Met HCAP (Host Credential Authorization Protocol) kunt u uw Microsoft NAP-oplossing (Network Access Protection) integreren met Cisco Network Admission Control. Wanneer u HCAP implementeert met NPS (Network Policy Server) en NAP, wordt de autorisatie van Cisco 802.1x-toegangsclients uitgevoerd door NPS, inclusief de uitvoering van het NAP-statusbeleid. Verificatie wordt echter uitgevoerd door Cisco AAA-servers (Authentication, Authorization and Accounting).

Als u een HCAP-server wilt implementeren, gaat u als volgt te werk:

  1. Implementeer NAP-clientcomputers. Configureer clientcomputers voor het gebruik van Cisco EAP-FAST als verificatiemethode voor netwerktoegang.

  2. Implementeer NAP aan de hand van de documentatie over NAP-implementatie. Configureer hierbij ook clientcomputers met SHA's (System Health Agents) en NPS-servers met de overeenkomstige SHV's (System Status Validators).

  3. Implementeer Cisco Network Admission Control aan de hand van de Cisco-documentatie over implementatie.

  4. Installeer HCAP-server met behulp van de wizard Rollen toevoegen in Serverbeheer. HCAP-server is een rolservice van de serverrol Services voor netwerkbeleid en -toegang. Bij de installatie van HCAP-server worden de aanvullende vereiste onderdelen, IIS (Internet Information Services) en NPS, op dezelfde computer geïnstalleerd. Ook wordt er automatisch een servercertificaat ingeschreven bij de server met IIS om SSL-verbindingen (Secure Sockets Layer) toe te staan tussen IIS en de Cisco AAA-server.

  5. Configureer IIS om te luisteren naar opgegeven IP-adressen om verzending van autorisatieaanvragen door Cisco AAA-servers toe te staan.

  6. Configureer de Cisco AAA-server met de URL van de server met HCAP, NPS en IIS, zodat de Cisco AAA-server autorisatieaanvragen kan verzenden naar NPS.

  7. Configureer NPS op de HCAP-server als een RADIUS-proxy om autorisatieaanvragen door te sturen naar NPS-servers die lid zijn van een of meer externe RADIUS-servergroepen. U kunt optioneel NPS op de HCAP-server configureren als een RADIUS-server om autorisatieaanvragen lokaal te verwerken.

  8. Configureer NPS-servers als RADIUS-servers om autorisatie uit te voeren, NAP te implementeren en statusbeleidsregels te maken in NPS. Als de NPS-HCAP-server een RADIUS-proxy is die verbindingsaanvragen doorstuurt naar NPS RADIUS-servers in externe RADIUS-servergroepen, moet u de RADIUS-proxy op elke RADIUS-server configureren als een RADIUS-client.

  9. Configureer het netwerkbeleid met het NAP-statusbeleid op NPS RADIUS-servers. De netwerkbeleidsvoorwaarden kunnen desgewenst interoperabiliteit van HCAP-Group-Name en HCAP-Location-Group voor NAP met Cisco Network Admission Control bevatten. Ook kunt u de voorwaarde Uitgebreide status gebruiken in het netwerkbeleid om de uitgebreide status van de clientcomputer aan te geven die vereist is om aan het netwerkbeleid te voldoen. Uitgebreide statussen zijn elementen van Cisco Network Admission Control en omvatten de waarden Overgangsclient, Geïnfecteerd en Onbekend. Als u deze netwerkbeleidsvoorwaarde gebruikt, kunt u NPS configureren om toegang toe te staan of te weigeren op basis van het feit of de clientcomputer een van deze statussen heeft.

Het verificatie- en autorisatieproces

Na de implementatie van Cisco Network Admission Control en NPS met NAP werkt het verificatie- en autorisatieproces als volgt:

  1. De clientcomputer probeert toegang te krijgen tot het netwerk. Hiervoor kan een 802.1x-verificatieswitch of een draadloos 802.1x-toegangspunt worden gebruikt dat is geconfigureerd als een RADIUS-client voor de Cisco AAA-server.

  2. Nadat de Cisco AAA-server de verbindingsaanvraag heeft ontvangen van de netwerktoegangsserver of router, vraagt de Cisco AAA-server statusverklaringsgegevens aan bij de client door een EAP-TLV (EAP-Type Length Value) te verzenden.

  3. SHA's op de clientcomputer rapporteren de status naar de NAP-agent op de client. De NAP-agent maakt vervolgens een statusverklaring en verzendt deze naar de Cisco AAA-server.

  4. De Cisco AAA-server stuurt de statusverklaring via HCAP door naar de NPS-proxy of -server samen met de gebruikers-id, computer-id en locatie van de clientcomputer.

  5. Als de NPS-HCAP-server is geconfigureerd als een RADIUS-proxy, wordt de autorisatieaanvraag door NPS doorgestuurd naar de juiste externe RADIUS-servergroep. (Deze beslissing wordt gemaakt tijdens de evaluatie van de geconfigureerde beleidsregels voor verbindingsaanvragen door NPS.) Als de NPS-HCAP-server is geconfigureerd als een RADIUS-server, wordt de autorisatieaanvraag verwerkt door de NPS-HCAP-server.

  6. NPS evalueert de statusverklaring tegen het geconfigureerde netwerkbeleid en maakt, indien er een overeenkomstig netwerkbeleid wordt gevonden, een antwoord dat kan worden teruggezonden naar de client. Dit antwoord wordt samen met de gegevens over de NAP-uitvoeringsstatus en de uitgebreide status via HCAP teruggezonden naar de Cisco AAA-server.

  7. De Cisco AAA-server evalueert de NAP-uitvoeringsstatus tegen het Cisco Network Admission Control-beleid en bepaalt het netwerktoegangsprofiel.

  8. De Cisco AAA-server verzendt het netwerktoegangsprofiel naar de netwerktoegangsserver (de switch, AP of router). Het netwerktoegangsprofiel bevat de informatie waarmee de netwerktoegangsserver wordt verteld of volledige toegang of beperkte toegang is toegestaan tot de clientcomputer of dat toegang moet worden geweigerd.

  9. De Cisco AAA-server verzendt het antwoord op de statusverklaring terug naar de clientcomputer.

  10. Als de clientconfiguratie niet overeenkomt met het statusbeleid en de statusverklaring aangeeft dat de client moet worden hersteld, probeert de client de vereiste acties te ondernemen, zoals het downloaden van software-updates of het wijzigen van configuratie-instellingen. Na het herstellen probeert de client opnieuw toegang te krijgen tot het netwerk en wordt het verificatie- en autorisatieproces herhaald.

Aanvullende naslaginformatie

Inhoudsopgave