O protocolo HCAP (Host Credential Authorization Protocol) permite integrar a solução NAP (Network Access Protection) da Microsoft com o Network Admission Control da Cisco. Quando implementa o HCAP com o NPS (Network Policy Server) e NAP, o NPS pode efectuar a autorização dos clientes de acesso 802.1X da Cisco, incluindo a imposição da política de estado de funcionamento NAP, enquanto os servidores AAA (authentication, authorization, and accounting) da Cisco efectuam a autenticação.
Para implementar um servidor HCAP, tem de efectuar o seguinte:
-
Implementar computadores cliente compatíveis com NAP. Configure os computadores cliente para utilizarem o protocolo EAP-FAST da Cisco como método de autenticação para o acesso à rede.
-
Utilizando a documentação da implementação NAP, implementar a protecção NAP, que inclui a configuração de computadores cliente com SHAs (system health agents) e servidores NPS com os SHVs (system health validators) correspondentes.
-
Utilizando a documentação da implementação da Cisco, implementar o Network Admission Control da Cisco.
-
Utilizando o assistente para Adicionar Funções do Gestor de Servidor, instalar o servidor HCAP. O servidor HCAP é o serviço de função da função de servidor dos Serviços de Política e Acesso de Rede. Quando instala o servidor HCAP, os componentes necessários adicionais, o IIS (Internet Information Services) e o NPS, são instalados no mesmo computador. Além disso, é inscrito automaticamente um certificado de servidor no servidor com o IIS para permitir ligações SSL (Secure Sockets Layer) entre o IIS e o servidor AAA da Cisco.
-
Configurar o IIS para escutar endereços IP especificados para permitir que os servidores AAA da Cisco enviem pedidos de autorização.
-
Configurar o servidor AAA da Cisco com o URL do servidor a executar o HCAP, NPS e IIS, para que o servidor AAA da Cisco possa enviar pedidos de autorização para o NPS.
-
Configurar o NPS no servidor HCAP como proxy RADIUS para reencaminhar pedidos de autorização para servidores NPS membros de um ou mais grupos de servidores RADIUS remotos. Opcionalmente, pode configurar o NPS no servidor HCAP como servidor RADIUS para processar pedidos de autorização localmente.
-
Configurar servidores NPS como servidores RADIUS para efectuar a autorização, que inclui a implementação de NAP e a criação da política de estado de funcionamento no NPS. Se o servidor NPS-HCAP for um proxy RADIUS que reencaminhe pedidos de ligação para servidores RADIUS do NPS em grupos de servidores RADIUS remotos, tem de configurar o proxy RADIUS como cliente RADIUS em cada servidor RADIUS.
-
Em servidores RADIUS do NPS, configurar a política de rede com a política de estado de funcionamento NAP. Se pretender, as condições da política de rede podem incluir HCAP-Group-Name e HCAP-Location-Group para a interoperabilidade de NAP com o Network Admission Control da Cisco. Além disso, pode utilizar a condição Estado Expandido na política de rede para especificar o estado expandido do computador cliente que deve corresponder à política de rede. Os estados expandidos são elementos do Network Admission Control da Cisco e incluem De Transição, Infectado e Desconhecido. Ao utilizar esta condição de política de rede, pode configurar o NPS para autorizar ou rejeitar o acesso com base no estado em que se encontra o computador cliente.
Processo de autenticação e autorização
Após implementar o Network Admission Control da Cisco e o NPS com NAP, o processo de autenticação e autorização funciona da seguinte forma:
-
O computador cliente tenta aceder à rede. O cliente pode tentar ligar através de um comutador de autenticação 802.1X ou através de um ponto de acesso sem fios 802.1X configurado como cliente RADIUS para o servidor AAA da Cisco.
-
Depois de o servidor AAA da Cisco receber o pedido de ligação do servidor NAS ou router, o servidor AAA da Cisco solicita dados SoH (statement of health) ao cliente através do envio de um EAP-TLV (EAP-Type Length Value).
-
Os SHAs no computador cliente reportam o estado de funcionamento ao Agente NAP no cliente e o Agente NAP cria um SoH e envia-o para o servidor AAA da Cisco.
-
O servidor AAA da Cisco reencaminha o SoH utilizando o protocolo HCAP para o proxy ou servidor NPS, juntamente com o ID de utilizador, ID de computador e localização do computador cliente.
-
Se o servidor NPS-HCAP estiver configurado como proxy RADIUS, o NPS reencaminha o pedido de autorização para o grupo de servidores RADIUS remotos adequado. (Isto é determinado com base na avaliação efectuada pelo NPS das políticas de pedido de ligação configuradas.) Se o servidor NPS-HCAP estiver configurado como servidor RADIUS, o servidor NPS-HCAP processa o pedido de autorização.
-
O NPS avalia o SoH em relação à política de rede configurada e, se for encontrada uma política de rede correspondente, cria um SoHR (statement of health response) para enviar ao cliente. Esta informação, juntamente com as informações de estado de imposição NAP e de estado expandido, são então enviadas para o servidor AAA da Cisco utilizando o protocolo HCAP.
-
O servidor AAA da Cisco avalia o estado de imposição NAP relativamente à política de Network Admission Control da Cisco e determina o perfil de acesso à rede.
-
O servidor AAA da Cisco envia o perfil de acesso à rede para o servidor NAS (comutador, ponto de acesso ou router). O perfil de acesso à rede contém as informações que indicam ao servidor NAS se deve permitir o acesso total, restringir o acesso ou negar o acesso ao computador cliente.
-
O servidor AAA da Cisco envia o SoHR novamente para o computador cliente.
-
Se a configuração do cliente não cumprir a política de estado de funcionamento e o SoHR der instruções de remediação ao cliente, o cliente tentará executar as acções necessárias, tal como transferir actualizações de software ou alterar as definições de configuração. Após a remediação, o cliente tenta aceder novamente à rede e o processo de autenticação e autorização é repetido.
Referências adicionais
Para mais informações, consulte Protecção de Acesso à Rede em