quarantine规则。结果,状态授权配置文件返回,并且终端重定向到AnyConnect 4 (用状态模块)供应的客户端设置的门户。
一旦兼容,使用ASA-VPN_compliant规则,并且全双工网络访问允许。
验证
此部分提供您能使用为了验证的信息您配置适当地工作。
有更新GPO策略的PC
与WSUS配置的域策略,在PC登录域后,应该推送。这能发生,在VPN会话建立前(在波段外面)或以后,如果开始,在使用前登录功能(它可以也用于有线的802.1x/无线访问)。
一旦Microsoft Windows客户机有正确配置,这可以从Windows更新设置反射:
若需要,可以使用组策略对象(GPO)刷新和Microsoft Windows更新代理程序服务器发现:
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
审批在WSUS的关键更新
审批流程能受益于客户端站点瞄准:
若需要再发出与wuauclt的报告。
检查在WSUS的PC状态
此镜像显示如何检查在WSUS的PC状态:
应该为与WSUS的下刷新安装一次更新。
VPN会话建立
在VPN会话建立后,使用 ISE授权规则,返回状态授权配置文件。结果,从终端的HTTP数据流为AnyConnect 4更新和状态模块供应重定向:
这时,在ASA的会话状态指示与HTTP数据流的重定向的有限访问对ISE :
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
状态模块接收从ISE的策略并且执行修正
状态模块接收从ISE的策略。ise-psc.log调试显示发送到状态模块的要求:
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>WSUS</name>
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
<path>42#1</path>
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
<id>pr_WSUSCheck</id>
</check>
<criteria/>
</package>
</cleanmachines>
状态模块自动地触发Microsoft Windows更新代理程序连接到WSUS和下载更新如WSUS策略所配置的一样(自动全部没有任何用户干涉) :
全双工网络访问
在站点报告如兼容由AnyConnect状态模块后,您将看到此:
报告被发送对ISE,复评策略并且点击授权规则。这提供全双工网络访问(通过Radius CoA)。导航对操作>认证为了确认此:
调试(ise-psc.log)也确认符合状态、CoA触发和最终设置状态的:
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
并且, ISE选派了状态评估报告确认站点是兼容的:
故障排除
当前没有此配置的故障排除信息联机。
重要说明
此部分提供关于在本文描述的配置的一些重要信息。
WSUS修正的选项详细信息
区分从修正的需求条件是重要的。AnyConnect触发Microsoft Windows更新代理程序检查标准,从属在验证Windows更新使用修正设置。
对于此示例,使用严重级别。使用关键设置, Microsoft Windows代理程序证实是否有其中任一待定(不已安装)关键更新。如果有,则修正开始。
修正进程也许然后安装根据WSUS配置的所有关键和较不重要更新(为特定计算机审批的更新)。
使用验证Windows更新使用集作为思科规定,在需求被选派决定的条件站点是否是兼容的。
Windows更新服务
对于没有WSUS服务器的部署,有能使用呼叫Windows Update修正的另一个修正类型:
此修正类型允许对Microsoft Windows更新设置的控制并且使您执行立即更新。使用与此修正类型的一个典型的情况是pc_AutoUpdateCheck。这允许您证实Microsoft Windows更新设置是否在终端启用。否则,您可启用它和执行更新。
SCCM集成
呼叫补丁程序管理的ISE版本1.4的一新特性允许与许多第三方供应商的集成。从属在供应商,多个选项为条件和补救是可用的。
对于Microsoft,支持系统管理服务器(SMS)和系统中心配置管理器(SCCM)。
反馈