NAC(CCA)配置在CleanAccess管理器的验证.PDFVIP

NAC(CCA) ：配置在Clean Access管理器的验证 有ACS的5.x和以后 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 配置在CCA的验证与ACS 5.x ACS5.x配置 故障排除 相关信息 简介 本文提供信息如何配置在Clean Access管理器(CAM)的验证用思科安全访问控制系统(ACS) 5.x和以 后。对于一相似的配置使用版本早于ACS 5.x，参考NAC(CCA) ：配置在Clean Access管理器 (CAM)的验证有ACS的。 先决条件 要求 此配置是可适用的对CAM版本3.5和以上。 使用的组件 本文档中的信息根据CAM版本4.1。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： 配置在CCA的验证与ACS 5.x 完成这些步骤： 1. 添加新的角色 创建Admin角色从CAM，请选择用户管理用户角色New角色。输入唯一的名 称， admin ，在角色的作用的Name字段。输入管理员用户角色作为一个可选角色说明。选择 正常洛金角色作为角色类型。配置带外(OOB)用户角色与适当的VLAN的VLAN。例如，请选择 VLAN ID并且指定ID作为10。 当完成，请单击创建角色。为了恢复在表的默认属性，请点击 “Reset”。角色在角色列表当前出现选项卡如OOB基于任务的映射部分的标记VLAN所显示。创 建用户角色从CAM，请选择用户管理用户角色New角色。输入唯一的名称，用户 ，在角色 的作用的Name字段。输入普通用户角色作为一个可选角色说明。配置带外(OOB)用户角色与 适当的VLAN的VLAN。例如，请选择VLAN ID并且指定ID作为20。当完成，请单击创建角色。 为了恢复在表的默认属性，请点击“Reset”。角色在角色列表当前出现选项卡如OOB基于任务 的映射部分的标记VLAN所显示。 2. OOB基于任务的映射的标记VLAN到目前为止从CAM，请选择用户管理角色用户角色列表为 了看到角色列表。 3. 添加RADIUS认证服务器(ACS)选择用户管理认证服务器New。从认证类型下拉菜单，请选 择Radius。输入运营商名称作为ACS 。输入服务器名作为。服务器端口— 1812端口号在哪些RADIUS服务器侦听。Radius类型— RADIUS验证方法。支持的方法包括 EAPMD5、PAP、CHAP、MSCHAP和MSCHAP2。使用默认角色，如果映射对ACS没有正确 地定义也没有设置，或者，如果RADIUS属性在ACS没有正确地定义也没有设置。共享塞克雷 — RADIUS共享秘密区域对指定的客户端IP地址。nas-ip-address —用所有RADIUS验证数据 包将传送的此值。单击添加服务器。 4. 映射ACS用户对CCA用户角色选择用户管理认证服务器映射映射林克的规则Add为了映射 ACS的管理员用户到CCA管理员用户角色。选择用户管理认证服务器映射映射林克的规则 Add为了映射在ACS的普通用户到CCA用户角色。这是用户角色映射摘要： 5. 在用户页的Enable (event)备选供应商选择Administration 用户页登录页Add 内容 为了启 用在用户登录页的备选供应商。 ACS5.x配置 1. 选择网络资源网络设备和AAA客户端 ，然后单击创建为了添加CAM作为AAA客户端 。 2. 提供名称， IP地址并且选择RADIUS在认证选项下。然后，为CAM请提供共享塞克雷并且单击 提交。 3. 选择网络资源网络设备和AAA客户端 ，然后单击创建为了添加CAS作为AAA客户端 。 4. 提供名称， IP地址并且选择RADIUS在认证选项下。然后，为CAS请提供共享塞克雷并且单击 提交。 5. 选择网络资源网络设备和AAA客户端并且单击创建为了添加ASA作为AAA客户端 。 6. 提供名称， IP地址并且选择RADIUS在认证选项下。然后，为ASA请提