El Protocolo de autorización de credenciales de host (HCAP) permite integrar la solución Protección de acceso a redes (NAP) de Microsoft con el control de admisión de red de Cisco. Cuando implementa HCAP con el Servidor de directivas de redes (NPS) y NAP, NPS puede realizar la autorización de clientes de acceso 802.1X de Cisco, incluido el cumplimiento de la directa de mantenimiento NAP, mientras los servidores de cuentas, autorización y autenticación (AAA) de Cisco realizan la autenticación.

Para implementar un servidor HCAP, debe hacer lo siguiente:

  1. Implemente equipos clientes compatibles con NAP. Configure equipos clientes para usar EAP-FAST de Cisco como método de autenticación para el acceso a la red.

  2. Con la ayuda de la documentación sobre la implementación NAP, implemente NAP, lo que incluye la configuración de equipos cliente con agentes de mantenimiento del sistema (SHA) y servidores NPS con los correspondientes Validadores de mantenimiento del sistema (SHV).

  3. Con la ayuda de la documentación sobre la implementación Cisco, implemente el control de admisión de red de Cisco.

  4. Con el Asistente para agregar roles del Administrador del servidor, instale el servidor HCAP. El servidor HCAP es un servicio de función de la función de servidor Servicios de acceso y directivas de redes. Cuando instala el servidor HCAP, los componentes adicionales necesarios, Internet Information Services (IIS) y NPS, se instalan en el mismo equipo. Además, se realiza una inscripción automática de un certificado de servidor en el servidor que ejecuta IIS para permitir conexiones de Capa de sockets seguros (SSL) entre IIS y el servidor AAA de Cisco.

  5. Configure IIS para que atienda a direcciones IP especificadas para que los servidores AAA de Cisco puedan enviar solicitudes de autorización.

  6. Configure el servidor AAA de Cisco con la dirección URL del servidor donde se ejecuta HCAP, NPS e IIS para que el servidor AAA de Cisco pueda enviar solicitudes de autorización a NPS.

  7. Configure NPS en el servidor HCAP como proxy RADIUS para reenviar solicitudes de autorización a servidores NPS pertenecientes a uno o varios grupos de servidor RADIUS remotos. Si lo desea, puede configurar NPS en el servidor HCAP como servidor RADIUS para procesar solicitudes de autorización localmente.

  8. Configure servidores NPS como servidores RADIUS para realizar autorizaciones, lo que incluye la implementación NAP y la creación una directiva de mantenimiento en NPS. Si el servidor NPS-HCAP es un proxy RADIUS que reenvía solicitudes de conexión a servidores RADIUS NPS en grupos de servidores RADIUS remotos, debe configurar el proxy RADIUS como cliente RADIUS en cada servidor RADIUS.

  9. En los servidores RADIUS NPS, configure la directiva de red con la directiva de mantenimiento NAP. Si lo desea, las condiciones de la directiva de red pueden incluir el nombre de grupo de HCAP y los grupos de ubicaciones de HCAP para la interoperabilidad de NAP con el control de admisión de red de Cisco. Además, puede usar la condición Estado extendido en una directiva de red para especificar el estado extendido del equipo cliente que es necesario para ajustarse a la directiva de red. Los estados extendidos son elementos del control de admisión de red de Cisco y son Transitorio, Infectado y Desconocido. Al usar esta condición de directiva de red, puede configurar NPS para autorizar o rechazar el acceso en función de si el equipo cliente está en uno de estos estados.

Proceso de autenticación y autorización

Tras implementar el control de admisión de red de Cisco y NPS con NAP, el proceso de autenticación y autorización funciona de la siguiente manera:

  1. El equipo cliente intenta el acceso a la red. El cliente puede intentar conectarse al servidor AAA de Cisco a través de un conmutador de autenticación 802.1X o de un punto de acceso inalámbrico 802.1X configurado como cliente RADIUS.

  2. Una vez que el servidor AAA de Cisco recibe la solicitud de conexión del servidor de acceso a la red o el enrutador, el servidor AAA de Cisco solicita datos del informe de mantenimiento (SoH) del cliente mediante el envío de un EAP-TLV (EAP-Tipo-longitud-valor).

  3. Los agentes de mantenimiento del sistema del equipo cliente informan sobre el estado de mantenimiento al agente NAP en el cliente y el agente NAP crea un SoH, que envía al servidor AAA de Cisco.

  4. El servidor AAA de Cisco reenvía el SoH a través de HCAP al proxy o servidor NPS junto con el identificador de usuario, el identificador de equipo y la ubicación del equipo cliente.

  5. Si el servidor NPS-HCAP se configura como proxy RADIUS, NPS reenvía la solicitud de autorización al grupo de servidores RADIUS remoto apropiado. (Esta determinación se realiza con la evaluación de NPS de las directivas de solicitud de conexión configuradas.) Si el servidor NPS-HCAP se configura como servidor RADIUS, el servidor NPS-HCAP procesa la solicitud de autorización.

  6. NPS evalúa el SoH con respecto a la directiva de red configurada y, si existe una directiva de red coincidente, crea una respuesta al informe de mantenimiento (SoHR) para enviarla al cliente. Esto, junto con información sobre el estado extendido y el estado de cumplimiento NAP, se devuelve al servidor AAA de Cisco a través de HCAP.

  7. El servidor AAA de Cisco evalúa el estado de cumplimiento NAP frente la directiva de control de acceso de red de Cisco y determina el perfil de acceso a la red.

  8. El servidor AAA de Cisco envía el perfil de acceso a la red al servidor de acceso a la red (conmutador, punto de acceso o enrutador). El perfil de acceso a la red contiene la información que solicita al servidor de acceso a la red si se permite el acceso total, el acceso restringido o bien se restringe o deniega el acceso al equipo cliente.

  9. El servidor AAA de Cisco devuelve la SoHR al equipo cliente.

  10. Si la configuración del cliente no cumple con la directiva de mantenimiento y la SoHR indica al cliente que actualice, el cliente intenta realizar las acciones necesarias, como descargas de actualizaciones de software o cambio de las opciones de configuración. Tras las actualizaciones, el cliente intenta el acceso a la red nuevamente y se repite el proceso de autenticación y autorización.

Referencias adicionales

Para obtener más información, vea el tema acerca de la protección del acceso a redes en https://go.microsoft.com/fwlink/?LinkID=56443 y https://go.microsoft.com/fwlink/?LinkId=128799 (puede estar en inglés).

Tabla de contenido