Exemple de configuration de l'intégration d'AnyConnect 4.0 à ISE version 1.3

Introduction

Ce document décrit les nouvelles fonctionnalités de Cisco Identity Services Engine (ISE) Version 1.3 qui vous permettent de configurer plusieurs modules AnyConnect Secure Mobility Client et de les provisionner automatiquement sur le terminal. Ce document explique comment configurer les modules VPN, NAM (Network Access Manager) et Posture sur ISE et comment les transmettre à l'utilisateur de l'entreprise.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Déploiements ISE, authentification et autorisation
• Configuration des contrôleurs LAN sans fil (WLC)
• Connaissances de base sur le VPN et 802.1x
• Configuration des profils VPN et NAM avec les éditeurs de profils AnyConnect

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Microsoft Windows 7
• Cisco WLC versions 7.6 et ultérieures
• Logiciel Cisco ISE, versions 1.3 et ultérieures

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Topologie et flux

Voici le flux :

Étape 1. L'utilisateur d'entreprise accède au SSID (Service Set Identifier) : mise en service. Effectue l'authentification 802.1x avec EAP-PEAP (Extensible Authentication Protocol-Protected EAP). La règle d'autorisation Provisioning est rencontrée sur ISE et l'utilisateur est redirigé vers AnyConnect Provisioning (via le Client Provisioning Portal). Si AnyConnect n'est pas détecté sur la machine, tous les modules configurés sont installés (VPN, NAM, Posture). En même temps que ce profil, la configuration de chaque module est poussée.

Étape 2. Une fois AnyConnect installé, l’utilisateur doit redémarrer le PC. Après le redémarrage, AnyConnect s’exécute et le SSID correct est automatiquement utilisé conformément au profil NAM configuré (Secure_access). EAP-PEAP est utilisé (par exemple, EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) peut également être utilisé). Dans le même temps, le module Posture vérifie si la station est conforme (vérifie l'existence du fichier c:\test.txt).

Étape 3. Si l'état de la position de la station est inconnu (aucun rapport du module Posture), il est toujours redirigé pour la mise en service, car la règle Unknown Authz est rencontrée sur ISE. Une fois la station conforme, ISE envoie une modification d'autorisation (CoA) au contrôleur LAN sans fil, ce qui déclenche une nouvelle authentification. Une seconde authentification se produit et la règle Compliant est activée sur ISE, ce qui fournira à l'utilisateur un accès complet au réseau.

Par conséquent, l'utilisateur a été doté de modules AnyConnect VPN, NAM et Posture qui permettent un accès unifié au réseau. Des fonctionnalités similaires peuvent être utilisées sur l'appliance de sécurité adaptatif (ASA) pour l'accès VPN. Actuellement, ISE peut faire de même pour tout type d'accès avec une approche très granulaire.

Cette fonctionnalité n'est pas limitée aux utilisateurs d'entreprise, mais il est possible qu'elle soit la plus courante pour ce groupe d'utilisateurs.

Configurer

WLC

Le WLC est configuré avec deux SSID :

• Mise en service - [WPA + WPA2][Auth(802.1X)]. Ce SSID est utilisé pour le provisionnement AnyConnect.
  
  
• Secure_access - [WPA + WPA2][Auth(802.1X)]. Ce SSID est utilisé pour un accès sécurisé après que le point d'extrémité a été configuré avec le module NAM configuré pour ce SSID.

ISE

Étape 1. Ajouter le WLC

Ajoutez le WLC aux périphériques réseau sur ISE.

Étape 2. Configuration du profil VPN

Configurez le profil VPN avec l'Éditeur de profil AnyConnect pour VPN.

Une seule entrée a été ajoutée pour l'accès VPN. Enregistrez ce fichier XML dans VPN.xml.

Étape 3. Configuration du profil NAM

Configurez le profil NAM avec l'éditeur de profil AnyConnect pour NAM.

Un seul SSID a été configuré : secure_access. Enregistrez ce fichier XML dans NAM.xml.

Étape 4. Installer l'application

1. Téléchargez l'application manuellement à partir de Cisco.com.
   
   
   • anyconnect-win-4.0.00048-k9.pkg
   • anyconnect-win-compliance-3.6.9492.2.pkg
   
   
   
2. Sur ISE, accédez à Policy > Results > Client Provisioning > Resources, et ajoutez Agent Resources From Local Disk.
3. Choisissez Cisco Provided Packages et sélectionnez le fichier anyconnect-win-4.0.00048-k9.pkg :
   
   

   

   
   
   
4. Répétez l'étape 4 pour le module de conformité.

Étape 5. Installer le profil VPN/NAM

1. Accédez à Policy > Results > Client Provisioning > Resources, et ajoutez Agent Resources From Local Disk.
2. Sélectionnez Packages créés par le client et tapez Profil AnyConnect. Sélectionnez le profil NAM précédemment créé (fichier XML) :
   
   

   

   
   
   
3. Répétez les étapes similaires pour le profil VPN :
   
   

   

Étape 6. Configuration de la posture

Les profils NAM et VPN doivent être configurés en externe à l'aide de l'éditeur de profils AnyConnect et importés dans ISE. Mais la posture est entièrement configurée sur ISE.

Naviguez jusqu'à Policy > Conditions > Posture > File Condition.Vous pouvez voir qu'une condition simple pour l'existence du fichier a été créée. Vous devez disposer de ce fichier pour être conforme à la stratégie vérifiée par le module Posture :

Cette condition est utilisée pour une exigence :

Et la condition est utilisée dans la stratégie Posture pour les systèmes Microsoft Windows :

Pour plus d'informations sur la configuration de Posture, référez-vous à Services de posture sur le Guide de configuration de Cisco ISE.

Une fois la stratégie de position prête, il est temps d'ajouter la configuration de l'agent de position.

1. Accédez à Policy > Results > Client Provisioning > Resources et ajoutez Network Admission Control (NAC) Agent ou AnyConnect Agent Posture Profile.
   
   
2. Sélectionnez AnyConnect (un nouveau module Posture de la version 1.3 d'ISE a été utilisé à la place de l'ancien agent NAC) :
   
   

   

   
   
   
3. Dans la section Protocole de posture, n'oubliez pas d'ajouter * afin de permettre à l'agent de se connecter à tous les serveurs.
   
   

   

   
   
   
4. Si le champ des règles de nom de serveur reste vide, ISE n'enregistre pas les paramètres et signale cette erreur :
   
   

   Server name rules: valid value is required

Étape 7. Configurer AnyConnect

À ce stade, toutes les applications (AnyConnect) et la configuration de profil de tous les modules (VPN, NAM et Posture) ont été configurées. Il est temps de les relier.

1. Accédez à Policy > Results > Client Provisioning > Resources, et ajoutez AnyConnect Configuration.
   
   
2. Configurez le nom et sélectionnez le module de conformité et tous les modules AnyConnect requis (VPN, NAM et Posture).
   
   
3. Dans Sélection du profil, sélectionnez le profil configuré précédemment pour chaque module.
   
   

   

   
   
   
4. Le module VPN est obligatoire pour que tous les autres modules fonctionnent correctement. Même si le module VPN n'est pas sélectionné pour l'installation, il sera poussé et installé sur le client. Si vous ne souhaitez pas utiliser le VPN, il est possible de configurer un profil spécial pour le VPN qui masque l'interface utilisateur du module VPN. Ces lignes doivent être ajoutées au fichier VPN.xml :
   
   

    <ClientInitialization>
       
            
            
              true 
            
     </ClientInitialization>

   
   
   
5. Ce type de profil est également installé lorsque vous utilisez Setup.exe à partir du package iso (anyconnect-win-3.1.06073-pre-deploy-k9.iso). Ensuite, le profil VPNDisable_ServiceProfile.xml pour VPN est installé avec la configuration, ce qui désactive l'interface utilisateur pour le module VPN.

Étape 8. Règles de provisionnement du client

La configuration AnyConnect créée à l’étape 7 doit être référencée dans les règles d’approvisionnement du client :

Les règles de mise en service du client déterminent l'application à transmettre au client. Une seule règle est nécessaire ici avec le résultat qui pointe vers la configuration créée à l'étape 7. De cette façon, tous les terminaux Microsoft Windows qui sont redirigés pour le provisionnement client utiliseront la configuration AnyConnect avec tous les modules et profils.

Étape 9. Profils d'autorisation

Le profil d'autorisation pour le provisionnement du client doit être créé. Le portail d'approvisionnement du client par défaut est utilisé :

Ce profil force les utilisateurs à être redirigés pour le provisionnement vers le portail de provisionnement du client par défaut. Ce portail évalue la politique d'approvisionnement du client (règles créées à l'étape 8). Les profils d'autorisation sont les résultats des règles d'autorisation configurées à l'étape 10.

La liste de contrôle d'accès GuestRedirect est le nom de la liste de contrôle d'accès définie sur le WLC. Cette liste de contrôle d’accès détermine le trafic à rediriger vers ISE. Pour plus d'informations, référez-vous à Exemple de configuration d'authentification Web centrale avec un commutateur et Identity Services Engine.

Il existe également un autre profil d'autorisation qui fournit l'accès réseau limité (DACL) pour les utilisateurs non conformes (appelé LimitedAccess).

Étape 10. Règles d'autorisation

Tous ces éléments sont regroupés en quatre règles d’autorisation :

Vous vous connectez d'abord au SSID de provisionnement et vous êtes redirigé vers un portail de provisionnement client par défaut (règle nommée Provisioning). Une fois que vous vous connectez au SSID Secure_access, il redirige toujours pour le provisionnement si aucun rapport du module Posture n'est reçu par ISE (règle nommée Inconnue). Une fois que le terminal est entièrement conforme, l'accès complet est accordé (nom de la règle conforme). Si le point d'extrémité est signalé comme non conforme, il dispose d'un accès réseau limité (règle nommée NonCompliant).

Vérifier

Vous vous associez au SSID d'approvisionnement, essayez d'accéder à n'importe quelle page Web et êtes redirigé vers le portail d'approvisionnement du client :

AnyConnect n’étant pas détecté, vous êtes invité à l’installer :

Une petite application appelée Network Setup Assistant, qui est responsable de l'ensemble du processus d'installation, est téléchargée. Notez qu'il est différent de Network Setup Assistant dans la version 1.2.

Tous les modules (VPN, NAM et Posture) sont installés et configurés. Vous devez redémarrer votre ordinateur :

Après le redémarrage, AnyConnect est automatiquement exécuté et NAM tente de s'associer au SSID secure_access (selon le profil configuré). Notez que le profil VPN est correctement installé (entrée asav2 pour VPN) :

Après authentification, AnyConnect télécharge les mises à jour ainsi que les règles de posture pour lesquelles la vérification est effectuée :

À ce stade, l'accès est peut-être encore limité (vous rencontrez la règle d'autorisation inconnue sur ISE). Une fois que la station est conforme, cela est signalé par le module Posture :

Les détails peuvent également être vérifiés (le FileRequirement est satisfait) :

L'historique des messages présente des étapes détaillées :

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

Le rapport de réussite est envoyé à ISE, ce qui déclenche la modification de l'autorisation. La deuxième authentification rencontre la règle de conformité et un accès réseau complet est accordé. Si le rapport de position est envoyé alors qu'il est toujours associé au SSID de provisionnement, ces journaux sont visibles sur ISE :

Le rapport Posture indique :

Des rapports détaillés montrent le FileRequirement qui est satisfait :

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

• Services de posture sur le guide de configuration Cisco ISE
• Guide d'administration de Cisco ISE 1.3
• Assistance et documentation techniques - Cisco Systems