• Keine Ergebnisse gefunden

NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager (CAM) mit ACS

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager (CAM) mit ACS"

Copied!
15
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 15 Seite )

Volltext

(1)

NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager (CAM) mit ACS

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Konventionen

Konfigurieren Netzwerkdiagramm

Schritte zur Konfiguration der Authentifizierung in CCA mit ACS ACS-Konfiguration

Überprüfen Fehlerbehebung

Zugehörige Informationen

Einführung

In diesem Dokument wird beschrieben, wie die Authentifizierung auf dem Clean Access Manager (CAM) mit dem Cisco Secure Access Control Server (ACS) konfiguriert wird. Eine ähnliche

Konfiguration mit ACS 5.x und höher finden Sie unter NAC (CCA): Konfigurieren der Authentifizierung auf dem Clean Access Manager mit ACS 5.x und höher.

Voraussetzungen

Anforderungen

Diese Konfiguration gilt für CAM Version 3.5 und höher.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf CAM Version 4.1.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten

Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

(2)

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Schritte zur Konfiguration der Authentifizierung in CCA mit ACS

Gehen Sie wie folgt vor:

Neue Rollen hinzufügen Administratorrolle erstellenWählen Sie im CAM Benutzerverwaltung

> Benutzerrollen > Neue Rolle aus.

1.

(3)

Geben Sie einen eindeutigen Namen, admin, für die Rolle im Feld Rollenname ein.Geben Sie als optionale Rollenbeschreibung die Administratorbenutzerrolle ein.Wählen Sie Normal Login Role (Normale Anmeldungsrolle) als Rollentyp aus.Konfigurieren Sie das OOB- Benutzerrollen-VLAN (Out-of-Band) mit dem entsprechenden VLAN. Wählen Sie

beispielsweise die VLAN-ID aus, und geben Sie die ID als 10 an.Wenn Sie fertig sind, klicken Sie auf Rolle erstellen. Um die Standardeigenschaften des Formulars wiederherzustellen, klicken Sie auf Zurücksetzen.Die Rolle wird nun in der Registerkarte Liste der Rollen angezeigt, wie im Abschnitt Tag VLANs for OOB Role-Based Mappings (Tag-VLANs für rollenbasierte OOB-Zuordnungen) gezeigt.Erstellen einer BenutzerrolleWählen Sie im CAM Benutzerverwaltung > Benutzerrollen > Neue Rolle

aus.

(4)

Geben Sie im Feld Name der Rolle einen eindeutigen Namen für Benutzer ein.Geben Sie die normale Benutzerrolle als optionale Rollenbeschreibung ein.Konfigurieren Sie das OOB- Benutzerrollen-VLAN (Out-of-Band) mit dem entsprechenden VLAN. Wählen Sie

beispielsweise die VLAN-ID aus, und geben Sie die ID als 20 an.Wenn Sie fertig sind, klicken Sie auf Rolle erstellen. Um die Standardeigenschaften des Formulars wiederherzustellen, klicken Sie auf Zurücksetzen.Die Rolle wird nun in der Registerkarte Liste der Rollen angezeigt, wie im Abschnitt Tag VLANs for OOB Role-Based Mappings (Tag-VLANs für rollenbasierte OOB-Zuordnungen) gezeigt.

Tag-VLANs für rollenbasierte OOB-ZuordnungenWählen Sie im CAM Benutzerverwaltung >

Benutzerrollen > Liste der Rollen, um die Liste der Rollen bisher anzuzeigen.

2.

(5)

RADIUS Auth Server (ACS) hinzufügenWählen Sie Benutzerverwaltung > Auth Servers >

New aus.

Wählen Sie im Dropdown-Menü Authentication Type (Authentifizierungstyp) die Option Radius aus.Geben Sie den Anbieternamen als ACS ein.Geben Sie den Servernamen als auth.cisco.com ein.Server Port (Server-Port): Die Portnummer 1812, auf der der RADIUS- Server wartet.Radius Type - Die RADIUS-Authentifizierungsmethode. Zu den unterstützten Methoden gehören EAPMD5, PAP, CHAP, MSCHAP und MSCHAP2.Die Standardrolle wird verwendet, wenn die Zuordnung zum ACS nicht richtig definiert oder festgelegt ist oder wenn das RADIUS-Attribut auf dem ACS nicht richtig definiert oder festgelegt ist.Shared Secret (Gemeinsam genutzter geheimer Schlüssel): Der gemeinsame geheime RADIUS-Schlüssel, der an die IP-Adresse des angegebenen Clients gebunden ist.NAS-IP-Adresse: Dieser Wert wird mit allen RADIUS-Authentifizierungspaketen gesendet.Klicken Sie auf Server

hinzufügen.

3.

(6)

Zuordnen von ACS-Benutzern zu CCA-BenutzerrollenWählen Sie Benutzerverwaltung >

Auth Servers > Mapping Rules > Add Mapping Link, um der CCA-Benutzerrolle Administrator-Benutzer im ACS

zuzuordnen.

Wählen Sie Benutzerverwaltung > Auth Servers > Mapping Rules > Add Mapping Link, um der CCA-Benutzerrolle den normalen Benutzer im ACS

zuzuordnen.

Die Zusammenfassung der Benutzerrollen-Zuordnung ist wie folgt:

4.

(7)

Aktivieren alternativer Anbieter auf der BenutzerseiteWählen Sie Administration > User Pages > Login Page > Add > Content, um alternative Anbieter auf der Benutzeranmeldeseite zu

aktivieren.

5.

ACS-Konfiguration

Wählen Sie Interface Configuration aus, um sicherzustellen, dass das RADIUS (IETF) Class- Attribut [025] aktiviert

1.

(8)

ist.

RADIUS-Client zum ACS-Server hinzufügenWählen Sie Network Configuration (Netzwerkkonfiguration) aus, um den AAA-Client-CAM wie folgt

hinzuzufügen:

2.

(9)

Klicken Sie auf Senden + Neu starten.Hinweis: Stellen Sie sicher, dass der RADIUS-Schlüssel mit dem AAA-Client übereinstimmt und RADIUS (IETF) verwendet.Wählen Sie Network

Configuration (Netzwerkkonfiguration) aus, um den AAA-Client-CAS wie folgt hinzuzufügen:

(10)

Klicken Sie auf Senden + Neu starten.Hinweis: Für die RADIUS-Accounting des VPN-Gateways muss die CCA-Richtlinie zulassen, dass RADIUS Accounting-Pakete (UDP 1646/1813) von der CAS-IP-Adresse nicht authentifiziert an die IP-Adresse des ACS-Servers weitergeleitet werden.Wählen Sie Network Configuration (Netzwerkkonfiguration) aus, um die AAA-Client- ASA wie folgt

hinzuzufügen:

(11)

PIX/ASA- Schnittstellenadresse des Benutzers in der Nähe (in der Regel innerhalb der

Schnittstelle)Legen Sie RADIUS (Cisco IOS/PIX) als Typ fest.

Hinzufügen/Konfigurieren von Gruppen auf dem ACS-ServerAdministratorgruppe 3.

(12)

erstellen

Legen Sie das IETF RADIUS Class-Attribut [025] auf den entsprechenden Gruppenwert fest.Der Wert muss mit dem Wert übereinstimmen, der für die CAS-Zuordnung konfiguriert wurde.Benutzergruppe

(13)

erstellen

Fügen Sie Gruppen für jede Benutzerrolle für den sauberen Zugriff hinzu, die zugeordnet werden soll.Hinzufügen/Konfigurieren von Benutzern auf dem ACS-

(14)

Server Hin zufügen/Konfigurieren von ACS-Benutzern für jeden Clean Access-Benutzer, der vom ACS authentifiziert werden soll.Festlegen der ACS-GruppenmitgliedschaftACS unterstützt auch die Proxy-Authentifizierung für andere externe Server.

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Im ACS-Überwachungsabschnitt werden die Informationen zu den weitergeleiteten Authentifizierungen wie folgt angezeigt:

(15)

Auf ähnliche Weise sehen Sie den Screenshot für RADIUS Accounting:

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Support-Seite für Cisco NAC Appliance

Technischer Support und Dokumentation - Cisco Systems

Referenzen

Jetzt herunterladen ( PDF - 15 Seite - 375.68 KB )

ÄHNLICHE DOKUMENTE

Die Rolle annehmen? In der Rolle bleiben? Neue Rollen leben? Einstellungen und Vorstellungen von Frauen und Männern mit und ohne Zuwanderungs- geschichte zur Gleichberechtigung

Auch wenn die befragten jungen Frauen annehmen, dass sich ihr Wunsch nach Berufstätigkeit und damit auch nach persönlicher Unabhängigkeit und Entfaltung nach der Geburt

Konfigurieren der externen Authentifizierung und Autorisierung über LDAPS für den Zugriff auf Secure Network Analytics Manager

Wenn ein lokaler Benutzer gefunden wird und aktiviert ist, wird er remote authentifiziert (wenn die Remote-Authentifizierung über LDAP mit lokaler Autorisierung zuvor

Konfigurieren der TACACS+-Authentifizierung für VPDNs

debug vpdn l2f-events: Zeigt Meldungen über Ereignisse an, die zum normalen PPP- Tunnelaufbau oder -Herunterfahren für Layer 2

Port-basierte Authentifizierung mit LAP und ACS Konfigurationsbeispiel

Die LAP übernimmt den Benutzernamen und das Kennwort, die für den neuen WLC konfiguriert wurden.Wenn der Access Point noch nicht einem WLC beigetreten ist, müssen Sie sich in der

Wenn dieser Newsletter nicht richtig angezeigt wird, klicken Sie bitte hier.

Dies bestärkt mich auch in der Ansicht, dass wir nach der Coronapandemie schnell Probleme angehen können, die in all ihrer Deutlichkeit erst jetzt zu Tage getreten sind und

Falls der Newsletter nicht korrekt angezeigt wird, klicken Sie bitte hier.

Suche den Erfolg in dir – und alles wird dir gelingen.. Gelassen in einem Streit bleiben, die eigene Position überzeugend vertreten, bei Forderungen entschlossen auftreten und

PPP CHAP-Authentifizierung verstehen und konfigurieren

Dieser Befehl gibt an, dass sich der Router erst dann bei einem Peer authentifiziert, der eine CHAP-4. Authentifizierung anfordert, wenn sich der Peer beim Router

NAC Appliance (CCA): Konfigurieren der hohen Verfügbarkeit für den Clean Access Manager (CAM)

Sie können den seriellen Port über das Kontrollkästchen Serielle Anmeldung deaktivieren aktivieren/deaktivieren auf den HA CAM-Einstellungen (unter Administration > Clean