Dit document beschrijft hoe u Cisco Identity Services Engine (ISE) moet configureren om het clienttype RADIUS-leverancierspecifieke kenmerk (VSA) te gebruiken om meerdere typen verificatie te differentiëren die worden gebruikt op de Cisco adaptieve security applicatie (ASA). Organisaties vereisen vaak beleidsbeslissingen die zijn gebaseerd op de authenticatie van de gebruiker aan de ASA. Dit stelt u ook in staat om beleid toe te passen op ontvangen beheerverbindingen op de ASA, die ons in staat stelt om RADIUS te gebruiken in plaats van TACACS+, wanneer verstandig.
Cisco raadt kennis van de volgende onderwerpen aan:
ISE-authenticatie en autorisatie.
ASA-verificatiemethoden en RADIUS-configuratie.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco adaptieve security applicatie release 8.4.3
Cisco Identity Services Engine release 1.1.
De eigenschap Client-Type werd toegevoegd in ASA release 8.4.3. Hiermee kan de ASA het type client naar de ISE sturen in pakketten met toegangsaanvraag (en accounting-aanvraag) en ISE in staat stellen beleidsbeslissingen te nemen op basis van die eigenschap. Deze eigenschap vereist geen configuratie op de ASA, en wordt automatisch verzonden.
De eigenschap Client-Type wordt momenteel gedefinieerd met deze integerwaarden:
Cisco VPN-client (Internet Key Exchange versie (IKEv1)
AnyConnect-client-SSL VPN
Clientloze SSL VPN
Cut-Through Proxy
L2TP/IPsec VPN
AnyConnect-client voor IPsec VPN (IKEv2)
In dit gedeelte wordt de informatie verstrekt die u nodig hebt om de ISE te configureren voor het gebruik van de eigenschap Client-Type die in dit document wordt beschreven.
Als u de waarden van de eigenschap client-type aan ISE wilt toevoegen, maakt u de eigenschap en vult u de waarden in als een aangepast woordenboek.
Op ISE, navigeer naar Policy > Policy Elementen > Woordenboeken > System.
Binnen de systeemwoordenboeken, navigeer naar RADIUS > RADIUS-verkopers > Cisco-VPN3000.
De verkoper-ID op het scherm moet 3076 zijn. Klik op het tabblad Woordenboek-kenmerken.
Klik op Add (zie afbeelding 1).
Afbeelding 1: Woordenboek-kenmerken
Bedek de velden in de vorm van de aangepaste RADIUS-leverancierkenmerken zoals in afbeelding 2.
Afbeelding 2: RADIUS-leverancierkenmerken
Klik onder in het scherm op de knop Opslaan.
Om de nieuwe eigenschap voor beleidsbeslissingen te gebruiken, de eigenschap aan een machtigingsregel toe te voegen in het vak voorwaarden.
In ISE, navigeer naar Policy > Authorization.
Maak een nieuwe regel of wijzig een bestaand beleid.
In het gedeelte onder voorwaarden van de regel vouwt u het deelvenster met voorwaarden uit en selecteert u Een nieuwe conditionering maken (voor een nieuwe regel) of Eigenschappen/waarde toevoegen (voor een bestaande regel).
In het veld Selectieteken navigeer naar Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-client-type.
Kies de juiste operator (is gelijk aan of is gelijk aan) voor uw omgeving.
Kies het verificatietype dat u wilt aanpassen.
Wijs een vergunningsresultaat toe dat aan uw beleid aangepast is.
Klik op Klaar.
Klik op Opslaan.
Nadat de regel is gemaakt, zou de machtigingsvoorwaarde op het voorbeeld in afbeelding 3 moeten lijken.
Afbeelding 3: Voorbeeld van machtigingsvoorwaarden
Om de eigenschap van het clienttype in gebruik te controleren, dient u de authenticaties van de ASA in ISE te onderzoeken.
Navigeren in naar bewerkingen > Verificaties
Klik op de knop Details voor de verificatie van de ASA.
Naar andere kenmerken bladeren en naar CVPN300/ASA/PIX7x-Client-Type= (zie afbeelding 4) bladeren
Afbeelding 4: Overige bijzonderheden
Het veld Overige Eigenschappen dient de ontvangen waarde voor de echtheidscontrole aan te geven. De regel moet overeenkomen met het beleid dat in stap 2 van het configuratiegedeelte is gedefinieerd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
03-Mar-2013 |
Eerste vrijgave |