In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Bereitstellung des Cisco Secure Client Network Access Manager (NAM)-Profils über die Identity Services Engine (ISE) beschrieben.
Die EAP-FAST-Authentifizierung erfolgt in zwei Phasen. In der ersten Phase verwendet EAP-FAST einen TLS-Handshake, um Schlüsselaustausch mithilfe von TLV-Objekten (Type-Length-Values) bereitzustellen und zu authentifizieren und so einen geschützten Tunnel einzurichten. Diese TLV-Objekte werden verwendet, um authentifizierungsbezogene Daten zwischen dem Client und dem Server zu übertragen. Sobald der Tunnel eingerichtet ist, beginnt die zweite Phase mit der weiteren Kommunikation zwischen dem Client und dem ISE-Knoten, um die erforderlichen Authentifizierungs- und Autorisierungsrichtlinien festzulegen.
Das NAM-Konfigurationsprofil dient zur Verwendung von EAP-FAST als Authentifizierungsmethode und ist für vom Administrator definierte Netzwerke verfügbar.
Darüber hinaus können im NAM-Konfigurationsprofil sowohl die Verbindungstypen für Computer als auch für Benutzer konfiguriert werden.
Das Windows-Gerät des Unternehmens erhält vollständigen Unternehmenszugriff über den NAM mit Statusprüfung.
Das persönliche Windows-Gerät erhält über dieselbe NAM-Konfiguration Zugriff auf ein beschränktes Netzwerk.
Dieses Dokument enthält Anweisungen zur Bereitstellung des Cisco Secure Client Network Access Manager (NAM)-Profils über das Identity Services Engine (ISE) Posture Portal mithilfe der Webbereitstellung sowie der Statusprüfung.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Wenn ein PC eine Verbindung mit dem Netzwerk herstellt, stellt die ISE die Autorisierungsrichtlinie für die Umleitung zum Posture Portal bereit.
Der HTTP-Datenverkehr auf dem PC wird zur ISE-Client-Bereitstellungsseite umgeleitet, auf der die NSA-Anwendung von der ISE heruntergeladen wird.
Die NSA installiert dann die Secure Client-Agent-Module auf dem PC.
Nach Abschluss der Agenteninstallation lädt der Agent das auf der ISE konfigurierte Statusprofil und NAM-Profil herunter.
Die Installation des NAM-Moduls löst einen Neustart auf dem PC aus.
Nach dem Neustart führt das NAM-Modul basierend auf dem NAM-Profil eine EAP-FAST-Authentifizierung durch.
Anschließend wird der Status-Scan ausgelöst, und die Konformität wird anhand der ISE-Statusrichtlinie überprüft.
Konfigurieren Sie den Access Switch für die 802.1x-Authentifizierung und -Umleitung.
aaa neues Modell aaa authentication dot1x Standardgruppenradius aaa, Sitzungs-ID gemeinsam dot1x System-Authentifizierungssteuerung |
Konfigurieren Sie die Umleitungszugriffskontrollliste für den Benutzer, der zum ISE-Client-Bereitstellungsportal umgeleitet werden soll.
ip access-list extended redirect-acl |
Aktivieren Sie die Geräteverfolgung und die HTTP-Umleitung auf dem Switch.
Device Tracking Policy <Device Tracking Policy Name> ip http server |
Laden Sie den Profil-Editor, Secure Client-Fenster und das Compliance-Modul herunter, um Dateien manuell über software.cisco.com bereitzustellen.
Geben Sie in der Suchleiste des Produktnamens "Secure Client 5" ein.
Downloads Startseite > Sicherheit > Endpunktsicherheit > Sicherer Client (einschließlich AnyConnect) > Sicherer Client 5 > AnyConnect VPN Client-Software
Zum Hochladen des Secure Client und des Compliance-Moduls können Sie über die ISE Pakete bereitstellen. Rufen Sie dazu Workcenter > Status > Client-Bereitstellung > Ressourcen > Hinzufügen > Agent-Ressourcen von lokaler Festplatte auf.
Weitere Informationen zum Konfigurieren eines NAM-Profils finden Sie in diesem Handbuch Konfigurieren des sicheren Client-NAM-Profils .
Um das NAM-Profil "Configuration.xml" auf die ISE als Agent-Profil hochzuladen, navigieren Sie zu Client Provisioning > Resources > Agent Resources From Local Disk (Client-Bereitstellung > Ressourcen > Agent-Ressourcen von lokaler Festplatte).
Vergessen Sie nicht, im Abschnitt "Posture Protocol" (Statusprotokoll) * hinzuzufügen, damit der Agent eine Verbindung zu allen Servern herstellen kann.
Wählen Sie das hochgeladene Paket des sicheren Client- und Compliance-Moduls und unter "Module" die ISE Posture-, NAM- und DART-Module aus.
Wählen Sie unter "Profile" (Profil) die Option Posture (Status) und NAM Profile (NAM-Profil) aus, und klicken Sie auf Submit (Senden).
Erstellen Sie eine Client-Bereitstellungsrichtlinie für das Windows-Betriebssystem, und wählen Sie die im vorherigen Schritt erstellte Agentenkonfiguration aus.
Informationen zum Erstellen der Statusrichtlinie und der Bedingungen finden Sie in diesem ISE-Bereitstellungsleitfaden .
Um die IP-Adresse des Switches und den gemeinsamen geheimen Schlüssel für den Radius hinzuzufügen, navigieren Sie zu Administration > Network Resources (Administration > Netzwerkressourcen).
Um ein Posture-Umleitungsprofil zu erstellen, navigieren Sie zu Policy > Policy Elements > Results.
Wählen Sie unter Command Task das Client-Bereitstellungsportal mit Umleitungs-ACL aus.
Navigieren Sie zu Policy > Policy elements > Results > Authentication > Allowed Protocols, und wählen Sie die EAP Chaining-Einstellungen aus.
Überprüfen, ob ISE mit der Active Directory-Domäne verknüpft ist, und die Domänengruppen werden ausgewählt, wenn dies für die Autorisierungsbedingungen erforderlich ist.
Administration > Identity Management > External Identity Sources > Active Directory
Erstellen Sie eine auf der ISE festgelegte Richtlinie zur Authentifizierung der dot1x-Anforderung. Navigieren Sie zu Policy > Policy Sets (Richtlinie > Richtliniensätze).
Wählen Sie das Active Directory als Identitätsquelle für die Authentifizierungsrichtlinie aus.
Konfigurieren Sie unterschiedliche Autorisierungsregeln basierend auf dem Status "Unbekannt", "nicht konform" und "konform".
In diesem Anwendungsfall.
Wählen Sie den Endpunkt aus, der mit Punkt1x authentifiziert wurde, und treffen Sie die Autorisierungsregel "Initial Access". Navigieren Sie zu Operations > Radius > Live Logs.
Geben Sie auf Switch die Umleitungs-URL und die ACL an, die für den Endpunkt angewendet werden sollen.
Switch#show authentication session interface te1/0/24 details
Serverrichtlinien:
Switch#sh device-tracking database interface te1/0/24 Network Layer Address Link Layer Address Interface vlan prlvl age state Restzeit |
Überprüfen Sie auf dem Endgerät den an ISE Posture Posture Posture umgeleiteten Datenverkehr, und klicken Sie auf Start, um den Network Setup Assistant auf den Endgerät herunterzuladen.
Klicken Sie auf Ausführen, um die NSA-Anwendung zu installieren.
Jetzt ruft die NSA den Download des Secure Client Agent von der ISE auf und installiert das Posture-Modul, das NAM-Modul und die NAM Profile-configuration.xml.
Nach der NAM-Installation wird eine Aufforderung zum Neustart ausgelöst. Klicken Sie auf Ja.
Nach dem Neustart des PCs und der Anmeldung des Benutzers authentifiziert das NAM Benutzer und Computer über EAP-FAST.
Wenn sich das Endgerät korrekt authentifiziert, zeigt NAM an, dass eine Verbindung besteht, und das Statusmodul löst den Status-Scan aus.
Bei ISE-Live-Protokollen gilt für den Endpunkt jetzt die Regel für unbekannten Zugriff.
Das Authentifizierungsprotokoll basiert nun auf der NAM-Profilkonfiguration auf EAP-FAST, und das EAP-Chaining-Ergebnis lautet "Success".
Das Secure Client Posture-Modul löst den Status-Scan aus und wird entsprechend der ISE-Statusrichtlinie als "Complaint" (Beschwerde) markiert.
Die CoA wird nach dem Status-Scan ausgelöst, und der Endpunkt erreicht jetzt die Beschwerdeinformationsrichtlinie.
Vergewissern Sie sich, dass die Datei NAM Profile configuration.xml nach der Installation des NAM-Moduls in diesem Pfad auf dem PC vorhanden ist.
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Klicken Sie in der Taskleiste auf das Symbol für den sicheren Client, und wählen Sie das Symbol "Einstellungen" aus.
Navigieren Sie zur Registerkarte Netzwerk > Protokolleinstellungen. Aktivieren Sie das Kontrollkästchen "Erweiterte Protokollierung aktivieren".
Legen Sie die Größe der Paketerfassungsdatei auf 100 MB fest.
Klicken Sie nach der Reproduktion des Problems auf Diagnostics (Diagnose), um das DART-Paket auf dem Endgerät zu erstellen.
Im Abschnitt Nachrichtenverlauf werden die Details zu jedem Schritt angezeigt, den NAM durchgeführt hat.
Aktivieren Sie diese Fehlerbehebungen auf dem Switch, um dot1x und den Umleitungsfluss zu beheben.
debug ip http all
debuggen von IP-HTTP-Transaktionen
debug ip http url
set plattform software trace smd switch active R0 aaa debug
set plattform software trace smd switch active R0 dot1x-all debug
set plattform software trace smd switch active R0 radius debugging
set platform software trace smd switch active R0 auth-mgr-all debug
set plattform software trace smd switch active R0 eap-all debug
set plattform software trace smd switch active R0 epm-all debug
set plattform software trace smd switch active R0 epm-redirect debug
set plattform software trace smd switch active R0 webauth-aaa debug
set plattform software trace smd switch active R0 webauth-httpd debug
So zeigen Sie die Protokolle an
show logging
show logging prozess smd intern
Sammeln Sie das ISE-Supportpaket mit den folgenden Attributen, die auf Debugebene festgelegt werden sollen:
Konfigurieren von Secure Client NAM
ISE-Bereitstellungsleitfaden mit Vorschriften für Status
Fehlerbehebung bei Dot1x auf Catalyst Switches der Serie 9000
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Jul-2024 |
Erstveröffentlichung |