NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager (CAM) mit ACS
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Konventionen
Konfigurieren Netzwerkdiagramm
Schritte zur Konfiguration der Authentifizierung in CCA mit ACS ACS-Konfiguration
Überprüfen Fehlerbehebung
Zugehörige Informationen
Einführung
In diesem Dokument wird beschrieben, wie die Authentifizierung auf dem Clean Access Manager (CAM) mit dem Cisco Secure Access Control Server (ACS) konfiguriert wird. Eine ähnliche
Konfiguration mit ACS 5.x und höher finden Sie unter NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager mit ACS 5.x und höher.
Voraussetzungen
Anforderungen
Diese Konfiguration gilt für CAM Version 3.5 und höher.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf CAM Version 4.1.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten
Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Konfigurieren
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
Netzwerkdiagramm
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Schritte zur Konfiguration der Authentifizierung in CCA mit ACS
Gehen Sie wie folgt vor:
Neue Rollen hinzufügen Administratorrolle erstellenWählen Sie im CAM Benutzerverwaltung
> Benutzerrollen > Neue Rolle aus.
1.
Geben Sie einen eindeutigen Namen, admin, für die Rolle im Feld Rollenname ein.Geben Sie als optionale Rollenbeschreibung die Administratorbenutzerrolle ein.Wählen Sie Normal Login Role (Normale Anmeldungsrolle) als Rollentyp aus.Konfigurieren Sie das OOB- Benutzerrollen-VLAN (Out-of-Band) mit dem entsprechenden VLAN. Wählen Sie
beispielsweise die VLAN-ID aus, und geben Sie die ID als 10 an.Wenn Sie fertig sind, klicken Sie auf Rolle erstellen. Um die Standardeigenschaften des Formulars wiederherzustellen, klicken Sie auf Zurücksetzen.Die Rolle wird nun in der Registerkarte Liste der Rollen angezeigt, wie im Abschnitt Tag VLANs for OOB Role-Based Mappings (Tag-VLANs für rollenbasierte OOB-Zuordnungen) gezeigt.Erstellen einer BenutzerrolleWählen Sie im CAM Benutzerverwaltung > Benutzerrollen > Neue Rolle
aus.
Geben Sie im Feld Name der Rolle einen eindeutigen Namen für Benutzer ein.Geben Sie die normale Benutzerrolle als optionale Rollenbeschreibung ein.Konfigurieren Sie das OOB- Benutzerrollen-VLAN (Out-of-Band) mit dem entsprechenden VLAN. Wählen Sie
beispielsweise die VLAN-ID aus, und geben Sie die ID als 20 an.Wenn Sie fertig sind, klicken Sie auf Rolle erstellen. Um die Standardeigenschaften des Formulars wiederherzustellen, klicken Sie auf Zurücksetzen.Die Rolle wird nun in der Registerkarte Liste der Rollen angezeigt, wie im Abschnitt Tag VLANs for OOB Role-Based Mappings (Tag-VLANs für rollenbasierte OOB-Zuordnungen) gezeigt.
Tag-VLANs für rollenbasierte OOB-ZuordnungenWählen Sie im CAM Benutzerverwaltung >
Benutzerrollen > Liste der Rollen, um die Liste der Rollen bisher anzuzeigen.
2.
RADIUS Auth Server (ACS) hinzufügenWählen Sie Benutzerverwaltung > Auth Servers >
New aus.
Wählen Sie im Dropdown-Menü Authentication Type (Authentifizierungstyp) die Option Radius aus.Geben Sie den Anbieternamen als ACS ein.Geben Sie den Servernamen als auth.cisco.com ein.Server Port (Server-Port): Die Portnummer 1812, auf der der RADIUS- Server wartet.Radius Type - Die RADIUS-Authentifizierungsmethode. Zu den unterstützten Methoden gehören EAPMD5, PAP, CHAP, MSCHAP und MSCHAP2.Die Standardrolle wird verwendet, wenn die Zuordnung zum ACS nicht richtig definiert oder festgelegt ist oder wenn das RADIUS-Attribut auf dem ACS nicht richtig definiert oder festgelegt ist.Shared Secret (Gemeinsam genutzter geheimer Schlüssel): Der gemeinsame geheime RADIUS-Schlüssel, der an die IP-Adresse des angegebenen Clients gebunden ist.NAS-IP-Adresse: Dieser Wert wird mit allen RADIUS-Authentifizierungspaketen gesendet.Klicken Sie auf Server
hinzufügen.
3.
Zuordnen von ACS-Benutzern zu CCA-BenutzerrollenWählen Sie Benutzerverwaltung >
Auth Servers > Mapping Rules > Add Mapping Link, um der CCA-Benutzerrolle Administrator-Benutzer im ACS
zuzuordnen.
Wählen Sie Benutzerverwaltung > Auth Servers > Mapping Rules > Add Mapping Link, um der CCA-Benutzerrolle den normalen Benutzer im ACS
zuzuordnen.
Die Zusammenfassung der Benutzerrollen-Zuordnung ist wie folgt:
4.
Aktivieren alternativer Anbieter auf der BenutzerseiteWählen Sie Administration > User Pages > Login Page > Add > Content, um alternative Anbieter auf der Benutzeranmeldeseite zu
aktivieren.
5.
ACS-Konfiguration
Wählen Sie Interface Configuration aus, um sicherzustellen, dass das RADIUS (IETF) Class- Attribut [025] aktiviert
1.
ist.
RADIUS-Client zum ACS-Server hinzufügenWählen Sie Network Configuration (Netzwerkkonfiguration) aus, um den AAA-Client-CAM wie folgt
hinzuzufügen:
2.
Klicken Sie auf Senden + Neu starten.Hinweis: Stellen Sie sicher, dass der RADIUS-Schlüssel mit dem AAA-Client übereinstimmt und RADIUS (IETF) verwendet.Wählen Sie Network
Configuration (Netzwerkkonfiguration) aus, um den AAA-Client-CAS wie folgt hinzuzufügen:
Klicken Sie auf Senden + Neu starten.Hinweis: Für die RADIUS-Accounting des VPN-Gateways muss die CCA-Richtlinie zulassen, dass RADIUS Accounting-Pakete (UDP 1646/1813) von der CAS-IP-Adresse nicht authentifiziert an die IP-Adresse des ACS-Servers weitergeleitet werden.Wählen Sie Network Configuration (Netzwerkkonfiguration) aus, um die AAA-Client- ASA wie folgt
hinzuzufügen:
PIX/ASA- Schnittstellenadresse des Benutzers in der Nähe (in der Regel innerhalb der
Schnittstelle)Legen Sie RADIUS (Cisco IOS/PIX) als Typ fest.
Hinzufügen/Konfigurieren von Gruppen auf dem ACS-ServerAdministratorgruppe 3.
erstellen
Legen Sie das IETF RADIUS Class-Attribut [025] auf den entsprechenden Gruppenwert fest.Der Wert muss mit dem Wert übereinstimmen, der für die CAS-Zuordnung konfiguriert wurde.Benutzergruppe
erstellen
Fügen Sie Gruppen für jede Benutzerrolle für den sauberen Zugriff hinzu, die zugeordnet werden soll.Hinzufügen/Konfigurieren von Benutzern auf dem ACS-
Server Hin zufügen/Konfigurieren von ACS-Benutzern für jeden Clean Access-Benutzer, der vom ACS authentifiziert werden soll.Festlegen der ACS-GruppenmitgliedschaftACS unterstützt auch die Proxy-Authentifizierung für andere externe Server.
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Im ACS-Überwachungsabschnitt werden die Informationen zu den weitergeleiteten Authentifizierungen wie folgt angezeigt:
Auf ähnliche Weise sehen Sie den Screenshot für RADIUS Accounting:
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Zugehörige Informationen
Support-Seite für Cisco NAC Appliance
●
Technischer Support und Dokumentation - Cisco Systems
●