In questo documento viene descritto come configurare Cisco Identity Services Engine (ISE) in modo che utilizzi l'attributo specifico del fornitore RADIUS (VSA) del tipo client per differenziare più tipi di autenticazione utilizzati sulle appliance Cisco Adaptive Security (ASA). Le organizzazioni spesso richiedono decisioni sulle policy basate sul modo in cui l'utente viene autenticato sull'appliance ASA. Ciò permette anche di applicare la policy alle connessioni di gestione ricevute sull'appliance ASA, in modo da poter usare RADIUS al posto di TACACS+, quando necessario.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Autenticazione e autorizzazione ISE.
Metodi di autenticazione ASA e configurazione RADIUS.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco Adaptive Security Appliance release 8.4.3.1
Cisco Identity Services Engine release 1.1.1
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
L'attributo Client-Type è stato aggiunto in ASA versione 8.4.3, che consente all'ASA di inviare il tipo di client che si autentica all'ISE nei pacchetti Access-Request (e Accounting-Request), e all'ISE di prendere decisioni sui criteri basati su tale attributo. Questo attributo non richiede alcuna configurazione sull'appliance ASA e viene inviato automaticamente.
L'attributo Client-Type è attualmente definito con i seguenti valori interi:
Cisco VPN Client (Internet Key Exchange versione (IKEv1))
AnyConnect Client e SSL VPN
VPN SSL senza client
Cut-through-proxy
VPN SSL L2TP/IPsec
VPN IPsec client AnyConnect (IKEv2)
In questa sezione vengono fornite le informazioni necessarie per configurare ISE in modo che utilizzi l'attributo Client-Type descritto nel presente documento.
Per aggiungere i valori dell'attributo Client-Type a ISE, creare l'attributo e inserirne i valori come dizionario personalizzato.
Ad ISE, selezionare Policy > Policy Elements > Dictionaries > System.
Nei dizionari del sistema, selezionare RADIUS > RADIUS Vendors > Cisco-VPN3000.
L'ID fornitore visualizzato sullo schermo dovrebbe essere 3076. Fare clic sulla scheda Attributi dizionario.
Fare clic su Add (vedere la Figura 1).
Figura 1: Attributi dizionario
Popolare i campi nel modulo degli attributi dei fornitori RADIUS personalizzato, come mostrato nella Figura 2.
Figura 2: Attributo fornitore RADIUS
Fare clic sul pulsante Salva nella parte inferiore della schermata.
Per utilizzare il nuovo attributo per le decisioni relative ai criteri, aggiungerlo a una regola di autorizzazione nella sezione Condizioni.
Ad ISE, selezionare Policy > Authorization (Policy > Autorizzazione).
Creare una nuova regola o modificare un criterio esistente.
Nella sezione Condizioni della regola, espandere il riquadro Condizioni e selezionare Crea una nuova condizione (per una nuova regola) o Aggiungi attributo/valore (per una regola preesistente).
Nel campo Select Attribute (Seleziona attributo), selezionare Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type.
Scegliere l'operatore appropriato (Uguale o Diverso da) per l'ambiente.
Scegliere il tipo di autenticazione che si desidera associare.
Assegnare un risultato di autorizzazione appropriato al criterio.
Selezionate Fatto (Done).
Fare clic su Salva.
Dopo la creazione della regola, la condizione di autorizzazione dovrebbe essere simile a quella illustrata nella Figura 3.
Figura 3: Esempio di condizione di autorizzazione
Per verificare che l'attributo Client-Type sia in uso, esaminare le autenticazioni dell'ASA in ISE.
Passare a Operazioni > Autenticazioni
Fare clic sul pulsante Details (Dettagli) per autenticare l'appliance ASA.
Scorrere fino ad Altri attributi e cercare CVPN3000/ASA/PIX7x-Client-Type= (vedere Figura 4)
Figura 4: Dettagli altri attributi
Il campo Altri attributi deve indicare il valore ricevuto per l'autenticazione. La regola deve corrispondere al criterio definito nel passaggio 2 della sezione di configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
03-Mar-2013 |
Versione iniziale |