Ana Bilgisayar Kimlik Bilgileri Yetkilendirme Protokolü (HCAP), Microsoft Ağ Erişim Koruması (NAP) çözümünüzü Cisco Network Access Control ile tümleştirmenize olanak tanır. HCAP'yi Ağ İlkesi Sunucusu (NPS) ve NAP ile dağıttığınızda, Cisco kimlik doğrulama, yetkilendirme veya hesaplama (AAA) sunucuları kimlik doğrulamasını gerçekleştirirken NPS, Cisco 802.1X erişim istemcilerinin kimlik doğrulamasını gerçekleştirebilir.

HCAP sunucusu dağıtmak için aşağıdakileri yapmanız gerekir:

  1. NAP özelliği olan istemci bilgisayarlar dağıtın. İstemci bilgisayarları ağ erişimi için kimlik doğrulama yöntemi olarak Cisco EAP-FAST'ı kullanacak şekilde yapılandırın.

  2. NAP dağıtım belgelerini kullanarak, istemci bilgisayarları sistem durumu aracılarıyla (SHA'lar) ve NPS sunucularını ilişkili sistem durumu doğrulayıcılarıyla (SHV'ler) yapılandırma işlemlerini içeren NAP'yi dağıtın.

  3. Cisco dağıtım belgelerini kullanarak Cisco Network Admission Control'ü dağıtın.

  4. Sunucu Yöneticisi'nden Rol Ekle sihirbazını kullanarak HCAP sunucusunu yükleyin. HCAP sunucusu Ağ İlkesi ve Erişim Hizmetleri sunucu rolünün bir rol hizmetidir. HCAP sunucusunu yüklediğinizde, Internet Information Services (IIS) ve NPS gibi gerekli ek bileşenler aynı bilgisayara yüklenir. Ayrıca, IIS ve Cisco AAA sunucusu arasında Güvenli Yuva Katmanı (SSL) bağlantılarına izin vermek için IIS'yi çalıştıran sunucuya bir sunucu sertifikası otomatik olarak kaydedilir.

  5. Cisco AAA sunucularının yetkilendirme istekleri göndermesine izin vermek için IIS'yi belirtilen IP adreslerini dinleyecek şekilde yapılandırın.

  6. NPS'ye yetkilendirme istekleri gönderebilmesi için Cisco AAA sunucusunu HCAP, NPS ve IIS'yi çalıştıran sunucunun URL'si ile yapılandırın.

  7. Yetkilendirme isteklerini bir veya daha fazla uzak RADIUS sunucu grubunun üyesi olan NPS sunucularına iletmek için, NPS'yi HCAP sunucusunda RADIUS proxy olarak yapılandırın. İsteğe bağlı olarak, yetkilendirme isteklerini yerel olarak işlemek için NPS'yi HCAP sunucusunda RADIUS sunucusu olarak yapılandırabilirsiniz.

  8. Yetkilendirme gerçekleştirmek için NPS sunucularını RADIUS sunucuları olarak yapılandırın; bu işlem NAP dağıtmayı ve NPS'de sistem durumu ilkesi oluşturmayı içerir. NPS-HCAP sunucusu, bağlantı isteklerini uzak RADIUS sunucu gruplarındaki NPS RADIUS sunucularına ileten bir RADIUS proxy ise, RADIUS proxy'yi her RADIUS sunucusunda RADIUS istemcisi olarak yapılandırmanız gerekir.

  9. NPS RADIUS sunucularında, ağ ilkesini NAP sistem durumu ilkesiyle birlikte yapılandırın. İstenirse, ağ ilkesi koşulları Cisco Network Admission Control ile NAP birlikte çalışabilirliği için HCAP-Group-Name ve HCAP-Location-Group koşullarını içerebilir. Ayrıca, ağ ilkesiyle eşleşmesi gereken istemci bilgisayarın genişletilmiş durumunu belirtmek için ağ ilkesinde Genişletilmiş Durum koşulunu kullanabilirsiniz. Gelişmiş durumlar Cisco Network Admission Control'ün öğeleridir ve Geçici, Etkilendi ve Bilinmiyor durumlarını içerir. Bu ağ ilkesi koşulunu kullanarak, istemci bilgisayarın bu durumlardan birinde olup olmamasına bağlı olarak erişim vermesi veya reddetmesi için NPS'yi yapılandırabilirsiniz.

Kimlik doğrulama ve yetkilendirme işlemi

Hem Cisco Network Admission Control'ü hem de NAP ile NPS'yi dağıttıktan sonra, kimlik doğrulama ve yetkilendirme işlemi aşağıdaki gibi çalışır:

  1. İstemci bilgisayar ağa bağlanmayı dener. İstemci 802.1X kimlik doğrulama anahtarı üzerinden veya Cisco AAA sunucusuna RADIUS istemcisi olarak yapılandırılan 802.1X kablosuz erişim noktası üzerinden bağlanmayı deneyebilir.

  2. Ağ erişim sunucusundan veya yönlendiriciden bağlantı isteğini aldıktan sonra Cisco AAA sunucusu EAP Tür Uzunluk Değeri (EAP-TLV) göndererek istemciden sistem durum bilgisi (SoH) verilerini ister.

  3. İstemci bilgisayardaki SHA'lar sistem durumunu istemcideki NAP Aracısı'na bildirir ve NAP Aracısı Cisco AAA sunucusuna gönderdiği SoH'yi oluşturur.

  4. Cisco AAA sunucusu SoH'yi istemci bilgisayarın kullanıcı adı, bilgisayar adı ve konumu ile birlikte HCAP kullanarak NPS proxy'ye veya sunucuya iletir.

  5. NPS-HCAP sunucusu RADIUS proxy olarak yapılandırılmışsa, NPS yetkilendirme isteğini ilgili RADIUS sunucu grubuna iletir. (Yapılandırılan bağlantı isteği ilkelerinin NPS tarafından değerlendirilmesiyle bu karar verilir.) NPS-HCAP sunucusu RADIUS sunucusu olarak yapılandırılmışsa, yetkilendirme isteğini NPS-HCAP sunucusu işler.

  6. NPS, SoH'yi yapılandırılan ağ ilkesiyle değerlendirir ve eşleşen ağ ilkesi bulunursa, istemciye geri gönderilecek sistem durum bilgisi yanıtı (SoHR) oluşturur. Daha sonra NAP zorlama durumu ve gelişmiş durum bilgileri ile birlikte bu yanıt HCAP kullanılarak Cisco AAA sunucusuna gönderilir.

  7. Cisco AAA sunucusu NAP zorlama durumunu Cisco Network Admission Control ilkesine göre değerlendirir ve ağ erişim profilini belirler.

  8. Cisco AAA sunucusu ağ erişim profilini ağ erişim sunucusuna (anahtara, AP'ye veya yönlendiriciye) gönderir. Ağ erişim profili, ağ erişim sunucusunun istemci bilgisayara tam erişim vermesini, erişimi kısıtlamasını veya erişimi reddetmesini bildiren bilgileri içerir.

  9. Cisco AAA sunucusu SoHR'yi istemci bilgisayara geri gönderir.

  10. İstemci yapılandırması sistem durumu ilkesine uymuyorsa ve SoHR istemcinin düzeltilmesini bildiriyorsa, istemci yazılım güncelleştirmeleri yükleme veya yapılandırma ayarlarını değiştirme gibi gerekli eylemleri gerçekleştirir. Düzeltme sonrasında, istemci ağa bağlanmayı yeniden dener ve kimlik doğrulama ve yetkilendirme işlemi yinelenir.

Ek başvurular

Daha fazla bilgi için, https://go.microsoft.com/fwlink/?LinkID=56443 ve https://go.microsoft.com/fwlink/?LinkId=128799 adreslerindeki Ağ Erişim Koruması konusuna bakın (bu sayfalar İngilizce içeriğe sahip olabilir).

İçindekiler