La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come distribuire il profilo Cisco Secure Client Network Access Manager (NAM) tramite Identity Services Engine (ISE).
L'autenticazione EAP-FAST si svolge in due fasi. Nella prima fase, EAP-FAST utilizza un handshake TLS per fornire e autenticare gli scambi di chiavi utilizzando oggetti TLV (Type-Length-Values) per stabilire un tunnel protetto. Questi oggetti TLV vengono utilizzati per trasmettere i dati relativi all'autenticazione tra il client e il server. Una volta stabilito il tunnel, la seconda fase inizia con il client e il nodo ISE impegnati in ulteriori conversazioni per stabilire i criteri di autenticazione e autorizzazione richiesti.
Il profilo di configurazione NAM è impostato per utilizzare EAP-FAST come metodo di autenticazione ed è disponibile per le reti definite dall'amministratore.
Inoltre, è possibile configurare sia il tipo di connessione utente che il tipo di connessione computer all'interno del profilo di configurazione NAM.
Il dispositivo Windows aziendale ottiene l'accesso aziendale completo utilizzando il controllo NAM con postura.
Il dispositivo Windows personale può accedere a una rete con restrizioni utilizzando la stessa configurazione NAM.
In questo documento vengono fornite istruzioni per la distribuzione del profilo Cisco Secure Client Network Access Manager (NAM) tramite il portale delle posture di Identity Services Engine (ISE) tramite la distribuzione Web, insieme al controllo di conformità delle posture.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Quando un PC si connette alla rete, ISE fornisce la policy di autorizzazione per il reindirizzamento al portale delle posture.
Il traffico http sul PC viene reindirizzato alla pagina ISE Client Provisioning, dove l'applicazione NSA viene scaricata da ISE.
L'NSA installa quindi i moduli dell'agente Secure Client sul PC.
Al termine dell'installazione dell'agente, l'agente scarica il profilo Posture e il profilo NAM configurati su ISE.
L'installazione del modulo NAM attiva un riavvio del PC.
Dopo il riavvio, il modulo NAM esegue l'autenticazione EAP-FAST in base al profilo NAM.
La scansione della postura viene quindi attivata e la conformità viene verificata in base alla policy ISE Posture.
Configurare lo switch di accesso per l'autenticazione e il reindirizzamento dot1x.
aaa new-model raggio gruppo predefinito dot1x autenticazione aaa id sessione aaa comune dot1x system-auth-control |
Configurare l'ACL di reindirizzamento per il reindirizzamento dell'utente al portale di provisioning del client ISE.
acl di reindirizzamento esteso ip access-list |
Abilitare il rilevamento dei dispositivi e il reindirizzamento http sullo switch.
criteri di rilevamento dispositivi <nome criteri di rilevamento dispositivi> server http ip |
Scaricare l'Editor di profili, le finestre Secure Client e i file Web Compliance Module manualmente da software.cisco.com
Nella barra di ricerca del nome del prodotto, digitare Secure Client 5.
Download Home > Sicurezza > Sicurezza degli endpoint > Secure Client (incluso AnyConnect) > Secure Client 5 > Software Client VPN AnyConnect
Per caricare i pacchetti Web Secure Client and Compliance Module su ISE, selezionare Workcenter > Postura > Client Provisioning > Risorse > Aggiungi > Risorse agente dal disco locale.
Per informazioni su come configurare un profilo NAM, consultare la presente guida Configurazione del profilo NAM Secure Client.
Per caricare il profilo NAM "Configuration.xml" su ISE come profilo agente, selezionare Client Provisioning > Risorse > Risorse agente dal disco locale.
Dalla sezione Posture Protocol, non dimenticare di aggiungere * per consentire all'agente di connettersi a tutti i server.
Selezionare il pacchetto client sicuro e modulo di conformità caricato e, sotto la selezione del modulo, selezionare i moduli ISE Posture, NAM e DART
In Profilo (Profile), selezionate il profilo Postura (Posture) e NAM (NAM), quindi fate clic su Sottometti (Submit).
Creare un criterio di provisioning client per il sistema operativo Windows e selezionare la configurazione agente creata nel passaggio precedente.
Per informazioni su come creare le condizioni e i criteri di postura, consultare questa guida ISE Posture Prescriptive Deployment Guide .
Per aggiungere l'indirizzo IP dello switch e la chiave segreta condivisa Radius, selezionare Amministrazione > Risorse di rete.
Per creare un profilo di reindirizzamento delle posture, selezionare Criteri > Elementi criterio > Risultati.
In Attività comando selezionare il portale di provisioning client con ACL di reindirizzamento.
Passare a Criterio > Elementi criterio > Risultati > Autenticazione > Protocolli consentiti, Selezionare le impostazioni di Concatenamento EAP,
Verificare che ISE sia stato aggiunto al dominio Active Directory e che i gruppi di dominio siano selezionati se necessario per le condizioni di autorizzazione.
Amministrazione > Gestione delle identità > Origini identità esterne > Active Directory
Creare un set di criteri in ISE per autenticare la richiesta dot1x. Passare a Criterio > Set di criteri.
Selezionare Active Directory come origine identità per i criteri di autenticazione.
Configurare diverse regole di autorizzazione in base allo stato di postura sconosciuto, non conforme e conforme.
In questo scenario.
Selezionare l'endpoint autenticato tramite dot1x, premendo "Initial Access" Authorization rule. Passare a Operazioni > Raggio > Live Log
Su Switch, specificare l'URL di reindirizzamento e l'ACL da applicare all'endpoint.
Switch#show authentication session interface te1/0/24 - Dettagli
Criteri server:
Switch#sh device-tracking database interface te1/0/24 Livello rete Indirizzo Collegamento Livello indirizzo Interfaccia vlan livello livello livello di durata Tempo rimasto |
Sull'endpoint, verificare il traffico reindirizzato a ISE Posture Posture e fare clic su Start per scaricare l'Assistente installazione di rete sull'endpoint.
Fare clic su Esegui per installare l'applicazione NSA.
A questo punto, l'NSA richiama il download di Secure Client Agent da ISE e installa Posture, il modulo NAM e il file di configurazione del profilo NAM.xml .
Prompt di riavvio attivato dopo l'installazione di NAM. Fare clic su Sì.
Dopo il riavvio del PC e l'accesso dell'utente, NAM autentica sia l'utente che il computer tramite EAP-FAST.
Se l'endpoint viene autenticato correttamente, NAM indica che è connesso e il modulo Posture attiva la scansione della postura.
Sui log ISE Live, l'endpoint sta violando la regola di accesso sconosciuto.
Ora il protocollo di autenticazione è EAP-FAST basato sulla configurazione del profilo NAM e il risultato del concatenamento EAP è "Successo".
Il modulo Secure Client Posture attiva la scansione delle posture ed è contrassegnato come un reclamo basato sulla policy ISE Posture.
Il CoA viene attivato dopo l'analisi delle posture e ora l'endpoint raggiunge la policy di accesso al reclamo.
Verificare che il file configuration.xml del profilo NAM sia presente in questo percorso sul PC dopo l'installazione del modulo NAM.
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Fare clic sull'icona Secure Client nella barra delle applicazioni e selezionare l'icona "settings" (Impostazioni).
Passare alla scheda Rete > Impostazioni registro. Selezionare la casella di controllo Abilita registrazione estesa.
Impostare la dimensione del file di acquisizione del pacchetto su 100 MB.
Dopo aver riprodotto il problema, fare clic su Diagnostics (Diagnostica) per creare il pacchetto DART sull'endpoint.
Nella sezione Cronologia messaggi vengono visualizzati i dettagli di ogni passaggio eseguito da NAM.
Abilitare questi debug sullo switch per la risoluzione dei problemi relativi al dot1x e al flusso di reindirizzamento.
debug ip http all
transazioni http ip di debug
url http ip di debug
set platform software trace smd switch attivo R0 aaa debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch attivo R0 radius debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch attivo R0 eap-all debug
set platform software trace smd switch active R0 epm-all debug
set platform software trace smd switch attivo R0 epm-redirect debug
set platform software trace smd switch active R0 webauth-aaa debug
set platform software trace smd switch active R0 webauth-httpd debug
Per visualizzare i registri
show logging (visualizza registri)
mostra processo di registrazione smd interno
Raccogliere il bundle di supporto ISE con questi attributi da impostare al livello di debug:
Configurazione di Secure Client NAM
Guida all'implementazione prescrittiva di ISE Posture
Risoluzione dei problemi relativi al dot1x sugli switch Catalyst serie 9000
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
29-Jul-2024 |
Versione iniziale |