Le protocole HCAP (Host Credential Authorization Protocol) permet d’intégrer votre solution de protection d’accès réseau (NAP) Microsoft avec le contrôle d’admission réseau Cisco Network Admission Control. Lorsque vous déployez HCAP avec NPS (Network Policy Server) et NAP, NPS peut procéder à l’autorisation des clients d’accès 802.1X Cisco, notamment à l’application de la stratégie de contrôle d’intégrité NAP, tandis que les serveurs AAA (Authentication, Authorization, Accounting) procèdent à l’authentification.
Pour déployer un serveur HCAP, vous devez effectuer les opérations suivantes :
-
Déployez des ordinateurs clients compatibles NAP. Configurez-les de sorte qu’ils utilisent Cisco EAP-FAST en tant que méthode d’authentification pour l’accès réseau.
-
En vous appuyant sur la documentation relative au déploiement NAP, déployez NAP (le déploiement comprend la configuration des ordinateurs clients avec des agents d’intégrité système et la configuration des serveurs NPS avec les programmes de validation d’intégrité système associés).
-
En vous appuyant sur la documentation relative au déploiement Cisco, déployez le contrôle d’admission réseau Cisco Network Admission Control.
-
À l’aide de l’Assistant Ajout de rôles du Gestionnaire de serveur, installez un serveur HCAP. Un serveur HCAP est un service de rôle du rôle serveur Stratégie réseau et services d’accès. Lors de l’installation d’un serveur HCAP, les composants supplémentaires requis, à savoir les services Internet (IIS) et NPS, sont installés sur le même ordinateur. De plus, un certificat de serveur est inscrit automatiquement pour le serveur exécutant IIS de sorte à autoriser les connexions SSL (Secure Sockets Layer) entre IIS et le serveur AAA Cisco.
-
Configurez IIS pour l’écoute des adresses IP spécifiées afin d’autoriser les serveurs AAA Cisco à envoyer des demandes d’autorisation.
-
Configurez le serveur AAA Cisco avec l’URL du serveur exécutant HCAP, NPS et IIS de sorte qu’il puisse envoyer les demandes d’autorisation à NPS.
-
Configurez NPS sur le serveur HCAP en tant que proxy RADIUS pour transférer les demandes d’autorisation aux serveurs NPS membres des groupes de serveurs RADIUS distants. Vous pouvez éventuellement configurer NPS sur le serveur HCAP en tant que serveur RADIUS pour traiter localement les demandes d’autorisation.
-
Configurez les serveurs NPS en tant que serveurs RADIUS pour procéder à l’autorisation, ce qui comprend le déploiement NAP et la création de la stratégie de contrôle d’intégrité dans NAP. Si le serveur NPS-HCAP est un proxy RADIUS qui transfère les demandes de connexion aux serveurs NPS RADIUS des groupes de serveurs RADIUS distants, vous devez configurer le proxy RADIUS en tant client RADIUS sur chaque serveur RADIUS.
-
Sur les serveurs RADIUS NPS, configurez la stratégie réseau avec la stratégie de contrôle d’intégrité NAP. Si vous le souhaitez, les conditions de la stratégie réseau peuvent inclure HCAP-Group-Name et HCAP-Location-Group pour l’interopérabilité entre NAP et le contrôle d’admission réseau Cisco Network Admission Control. Vous pouvez en outre utiliser la condition État étendu dans la stratégie réseau pour spécifier l’état étendu de l’ordinateur client qui doit être conforme à la stratégie réseau. Les états étendus sont des éléments du contrôle d’admission réseau Cisco Network Admission Control qui comprennent les états En transition, Infecté et Inconnu. Lorsque vous utilisez cette condition dans la stratégie réseau, vous pouvez configurez NPS de sorte qu’il autorise ou rejette la demande d’accès selon l’état dans lequel se trouve l’ordinateur client.
Processus d’authentification et d’autorisation
Après le déploiement du contrôle d’admission réseau Cisco Network Admission Control et NPS avec NAP, le processus d’authentification et d’autorisation se déroule de la façon suivante :
-
L’ordinateur client tente d’accéder au réseau. Il peut essayer de se connecter par l’intermédiaire d’un commutateur d’authentification 802.1X ou d’un point d’accès sans fil 802.1X configuré en tant que client RADIUS pour le serveur AAA Cisco.
-
Une fois que le serveur AAA Cisco a reçu la demande de connexion du serveur d’accès réseau ou du routeur, il demande les données de déclaration d’intégrité au client en envoyant un EAP-TLV (EAP-Type Length Value).
-
Les agents d’intégrité système de l’ordinateur client indique l’état d’intégrité à l’agent NAP sur le client, et l’agent NAP crée une déclaration d’intégrité qui est envoyée au serveur AAA Cisco.
-
Le serveur AAA Cisco transfère la déclaration d’intégrité ainsi que l’ID d’utilisateur, l’ID d’ordinateur et l’emplacement de l’ordinateur client au proxy ou serveur NPS à ’aide de HCAP.
-
Si le serveur NPS-HCAP est configuré en tant que proxy RADIUS, NPS transfère la demande d’autorisation au groupe de serveurs RADIUS distants adéquat. (Ce groupe est déterminé par l’évaluation par NPS des stratégies de demande de connexion configurées.) Si le serveur NPS-HCAP est configuré en tant que serveur RADIUS, il traite la demande d’autorisation.
-
NPS évalue la déclaration d’intégrité par rapport aux stratégies réseau configurées et, s’il trouve une stratégie réseau correspondante, il crée une réponse SoHR à renvoyer au client. Cette réponse, ainsi que l’état de contrainte de mise en conformité NAP et les informations d’état étendu, sont ensuite renvoyés au serveur AAA Cisco à l’aide de HCAP.
-
Le serveur AAA Cisco évalue l’état de contrainte de mise en conformité NAP par rapport à la stratégie du contrôle d’admission réseau Cisco Network Admission Control et détermine le profil d’accès réseau.
-
Le serveur AAA Cisco envoie le profil d’accès réseau au serveur d’accès réseau (commutateur, point d’accès ou routeur). Le profil d’accès réseau contient les informations qui indiquent au serveur d’accès réseau s’il doit autoriser un accès total, limiter l’accès ou refuser l’accès à l’ordinateur client.
-
Le serveur AAA Cisco renvoie la réponse SoHR à l’ordinateur client.
-
Si la configuration du client n’est pas conforme à la stratégie de contrôle d’intégrité et si la réponse SoHR indique au client qu’il doit se mettre à jour, le client essaie d’exécuter les actions requises, comme télécharger les mises à jour de logiciel ou modifier des paramètres de configuration. Une fois la mise à jour terminée, le client tente une nouvelle fois d’accéder au réseau, et le processus d’authentification et d’autorisation se répète.
Références supplémentaires
Pour plus d’informations, voir les articles consacrés à la protection d’accès réseau à l’adresse