Протокол авторизации учетных данных узла (протокол HCAP) позволяет интегрировать решение защиты доступа к сети с решением Cisco Network Admission Control. При развертывании протокола HCAP с сервером политики сети и защитой доступа к сети сервер политики сети может выполнять авторизацию клиентов доступа Cisco 802.1X, включая применение политики работоспособности в защите доступа к сети NAP, в то время как проверка подлинности будет выполняться серверами проверки подлинности, авторизации и учета Cisco (серверами Cisco AAA).

Чтобы развернуть HCAP-сервер, необходимо выполнить следующие действия:

  1. Развернуть клиентские компьютеры с поддержкой доступа к сети. Настроить на клиентских компьютерах использование протокола Cisco EAP-FAST в качестве метода проверки подлинности при получении доступа к сети.

  2. С помощью документации по развертыванию защиты доступа к сети развернуть защиту доступа к сети, что включает в себя настройку агентов работоспособности системы на клиентских компьютерах и соответствующих устройств проверки работоспособности системы на серверах политики сети.

  3. Развернуть решение Cisco Network Admission Control, пользуясь документацией Cisco по развертыванию.

  4. Установить HCAP-сервер с помощью мастера добавления ролей доступного в диспетчере сервера. HCAP-сервер является службой роли политики сети и ролью сервера «Службы доступа». При установке HCAP-сервера на этом компьютере также устанавливаются дополнительные требуемые компоненты, службы IIS и сервер политики сети. В дополнение к этому автоматически подается заявка на получение сертификата сервера для сервера, на котором выполняются службы IIS, с целью разрешить SSL-подключения между этим сервером и сервером Cisco AAA.

  5. Настроить службы IIS на прослушивание указанных IP-адресов с целью предоставления возможности серверам Cisco AAA отправлять запросы на авторизацию.

  6. Настроить на сервере Cisco AAA URL-адрес сервера, на котором выполняются HCAP-сервер, сервер политики сети и службы IIS, чтобы предоставить серверу Cisco AAA возможность отправлять на сервер политики сети запросы на авторизацию.

  7. Настроить сервер политики сети на HCAP-сервере в качестве RADIUS-прокси для перенаправления запросов на авторизацию на серверы политики сети, являющиеся членами одной или нескольких групп удаленных RADIUS-серверов. При желании можно настроить сервер политики сети на HCAP-сервере в качестве RADIUS-сервера для локальной обработки запросов на авторизацию.

  8. Настроить серверы политики сети в качестве RADIUS-серверов для выполнения авторизации, в том числе развернуть защиту доступа к сети и создать политики работоспособности на сервере политики сети. Если HCAP-сервер, на котором выполняется сервер политики сети, используется как RADIUS-прокси и перенаправляет запросы на подключение на RADIUS-серверы политики сети в группах удаленных RADIUS-серверов, необходимо настроить RADIUS-прокси в качестве RADIUS-клиента на каждом из RADIUS-серверов.

  9. На RADIUS-серверах политики сети настроить в политике сети политику работоспособности защиты доступа к сети. При желании в условия политики сети можно включить условия HCAP-Group-Name и HCAP-Location-Group для обеспечения взаимодействия политики доступа к сети с решением Cisco Network Admission Control. В дополнение к этому можно воспользоваться условием политики сети «Расширенное состояние», чтобы указать расширенное состояние клиентского компьютера, требуемое для соответствия политике сети. Расширенные состояния - это элементы решения Cisco Network Admission Control, которые могут иметь значения «Переходное», «Заражено» и «Неизвестно». С помощью этого условия политики сети можно указать, что сервер политики сети должен предоставлять доступ или отказывать в доступе в зависимости от того, находится ли клиентский компьютер в одном из этих состояний.

Процесс проверки подлинности и авторизации

После развертывания решения Cisco Network Admission Control и сервера политики сети с защитой доступа к сети процесс проверки подлинности и авторизации проходит следующим образом:

  1. Клиентский компьютер предпринимает попытку получить доступ к сети. Клиент может попытаться подключиться через коммутатор с проверкой подлинности на базе порта 802.1X или через точку беспроводного доступа на базе порта 802.1X, которые настроены как RADIUS-клиенты для сервера Cisco AAA.

  2. После получения сервером Cisco AAA запроса на подключение от сервера доступа к сети или маршрутизатора сервер Cisco AAA запрашивает у клиента данные состояния работоспособности путем отправки привязки EAP-TLV.

  3. Агенты работоспособности системы на клиентском компьютере сообщают о статусе работоспособности агенту защиты доступа к сети на клиентском компьютере, который создает состояние работоспособности и отправляет его на сервер Cisco AAA.

  4. Сервер Cisco AAA перенаправляет состояние работоспособности с использованием протокола HCAP на сервер политики сети, выступающий в качестве прокси или сервера, вместе с такими данными о клиентском компьютере, как идентификатор пользователя, идентификатор компьютера и расположение.

  5. Если HCAP-сервер с сервером политики сети настроен на работу в качестве RADIUS-прокси, сервер политики сети перенаправляет запрос на авторизацию в соответствующую группу удаленных RADIUS-серверов. (Группа выбирается по результатам сверки с настроенными политиками запросов на подключение на сервере политики сети.) Если HCAP-сервер с сервером политики сети настроен на работу в качестве RADIUS-сервера, запрос на авторизацию обрабатывается этим сервером.

  6. Сервер политики сети сверяет состояние работоспособности с настроенными политиками сети и при обнаружении соответствующей политики сети создает отклик о состоянии работоспособности, который направляется обратно клиенту. Эти данные наряду со сведениями о состоянии применения защиты доступа к сети и сведениями о расширенном состоянии отправляются обратно на сервер Cisco AAA с использованием протокола HCAP.

  7. Сервер Cisco AAA сверяет состояние применения защиты доступа к сети с политикой Cisco Network Admission Control и определяет профиль доступа к сети.

  8. Сервер Cisco AAA отправляет данный профиль доступа к сети на сервер доступа к сети (коммутатор, точку доступа или маршрутизатор). Профиль доступа к сети содержит сведения, которые указывают серверу доступа к сети, следует ли предоставить клиентскому компьютеру полный доступ, ограниченный доступ или отказать ему в доступе к сети.

  9. Сервер Cisco AAA отправляет отклик о состоянии работоспособности обратно на клиентский компьютер.

  10. Если конфигурация клиентского компьютера не соответствует политике работоспособности и отклик о состоянии работоспособности предписывает выполнение обновления для клиента, данный клиент пытается предпринять требуемые действия, например загрузить обновления программного обеспечения или изменить параметры конфигурации. По окончании обновления клиент снова пытается получить доступ к сети и процесс проверки подлинности и авторизации выполняется снова.

Дополнительные источники информации

Дополнительные сведения см. в разделе «Защита доступа к сети» на веб-страницах http://go.microsoft.com/fwlink/?LinkID=56443 и http://go.microsoft.com/fwlink/?LinkId=128799.