Configuracion Del Sso Con El Directorio Activo De Windows Server 2003

Configuración de Active Directorio de inicio de sesión único (SSO AD) En este capítulo se describe cómo configurar Active Directory (AD) Single SignOn (SSO) para el dispositivo Cisco NAC. Los temas incluyen: • Información general • SSO AD configuración Paso Resumen • Añadir SSO Active Directory Server de autenticación • Configurar las políticas de tráfico para el papel no autenticados •Configurar SSO AD en el CAS • Configurar el servidor de AD y ejecutar comandos Ktpass • Habilitar el agente basado en Windows Single Sign-On con Active Directory (Kerberos) • Confirmar AD servicio de SSO se ha iniciado • Habilitar actualizaciones GPO • Habilitación de un script de conexión (opcional) • Añadir servidor de búsqueda de LDAP para SSO Active Directory (opcional) • Solución de problemasInformación general Puede configurar Cisco NAC Appliance para autenticar automáticamente Clean Access usuarios agente que ya ha entrado en un dominio de Windows. AD SSO permite a los usuarios iniciar sesión en AD en sus sistemas Windows para ir automáticamente a través de la evaluación de la postura o certificación de acceso limpio sin tener que registrarse a través del Agente. Cisco NAC Appliance escompatible con Windows Single Sign-On (SSO) en los equipos cliente Windows Vista/XP/2000 y AD en Windows 2000/2003 servidores, como se muestra en la tabla 10-1 . Tabla 10-1 soporte técnico de Windows Active SSO Directorio Active Directory (AD) de servidores • • • • Las máquinas cliente una Windows 2000 SP4 Windows XP (Home / Pro) SP1, SP2 y más tarde Windows Vista

Windows 2000 Server • Service Pack4 • Windows 2003 Enterprise Service Pack 1 • Windows 2003 R2 Enterprise Windows 2003 Standard Service Pack 1 de 2

1 AD SSO requiere la Clean Access agente que se instala en los sistemas cliente (por ejemplo, no se puede utilizar un cliente de Kerberos Linux para el TDA SSO con CCA.) 2 de Windows 2003 sin SP1 no es compatible.

Nota Puede configurar AD SSO para todos los tipos de despliegue(L2/L3, in-band/out-of-band). Por fuera de banda, puertos de cliente se ponen en la VLAN de autenticación primero antes de la autenticación de dominio de Windows. Con AD SSO, Cisco NAC Appliance autentica al usuario con Kerberos, pero autoriza al usuario con LDAP. Cisco NAC Appliance aplica la credenciales almacenadas en caché / vale de Kerberos de la entrada de la máquina cliente y lo utilizapara validar la autenticación del usuario con el servidor Windows 2000/2003 Server Active Directory. Después de la autenticación de usuario se valida, la autorización (role-mapping) entonces se realiza como un archivo de búsqueda en Active Directory mediante LDAP.

Nota La cuenta de usuario LDAP debe tener privilegios suficientes para proporcionar una "búsqueda DN / Contraseña" que se puedeutilizar para buscar cualquier atributo. De procesos de Windows SSO (Bolsa de Kerberos Ticket) Windows SSO es la capacidad de la CCA para autenticar automáticamente a los usuarios ya autenticado en un motor de Kerberos del controlador de dominio (el servidor de Active Directory). Figura 1.10 muestra el proceso general para el intercambio de vale de Kerberos. Figura 10-1 Proceso General de KerberosIntercambio de entradas

Cuando el Clean Access Server está configurado para el TDA SSO, esencialmente reemplaza los "Servicios de red" componente se muestra en la Figura 10-1 . La secuencia general es la siguiente: • Cliente y CAS ambos tienen una cuenta en el servidor de Active Directory. • Cliente inicia sesión en Windows AD (o utiliza credenciales almacenadas en caché). • Credenciales se envían ala AD. El AD autentica y le da un billete de concesión de vales (TGT) al cliente.

El Clean Access agente en el cliente le pide al cliente para una Venta de entradas (ST) con el nombre de usuario CAS para comunicarse con el CAS. - El cliente solicita una Venta de entradas de la AD. - El AD da la ST para el cliente, el cliente da el ST para el agente. - El agente es ahora capaz de comunicarse...