O Protocolo HCAP permite que você integre a sua solução de Proteção de Acesso à Rede da Microsoft ao Controle de Admissão à Rede da Cisco. Quando você implanta o HCAP com o NPS (Servidor de Diretivas de Rede) e a NAP, o NPS pode realizar a autorização dos clientes de acesso 802.1X da Cisco, incluindo a imposição da diretiva de integridade de NAP, enquanto os servidores de autenticação, autorização e contabilização (AAC) da Cisco realizam a autenticação.

Para implantar um servidor HCAP, você deve fazer o seguinte:

  1. Implantar computadores cliente habilitados para NAP. Configure os computadores cliente para usar o EAP-FAST da Cisco como o método de autenticação para acesso à rede.

  2. Usando a documentação de implantação de NAP, implante a NAP, configurando os computadores cliente com Agentes de Integridade do Sistema (SHAs) e os servidores NPS com os Validadores da Integridade do Sistema (SHVs) correspondentes.

  3. Usando a documentação de implantação da Cisco, implante do Controle de Admissão à Rede da Cisco.

  4. Usando o Assistente para Adicionar Funções do Gerenciador de Servidores, instale o servidor HCAP. O servidor HCAP é um serviço de função da função de servidor Serviços de Acesso e Diretiva de Rede. Quando você instala o servidor HCAP, os componentes adicionais necessários, Serviços de Informações da Internet (IIS) e NPS, são instalados no mesmo computador. Além disso, um certificado de servidor é registrado automaticamente no servidor que executa o IIS para permitir conexões SSL entre o IIS e o servidor AAC da Cisco.

  5. Configure o IIS para escutar endereços IP específicos para permitir que os servidores AAC da Cisco enviem solicitações de autorização.

  6. Configure o servidor AAC da Cisco com a URL do servidor que executa HCAP, NPS e IIS para que o servidor AAC da Cisco possa enviar solicitações de autorização para o NPS.

  7. Configure o NPS no servidor HCAP como um proxy RADIUS para encaminhar solicitações de autorização para servidores NPS que sejam membros de um ou mais grupos do servidor RADIUS remoto. Opcionalmente, você pode configurar o NPS no servidor HCAP como um servidor RADIUS para processar solicitações de autorização localmente.

  8. Configure os servidores NPS como servidores RADIUS para realizar autorização, o que inclui a implantação de NAP e a criação de diretiva de integridade no NPS. Se o servidor NPS-HCAP for um proxy RADIUS que encaminhe solicitações de conexão para servidores RADIUS do NPS em grupos do servidor RADIUS remoto, você deve configurar o proxy RADIUS como um cliente RADIUS em cada servidor RADIUS.

  9. Em servidores RADIUS do NPS, configure a diretiva de rede com a diretiva de integridade de NAP. Se desejado, as condições da diretiva de rede podem incluir o Nome do Grupo HCAP e o Grupo de Local HCAP para interoperabilidade de NAP com o Controle de Admissão à Rede da Cisco. Além disso, você pode usar a condição Estado Estendido na diretiva de rede para especificar o estado estendido do computador cliente necessário para corresponder a diretiva de rede. Os estados estendidos são elementos do Controle de Admissão à Rede da Cisco e incluem Transicional, Infectado e Desconhecido. Usando essa condição de diretiva de rede, você pode configurar o NPS para autorizar ou rejeitar o acesso de acordo com esses possíveis estados do computador cliente.

Processo de autenticação e autorização

Depois de implantar o Controle de Admissão à Rede da Cisco e o NPS com NAP, o processo de autenticação e autorização funciona da seguinte maneira:

  1. O computador cliente tenta acessar a rede. O cliente pode tentar se conectar através de uma chave de autenticação 802.1X ou de um ponto de acesso sem fio 802.1X configurado como um cliente RADIUS ao servidor AAC da Cisco.

  2. Depois que o servidor AAC da Cisco receber a solicitação de conexão do roteador ou servidor de acesso à rede, o servidor AAC da Cisco solicita os dados da declaração de integridade do cliente enviando um EAP-TLV (Tipo-Tamanho-Valor).

  3. Os SHAs no computador cliente reportam o status de integridade para o Agente NAP no cliente e o Agente NAP cria uma SoH, que ele envia ao servidor AAC da Cisco.

  4. O servidor AAC da Cisco encaminha a SoH usando o HCAP para o servidor ou proxy NPS junto com a ID de usuário, a ID de computador e o local do computador cliente.

  5. Se o servidor NPS-HCAP estiver configurado como um proxy RADIUS, o NPS encaminha a solicitação de autorização para o grupo apropriado do servidor RADIUS remoto. (Esta determinação é feita com a avaliação pelo NPS das diretivas configuradas de solicitação de conexão). Se o servidor NPS-HCAP estiver configurado como um servidor RADIUS, o servidor NPS-HCAP processa a solicitação de autorização.

  6. O NPS avalia a SoH em relação à diretiva de rede configurada e, se uma diretiva de rede correspondente for encontrada, cria uma resposta de SoH (SoHR) para ser retornada ao cliente. Isso, junto com as informações do estado estendido e o estado de imposição de NAP, é retornado ao servidor AAC da Cisco usando HCAP.

  7. O servidor AAC da Cisco avalia o estado de imposição de NAP em relação à diretiva de Controle de Admissão à Rede da Cisco e determina o perfil de acesso à rede.

  8. O servidor AAC da Cisco envia o perfil de acesso à rede para o servidor de acesso à rede (a chave, o ponto de acesso ou roteador). O perfil de acesso à rede contém as informações que instruem o servidor de acesso à rede a permitir acesso total, acesso restrito ou negar acesso ao computador cliente.

  9. O servidor AAC da Cisco retorna a SoHR ao computador cliente.

  10. Se a configuração do cliente não estiver de acordo com a diretiva de integridade e a SoHR instruir o cliente a atualizar, ele tentará realizar as ações necessárias, como o download de atualizações de software ou a alteração de definições de configuração. Depois da atualização, o cliente tenta acessar a rede novamente, e o processo de autenticação e autorização é repetido.

Referências adicionais

Sumário