NAC-applicatie: Mac OSX AV Postal on Cisco NAC release 4.5 Configuratievoorbeeld
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Conventies
Mac Posture Assessment met Clam AntiVirus (ClamAV)
Stap 1. Configureer een regel om te controleren of ClamAV is geïnstalleerd
Stap 2. Het configureren van een vereiste om gebruikers te herstellen indien ClamAV niet is geïnstalleerd
Stap 3. Koppel de installatievereisten voor een link in de AV-installatie Stap 4. Configureer een regel om te controleren of ClamAV is bijgewerkt
Stap 5. Het configureren van een vereiste om gebruikers te herstellen indien ClamAV niet is bijgewerkt
Stap 6. Stel de AV-eis voor bijwerken van de definitie van het virus in kaart Stap 7. Stel de vereisten voor rollen in kaart
Stap 8. Toegang tot de plaats van bewerking in tijdelijke rol Controleer de eindgebruikerservaring
Problemen oplossen Gerelateerde informatie
Inleiding
Dit document beschrijft hoe u Mac OS X Clean Access Agent-beoordeling kunt configureren via de Network Admission Control (NAC) Manager-webconsole voor release 4.5.
De beoordeling van de positie van Mac in deze release is beperkt tot alleen AV/AS-ondersteuning.
Raadpleeg de Releaseopmerkingen van Cisco NAC-applicatie (Clean Access) voor de lijst van AV/AS die op Mac OSX worden ondersteund.
Voorwaarden
Vereisten
Volg deze stappen voordat u deze configuratie probeert:
Dit document gaat ervan uit dat u Cisco NAC-softwarerelease 4.5 draait en dat u de volgende stappen hebt voltooid in overeenstemming met de richtlijnen in de Cisco NAC-applicatie - Clean
Access Manager Installatie- en Configuration Guide, release 4.5:
Installeer of upgrade van uw NAC Manager en NAC Server met Cisco NAC-applicatie release 4.5, zoals beschreven in Cisco NAC-applicatie, hardware Installatie Quick Start Guide, release 4.5.
1.
Zorg ervoor dat de nieuwste Mac OS X Agent (versie 4.5) en AV/AS
ondersteuningspakketten beschikbaar zijn op uw NAC Manager zoals beschreven in Configuratie- en downloads.
2.
Aanlogpagina voor de standaardgebruiker maken zoals beschreven in de gebruikerslogpagina.
3.
Vereist het gebruik van de Mac OS X Clean Access Agent 4.5 zoals beschreven in het vereiste gebruik van de Agent.
4.
Maak een of meer gebruikersrollen voor Macintosh-gebruikers zoals beschreven in Gebruikersrollen maken.
5.
Opmerking: Raadpleeg het gedeelte MAC OS X Agent-beperkingen voor OS X-versies en AV/AS- producten en Eis-typen die worden ondersteund voor Mac-pozierbeoordeling.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco NAC release 4.5.
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Mac Posture Assessment met Clam AntiVirus (ClamAV)
Het doel van deze procedure is na te gaan of ClamAV 1.1.0 is geïnstalleerd en bijgewerkt met behulp van de meest recente virusdefinities op de clientmachine.
Als ClamAV 1.1.0 niet op de clientmachine is geïnstalleerd, moet u de gebruiker een link naar de ClamAV website geven om de software te kunnen downloaden en installeren. Daarna moet u controleren of ClamAV met de nieuwste definities is bijgewerkt. Als dit niet het geval is, kan de Clean Access Agent met Clam AV communiceren via een API-gesprek (met het type AV-eis) en ClamAV vragen zichzelf bij te werken.
Opmerking: Vanaf de release van Cisco NAC 4.5 wordt het vereiste voor AV-update alleen ondersteund met ClamWin AV. Voor alle andere AV/AS kan een Link Distribution of Local Check type of requirements worden ingesteld om gebruikers te saneren als hun virusdefinities niet worden bijgewerkt.
Stap 1. Configureer een regel om te controleren of ClamAV is geïnstalleerd
Ga naar Apparaatbeheer > Toegang reinigen > Reinigen > Regels > Nieuwe AV- 1.
regel.
Typ een naam voor de regel. Dit voorbeeld gebruikt
Is_Clamwin_Geïnstalleerde_OSX.Opmerking: Wees beschrijvend, zodat u eenvoudig het doel van de regel kunt bepalen. U kunt cijfers gebruiken en de letters in de naam
onderstrepen, maar geen spaties.
2.
Kies ClamWin uit de vervolgkeuzelijst Antivirusverkoper.
3.
Kies de installatie in de vervolgkeuzelijst Type.
4.
Kies Mac OSX in de vervolgkeuzelijst Besturingssysteem.De tabel onder aan de pagina is met deze waarden
ingevuld.
5.
Controleer het dialoogvenster Installatie voor 1.x.
6.
Typ een beschrijving in het veld Description en klik op regel opslaan.
7.
De nieuwe regel AV wordt toegevoegd aan de onderkant van de lijst met regels.
Stap 2. Het configureren van een vereiste om gebruikers te herstellen indien ClamAV niet is geïnstalleerd
Als het Clean Access Agent detecteert dat ClamAV 1.1.0 niet op de clientmachine is geïnstalleerd,
plaatst u de gebruiker in quarantaine. Op dit punt kunt u een type Link Distribution configureren om de gebruiker een link te geven om ClamAV 1.1.0 te downloaden.
Klik op het tabblad Clean Access Agent en vervolgens op Requirements.
1.
Klik op Nieuwe eis.
2.
Kies Link Distribution in de vervolgkeuzelijst Eisen type.
3.
Kies verplicht in de vervolgkeuzelijst Afdwingingstype.In dit voorbeeld wordt de eindgebruiker op de hoogte gesteld van dit vereiste en kan niet doorgaan of netwerktoegang hebben tenzij het clientsysteem aan het vereiste voldoet.Zie Optioneel/auditvereiste instellen voor
informatie over andere handhavingstypen.
4.
Kies het prioriteitsniveau voor de uitvoering van dit vereiste op de clientmachine.Een hoge prioriteit (bijvoorbeeld 1) betekent dat dit vereiste op het systeem wordt gecontroleerd
voordat alle andere vereisten worden nageleefd (en in die volgorde wordt weergegeven in de dialogen met het Clean Access Agent). In dit voorbeeld wordt ervan uitgegaan dat de
installatiecontrole van ClamWin de eerste posteringsplicht is en wordt de prioriteit op één (1) ingesteld.Opmerking: De Mac OS X Agent ondersteunt automatische herstel niet. Daarom is het hersteltype ingesteld op handmatige handelingen. Ook de functies die op de
configuratiepagina Nieuwe eis verschijnen (Afwikkelingstype, Interval en Aantal opnieuw proberen) dienen geen enkel doel wanneer u verplichte typen maakt voor Macintosh-client- herstel.
5.
Typ in het tekstveld Bestand Link URL de URL waaraan de eindgebruikers geregisseerd moeten worden om ClamAV 1.1.0 te downloaden.
6.
Typ in het veld Naam vereiste een unieke naam die de actie naar de eindgebruiker
doorgeeft.Deze naam is zichtbaar voor gebruikers in het dialoogvenster Clean Access Agent.
Dit voorbeeld gebruikt Download ClamAV.
7.
Typ in het veld Description een beschrijving van de eis en instructies om gebruikers te 8.
begeleiden die niet aan de eis voldoen.
Klik het aankruisvakje Mac OS aan in de sectie Besturingssysteem.
9.
Klik op Eis toevoegen om de vereiste toe te voegen aan de lijst met eisen.
10.
De nieuwe eis wordt toegevoegd aan de lijst van eisen.
Stap 3. Koppel de installatievereisten voor een link in de AV-installatie
Klik op het tabblad Clean Access Agent en vervolgens op Requirements.
1.
Klik op
Voorschriften.
2.
Kies in de vervolgkeuzelijst Voornaam de vereiste die u in Stap 2 hebt gemaakt.
3.
Kies Mac OSX in de vervolgkeuzelijst Besturingssysteem.De regels die voor het gekozen besturingssysteem zijn gemaakt, worden onder op de pagina
weergegeven.
4.
Klik op het aankruisvakje voor de regel die u in Stap 1 hebt gemaakt en klik vervolgens op Update.
5.
Stap 4. Configureer een regel om te controleren of ClamAV is bijgewerkt
Ga naar Apparaatbeheer > Toegang reinigen > Reinigen > Regels > Nieuwe AV- regel.
1.
Typ een naam voor de regel. Dit voorbeeld gebruikt Is_ClamAV_Upated_OSX.Opmerking:
Wees beschrijvend, zodat u eenvoudig het doel van de regel kunt bepalen. U kunt cijfers gebruiken en de letters in de naam onderstrepen, maar geen spaties.
2.
Kies ClamWin uit de vervolgkeuzelijst Antivirusverkoper.
3.
Kies Virus Definition in de vervolgkeuzelijst Type.
4.
Kies Mac OSX in de vervolgkeuzelijst Besturingssysteem.De Virus Definitie Controles voor Mac OSX-tabel onder op de pagina zijn
ingevuld.
5.
Controleer het dialoogvenster Installatie voor 1.x.
6.
Typ een beschrijving in het veld Description en klik op regel opslaan.
7.
De nieuwe regel AV wordt toegevoegd aan de onderkant van de lijst met regels.
Stap 5. Het configureren van een vereiste om gebruikers te herstellen indien
ClamAV niet is bijgewerkt
Als het Clean Access Agent detecteert dat ClamAV 1.1.0 niet op de clientmachine is bijgewerkt, plaatst u de gebruiker in quarantaine. Op dit punt is er een knop voor bijwerken beschikbaar om het probleem op te lossen.
Zodra de gebruiker op de knop Update klikt, communiceert de automatische toegangsinstantie met de onderliggende ClamAV-software en vraagt deze ClamAV zich aan te passen.
U kunt een type AV Definition Update vereisten configureren om deze functionaliteit te implementeren.
Klik op het tabblad Clean Access Agent en vervolgens op Requirements.
1.
Klik op Nieuwe eis.
2.
Kies AV Definition Update uit de vervolgkeuzelijst Eisen Type.
3.
Kies verplicht in de vervolgkeuzelijst Afdwingingstype.In dit voorbeeld wordt de eindgebruiker op de hoogte gesteld van dit vereiste en kan niet doorgaan of netwerktoegang hebben tenzij het clientsysteem aan het vereiste voldoet.Zie Optioneel/auditvereiste instellen voor
informatie over andere handhavingstypen.
4.
Kies het prioriteitsniveau voor de uitvoering van dit vereiste op de clientmachine.Een hoge prioriteit (bijvoorbeeld 1) betekent dat dit vereiste op het systeem wordt gecontroleerd
voordat alle andere vereisten worden nageleefd (en in die volgorde wordt weergegeven in de dialogen met het Clean Access Agent). In dit voorbeeld wordt ervan uitgegaan dat de
controle van de bijwerking ClamWin de tweede posteringsplicht is en wordt de prioriteit op twee (2) ingesteld.Opmerking: De Mac OS X Agent ondersteunt automatische herstel niet.
Daarom is het hersteltype ingesteld op handmatige handelingen. Houd er ook rekening mee dat de opties Afwikkelingstype, Interval en Teller opnieuw proberen die op de
configuratiepagina voor nieuwe eis verschijnen geen enkel doel dienen wanneer u verplichte 5.
typen maakt voor Macintosh-client-herstel.
Kies ClamWin - (Mac OS) van de vervolgkeuzelijst Naam van de verkoper van het antivirus.Waarschuwing: zorg ervoor dat u de optie ClamWin - (Mac OS) kiest en niet de optie ClamWin.Opmerking: Vanaf de release van Cisco NAC 4.5 wordt het vereiste voor AV- update alleen ondersteund met ClamAV op Mac OSX. Voor alle andere AV/AS op Mac OSX kan een linkdistributie of een soort lokale controle worden ingesteld om gebruikers te
saneren als hun virusdefinities niet worden bijgewerkt.
6.
Typ in het veld Naam vereiste een unieke naam die de actie naar de eindgebruiker
doorgeeft.Deze naam is zichtbaar voor gebruikers in het dialoogvenster Clean Access Agent.
Dit voorbeeld gebruikt Update ClamAV.
7.
Typ in het veld Description een beschrijving van de eis en instructies om gebruikers te begeleiden die niet aan de eis voldoen.
8.
Klik het aankruisvakje Mac OS aan in de sectie Besturingssysteem.
9.
Klik op Eis toevoegen om de vereiste toe te voegen aan de lijst met eisen.
10.
De nieuwe eis wordt toegevoegd aan de lijst van eisen.
Stap 6. Stel de AV-eis voor bijwerken van de definitie van het virus in kaart
Klik op het tabblad Clean Access Agent en vervolgens op Requirements.
1.
Klik op
Voorschriften.
2.
Kies in de vervolgkeuzelijst Voornaam de vereiste die u in Stap 5 hebt gemaakt.
3.
Kies Mac OSX in de vervolgkeuzelijst Besturingssysteem.De regels die voor het gekozen 4.
besturingssysteem zijn gemaakt, worden onder op de pagina weergegeven.
Klik op het aanvinkvakje voor de regel die u in Stap 4 hebt gemaakt en klik vervolgens op Update.
5.
Stap 7. Stel de vereisten voor rollen in kaart
Op dit punt kunt u de postvereisten (die aan regels zijn gekoppeld) koppelen aan de rol waarin de eindgebruiker wordt geplaatst.
Klik op het tabblad Clean Access Agent en vervolgens op Rollend-vereisten.
1.
Klik op Rol- vereisten.
2.
Kies de normale Login Rol type in de vervolgkeuzelijst.
3.
Kies in de vervolgkeuzelijst Gebruikerspel de rol waar u de postervereisten wilt toepassen.
Dit voorbeeld is van toepassing op de posteringsplicht van de werknemer.De vereisten die eerder in dit voorbeeld zijn gemaakt, worden onder op de pagina
weergegeven.
4.
Controleer de aankruisvakjes voor de vereisten die u op deze rol wilt toepassen en klik op Bijwerken.
5.
Stap 8. Toegang tot de plaats van bewerking in tijdelijke rol
Wanneer gebruikers niet aan de voorschriften voldoen, worden ze in quarantaine geplaatst en in de tijdelijke rol geplaatst. Op dit punt moeten de gebruikers de herstelbronnen kunnen bereiken (AV-server, websites, patchservers, enz.) zodat ze zichzelf kunnen herstellen.
Daartoe moet u in de tijdelijke rol een passende toegang bieden. In dit voorbeeld moeten de gebruikers http://www.clamxav.com kunnen bereiken voor zowel de vereisten (installatie- als virusdefinitiedetailleerprogramma).
Kies Gebruikersbeheer > Gebruikersrollen en klik vervolgens op het tabblad verkeerscontrole.
1.
Klik op 2.
Host.
Kies tijdelijke rol in de vervolgkeuzelijst en rol onderaan de lijst.
3.
Voeg clamxav.com toe aan de lijst Toegestaan host en klik op Add.
Deze stap waarborgt dat het verkeer van de klanten naar http://www.clamxav.com is toegestaan door de NAC servers.Opmerking: deze twee voorwaarden zijn belangrijk:De NAC-server gebruikt de DNS-respons van de DNS-server om de toegang dynamisch te openen. Vandaar dat het retourverkeer van de DNS-server (DNS-respons) via de NAC- server moet gaan.U moet een vertrouwde DNS server gedefinieerd hebben. Voor beste praktijken raadt Cisco u aan specifieke DNS server-items hier toe te voegen in plaats van op alle DNS-servers (*) te vertrouwen. Dit voorbeeld voegt de DNS server-IP (192.168.2.44) toe als een vertrouwde DNS-server. U kunt meerdere vertrouwde DNS-servers toevoegen. Als u geen vertrouwde DNS server hebt gedefinieerd, adviseert NAC Manager u
dienovereenkomstig via een bericht zoals in deze afbeelding:
4.
Controleer de eindgebruikerservaring
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Dit scenario van de postcontrole van Mac veronderstelt dat uw aanvankelijk NAC opstelling (NAC Manager en Server) volledig is en dat de NAC Server bereikbaar is van de clientmachines. Cisco Clean Access Agent 4.5.0.0 dient te worden geïnstalleerd op de Mac dat OSX 10.4 of hoger draait. Dit scenario veronderstelt dat de Mac ClamAV niet vóór deze test heeft geïnstalleerd.
Meld u aan bij het Clean Access Agent (versie 4.5.0.0).
U bent in quarantaine geplaatst en wordt gevraagd om te saneren.
1.
Opmerking: De UN-vinkjes zijn afgevinkt maar niet bewerkbaar, omdat de vereisten verplicht zijn. Als een vereiste als optioneel was ingesteld, kan het aanvinkvakje RUN bewerkbaar zijn en kunt u ervoor kiezen om aan die eis voorbij te gaan.
Klik op Opfrissen.U wordt terugverwezen naar de website ClamAV.
2.
Download en installeer ClamAV.Mogelijk is het mogelijk dat u de Clam Antivirus Engine gaat gebruiken voordat u ClamAV kunt gebruiken zoals in deze afbeelding wordt
weergegeven:
3.
Volg de instructies op het scherm om de installatie te voltooien.
De Clean Access Agent geeft de status van de Download ClamAV-eis weer als geslaagd en gaat over tot de tweede vereiste (Update
ClamAV).
4.
Wanneer ClamAV is bijgewerkt, toont de status van de Update ClamAV eisen succes.
Klik op Complete om in te loggen op het netwerk.Zodra u met succes hebt aangemeld bij het netwerk, verschijnen deze
berichten.
5.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
Ondersteuning van Cisco NAC-applicatie (Clean Access)
●
Technische ondersteuning en documentatie – Cisco Systems
●