主机凭据授权协议 (HCAP) 允许您将 Microsoft 网络访问保护 (NAP) 解决方案和 Cisco 网络许可控制相集成。部署带有网络策略服务器 (NPS) 和 NAP 的 HCAP 时,NPS 可以执行 Cisco 802.1X 访问客户端授权,包括强制 NAP 健康策略,而 Cisco 身份验证、授权和记帐 (AAA) 服务器则执行身份验证。
若要部署 HCAP 服务器,必须执行以下操作:
-
部署支持 NAP 的客户端计算机。配置客户端计算机以将 Cisco EAP-FAST 用作网络访问的身份验证方法。
-
使用 NAP 部署文档部署 NAP,包括配置客户端计算机系统健康代理 (SHA) 和 NPS 服务器的相应系统健康验证程序 (SHV)。
-
使用 Cisco 部署文档部署 Cisco 网络许可控制。
-
使用来自服务器管理器的添加角色向导安装 HCAP 服务器。HCAP 服务器是网络策略和访问服务服务器角色的一个角色服务。安装 HCAP 服务器时,在同一台计算机上安装所需的额外组件、Internet 信息服务 (IIS) 和 NPS。此外,服务器证书会自动注册到运行 IIS 的服务器,以允许在 IIS 和 Cisco AAA 服务器之间建立安全套接字层 (SSL) 连接。
-
配置 IIS 以侦听指定的 IP 地址,从而允许 Cisco AAA 服务器发送授权请求。
-
使用运行 HCAP、NPS 和 IIS 的服务器的 URL 配置 Cisco AAA 服务器,以便 Cisco AAA 服务器可以将授权请求发送到 NPS。
-
将 HCAP 服务器上的 NPS 配置为 RADIUS 代理,以将授权请求转发到作为一个或多个远程 RADIUS 服务器组成员的 NPS 服务器。或者,也可以将 HCAP 服务器上的 NPS 配置为 RADIUS 服务器,以在本地处理授权请求。
-
将 NPS 服务器配置为 RADIUS 服务器以执行授权,包括在 NPS 中部署 NAP 和创建健康策略。如果 NPS-HCAP 服务器是一个将连接请求转发到远程 RADIUS 服务器组中 NPS RADIUS 服务器的 RADIUS 代理,必须在每个 RADIUS 服务器上将 RADIUS 代理配置为 RADIUS 客户端。
-
在 NPS RADIUS 服务器上,使用 NAP 健康策略配置网络策略。如果需要,网络策略条件可包括 HCAP-Group-Name 和 HCAP-Location-Group,以用于 NAP 与 Cisco 网络许可控制进行互操作。此外,还可以使用网络策略中的“扩展状态”条件指定客户端计算机与网络策略匹配所需的扩展状态。扩展状态为 Cisco 网络许可控制的元素,包括过渡、感染和未知。通过使用此网络策略条件,可以配置根据客户端计算机是否为这些状态之一,NPS 授权还是拒绝访问。
身份验证和授权过程
部署 Cisco 网络许可控制和带 NAP 的 NPS 之后,身份验证和授权过程的工作方式如下:
-
客户端计算机尝试访问网络。客户端可尝试通过 802.1X 身份验证切换或通过配置为 RADIUS 客户端的 802.1X 无线访问点连接到 Cisco AAA 服务器。
-
Cisco AAA 服务器从网络访问服务器或路由器收到连接请求后,Cisco AAA 服务器通过发送 EAP-Type 长度值 (EAP-TLV) 请求来自客户端的运行状况声明 (SoH) 数据。
-
客户端计算机上的 SHA 向客户端上的 NAP 代理报告健康状况,NAP 代理会创建一个 SoH,并将其发送到 Cisco AAA 服务器。
-
Cisco AAA 服务器使用 HCAP 将 SoH 连同客户端计算机的用户 ID、计算机 ID 和位置一起转发到 NPS 代理或服务器。
-
如果 NPS-HCAP 服务器被配置为 RADIUS 代理,NPS 会将授权请求转发到相应的远程 RADIUS 服务器组。(此决定由 NPS 在评估已配置的连接请求策略后做出。)如果 NPS-HCAP 服务器被配置为 RADIUS 服务器,NPS-HCAP 服务器将处理授权请求。
-
NPS 根据已配置的网络策略评估 SoH,如果找到匹配的网络策略,将创建一个运行状况声明响应 (SoHR),并将其发回客户端。然后使用 HCAP 将此健康声明响应与 NAP 强制状况和扩展状态信息一起发回 Cisco AAA 服务器。
-
Cisco AAA 服务器根据 Cisco 网络许可控制策略评估 NAP 强制状况,并确定网络访问配置文件。
-
Cisco AAA 服务器将网络访问配置文件发送到网络访问服务器(交换机、AP 或路由器)。网络访问配置文件包含指导网络访问服务器允许完全访问、限制访问、还是拒绝访问客户端计算机的信息。
-
Cisco AAA 服务器将 SoHR 发回客户端计算机。
-
如果客户端配置不符合健康策略,并且 SoHR 指导客户端进行更新,则客户端将尝试采取所需操作,如下载软件更新或更改配置设置。更新之后,客户端会再次尝试访问网络,并重复身份验证和授权过程。
其他参考
有关详细信息,请参阅