Protokol HCAP (Host Credential Authorization Protocol) umožňuje integrovat řešení založené na architektuře Microsoft Network Access Protection (NAP) s řízením přístupu k síti společnosti Cisco. Pokud nasadíte protokol HCAP se serverem NPS (Network Policy Server) a architekturou NAP, může server NPS provádět autorizaci přístupových klientů protokolem 802.1X společnosti Cisco (včetně vynucení zásad stavu architektury NAP), zatímco ověřovací, autorizační a monitorovací servery (AAA) Cisco provádějí ověřování.

Chcete-li zavést server HCAP, je třeba provést následující akce:

  1. Nasadit klientské počítače s podporou architektury NAP. Konfigurovat klientské počítače pro použití protokolu Cisco EAP-FAST jako ověřovací metody přístupu k síti.

  2. S využitím implementační dokumentace zavést architekturu NAP, což zahrnuje konfiguraci klientských počítačů pomocí agentů stavu systému (SHA) a serverů NPS pomocí odpovídajících validátorů stavu systému (SHV).

  3. S využitím implementační dokumentace společnosti Cisco, zavést řízení přístupu k síti Cisco.

  4. Nainstalovat server HCAP pomocí průvodce přidáním rolí ve Správci serveru. Server HCAP představuje službu role Zásady sítě a serverovou roli služby Access Services. Při instalaci serveru HCAP jsou na stejný počítač nainstalovány další nezbytné komponenty: Internetová informační služba (IIS) a server NPS. Dále je certifikát serveru automaticky zapsán na server se spuštěnou Internetovou informační službou, což umožňuje vytvořit spojení SSL (Secure Sockets Layer) mezi Internetovou informační službou a serverem AAA společnosti Cisco.

  5. Konfigurovat Internetovou informační službu tak, aby naslouchala zadaným adresám IP, což umožní serverům AAA společnosti Cisco odesílat požadavky na ověření.

  6. Konfigurovat server Cisco AAA pomocí adresy URL serveru se spuštěným protokolem HCAP, serveru NPS a Internetové informační služby tak, aby server Cisco AAA mohl odesílat požadavky na ověření serveru NPS.

  7. Konfigurací serveru NPS na serveru HCAP jako proxy server RADIUS umožnit předávání požadavků na ověření serverům NPS patřících do jedné nebo několika skupin vzdálených serverů RADIUS. Další možností je konfigurovat server NPS na serveru HCAP jako server RADIUS a zpracovávat požadavky na ověření lokálně.

  8. Konfigurovat servery NPS jako servery RADIUS, které provádějí ověření, což zahrnuje nasazení architektury NAP a vytvoření zásad stavu na serverech NPS. Pokud je server NPS-HCAP také proxy serverem RADIUS, který předává žádosti o připojení serverům NPS RADIUS ve vzdálených skupinách serverů RADIUS, je třeba na každém serveru RADIUS konfigurovat proxy server RADIUS jako klienta RADIUS.

  9. Na serverech NPS RADIUS proveďte konfiguraci zásad sítě pomocí zásad stavu architektury NAP. Je-li to nutné, do podmínek zásad sítě mohou být kvůli spolupráci architektury NAP s řízením přístupu k síti společnosti Cisco zahrnuty podmínky HCAP-Group-Name a HCAP-Location-Group. V zásadách sítě můžete také použít podmínku Extended State, která umožňuje upřesnit rozšířený stav klientského počítače nezbytný k tomu, aby byly splněny zásady sítě. Rozšířené stavy jsou prvky řízení přístupu k síti společnosti Cisco. Jsou to tyto stavy: Transitional (přechodný), Infected (infikovaný) a Unknown (neznámý). Pomocí této podmínky zásad sítě je možné konfigurovat server NPS tak, aby na základě jednoho ze tří stavů klientského počítače byl povolen nebo odepřen přístup.

Proces ověřování a autorizace

Po zavedení řízení přístupu k síti společnosti Cisco a serveru NPS s architekturou NAP bude ověřování a autorizace probíhat následovně:

  1. Klientský počítač se pokusí o přístup k síti. Klient se může pokusit o připojení prostřednictvím ověřovacích přepínačů rozhraní 802.1X nebo přes bezdrátový přístupový bod 802.1X, který je konfigurovaný jako klient RADIUS serveru Cisco AAA.

  2. Poté co server Cisco AAA obdrží od serveru pro přístup k síti nebo od směrovače požadavek na připojení, požádá server Cisco AAA klienta o data týkající se prohlášení o stavu (SoH) odesláním položky EAP-TLV (EAP-Type Length Value).

  3. Agenti stavu systému (SHA) v klientském počítači podají hlášení o stavu agentovi NAP v klientském počítači a agent NAP vytvoří prohlášení o stavu (SoH), které je odesláno serveru Cisco AAA.

  4. Server Cisco AAA předá prohlášení o stavu (SoH) pomocí protokolu HCAP proxy serveru nebo serveru NPS společně s ID uživatele, ID počítače a informací o umístění klientského počítače.

  5. Je-li server NPS-HCAP nakonfigurován jako proxy server RADIUS, server NPS předá žádost o ověření příslušné vzdálené skupině serverů RADIUS. (Toto rozhodnutí je učiněno serverem NPS na základě vyhodnocení zásad konfigurované žádosti o připojení.) Je-li server NPS-HCAP konfigurován jako server RADIUS, je žádost o ověření zpracována serverem NPS-HCAP.

  6. Server NPS porovná prohlášení o stavu (SoH) s konfigurovanými zásadami sítě a je-li nalezena odpovídající zásada sítě, je vytvořeno ověřené prohlášení o stavu (SoHR), které je odesláno zpět klientovi. Toto prohlášení společně s informacemi o stavu vynucení architektury NAP a rozšířeném stavu je odesláno zpět serveru Cisco AAA pomocí protokolu HCAP.

  7. Server Cisco AAA porovná stav vynucení architektury NAP se zásadami řízení přístupu k síti společnosti Cisco (Cisco Network Admission Control) a stanoví profil síťového přístupu.

  8. Server Cisco AAA odešle profil přístupu k síti serveru pro přístup k síti (přepínač, přístupový bod nebo směrovač). Profil přístupu k síti obsahuje informace, které dávají pokyn serveru pro přístup k síti, zda klientskému počítači umožnit úplný přístup, omezený přístup nebo přístup zamítnout.

  9. Server Cisco AAA odešle ověřené prohlášení o stavu (SoHR) zpět klientskému počítači.

  10. Pokud je konfigurace klientského počítače v rozporu se zásadami stavu a ověřené prohlášení o stavu (SoHR) dává klientskému počítači pokyn k nápravě, pokusí se klientský počítač podniknout nutné kroky, jako je stažení aktualizací softwaru nebo změna nastavení konfigurace. Po odstranění nedostatků se klientský počítač znovu pokusí o přístup k síti a celý proces ověření a autorizace se zopakuje.

Další odkazy

Další informace naleznete na stránkách věnovaných architektuře NAP (Network Access Protection) na adresách https://go.microsoft.com/fwlink/?LinkID=56443 (stránka může být v angličtině) a https://go.microsoft.com/fwlink/?LinkId=128799 (stránka může být v angličtině).

Obsah