Exemplo de configuração da integração do AnyConnect 4.0 com o ISE versão 1.3

Introdução

Este documento descreve a nova funcionalidade no Cisco Identity Services Engine (ISE) versão 1.3 que permite configurar vários módulos do AnyConnect Secure Mobility Client e provisioná-los automaticamente para o endpoint. Este documento apresenta como configurar VPN, Network Access Manager (NAM) e módulos de postura no ISE e enviá-los ao usuário corporativo.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Implantações, autenticação e autorização do ISE
• Configuração de controladoras Wireless LAN (WLCs)
• Conhecimento básico de VPN e 802.1x
• Configuração de perfis VPN e NAM com editores de perfil do AnyConnect

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Microsoft Windows 7
• Cisco WLC versão 7.6 e posterior
• Software Cisco ISE, versões 1.3 e posteriores

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Topologia e fluxo

Aqui está o fluxo:

Etapa 1. O usuário corporativo acessa o SSID (Service Set Identifier): Provisionamento. Executa a autenticação 802.1x com EAP protegido por protocolo de autenticação extensível (EAP-PEAP). A regra de autorização Provisioning é encontrada no ISE e o usuário é redirecionado para Provisionamento AnyConnect (através do Client Provisioning Portal). Se o AnyConnect não for detectado na máquina, todos os módulos configurados serão instalados (VPN, NAM, Posture). Junto com esse perfil, a configuração de cada módulo é enviada.

Etapa 2. Depois que o AnyConnect for instalado, o usuário deverá reinicializar o PC. Após a reinicialização, o AnyConnect é executado e o SSID correto é usado automaticamente de acordo com o perfil NAM configurado (Secure_access). O EAP-PEAP é usado (como exemplo, o EAP-TLS também pode ser usado). Ao mesmo tempo, o módulo Posture verifica se a estação é compatível (verifica a existência do arquivo c:\test.txt).

Etapa 3. Se o status de postura da estação for desconhecido (sem relatório do módulo de postura), ele ainda será redirecionado para provisionamento, pois a regra Unknown Authz é encontrada no ISE. Quando a estação estiver em conformidade, o ISE enviará uma Alteração de Autorização (CoA) ao Controller de LAN Wireless, o que acionará uma nova autenticação. Uma segunda autenticação ocorre, e a regra Compliant é atingida no ISE, que fornecerá ao usuário acesso total à rede.

Como resultado, o usuário recebeu os módulos AnyConnect VPN, NAM e Posture que permitem acesso unificado à rede. Uma funcionalidade semelhante pode ser usada no Adaptive Security Appliance (ASA) para acesso VPN. Atualmente, o ISE pode fazer o mesmo para qualquer tipo de acesso com uma abordagem muito granular.

Essa funcionalidade não está limitada a usuários corporativos, mas é possivelmente mais comum implantá-la para esse grupo de usuários.

Configurar

WLC

A WLC está configurada com dois SSIDs:

• Provisionamento - [WPA + WPA2][Auth(802.1X)]. Esse SSID é usado para provisionamento do AnyConnect.
  
  
• Secure_access - [WPA + WPA2][Auth(802.1X)]. Esse SSID é usado para acesso seguro após o ponto final ter sido provisionado com o módulo NAM configurado para esse SSID.

ISE

Etapa 1. Adicionar a WLC

Adicione a WLC aos dispositivos de rede no ISE.

Etapa 2. Configurar o perfil VPN

Configure o perfil VPN com o AnyConnect Profile Editor para VPN.

Somente uma entrada foi adicionada para acesso VPN. Salve esse arquivo XML em VPN.xml.

Etapa 3. Configurar o perfil NAM

Configure o perfil NAM com o Editor de perfis do AnyConnect para NAM.

Apenas um SSID foi configurado: secure_access. Salve esse arquivo XML em NAM.xml.

Etapa 4. Instalar o aplicativo

1. Faça o download do aplicativo manualmente em Cisco.com.
   
   
   • anyconnect-win-4.0.00048-k9.pkg
   • anyconnect-win-compliance-3.6.9492.2.pkg
   
   
   
2. No ISE, navegue para Policy > Results > Client Provisioning > Resources e adicione Agent Resources From Local Disk.
3. Escolha Cisco Provided Packages e selecione o anyconnect-win-4.0.00048-k9.pkg:
   
   

   

   
   
   
4. Repita a Etapa 4 para o módulo de conformidade.

Etapa 5. Instalar o perfil VPN/NAM

1. Navegue até Policy > Results > Client Provisioning > Resources e adicione Agent Resources From Local Disk.
2. Escolha Pacotes criados pelo cliente e digite Perfil do AnyConnect. Selecione o perfil NAM criado anteriormente (arquivo XML):
   
   

   

   
   
   
3. Repita etapas semelhantes para o perfil VPN:
   
   

   

Etapa 6. Configurar a postura

Os perfis NAM e VPN devem ser configurados externamente com o editor de perfis do AnyConnect e importados para o ISE. Mas a postura é totalmente configurada no ISE.

Navegue para Política > Condições > Postura > Condição de arquivo.Você pode ver que uma condição simples para a existência do arquivo foi criada. Você deve ter esse arquivo para estar em conformidade com a política verificada pelo módulo Posture:

Esta condição é usada para um requisito:

E o requisito é usado na política de postura para sistemas Microsoft Windows:

Para obter mais informações sobre a configuração de postura, consulte Serviços de postura no Guia de configuração do Cisco ISE.

Quando a política Posture estiver pronta, é hora de adicionar a configuração do agente Posture.

1. Navegue para Policy > Results > Client Provisioning > Resources e adicione o Network Admission Control (NAC) Agent ou o AnyConnect Agent Posture Profile.
   
   
2. Selecione o AnyConnect (um novo módulo de postura do ISE versão 1.3 foi usado em vez do antigo NAC Agent):
   
   

   

   
   
   
3. Na seção Protocolo de postura, não se esqueça de adicionar * para permitir que o Agente se conecte a todos os servidores.
   
   

   

   
   
   
4. Se o campo Regras de nome do servidor for deixado em branco, o ISE não salvará as configurações e relatará este erro:
   
   

   Server name rules: valid value is required

Passo 7. Configurar AnyConnect

Neste estágio, todos os aplicativos (AnyConnect) e a configuração de perfil para todos os módulos (VPN, NAM e Posture) foram configurados. É tempo de a unir.

1. Navegue até Policy > Results > Client Provisioning > Resources e adicione AnyConnect Configuration.
   
   
2. Configure o nome e selecione o módulo de conformidade e todos os módulos AnyConnect necessários (VPN, NAM e Posture).
   
   
3. Em Seleção de perfil, escolha o perfil configurado anteriormente para cada módulo.
   
   

   

   
   
   
4. O módulo VPN é obrigatório para que todos os outros módulos funcionem corretamente. Mesmo que o módulo VPN não esteja selecionado para instalação, ele será enviado e instalado no cliente. Se você não quiser usar VPN, existe a possibilidade de configurar um perfil especial para VPN que oculte a interface do usuário para o módulo VPN. Estas linhas devem ser adicionadas ao arquivo VPN.xml:
   
   

    <ClientInitialization>
       
            
            
              true 
            
     </ClientInitialization>

   
   
   
5. Esse tipo de perfil também é instalado quando você usa o Setup.exe do pacote iso (anyconnect-win-3.1.06073-pre-deploy-k9.iso). Em seguida, o perfil VPNDisable_ServiceProfile.xml para VPN é instalado junto com a configuração, que desabilita a interface de usuário para o módulo VPN.

Etapa 8. Regras de Provisionamento do Cliente

A configuração do AnyConnect criada na Etapa 7 deve ser referenciada nas regras de provisionamento do cliente:

As Regras de Provisionamento de Cliente decidem qual aplicativo será enviado por push ao cliente. Apenas uma regra é necessária aqui, com o resultado que aponta para a configuração criada na Etapa 7. Dessa forma, todos os endpoints do Microsoft Windows redirecionados para o provisionamento do cliente usarão a configuração do AnyConnect com todos os módulos e perfis.

Etapa 9. Perfis de autorização

O perfil de Autorização para provisionamento de cliente precisa ser criado. O Portal de Provisionamento de Cliente padrão é usado:

Esse perfil força os usuários a serem redirecionados para provisionamento para o Portal de Provisionamento de Cliente padrão. Este Portal avalia a Política de provisionamento do cliente (regras criadas na Etapa 8). Os perfis de autorização são os resultados das Regras de autorização configuradas na Etapa 10.

GuestRedirect Access Control List (ACL) é o nome da ACL definida na WLC. Essa ACL decide qual tráfego deve ser redirecionado para o ISE. Para obter mais informações, consulte Exemplo de Configuração da Autenticação da Web Central com um Switch e o Identity Services Engine.

Há também outro perfil de autorização que fornece o acesso limitado à rede (DACL) para usuários não compatíveis (denominado LimitedAccess).

Etapa 10. Regras de Autorização

Todas elas são combinadas em quatro regras de autorização:

Primeiro, você se conecta ao SSID de Provisionamento e é redirecionado para provisionamento em um Portal de Provisionamento de Cliente padrão (regra chamada Provisionamento). Quando você se conecta ao SSID Secure_access, ele ainda redireciona para provisionamento se nenhum relatório do módulo Posture for recebido pelo ISE (regra chamada Desconhecido). Quando o endpoint estiver totalmente em conformidade, o acesso completo será concedido (nome da regra em conformidade). Se o ponto final for relatado como não compatível, ele terá acesso limitado à rede (regra chamada Não Compatível).

Verificar

Você associa com o SSID de Provisionamento, tenta acessar qualquer página da Web e é redirecionado para o Portal de Provisionamento de Cliente:

Como o AnyConnect não é detectado, você é solicitado a instalá-lo:

É feito o download de um pequeno aplicativo chamado Network Setup Assistant, responsável por todo o processo de instalação. Observe que é diferente do Network Setup Assistant na versão 1.2.

Todos os módulos (VPN, NAM e Posture) são instalados e configurados. Você deve reinicializar o PC:

Após a reinicialização, o AnyConnect é executado automaticamente e o NAM tenta se associar ao SSID secure_access (de acordo com o perfil configurado). Observe que o perfil VPN está instalado corretamente (entrada asav2 para VPN):

Após a autenticação, o AnyConnect baixa atualizações e também regras de postura para as quais a verificação é realizada:

Nesse estágio, ainda pode haver acesso limitado (você encontra a regra de autorização desconhecida no ISE). Quando a estação estiver em conformidade, isso será relatado pelo módulo de postura:

Os detalhes também podem ser verificados (o FileRequirement é atendido):

O Histórico de Mensagens mostra etapas detalhadas:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

O relatório bem-sucedido é enviado ao ISE, que aciona a alteração de autorização. A segunda autenticação encontra a regra Compatível e o acesso total à rede é concedido. Se o relatório Posture for enviado enquanto ainda estiver associado ao SSID de provisionamento, esses logs serão vistos no ISE:

O relatório Posture indica:

Os relatórios detalhados mostram o FileRequirement que é atendido:

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

• Serviços de postura no Guia de configuração do Cisco ISE
• Guia do administrador do Cisco ISE 1.3
• Suporte Técnico e Documentação - Cisco Systems