Med HCAP (Host Credential Authorization Protocol) kan du integrera din Microsoft-baserade NAP-lösning (Network Access Protection) med NAC (Cisco Network Admission Control). När du distribuerar HCAP med NPS (Network Policy Server) och NAP kan NPS utföra auktoriseringen av Cisco 802.1X-åtkomstklienter, inklusive tillämpningen av NAP-hälsoprinciper, medan autentiseringen utförs av Ciscos autentiserings-, auktoriserings- och redovisningsservrar (AAA-servrar).

Om du vill distribuera en HCAP-server måste du göra följande:

  1. Distribuera NAP-kompatibla klientdatorer. Konfigurera klientdatorerna för användning av Cisco EAP-FAST som autentiseringsmetod för nätverksåtkomst.

  2. Distribuera NAP i enlighet med dokumentationen för NAP-distributioner. Distributionen omfattar bland annat konfigurationen av klientdatorer med systemhälsoagenter och NPS-servrar med motsvarande systemhälsoverifierare.

  3. Distribuera NAC (Network Admission Control) i enlighet med dokumentationen för Cisco-distributioner.

  4. Installera HCAP-server med hjälp av guiden Lägg till roller från Serverhanteraren. HCAP-server är en rolltjänst i serverrollen Nätverksprincip- och åtkomsttjänster. När du installerar HCAP-server installeras övriga nödvändiga komponenter, IIS (Internet Information Services) och NPS på samma dator. Dessutom registreras automatiskt ett servercertifikat för servern som kör IIS, vilket möjliggör SSL-anslutningar (Secure Sockets Layer) mellan IIS och Cisco AAA-servern.

  5. Konfigurera IIS att lyssna efter angivna IP-adresser så att Cisco AAA-servrarna kan skicka auktoriseringsförfrågningar.

  6. Konfigurera Cisco AAA-servern med URL:en för servern som kör HCAP, NPS och IIS så att Cisco AAA-servern kan skicka auktoriseringsförfrågningar till NPS.

  7. Konfigurera NPS på HCAP-servern som en RADIUS-proxyserver som vidarebefordrar auktoriseringsförfrågningar till NPS-servrar som är medlemmar i en eller flera fjärr-RADIUS-servergrupper. Du kan också konfigurera NPS på HCAP-servern som en RADIUS-server om du vill att auktoriseringsförfrågningarna ska behandlas lokalt.

  8. Konfigurera NPS-servrar som RADIUS-servrar för bearbetning av auktoriseringsförfrågningar, vilket bland annat omfattar distribution av NAP och generering av hälsoprinciper i NPS. Om NPS HCAP-servern är en RADIUS-proxyserver som vidarebefordrar anslutningsförfrågningar till NPS RADIUS-servrar i fjärr-RADIUS-servergrupper måste du konfigurera RADIUS-proxyservern som en RADIUS-klient på varje RADIUS-server.

  9. Konfigurera nätverksprinciper med NAP-hälsoprinciper på NPS RADIUS-servrarna. Om du vill kan du inkludera HCAP-Group-Name och HCAP-Location-Group i nätverksprincipvillkoren för samverkan mellan NAP och NAC. Du kan också använda villkoret Utökat läge i nätverksprinciper om du vill ange vilket utökade läge som krävs på klientdatorn för att nätverksprinciperna ska matchas. Utökade lägen är element i NAC och omfattar bland annat Övergående, Infekterad och Okänd. Genom att använda det här nätverksprincipvillkoret kan du konfigurera NPS så att åtkomsten beviljas eller nekas baserat på klientdatorns aktuella läge.

Autentiserings- och auktoriseringsprocessen

När du har distribuerat NAC och NPS med NAP fungerar autentiserings- och auktoriseringsprocessen enligt följande:

  1. Klientdatorn försöker få åtkomst till nätverket. Klientdatorn kan försöka ansluta via en 802.1X-autentiseringsväxel eller via en trådlös 802.1X-åtkomstpunkt som konfigurerats som en RADIUS-klient för Cisco AAA-servern.

  2. När Cisco AAA-servern har mottagit anslutningsbegäran från nätverksåtkomstservern eller routern begär Cisco AAA-servern ett hälsobesked (SoH-meddelande) från klienten genom att skicka ett EAP-TLV-meddelande (EAP-Type Length Value).

  3. Systemhälsoagenter på klientdatorn rapporterar hälsostatusen till NAP-agenten på klientdatorn, och NAP-agenten genererar ett hälsobesked som skickas till Cisco AAA-servern.

  4. Cisco AAA-servern vidarebefordrar hälsobeskedet med hjälp av HCAP till NPS-proxyservern eller NPS-servern jämte klientdatorns användar-ID, dator-ID och sökväg.

  5. Om NPS HCAP-servern är konfigurerad som en RADIUS-proxyserver vidarebefordrar NPS auktoriseringsbegäran till rätt fjärr-RADIUS-servergrupp. (Föregående avgörs baserat på en utvärdering av NPS av de konfigurerade principerna för anslutningsbegäran.) Om NPS HCAP-servern är konfigurerad som en RADIUS-server bearbetas auktoriseringsbegäran på NPS HCAP-servern.

  6. NPS utvärderar hälsobeskedet och jämför det med de konfigurerade nätverksprinciperna. Om en matchande nätverksprincip hittas genereras ett svar som skickas tillbaka till klientdatorn. Svaret skickas, jämte information om tvingande NAP-läge och utökat läge, tillbaka till Cisco AAA-servern med hjälp av HCAP.

  7. Cisco AAA-servern jämför det tvingande NAP-läget med NAC-principerna och kontrollerar nätverksåtkomstprofilen.

  8. Cisco AAA-servern skickar nätverksåtkomstprofilen till nätverksåtkomstservern (växeln, åtkomstpunkten eller routern). Nätverksåtkomstprofilen innehåller information som anger om nätverksservern ska ge klientdatorn fullständig behörighet, begränsad behörighet eller neka åtkomsten.

  9. Cisco AAA-servern skickar tillbaka det verifierade hälsobeskedet till klientdatorn.

  10. Om klientkonfigurationen inte uppfyller kraven i hälsoprinciperna, och om hälsobeskedet anger att klienten behöver uppdateras, så försöker klientdatorn att utföra angivna åtgärder, t.ex. att hämta programuppdateringar eller ändra konfigurationsinställningar. När klientdatorn har uppdaterats görs ett nytt anslutningsförsök, och autentiserings- och auktoriseringsprocessen upprepas.

Ytterligare referenser

Innehåll