主機認證授權通訊協定 (HCAP) 可讓您整合 Microsoft 網路存取保護 (NAP) 解決方案與 Cisco 網路許可控制。當您使用網路原則伺服器 (NPS) 與 NAP 部署 HCAP 時,NPS 可以執行 Cisco 802.1X 存取用戶端的授權,包括 NAP 健康原則的強制,而 Cisco 驗證、授權以及帳戶處理 (AAA) 伺服器則會執行驗證。

若要部署 HCAP 伺服器,您必須執行下列動作:

  1. 部署支援 NAP 的用戶端電腦。設定用戶端電腦使用 Cisco EAP-FAST 做為網路存取的驗證方法。

  2. 使用 NAP 部署文件來部署 NAP,包括使用系統健康狀態代理程式 (SHA) 來設定用戶端電腦,以及使用對應的系統健康狀態驗證 (SHV) 來設定 NPS 伺服器。

  3. 使用 Cisco 部署文件,部署 Cisco 網路許可控制。

  4. 使用伺服器管理員的 [新增角色] 精靈,安裝 HCAP 伺服器。HCAP 伺服器是網路原則與存取服務伺服器角色的角色服務。當您安裝 HCAP 伺服器時,其他所需的元件、網際網路資訊服務 (IIS) 與 NPS 都會安裝到相同的電腦上。此外,伺服器憑證會自動註冊到執行 IIS 的伺服器,以允許 IIS 與 Cisco AAA 伺服器之間的安全通訊端層 (SSL) 連線。

  5. 設定 IIS 接聽指定 IP 位址,以允許 Cisco AAA 伺服器傳送授權要求。

  6. 使用執行 HCAP、NPS 以及 IIS 的 URL 來設定 Cisco AAA 伺服器,這樣 Cisco AAA 伺服器就可以傳送授權要求給 NPS。

  7. 將 HCAP 伺服器上的 NPS 設定為 RADIUS Proxy,以轉寄授權要求到屬於一或多個遠端 RADIUS 伺服器群組成員的 NPS 伺服器。您也可以選擇性地將 HCAP 伺服器上的 NPS 設定為 RADIUS 伺服器,以便在本機處理授權要求。

  8. 將 NPS 伺服器設定為 RADIUS 伺服器以執行授權,包括部署 NAP 以及在 NPS 中建立健康原則。如果 NPS-HCAP 伺服器為 RADIUS Proxy 且可將連線要求轉寄到遠端 RADIUS 伺服器群組中的 NPS RADIUS 伺服器,則必須將 RADIUS Proxy 設定為每個 RADIUS 伺服器上的 RADIUS 用戶端。

  9. 在 NPS RADIUS 伺服器上,透過 NAP 健康原則設定網路原則。如有需要,網路原則條件可以包括 HCAP-Group-Name 與 HCAP-Location-Group,以達到 NAP 與 Cisco 網路許可控制的交互操作性。此外,您可以使用網路原則「擴充狀態」條件,來指定符合網路原則所需之用戶端電腦的擴充狀態。擴充狀態是 Cisco 網路許可控制的元素,並且包括可轉換、受到感染和不明。透過使用這個網路原則條件,您可以設定 NPS 以根據用戶端電腦是否在這些狀態之一來授權或拒絕存取。

驗證與授權程序

使用 NAP 部署 Cisco 網路許可控制與 NPS 之後,驗證與授權程序的運作方式如下:

  1. 用戶端電腦會嘗試存取網路。用戶端可以嘗試透過這兩種方式來連線:透過 802.1X 驗證交換器,或透過設定成 Cisco AAA 伺服器之 RADIUS 用戶端的 802.1X 無線存取點。

  2. 在 Cisco AAA 伺服器從網路存取伺服器或路由器收到連線要求之後,Cisco AAA 伺服器會傳送 EAP 類型長度值 (EAP-TLV),以要求用戶端提供健康情況聲明 (SoH) 資料。

  3. 用戶端電腦上的 SHA 會向用戶端 NAP 代理程式報告健康情況,且 NAP 代理程式會建立 SoH 並傳送給 Cisco AAA 伺服器。

  4. Cisco AAA 伺服器會使用 HCAP 將 SoH 連同用戶端電腦的使用者識別碼、電腦識別碼以及位置轉寄給 NPS Proxy 或伺服器。

  5. 如果將 NPS-HCAP 伺服器設定為 RADIUS Proxy,NPS 會將授權要求轉寄給適當的遠端 RADIUS 伺服器群組(這是由已設定的連線要求原則之 NPS 評估後所做的決定)。如果將 NPS-HCAP 伺服器設定為 RADIUS Proxy,NPS-HCAP 伺服器會處理授權要求。

  6. NPS 會針對設定的網路原則評估 SoH,而且如果找到符合的網路原則,就會建立要傳送回用戶端的健康情況聲明回報 (SoHR)。這將會連同 NAP 強制狀態與擴充狀態資訊,使用 HCAP 傳回 Cisco AAA 伺服器。

  7. Cisco AAA 伺服器會針對 Cisco 網路許可控制原則來評估 NAP 強制狀態並決定網路存取設定檔。

  8. Cisco AAA 伺服器會將網路存取設定檔傳送給網路存取伺服器 (交換器、AP 或是路由器)。網路存取設定檔包含的資訊,指示網路存取伺服器是否允許對用戶端電腦的完整存取、限制存取或是拒絕存取。

  9. Cisco AAA 伺服器會將 SoHR 傳回用戶端電腦。

  10. 如果用戶端設定不符合健康原則,且 SoHR 指示用戶端補救,則用戶端會嘗試採取必要的動作,例如下載軟體更新或是變更組態設定。補救之後,用戶端會嘗試再次存取網路,且重複驗證和授權程序。

其他參考資料

目錄