Host Credential Authorization Protocol (HCAP) consente di integrare la soluzione Protezione accesso alla rete Microsoft esistente con Cisco Network Admission Control. Se si distribuisce HCAP con Server dei criteri di rete e Protezione accesso alla rete, è possibile utilizzare Server dei criteri di rete per l'autorizzazione dei client di accesso Cisco 802.1X e l'imposizione del criterio di integrità di Protezione accesso alla rete, mentre i server Cisco di autenticazione, autorizzazione e accounting (AAA) eseguono l'autenticazione.

Per distribuire un server HCAP, è necessario eseguire le operazioni seguenti:

  1. Distribuire computer client idonei per Protezione accesso alla rete, quindi configurarli in modo che utilizzino l'autenticazione EAP-FAST Cisco come metodo di autenticazione per l'accesso alla rete.

  2. Utilizzando le informazioni contenute nella documentazione relativa, distribuire Protezione accesso alla rete, operazione in cui è inclusa la configurazione di computer client con istanze di Agente integrità sistema e Server dei criteri di rete con le corrispondenti istanze di Convalida integrità sistema.

  3. Utilizzando la documentazione relativa, distribuire Cisco Network Admission Control.

  4. Installare il server HCAP mediante l'Aggiunta guidata ruoli di Server Manager. Il server HCAP è un servizio ruolo del ruolo server Servizi di accesso e criteri di rete. Quando si installa un server HCAP, nello stesso computer vengono installati anche i componenti necessari aggiuntivi, ovvero Internet Information Services (IIS) e Server dei criteri di rete. Nel server che esegue IIS viene inoltre eseguita la registrazione automatica di un certificato server per consentire le connessioni SSL (Secure Sockets Layer) tra IIS e il server Cisco AAA.

  5. Configurare IIS per l'ascolto di indirizzi IP specifici per consentire ai server Cisco AAA+ di inviare le richieste di autorizzazione.

  6. Configurare il server Cisco AAA con l'URL del server che esegue HCAP, Server dei criteri di rete e IIS in modo che sia in grado di inviare richieste di autorizzazione al Server dei criteri di rete.

  7. Configurare Server dei criteri di rete sul server HCAP come proxy RADIUS per inoltrare le richieste di connessione ai Server dei criteri di rete appartenenti a uno o più gruppi di server RADIUS remoti. Se si desidera, è possibile configurare Server dei criteri di rete sul server HCAP come server RADIUS per elaborare in locale le richieste di autorizzazione.

  8. Configurare Server dei criteri di rete come server RADIUS per eseguire l'autorizzazione. In questa operazione è inclusa la distribuzione di Protezione accesso alla rete e la creazione del criterio di integrità in Server dei criteri di rete. Se il Server dei criteri di rete HCAP è un proxy RADIUS che inoltra le richieste di connessione ai Server dei criteri di rete RADIUS in gruppi di server RADIUS remoti, è necessario configurarlo come client RADIUS su ogni server RADIUS.

  9. Nei Server dei criteri di rete RADIUS configurare i criteri di rete con il criterio di integrità di Protezione accesso alla rete. Se si desidera, i criteri di rete possono contenere le condizioni relative al nome gruppo e al gruppo di percorsi HCAP per l'interoperabilità di Protezione accesso alla rete con Cisco Network Admission Control. Nei criteri di rete è inoltre possibile utilizzare la condizione di stato esteso per specificare lo stato del computer client necessario per soddisfare il criterio. Gli stati estesi sono elementi di Cisco Network Admission Control che possono assumere il valore Transitorio, Infetto e Sconosciuto. Se si utilizza questa condizione dei criteri di rete, è possibile configurare Server dei criteri di rete per autorizzare o rifiutare l'accesso in base allo stato specifico in cui si trova il computer client.

Processo di autenticazione e autorizzazione

Dopo la distribuzione di Cisco Network Admission Control e Server dei criteri di rete con Protezione accesso alla rete, il processo di autenticazione e autorizzazione viene eseguito mediante le operazioni seguenti:

  1. Il client esegue un tentativo di connessione tramite un commutatore di autenticazione 802.1X oppure un punto di accesso wireless 802.1X configurato come client RADIUS per il server Cisco AAA.

  2. Dopo avere ricevuto la richiesta di connessione dal server di accesso alla rete o dal router, il server Cisco AAA invia un EAP-TLV per richiedere i dati relativi al rapporto di integrità.

  3. Le istanze di Agente integrità sistema nel computer client segnalano lo stato di integrità all'Agente protezione accesso alla rete nel client, che crea un rapporto di integrità da inviare successivamente al server Cisco AAA.

  4. Utilizzando il protocollo HCAP, il server Cisco AAA inoltra il rapporto di integrità al Server dei criteri di rete o al proxy relativo con l'ID utente, l'ID computer e il percorso.

  5. Se il Server dei criteri di rete HCAP è configurato come proxy RADIUS, Server dei criteri di rete inoltra la richiesta di autorizzazione al gruppo di server RADIUS remoto appropriato, stabilito in base alla valutazione dei criteri di richiesta di connessione configurati. Se il Server dei criteri di rete HCAP è configurato come server RADIUS, elabora la richiesta di autorizzazione in modo autonomo.

  6. Il Server dei criteri di rete valuta il rapporto di integrità in base al criterio di rete configurato e, se rileva un criterio di rete corrispondente, crea una risposta al rapporto di integrità da inviare al client. Questa risposta, con le informazioni relative allo stato di imposizione Protezione accesso alla rete e allo stato esteso, viene quindi inviata al server Cisco AAA mediante il protocollo HCAP.

  7. Il server Cisco AAA valuta lo stato di imposizione Protezione accesso alla rete in base al criterio di Cisco Network Admission Control e stabilisce il profilo di accesso alla rete.

  8. Il server Cisco AAA invia tale profilo al server di accesso alla rete, ovvero il commutatore, il punto di accesso o il router. Nel profilo di accesso alla rete sono contenute le informazioni necessarie al server per consentire l'accesso completo o per limitare o negare l'accesso al computer client.

  9. Il server Cisco AAA reinvia la risposta al rapporto di integrità al computer client.

  10. Se la configurazione del client non è conforme al criterio di integrità e la risposta al rapporto di integrità segnala che è necessario eseguire il monitoraggio e l'aggiornamento del client, quest'ultimo tenta di eseguire le operazioni indicate, ad esempio il download di aggiornamenti software o la modifica delle impostazioni di configurazione. Dopo avere eseguito il monitoraggio e l'aggiornamento, il client tenta nuovamente di accedere alla rete e il processo di autenticazione e autorizzazione viene ripetuto.

Ulteriori riferimenti

Per ulteriori informazioni, vedere Protezione accesso alla rete agli indirizzi https://go.microsoft.com/fwlink/?LinkID=56443 e https://go.microsoft.com/fwlink/?LinkId=128799.


Argomenti della Guida