此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍如何为使用身份服务引擎(ISE)的远程访问VPN用户配置状况评估,以及如何使用Duo进行安全访问。
Cisco 建议您了解以下主题:
本文档中的信息基于:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
将Duo SAML与思科身份服务引擎(ISE)集成可增强身份验证流程,为思科安全访问解决方案添加一层安全保护。Duo SAML提供单点登录(SSO)功能,可简化用户登录流程,同时确保高安全标准。
一旦通过Duo SAML进行身份验证,授权过程由Cisco ISE处理。这允许根据用户身份和设备状态做出动态访问控制决策。ISE可以实施详细策略,规定用户可以访问哪些资源、何时访问以及从哪些设备访问。
注意:要配置RADIUS集成,您需要确保两个平台之间有通信。
注意:在开始配置过程之前,您必须完成安全访问和ISE集成的第一步。
要配置RA-VPN应用,请继续执行以下步骤:
导航到您的双引擎管理面板
Applications > Protect an Application
Generic SAML Service Provider
Protect
必须在屏幕上显示应用程序;请记住VPN配置的应用程序名称。
在本例中, Generic SAML Service Provider.
要使用Radius配置VPN配置文件,请继续执行以下步骤:
导航到您的Secure Access Dashboard。
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
()下,单击Manage
Group Name
:在安全访问中配置ISE集成的名称
AAA method
Authentication
:选中该端Authentication
口的复选框,默认情况下为1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
,Authorization
: 选中该端口Authorization
(默认情况下为1812)的复选框
Authorization mode Only
Change of Authorization (CoA) mode
,允许来自ISE的终端安全评估和更改Accounting
:选中Authorization复选框,并选择端口,默认情况下为1813
Single or Simultaneous
(在单模式下,记帐数据仅发送到一台服务器。在同步模式下,将记帐数据发送到组中的所有服务器)Accounting update
可启用定期生成RADIUS临时记帐更新消息。警告:选择Authentication
Authorization
时,和方法必须使用同一端口。
RADIUS Servers
通过AAA在部分上进行身份验证的(ISERADIUS Servers
):+ Add
Server Name
:配置名称以识别您的ISE服务器。IP Address
:配置可通过安全访问到达的思科ISE设备的IPSecret Key
:配置RADIUS密钥Password
:配置Radius密码Save
并分配选项下的Radius服务器Assign Server
,然后选择您的ISE服务器:Save
点击以保存所有配置完成现在,您已经在IP池下配置了ISE服务器,您需要在IP池下配置该服务VPN Profiles
器。
要配置VPN配置文件,请导航到您的Secure Access Dashboard。
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
“单击” + Add
VPN Profile name
:为您的配置文件名称配置名称Default Domain
:配置您的域。DNS Server
:选择您配置的域名服务器(DNS)服务器Protocol
:在VPN下配置需要允许的协议Connect Time posture
:选择安全评估或将其设置为NoneNext
身份验证
Authentication
Protocols
:选择 SAML
Download Service Provider XML file
Save
上单击您的应用程序。SAML Metadata
按钮下载 Download XML
SAML Metadata
下的Secure Access上传,3. Upload IdP security metadata XML file
然后点击 Next
继续授权。
注意:使用SAML配置身份验证后,您将通过ISE对其进行授权,这意味着安全访问发送的RADIUS数据包将仅包含用户名。此处不存在密码字段。
授权
Authorization
Enable Radius Authorization
:选中此复选框可启用radius授权Next
配置完所有部Authorization
件后,请继续Accounting
。
注意:如果不启用,状Radio Authorization
态无法工作。
记账
Accounting
Map Authorization groups to regions
:选择区域并选择您的 Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
在流量引导下,您需要通过安全访问配置通信类型。
Connect to Secure Access
,所有互联网流量将通过 Secure Access
如果要添加Internet域或IP的例外项,请单击此按+ Add
钮,然后单Next
击。
Bypass Secure Access
通过,则所有互联网流量都通过互联网提供商,而不是通过Secure Access
(无互联网保护)注意:请在选enroll.cisco.com
择时添加ISE终端安全评Bypass Secure Access
估。
在此步骤中,选择要通过VPN访问的所有专用网络资源。为此,请单击,然+ Add
后在添加Next
了所有资源后单击。
在此步骤中,您可以将所有内容都保留为默认值并点击Save
,但是如果您想进一步自定义配置,请查看Cisco Secure Client Administrator Guide。
要配置通过思科ISE的身份验证,您需要配置允许设备向您的思科ISE进行查询:
Administration > Network Devices
+ Add
Name
:使用名称标识安全访问IP Address
:配置步骤Management Interface
“IP Pool Region”(IP池区域)Device Profile
:选择思科
Radius Authentication Settings
Shared Secret
:配置步骤中配置的共享密钥Secret KeyCoA Port
:将其设为默认值;1700也用于安全访问单击后,Save
要验证集成是否正常工作,请继续创建本地用户以进行集成验证。
要配置用于本地用户的组,请继续执行以下步骤:
Administration > Groups
User Identity Groups
+ Add
Name
建一个并点击 Submit
要配置本地用户以验证集成,请执行以下操作:
Administration > Identities
Add +
Username
:在Secure Access中使用已知UPN调配配置用户名;这基于步骤“前提条件”Status
:主用Password Lifetime
:您可以配置它With Expiration
或Never Expires
,具体取决于您Login Password
:为用户创建密码User Groups
:选择在步骤Configure a Group中创建的组注意:基于身份验证的UPN设置为在即将推出的安全访问版本中更改。
之后,您可以进Save
行配置并继续执行第步Configure Policy Set
骤。
在策略集下,配置ISE在身份验证和授权期间执行的操作。此场景演示了配置简单策略以提供用户访问权限的使用案例。首先,ISE验证RADIUS身份验证的来源,并检查ISE用户数据库中是否存在提供访问权限的身份
要配置该策略,请导航到您的思科ISE控制面板:
Policy > Policy Sets
+
以添加新策略集在这种情况下,请创建新策略集,而不是使用默认策略集。接下来,根据该策略集配置身份验证和授权。已配置的策略允许访问配置网络设备列表步骤中定义的网络设备,以验证这些身份验证是否来自CSA Network Device List
,然后按原样进入策Conditions
略。最后是允许的协议,如Default Network Access
下。
要创建与策condition
略集匹配的,请继续执行以下说明:
+
Condition Studio
面,可用的信息包括: Click to add an attribute
Network Device
钮 Network Access
选Network Device Name
项Network Device
写的名称Save
此策略仅批准源设备在策略集下继续安装和设置的请求CSA
Authentication
Authorization
CSA-ISE
,还会根据允许协议的验证允许的协议 Default Network Access
。
定义的策略的结果必须是:
Default Network Access Protocols
配置,请继续执行下面的说明:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
要在下创Authorization
建策略,Policy Set
请继续执行后续步骤:
>
Authorization
: 策略与配置策略集步骤中定义的策略相同。
授权策略
您可以通过多种方式配置授权策略。在这种情况下,仅授权步骤配置组中定义的组中的用户。请参阅下一个配置授权策略的示例:
Authorization Policy
+
以定义授权策略,如下所示: Rule Name
,Conditions
和 Profiles
Name
名称以轻松识别授权策略时 Condition
请点击 +
Condition Studio
面,您可以找到以下信息: Click to add an attribute
Identity Group
钮 IdentityGroup
选项Equals
下,使用下拉列表查找步Group
骤Configure a Group中批准进行身份验证的Save
Use
之后,您需要定义 Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
面,点击下拉按钮 Profiles
PermitAccess
Save
之后,您就定义了策Authorization
略。进行身份验证,以验证用户是否连接正常,以及您是否能够看到安全访问和ISE上的日志。
要连接到VPN,可以使用在安全访问上创建的配置文件并通过ISE配置文件通过安全客户端进行连接。
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
身份验证获批后,如何在Duo中显示日志?
Reports > Authentication Log
在此方案中,创建配置以在授予或拒绝对内部资源的访问权限之前验证终端合规性。
要配置它,请继续后续步骤:
Work Center > Policy Elements > Conditions
Anti-Malware
注意:在这里,您可以找到许多选项,以验证您的设备的状态,并根据您的内部策略做出正确的评估。
Anti-Malware Conditions
下,单击 + Add
Name
:使用名称识别防恶意软件情况Operating System
:选择要置于该条件下的操作系统Vendor
:选择供应商或任何供应商Check Type
:您可以验证是否已安装代理或该选项的定义版本。Products for Selected Vendor
如,在设备上配置要验证的反恶意软件的内容。配置后,您可以继续执行中的步骤Configure Posture Requirements
。
Work Center > Policy Elements > Requeriments
Edit
何一项要求,然后点击 Insert new Requirement
Name
:配置名称以识别反恶意软件要求Operating System
:在条件步骤Operating System(操作系统)下选择您选择的操作系统 Compliance Module
:您需要确保在条件步骤Anti-Malware Condition下选择相同的合规性模块Posture Type
:选择座席Conditions
:选择在步骤Configure Posture Conditions下创建的一个或多个条件Remediations Actions
:选择Message Text Only
此示例,或者,如果您有其他补救操作,请使用它Save
配置后,您可以继续执行步骤, Configure Posture Policy
Work Center > Posture Policy
Edit
何一个策略,然后点击 Insert new Policy
Status
:选中复选框不启用策略Rule Name
:配置名称以识别配置的策略Identity Groups
:选择要评估的身份Operating Systems
:根据之前配置的条件和要求选择操作系统Compliance Module
:根据之前配置的条件和要求选择合规性模块Posture Type
:选择座席Requeriments
:选择在步骤Configure Posture RequirementsSave
要向用户提供ISE模块,请配置客户端调配为计算机配备ISE终端安全评估模块。这样,您可以在安装代理后验证计算机状态。要继续此过程,请执行以下步骤:
导航到您的ISE控制面板。
Work Center > Client Provisioning
Resources
在客户端调配下,您需要配置以下三项:
要配置的资源 |
描述 |
1. |
安全客户端Web调配包。 |
2. |
思科ISE合规性模块 |
3. |
控制调配配置文件。 |
3. |
通过设置调配门户,利用代理配置文件和代理资源定义调配哪些模块。 |
+ Add > Agent resources from local disk
并上传软件包+ Add > Agent resources from Cisco Site
Save
+ Add > Agent Posture Profile
Name
创建 Posture Profile
*
该规则后置Save
入并单击+ Add > Agent Configuration
Select Agent Package
:选择Step1 Download and Upload Agent Resources上传的软件包Configuration Name
:选择一个名称以识别 Agent Configuration
Compliance Module
:选择Step2 Download the compliance module上下载的Compliance ModuleCisco Secure Client Module Selection
ISE Posture
:选中复选框Profile Selection
ISE Posture
:选择第3步配置代理配置文件上配置的ISE配置文件Save
注意:建议每个操作系统(Windows、Mac OS或Linux)都有一个独立于客户端配置的客户端配置。
要启用在最后步骤中配置的ISE终端安全评估和模块的调配,您需要配置策略进行调配。
Work Center > Client Provisioning
注意:建议每个操作系统(Windows、Mac OS或Linux)都有一个客户端配置策略。
Rule Name
:根据设备类型和身份组选择配置策略名称,以轻松识别每个策略Identity Groups
:选择要对策略进行评估的标识Operating Systems
:根据在步骤中选择的代理软件包选择操作系统,选择代理软件包Other Condition
:根Network Access
据步骤Authentication Method
EQUALS
中配置的方法选择添加RADIUS组,或者您可以留空Result
:在步骤4“配置代理配置”中选择已配置的代理配置
Native Supplicant Configuration
:选择Config Wizard
和 Wizard Profile
授权配置文件根据身份验证通过后的用户状态限制对资源的访问。必须验证授权才能根据状态确定用户可以访问哪些资源。
授权配置文件 |
描述 |
用户兼容 — 代理已安装 — 状态已验证 |
|
用户未知兼容 — 重定向以安装代理 — 状态待验证待验证 |
|
用户不兼容 — 拒绝访问 |
要配置DACL,请导航至ISE控制面板:
Name
:添加引用符合DACL的名称IP version
:选择 IPv4
DACL Content
:
创建可下载访问控制列表(DACL),用于访问网络的所有资源permit ip any any
点击Save
并创建未知合规性DACL
Name
:添加引用DACL-Unknown-Compliant的名称IP version
:选择 IPv4
DACL Content:
创建一个DACL,允许通过端口8443对网络、DHCP、DNS、HTTP和调配门户进行有限访问permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
注意:在此方案中,IP地址192.168.10.206与思科身份服务引擎(ISE)服务器对应,端口8443被指定用于调配门户。这意味着允许通过端口8443发往IP地址192.168.10.206的TCP流量,从而便于访问调配门户。
此时,您拥有创建授权配置文件所需的DACL。
要配置授权配置文件,请导航至ISE控制面板:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
:创建引用合规授权配置文件的名称Access Type
:选择 ACCESS_ACCEPT
Common Tasks
DACL NAME
:选择在步骤兼容DACL中配置的DACL点击Save
并创建 Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
:创建引用未知合规授权配置文件的名称Access Type
:选择 ACCESS_ACCEPT
Common Tasks
DACL NAME
:选择在步骤未知兼容DACL中配置的DACLWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
:必须是 redirect
Value
:选择默认调配门户,或者如果您定义了另一个门户,请选择它注意:所有部署的安全访问上的重定向ACL的名称为redirect
ACL。
定义完所有这些值后,必须在下具有类似内容Attributes Details
。
单击Save
结束配置并继续执行下一步。
您创建的这三个策略基于您配置的授权配置文件;因DenyAccess
此,您无需再创建一个。
策略集 — 授权 |
授权配置文件 |
合规 |
|
未知合规 |
|
不合规 |
导航到您的ISE控制面板
Work Center > Policy Sets
>
,访问已创建的策略Authorization Policy
+
以定义策CSA-Compliance
略: Rule Name
,Conditions
和 Profiles
Name
置为 CSA-Compliance
Condition
请点击 +
Condition Studio
面,您可以找到以下信息: compliant
Compliant_Devices
Editor
Editor
下 New
Identity Group
标Internal User Identity Group
Equals
下,选User Identity Group
择要匹配的Use
Profile
下拉按钮下点击并选择步骤中配置的投诉授权配置文件Compliant Authorization Profile现在您已配Compliance Policy Set
置。
Rule Name
,Conditions
和 Profiles
Name
置为 CSA-Unknown-Compliance
Condition
请点击 +
Condition Studio
面,您可以找到以下信息: compliance
Compliant_Unknown_Devices
Editor
Editor
下 New
Identity Group
标Internal User Identity Group
Equals
下,选User Identity Group
择要匹配的Use
Profile
“点击”下拉按钮下方,选择在步骤中配置的投诉授权配置文件Unknown Compliant Authorization Profile现在您已配Unknown Compliance Policy Set
置。
+
以定义策CSA- Non-Compliant
略: Rule Name
,Conditions
和 Profiles
Name
置为 CSA-Non-Compliance
Condition
请点击 +
Condition Studio
面,您可以找到以下信息: non
Non_Compliant_Devices
Editor
Editor
下 New
Identity Group
标Internal User Identity Group
Equals
下,选User Identity Group
择要匹配的Use
Profile
下拉按钮下点击并选择投诉授权配置文件 DenyAccess
一旦您结束三个配置文件的配置,您就可以测试与状态的集成了。
通过安全客户端连接到安全访问上提供的FQDN RA-VPN域。
注意:此步骤不需要安装ISE模块。
1.使用安全客户端进行连接。
2.提供凭证以通过Duo进行身份验证。
3.此时,您连接到VPN,并且很可能重定向到ISE;否则,您可以尝试导航到http:1.1.1.1
中。
注意:此时,您处于授权 — 策略集CSA-Unknown-Compliance下,因为您未在计算机上安装ISE终端安全评估代理,并且您被重定向到ISE调配门户以安装代理。
4.单击“开始”继续代理程序调配。
5.单击+ This is my first time here
。
6.单击 Click here to download and install agent
7.安装代理
8.安装代理后,ISE终端安全评估开始验证计算机的当前终端安全评估。如果未满足策略要求,系统将显示一个弹出窗口,引导您实现合规性。
注意:如果您或Cancel
,剩余时间结束,您将自动变为不合规状态,属于授权策略集CSA-Non-Compliance范围,并立即与VPN断开连接。
9.安装安全终端代理并重新连接到VPN。
10.在代理验证机器符合要求后,您的状态变为符合要求,并允许访问网络上的所有资源。
注意:在合规之后,您属于授权策略集CSA-Compliance,并且您可以立即访问所有网络资源。
要验证用户的身份验证结果,您有两个合规性和不合规性示例。要在ISE中查看它,请遵循以下说明:
Operations > Live Logs
下一个tho场景演示了成功的合规性事件和不合规性事件的显示方Live Logs
式:
在下一个示例中,思科ISE位于网络192.168.10.0/24下,需要通过隧道配置下添加通过隧道可达网络的配置。
要进行验证,请导航到您的Secure Access Dashboard。
Connect > Network Connections
Network Tunnel Groups
您的隧道Step 2
:允许防火墙上的流量。
要允许安全访问使用您的ISE设备进行RADIUS身份验证,您需要配置从安全访问到您的网络的规则以及所需的RADIUS端口:
规则 |
来源 |
目的地 |
目标端口 |
ISE保护访问 管理池 |
ISE_Server |
管理IP池(RA-VPN) |
COA UDP 1700(默认端口) |
ISE的安全访问管理IP池 |
管理IP池 |
ISE_Server |
身份验证、授权 UDP 1812(默认端口) 记账 UDP 1813(默认端口) |
安全访问终端IP池到ISE |
终端IP池 |
ISE_Server |
调配门户 TCP 8443(默认端口) |
安全访问终端IP池到DNS服务器 |
终端IP池 |
DNS 服务器 |
DNS UDP和TCP 53 |
注意:如果您想了解更多与ISE相关的端口,请查看用户指南 — 端口参考。
注意:如果已配置要通过名称(例如ise.ciscosspt.es)发现的ISE,则需要DNS规则
管理池和终端IP池
要验证您的管理和终端IP池,请导航到安全访问控制面板:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
点击 Manage
步骤3:验证您的ISE是否配置在专用资源下
要允许通过VPN连接的用户导航到ISE Provisioning Portal
,您需要确保已将设备配置为提供访问的专用资源,该资源用于允许通过VPN自动调配ISE Posture Module
。
要验证是否正确配置了ISE,请导航至安全访问控制面板:
Resources > Private Resources
如果需要,您可以将规则限制为调配门户端口(8443)。
注意:确保已选中VPN连接复选框。
第4步:在访问策略下允许ISE访问
要允许通过VPN连接的用户导航到ISE Provisioning Portal
,您需要确保已配置Access Policy
,以允许在该规则下配置的用户访问在中配置的私有资源Step3
。
要验证是否正确配置了ISE,请导航至安全访问控制面板:
Secure > Access Policy
要下载ISE日志以验证与终端安全评估相关的问题,请继续执行后续步骤:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
警告:在此之后,您必须开始重现您的问题;the debug logs can affect the performance of your device
.
重现问题后,请继续后续步骤:
Operations > Download Logs
Support Bundle
,选择以下选项:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
填充 Re-Enter Encryption key
Create Support Bundle
Download
导航到您的安全访问控制面板:
Monitor > Remote Access Logs
要在您的计算机上生成DART捆绑包,请验证下一文章:
注意:收集了故障排除部分中指出的日志后,请打开案例TAC
,以继续分析信息。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
14-Apr-2024
|
初始版本 |