主机凭据授权协议 (HCAP) 允许您将 Microsoft 网络访问保护 (NAP) 解决方案和 Cisco 网络许可控制相集成。部署带有网络策略服务器 (NPS) 和 NAP 的 HCAP 时,NPS 可以执行 Cisco 802.1X 访问客户端授权,包括强制 NAP 健康策略,而 Cisco 身份验证、授权和记帐 (AAA) 服务器则执行身份验证。

若要部署 HCAP 服务器,必须执行以下操作:

  1. 部署支持 NAP 的客户端计算机。配置客户端计算机以将 Cisco EAP-FAST 用作网络访问的身份验证方法。

  2. 使用 NAP 部署文档部署 NAP,包括配置客户端计算机系统健康代理 (SHA) 和 NPS 服务器的相应系统健康验证程序 (SHV)。

  3. 使用 Cisco 部署文档部署 Cisco 网络许可控制。

  4. 使用来自服务器管理器的添加角色向导安装 HCAP 服务器。HCAP 服务器是网络策略和访问服务服务器角色的一个角色服务。安装 HCAP 服务器时,在同一台计算机上安装所需的额外组件、Internet 信息服务 (IIS) 和 NPS。此外,服务器证书会自动注册到运行 IIS 的服务器,以允许在 IIS 和 Cisco AAA 服务器之间建立安全套接字层 (SSL) 连接。

  5. 配置 IIS 以侦听指定的 IP 地址,从而允许 Cisco AAA 服务器发送授权请求。

  6. 使用运行 HCAP、NPS 和 IIS 的服务器的 URL 配置 Cisco AAA 服务器,以便 Cisco AAA 服务器可以将授权请求发送到 NPS。

  7. 将 HCAP 服务器上的 NPS 配置为 RADIUS 代理,以将授权请求转发到作为一个或多个远程 RADIUS 服务器组成员的 NPS 服务器。或者,也可以将 HCAP 服务器上的 NPS 配置为 RADIUS 服务器,以在本地处理授权请求。

  8. 将 NPS 服务器配置为 RADIUS 服务器以执行授权,包括在 NPS 中部署 NAP 和创建健康策略。如果 NPS-HCAP 服务器是一个将连接请求转发到远程 RADIUS 服务器组中 NPS RADIUS 服务器的 RADIUS 代理,必须在每个 RADIUS 服务器上将 RADIUS 代理配置为 RADIUS 客户端。

  9. 在 NPS RADIUS 服务器上,使用 NAP 健康策略配置网络策略。如果需要,网络策略条件可包括 HCAP-Group-Name 和 HCAP-Location-Group,以用于 NAP 与 Cisco 网络许可控制进行互操作。此外,还可以使用网络策略中的“扩展状态”条件指定客户端计算机与网络策略匹配所需的扩展状态。扩展状态为 Cisco 网络许可控制的元素,包括过渡、感染和未知。通过使用此网络策略条件,可以配置根据客户端计算机是否为这些状态之一,NPS 授权还是拒绝访问。

身份验证和授权过程

部署 Cisco 网络许可控制和带 NAP 的 NPS 之后,身份验证和授权过程的工作方式如下:

  1. 客户端计算机尝试访问网络。客户端可尝试通过 802.1X 身份验证切换或通过配置为 RADIUS 客户端的 802.1X 无线访问点连接到 Cisco AAA 服务器。

  2. Cisco AAA 服务器从网络访问服务器或路由器收到连接请求后,Cisco AAA 服务器通过发送 EAP-Type 长度值 (EAP-TLV) 请求来自客户端的运行状况声明 (SoH) 数据。

  3. 客户端计算机上的 SHA 向客户端上的 NAP 代理报告健康状况,NAP 代理会创建一个 SoH,并将其发送到 Cisco AAA 服务器。

  4. Cisco AAA 服务器使用 HCAP 将 SoH 连同客户端计算机的用户 ID、计算机 ID 和位置一起转发到 NPS 代理或服务器。

  5. 如果 NPS-HCAP 服务器被配置为 RADIUS 代理,NPS 会将授权请求转发到相应的远程 RADIUS 服务器组。(此决定由 NPS 在评估已配置的连接请求策略后做出。)如果 NPS-HCAP 服务器被配置为 RADIUS 服务器,NPS-HCAP 服务器将处理授权请求。

  6. NPS 根据已配置的网络策略评估 SoH,如果找到匹配的网络策略,将创建一个运行状况声明响应 (SoHR),并将其发回客户端。然后使用 HCAP 将此健康声明响应与 NAP 强制状况和扩展状态信息一起发回 Cisco AAA 服务器。

  7. Cisco AAA 服务器根据 Cisco 网络许可控制策略评估 NAP 强制状况,并确定网络访问配置文件。

  8. Cisco AAA 服务器将网络访问配置文件发送到网络访问服务器(交换机、AP 或路由器)。网络访问配置文件包含指导网络访问服务器允许完全访问、限制访问、还是拒绝访问客户端计算机的信息。

  9. Cisco AAA 服务器将 SoHR 发回客户端计算机。

  10. 如果客户端配置不符合健康策略,并且 SoHR 指导客户端进行更新,则客户端将尝试采取所需操作,如下载软件更新或更改配置设置。更新之后,客户端会再次尝试访问网络,并重复身份验证和授权过程。

其他参考

有关详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkID=56443(可能为英文网页)和 https://go.microsoft.com/fwlink/?LinkId=128799 上的“网络访问保护”。

目录