Протокол авторизации учетных данных узла (протокол HCAP) позволяет интегрировать решение защиты доступа к сети с решением Cisco Network Admission Control. При развертывании протокола HCAP с сервером политики сети и защитой доступа к сети сервер политики сети может выполнять авторизацию клиентов доступа Cisco 802.1X, включая применение политики работоспособности в защите доступа к сети NAP, в то время как проверка подлинности будет выполняться серверами проверки подлинности, авторизации и учета Cisco (серверами Cisco AAA).
Чтобы развернуть HCAP-сервер, необходимо выполнить следующие действия:
- Развернуть клиентские компьютеры с поддержкой доступа к сети.
Настроить на клиентских компьютерах использование протокола Cisco
EAP-FAST в качестве метода проверки подлинности при получении
доступа к сети.
- С помощью документации по развертыванию защиты доступа к сети
развернуть защиту доступа к сети, что включает в себя настройку
агентов работоспособности системы на клиентских компьютерах и
соответствующих устройств проверки работоспособности системы на
серверах политики сети.
- Развернуть решение Cisco Network Admission Control, пользуясь
документацией Cisco по развертыванию.
- Установить HCAP-сервер с помощью мастера добавления ролей
доступного в диспетчере сервера. HCAP-сервер является службой роли
политики сети и ролью сервера «Службы доступа». При установке
HCAP-сервера на этом компьютере также устанавливаются
дополнительные требуемые компоненты, службы IIS и сервер политики
сети. В дополнение к этому автоматически подается заявка на
получение сертификата сервера для сервера, на котором выполняются
службы IIS, с целью разрешить SSL-подключения между этим сервером и
сервером Cisco AAA.
- Настроить службы IIS на прослушивание указанных IP-адресов с
целью предоставления возможности серверам Cisco AAA отправлять
запросы на авторизацию.
- Настроить на сервере Cisco AAA URL-адрес сервера, на котором
выполняются HCAP-сервер, сервер политики сети и службы IIS, чтобы
предоставить серверу Cisco AAA возможность отправлять на сервер
политики сети запросы на авторизацию.
- Настроить сервер политики сети на HCAP-сервере в качестве
RADIUS-прокси для перенаправления запросов на авторизацию на
серверы политики сети, являющиеся членами одной или нескольких
групп удаленных RADIUS-серверов. При желании можно настроить сервер
политики сети на HCAP-сервере в качестве RADIUS-сервера для
локальной обработки запросов на авторизацию.
- Настроить серверы политики сети в качестве RADIUS-серверов для
выполнения авторизации, в том числе развернуть защиту доступа к
сети и создать политики работоспособности на сервере политики сети.
Если HCAP-сервер, на котором выполняется сервер политики сети,
используется как RADIUS-прокси и перенаправляет запросы на
подключение на RADIUS-серверы политики сети в группах удаленных
RADIUS-серверов, необходимо настроить RADIUS-прокси в качестве
RADIUS-клиента на каждом из RADIUS-серверов.
- На RADIUS-серверах политики сети настроить в политике сети
политику работоспособности защиты доступа к сети. При желании в
условия политики сети можно включить условия HCAP-Group-Name и
HCAP-Location-Group для обеспечения взаимодействия политики доступа
к сети с решением Cisco Network Admission Control. В дополнение к
этому можно воспользоваться условием политики сети «Расширенное
состояние», чтобы указать расширенное состояние клиентского
компьютера, требуемое для соответствия политике сети. Расширенные
состояния - это элементы решения Cisco Network Admission Control,
которые могут иметь значения «Переходное», «Заражено» и
«Неизвестно». С помощью этого условия политики сети можно указать,
что сервер политики сети должен предоставлять доступ или отказывать
в доступе в зависимости от того, находится ли клиентский компьютер
в одном из этих состояний.
Процесс проверки подлинности и авторизации
После развертывания решения Cisco Network Admission Control и сервера политики сети с защитой доступа к сети процесс проверки подлинности и авторизации проходит следующим образом:
- Клиентский компьютер предпринимает попытку получить доступ к
сети. Клиент может попытаться подключиться через коммутатор с
проверкой подлинности на базе порта 802.1X или через точку
беспроводного доступа на базе порта 802.1X, которые настроены как
RADIUS-клиенты для сервера Cisco AAA.
- После получения сервером Cisco AAA запроса на подключение от
сервера доступа к сети или маршрутизатора сервер Cisco AAA
запрашивает у клиента данные состояния работоспособности путем
отправки привязки EAP-TLV.
- Агенты работоспособности системы на клиентском компьютере
сообщают о статусе работоспособности агенту защиты доступа к сети
на клиентском компьютере, который создает состояние
работоспособности и отправляет его на сервер Cisco AAA.
- Сервер Cisco AAA перенаправляет состояние работоспособности с
использованием протокола HCAP на сервер политики сети, выступающий
в качестве прокси или сервера, вместе с такими данными о клиентском
компьютере, как идентификатор пользователя, идентификатор
компьютера и расположение.
- Если HCAP-сервер с сервером политики сети настроен на работу в
качестве RADIUS-прокси, сервер политики сети перенаправляет запрос
на авторизацию в соответствующую группу удаленных RADIUS-серверов.
(Группа выбирается по результатам сверки с настроенными политиками
запросов на подключение на сервере политики сети.) Если HCAP-сервер
с сервером политики сети настроен на работу в качестве
RADIUS-сервера, запрос на авторизацию обрабатывается этим
сервером.
- Сервер политики сети сверяет состояние работоспособности с
настроенными политиками сети и при обнаружении соответствующей
политики сети создает отклик о состоянии работоспособности, который
направляется обратно клиенту. Эти данные наряду со сведениями о
состоянии применения защиты доступа к сети и сведениями о
расширенном состоянии отправляются обратно на сервер Cisco AAA с
использованием протокола HCAP.
- Сервер Cisco AAA сверяет состояние применения защиты доступа к
сети с политикой Cisco Network Admission Control и определяет
профиль доступа к сети.
- Сервер Cisco AAA отправляет данный профиль доступа к сети на
сервер доступа к сети (коммутатор, точку доступа или
маршрутизатор). Профиль доступа к сети содержит сведения, которые
указывают серверу доступа к сети, следует ли предоставить
клиентскому компьютеру полный доступ, ограниченный доступ или
отказать ему в доступе к сети.
- Сервер Cisco AAA отправляет отклик о состоянии
работоспособности обратно на клиентский компьютер.
- Если конфигурация клиентского компьютера не соответствует
политике работоспособности и отклик о состоянии работоспособности
предписывает выполнение обновления для клиента, данный клиент
пытается предпринять требуемые действия, например загрузить
обновления программного обеспечения или изменить параметры
конфигурации. По окончании обновления клиент снова пытается
получить доступ к сети и процесс проверки подлинности и авторизации
выполняется снова.
Дополнительные источники информации
Дополнительные сведения см. в разделе «Защита доступа к сети» на веб-страницах http://go.microsoft.com/fwlink/?LinkID=56443 и http://go.microsoft.com/fwlink/?LinkId=128799.