Protokół autoryzacji poświadczeń hosta, czyli protokół HCAP, umożliwia integrację używanego rozwiązania ochrony dostępu do sieci firmy Microsoft (NAP) z funkcją kontroli dostępu do sieci firmy Cisco. Gdy zostanie wdrożony protokół HCAP z serwerem zasad sieciowych (NPS) i ochroną dostępu do sieci, serwer zasad sieciowych może wykonywać autoryzację klientów dostępu Cisco 802.1X, w tym wymuszać zasady kondycji ochrony dostępu do sieci, podczas gdy serwery uwierzytelniania, autoryzacji i ewidencjonowania aktywności (AAA) firmy Cisco będą wykonywać uwierzytelnianie.
Aby wdrożyć serwer HCAP, wykonaj następujące czynności:
-
Wdróż komputery klienckie obsługujące ochronę dostępu do sieci. Skonfiguruj te komputery klienckie tak, aby używały protokołu EAP-FAST firmy Cisco jako metody uwierzytelniania stosowanej podczas uzyskiwania dostępu do sieci.
-
Korzystając z dokumentacji wdrażania ochrony dostępu do sieci, przeprowadź wdrożenie ochrony dostępu do sieci, które obejmuje skonfigurowanie komputerów klienckich z agentami kondycji systemu (SHA) i serwerów zasad sieciowych z odpowiednimi modułami sprawdzania kondycji systemu (SHV).
-
Korzystając z dokumentacji wdrażania firmy Cisco, wdróż funkcję kontroli dostępu do sieci firmy Cisco.
-
Używając Kreatora dodawania ról dostępnego w Menedżerze serwera, zainstaluj serwer HCAP. Serwer HCAP to usługa roli dla roli serwera Usługi zasad sieciowych i dostępu sieciowego. Podczas instalowania serwera HCAP dodatkowe wymagane składniki, usługi Internet Information Services (IIS) i Serwer zasad sieciowych, są instalowane na tym samym komputerze. Ponadto certyfikat serwera jest rejestrowany automatycznie na serwerze, na którym są uruchomione usługi IIS, aby umożliwić nawiązywanie połączeń z użyciem protokołu SSL (Secure Sockets Layer) między serwerem usług IIS a serwerem AAA firmy Cisco.
-
Skonfiguruj usługi IIS do nasłuchiwania pod określonymi adresami IP, aby umożliwić serwerom AAA firmy Cisco wysyłanie żądań autoryzacji.
-
Skonfiguruj serwer AAA firmy Cisco do używania adresu URL serwera, na którym działa protokół HCAP, usługa Serwer zasad sieciowych i usługi IIS, aby serwer AAA firmy Cisco mógł wysyłać żądania autoryzacji do serwera zasad sieciowych.
-
Skonfiguruj serwer zasad sieciowych na serwerze HCAP jako serwer proxy usługi RADIUS, który będzie służył do przesyłania dalej żądań autoryzacji do serwerów zasad sieciowych będących elementami członkowskimi co najmniej jednej grupy zdalnych serwerów usługi RADIUS. Opcjonalnie serwer zasad sieciowych na serwerze HCAP można skonfigurować jako serwer usługi RADIUS, co umożliwi lokalne przetwarzanie żądań autoryzacji.
-
Skonfiguruj serwery zasad sieciowych jako serwery usługi RADIUS w celu przeprowadzania autoryzacji, co obejmuje wdrożenie ochrony dostępu do sieci i utworzenie zasad kondycji na serwerze zasad sieciowych. Jeśli serwer NPS-HCAP jest serwerem proxy usługi RADIUS, który przesyła dalej żądania połączenia do serwerów NPS usługi RADIUS należących do grup zdalnych serwerów usługi RADIUS, na każdym serwerze usługi RADIUS należy skonfigurować ten serwer proxy usługi RADIUS jako klienta usługi RADIUS.
-
Na serwerach NPS usługi RADIUS skonfiguruj zasady sieciowe, używając zasad kondycji ochrony dostępu do sieci. W razie potrzeby warunki zasad sieciowych mogą zawierać nazwę grupy HCAP i grupę lokalizacji HCAP w celu umożliwienia współdziałania ochrony dostępu do sieci i funkcji kontroli dostępu do sieci firmy Cisco. Ponadto w zasadzie sieciowej można użyć warunku Rozszerzony stan, aby określić rozszerzony stan komputera klienckiego, który jest wymagany do osiągnięcia zgodności z zasadą sieciową. Rozszerzone stany to elementy funkcji kontroli dostępu do sieci firmy Cisco o wartościach Przejściowy, Zainfekowany i Nieznany. Używając tego warunku zasady sieciowej, można skonfigurować serwer zasad sieciowych do autoryzowania lub odrzucania dostępu w zależności od tego, czy komputer kliencki znajduje się w jednym z tych stanów.
Proces uwierzytelniania i autoryzacji
Po wdrożeniu funkcji kontroli dostępu do sieci firmy Cisco oraz serwera zasad sieciowych z ochroną dostępu do sieci proces uwierzytelniania i autoryzacji przebiega następująco:
-
Komputer kliencki podejmuje próbę uzyskania dostępu do sieci. Klient może podjąć próbę nawiązania połączenia z serwerem AAA firmy Cisco za pośrednictwem przełącznika uwierzytelniającego 802.1X lub punktu dostępu bezprzewodowego 802.1X, który jest skonfigurowany jako klient usługi RADIUS.
-
Gdy serwer AAA firmy Cisco odbierze żądanie połączenia z serwera dostępu do sieci lub routera, zażąda danych raportu o kondycji od klienta, wysyłając wartość EAP-TLV (EAP-Type Length Value).
-
Agenci kondycji systemu na komputerze klienckim zgłaszają stan kondycji agentowi ochrony dostępu do sieci na kliencie, a agent ochrony dostępu do sieci tworzy raport o kondycji, który jest wysyłany do serwera AAA firmy Cisco.
-
Serwer AAA firmy Cisco przesyła dalej raport o kondycji, używając protokołu HCAP, do serwera proxy NPS lub serwera NPS razem z identyfikatorem użytkownika, identyfikatorem komputera i lokalizacją komputera klienckiego.
-
Jeśli serwer NPS-HCAP jest skonfigurowany jako serwer proxy usługi RADIUS, serwer zasad sieciowych przesyła dalej żądanie autoryzacji do odpowiedniej grupy zdalnych serwerów usługi RADIUS. (Grupa jest wybierana na podstawie oceny skonfigurowanych zasad żądań połączeń przez serwer zasad sieciowych). Jeśli serwer NPS-HCAP jest skonfigurowany jako serwer usługi RADIUS, serwer NPS-HCAP przetwarza żądanie autoryzacji.
-
Serwer zasad sieciowych porównuje raport o kondycji ze skonfigurowanymi zasadami sieciowymi i jeśli odnajdzie zgodną zasadę sieciową, tworzy odpowiedź raportu o kondycji (SoHR), która zostanie odesłana do klienta. Ta odpowiedź wraz z informacjami o stanie wymuszenia ochrony dostępu do sieci i rozszerzonym stanie jest następnie odsyłana do serwera AAA firmy Cisco przy użyciu protokołu HCAP.
-
Serwer AAA firmy Cisco porównuje stan wymuszenia ochrony dostępu do sieci z zasadami funkcji kontroli dostępu do sieci firmy Cisco i określa profil dostępu do sieci.
-
Serwer AAA firmy Cisco wysyła profil dostępu do sieci do serwera dostępu do sieci (przełącznika, punktu dostępu lub routera). Profil dostępu do sieci zawiera informacje instruujące serwer dostępu do sieci, czy komputerowi klienckiemu należy udzielić pełnego dostępu bądź dostępu z ograniczeniami czy odmówić dostępu.
-
Serwer AAA firmy Cisco odsyła do komputera klienckiego odpowiedź raportu o kondycji.
-
Jeśli konfiguracja klienta nie jest zgodna z zasadami kondycji, a odpowiedź raportu o kondycji informuje klienta o konieczności korekty, klient podejmuje próbę wykonania żądanych akcji, takich jak pobranie aktualizacji oprogramowania lub zmiana ustawień konfiguracyjnych. Po dokonaniu korekty klient ponownie podejmuje próbę uzyskania dostępu do sieci, a proces uwierzytelniania i autoryzacji jest powtarzany.
Informacje dodatkowe
Aby uzyskać więcej informacji, zobacz artykuły dotyczące ochrony dostępu do sieci pod adresami