تكوين ملف تعريف NAM الآمن للعميل ونشره من خلال ISE 3.3 على Windows

المقدمة

يوضح هذا المستند كيفية نشر ملف تعريف مدير الوصول إلى شبكة العميل الآمن (NAM) من Cisco من خلال محرك خدمات الهوية (ISE).

معلومات أساسية

تحدث مصادقة EAP-FAST في مرحلتين. في المرحلة الأولى، يستخدم EAP-FAST مصافحة TLS لتوفير ومصادقة مبادلات المفاتيح باستخدام كائنات قيم النوع الطول (TLV) لإنشاء نفق محمي. يتم إستخدام كائنات TLV هذه لنقل البيانات المتعلقة بالمصادقة بين العميل والخادم. وبمجرد إنشاء النفق، تبدأ المرحلة الثانية بانخراط عقدة العميل ومعهد خدمات الهوية (ISE) في مزيد من المحادثات لإنشاء سياسات المصادقة والتفويض المطلوبة.

يتم إعداد ملف تعريف تكوين NAM لاستخدام EAP-FAST كطريقة مصادقة ويتوفر للشبكات المعرفة إداريا.
وبالإضافة إلى ذلك، يمكن تكوين كلا من أنواع اتصال الجهاز والمستخدم ضمن ملف تعريف تكوين NAM.
يحصل جهاز Windows الخاص بالشركة على وصول كامل إلى الشركة باستخدام NAM مع فحص Posture.
يكتسب جهاز Windows الشخصي حق الوصول إلى شبكة مقيدة باستخدام نفس تكوين NAM.

يقدم هذا المستند تعليمات لنشر ملف تعريف Cisco Secure Client Network Access Manager (NAM) عبر مدخل وضعية محرك خدمات الهوية (ISE) باستخدام نشر الويب، بالإضافة إلى التحقق من توافق الوضع.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• محرك خدمات الهوية (ISE)
• محرر ملف التعريف و AnyConnect NAM
• نهج الوضع
• تكوين Cisco Catalyst لخدمات 802.1x

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco ISE، الإصدار 3.3 والإصدارات الأحدث
• Windows 10 مع Cisco Secure Mobility Client 5.1.4.74 والإصدارات الأحدث
• المحول Cisco Catalyst 9200 switch ببرنامج Cisco IOS® XE 17.6.5 والإصدارات الأحدث
• Active Directory 2016

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

تدفق البيانات

عندما يتصل جهاز كمبيوتر بالشبكة، يوفر ISE نهج التخويل لإعادة التوجيه إلى مدخل الوضع.
تتم إعادة توجيه حركة مرور بيانات HTTP على الكمبيوتر الشخصي إلى صفحة إمداد عميل ISE، حيث يتم تنزيل تطبيق NSA من ISE.
ثم يقوم NSA بتثبيت الوحدات النمطية لوكيل العميل الآمن على الكمبيوتر الشخصي.
بعد اكتمال تثبيت البرنامج العميل، يقوم البرنامج العميل بتنزيل ملف تعريف Posture (الوضع) وملف تعريف NAM الذي تم تكوينه على ISE.
يؤدي تثبيت وحدة NAM إلى تشغيل إعادة التشغيل على الكمبيوتر.
بعد إعادة التشغيل، تقوم وحدة NAM بتنفيذ مصادقة EAP-FAST استنادا إلى ملف تعريف NAM.
يتم بعد ذلك تشغيل فحص Posture (وضعية محرك خدمات الهوية (ISE)) ويتم التحقق من التوافق استنادا إلى نهج وضع ISE.

تكوين المحول

قم بتكوين محول الوصول لمصادقة dot1x وإعادة التوجيه.

نموذج AAA جديد نقطة مصادقة AAA1x نصف قطر المجموعة الافتراضية نصف قطر المجموعة الافتراضية لشبكة تفويض AAA نقطة محاسبة AAA1x لنصف قطر مجموعة بدء-إيقاف افتراضي المؤلف الديناميكي لنصف قطر خادم AAA client 10.127.197.53 server-key qwerty123 المصادقة-النوع Any AAA جلسة-id مشترك ip radius source-interface vlan1000 سمة خادم RADIUS 6 on-for-login-auth سمة خادم RADIUS 8 تضمين-in-access-req يتضمن طلب الوصول 25 سمة خادم radius سمة خادم نصف القطر 31 تنسيق mac ietf من الحالة العليا خادم RADIUS RAD1 عنوان IPv4 <ISE Server IP> المنفذ 1812 access-port 1813 المفتاح <secret-key> dot1x system-auth-control

تكوين قائمة التحكم في الوصول لإعادة التوجيه للمستخدم المراد إعادة توجيهه إلى مدخل إمداد عميل ISE.

قائمة التحكم في الوصول الموسعة ل ip access-list 10 رفض UDP أي مجال eq 20 رفض TCP أي مجال eq 30 رفض بروتوكول UDP لأي نظام تمهيد تشغيل EQ BOOTPC لأي أنظمة تمهيد تشغيل خاصة ب EQ 40 رفض IP لأي مضيف <ISE Server IP> 50 السماح باستخدام أي بروتوكول EQ www 60 تصريح TCP أي eq 443

قم بتمكين تعقب الجهاز وإعادة توجيه HTTP على المحول.

نهج تعقب الأجهزة <اسم نهج تعقب الأجهزة>  تمكين التعقب قارن <interface name>  <اسم نهج تعقب الجهاز> الخاص بإرفاق نهج الجهاز ip http server ip http secure-server

تنزيل حزمة Secure Client

قم بتنزيل Profile Editor و Secure Client Windows و Compliance Module Webdeploy Files يدويا من software.cisco.com 

في نوع شريط البحث عن اسم المنتج العميل الآمن 5.

الصفحة الرئيسية للتنزيلات > الأمان > أمان نقطة النهاية > العميل الآمن (بما في ذلك AnyConnect) > العميل الآمن 5 > برنامج عميل AnyConnect VPN

• Cisco-secure-client-win-5.1.4.74-webdeploy-k9.pkg
• Cisco-secure-client-win-4.3.4164.8192-isecompliance-webdeploy-k9.pkg
• tools-Cisco-secure-client-win-5.1.4.74-profileeditor-k9.msi

تكوين ISE

الخطوة 1. تحميل الحزمة على ISE

لتحميل حزم نشر الويب الخاصة بالعميل الآمن والتوافق من خلال وحدة ISE، انتقل إلى مركز العمل > Posture > إمداد العميل > الموارد > إضافة > موارد الوكيل من القرص المحلي.

الخطوة 2. إنشاء ملف تعريف NAM من أداة محرر ملف التعريف

للحصول على معلومات حول كيفية تكوين ملف تعريف NAM، ارجع إلى هذا الدليل تكوين ملف تعريف NAM الآمن للعميل .

الخطوة 3. تحميل ملف تعريف NAM على ISE

لتحميل ملف تعريف NAM "configuration.xml" على ISE كملف تعريف وكيل، انتقل إلى إمداد العميل > الموارد > موارد الوكيل من القرص المحلي.

الخطوة 4. إنشاء ملف تعريف الوضع 

من قسم بروتوكول الوضع، لا تنس إضافة * للسماح للوكيل بالاتصال بجميع الخوادم.

الخطوة 5. إنشاء تكوين الوكيل

حدد حزمة الوحدة النمطية للتوافق والعميل الآمن التي تم تحميلها ضمن تحديد الوحدة النمطية، حدد وضعية محرك خدمات الهوية (ISE) وحركة NAM ووحدات DART

تحت ملف تعريف تحديد، أختر الوضع وملف تعريف NAM وانقر فوق إرسال.

الخطوة 6. نهج توفير العميل

قم بإنشاء نهج توفير عميل لنظام التشغيل Windows وحدد تكوين الوكيل الذي تم إنشاؤه في الخطوة السابقة.

الخطوة 7. نهج الوضع

للحصول على معلومات حول كيفية إنشاء سياسة الوضع وشروطه، ارجع إلى دليل النشر الوضعي هذا ل ISE Posture .

الخطوة 8. إضافة جهاز شبكة

لإضافة عنوان IP للمحول ومفتاح سر RADIUS المشترك، انتقل إلى إدارة > موارد الشبكة.

الخطوة 9. ملف تعريف التخويل

لإنشاء ملف تخصيص إعادة توجيه للوضعية، انتقل إلى السياسة > عناصر السياسة > النتائج.

تحت مهمة الأوامر، حدد مدخل تزويد العميل مع قائمة التحكم في الوصول (ACL) لإعادة التوجيه.

الخطوة 10. البروتوكولات المسموح بها

انتقل إلى السياسة > عناصر السياسة > النتائج > المصادقة > البروتوكولات المسموح بها، حدد إعدادات تسلسل EAP،

الخطوة 11. الدليل النشط

تم انضمام التحقق من صحة ISE إلى مجال Active Directory وتم تحديد مجموعات المجالات إذا لزم الأمر لشروط التخويل.

إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory

الخطوة 12. مجموعات النهج

قم بإنشاء مجموعة نهج على ISE لمصادقة طلب dot1x. انتقل إلى السياسة > مجموعات السياسات .

حدد Active Directory كمصدر هوية لنهج المصادقة.

قم بتكوين قواعد تخويل مختلفة استنادا إلى حالة الوضع غير معروفة وغير متوافقة ومتوافقة.

في حالة الاستخدام هذه.

• الوصول الأولي: إعادة التوجيه إلى بوابة إمداد عميل ISE لتثبيت عميل آمن وملف تعريف NAM
• وصول غير معروف: الوصول إلى مدخل إمداد العميل لاكتشاف الوضع المستند إلى إعادة التوجيه
• وصول متوافق: الوصول الكامل إلى الشبكة
• غير متوافق: رفض الوصول

التحقق من الصحة

الخطوة 1. تنزيل وحدة Secure Client Posture/NAM من ISE وتثبيتها

حدد نقطة النهاية التي تمت مصادقتها من خلال dot1x، مع الضغط على قاعدة تخويل الوصول الأولي". انتقل إلى العمليات > RADIUS > السجلات المباشرة

على المحول، حدد عنوان URL لإعادة التوجيه وقائمة التحكم في الوصول التي يتم تطبيقها على نقطة النهاية.

تفاصيل Switch#show Authentication Session Interface te1/0/24 الواجهة: TenGigabitEthernet1/0/24 معرف IIF: 0x19262768 عنوان MAC: x4x6.xxxx.xxx عنوان IPv6: غير معروف عنوان IPv4: <client-IP> اسم المستخدم: host/DESKTOP-xxxxxx.aaa.prad.com الحالة: معتمد المجال: البيانات وضع مضيف Oper: أحادي المضيف Oper Control dir: كلاهما مهلة جلسة العمل: غير متوفر معرف الجلسة المشتركة: 16d5c50a00002cf067366b معرف جلسة العمل: 0x000001f المؤشر: 0x7a00017 السياسة الحالية: POLICY_TE1/0/24 السياسات المحلية: قالب الخدمة: default_linksec_policy_should_secure (priority 150) نهج الأمان: يجب تأمين حالة الأمان: لم يتم تأمين الارتباط نهج الخادم: قائمة التحكم في الوصول (ACL) لإعادة توجيه URL: قائمة التحكم في الوصول (ACL) لإعادة التوجيه إعادة توجيه URL: https://ise33.aaa.prad.com:8443/portal/gateway?sessionId=16D5C50A0000002CF067366A&portal=ee39fd08-7180-4995-8aa2-9fb282645a8f&action=cpp&token=518f857900a37f9afc6d2da8b6fe3bc2 قائمة التحكم في الوصول ل ACS: xACSACLx-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3 قائمة حالة الأسلوب: حالة الأسلوب dot1x Authc نجاح واجهة قاعدة بيانات تعقب الجهاز Switch#sh1/0/24 طبقة عنوان الشبكة ربط طبقة عنوان قارن ن vlan عمر الحالة إلى اليسار ARP X.X.X.X b496.91f9.568b TE1/0/24 1000 005 4mn Reachable 39 S يحاول 0

على نقطة النهاية، تحقق من حركة المرور التي تمت إعادة توجيهها إلى ISE Posture (وضعية محرك خدمات الهوية (ISE)) وانقر فوق بدء لتنزيل مساعد إعداد الشبكة على نقطة النهاية.

انقر على تشغيل لتثبيت تطبيق NSA.

والآن، يقوم NSA باستدعاء تنزيل "عميل العميل الآمن" من ISE ويثبت Posture (الوضع) ووحدة NAM وتكوين ملف تعريف NAM.xml .

تم تشغيل مطالبة إعادة التشغيل بعد تثبيت NAM. طقطقة نعم.

الخطوة 2. EAP-FAST 

بمجرد إعادة تشغيل الكمبيوتر وتسجيل دخول المستخدم، تقوم NAM بمصادقة كل من المستخدم والجهاز من خلال EAP-FAST.

إذا تمت مصادقة نقطة النهاية بشكل صحيح، فإن NAM يعرض أنها متصلة وأن الوحدة النمطية للوضع تقوم بتشغيل المسح الضوئي للوضعية.

على سجلات ISE Live، تقوم نقطة النهاية الآن بالوصول إلى قاعدة الوصول غير المعروف.

الآن بروتوكول المصادقة EAP-FAST يستند إلى تكوين ملف تعريف NAM ونتائج سلسلة EAP هي "نجاح".

الخطوة 3. مسح وضعي

تقوم الوحدة النمطية Secure Client Posture (وضعية العميل الآمنة) بتشغيل الفحص Posture (وضعية العميل) ويتم وضع علامة كشكوى استنادا إلى نهج وضعية ISE.

يتم تشغيل CoA بعد مسح Posture الضوئي والآن تقوم نقطة النهاية بالوصول إلى نهج الوصول إلى الشكوى.

استكشاف الأخطاء وإصلاحها

الخطوة 1. ملف تعريف NAM

تحقق من وجود ملف تعريف NAM configuration.xml في هذا المسار على الكمبيوتر الشخصي بعد تثبيت وحدة NAM النمطية.

C:\ProgramData\Cisco\CiscoSecure Client\Network Access Manager\System

الخطوة 2. تسجيل NAM الموسع

انقر على رمز العميل الآمن من شريط المهام وحدد رمز "الإعدادات".

انتقل إلى الشبكة > علامة التبويب إعدادات السجل. حدد خانة الاختيار تمكين التسجيل الموسع.
تعيين حجم ملف التقاط الحزمة إلى 100 ميغابايت.

بعد إنتاج الإصدار، انقر فوق التشخيص لإنشاء حزمة DART على نقطة النهاية.

يعرض قسم محفوظات الرسائل تفاصيل كل خطوة قامت NAM بتنفيذها.

الخطوة 3. تصحيح الأخطاء على المحول

مكنت هذا يضبط على المفتاح أن يتحرى dot1x و redirection تدفق.

debug ip http all

حركات debug ip http

debug ip http url

set platform software trace smd switch active R0 aaa debug
set platform software trace smd مفتاح نشط R0 dot1x-all debug
set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch active R0 eap-all debug
set platform software trace smd switch active R0 epm-all debug

ضبط تصحيح أخطاء إعادة توجيه SMD لتتبع برنامج النظام الأساسي نشط R0 EPM

set platform software trace smd switch active R0 webauth-aaa debug

set platform software trace smd switch active R0 webauth-httpd debug

لعرض السجلات

show logging

show logging process smd داخلي

الخطوة 4. تصحيح الأخطاء على ISE

تجمع حزمة دعم ISE مع هذه الأجهزة التي سيتم تعيينها على مستوى تصحيح الأخطاء:

• وضعية 
• بوابة 
• إمداد 
• Runtime-AAA 
• إن إس إف 
• NSF-جلسة 
• سويسري 
• عميل-WebApp 

معلومات ذات صلة

تكوين NAM العميل الآمن

دليل النشر الوضعي ل ISE Posture

أستكشاف أخطاء Dot1x وإصلاحها على محولات Catalyst 9000 Series Switches