Configuratie van Active Directory single- aanmelding voor NAC Guest Server
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Conventies
Configureren Netwerkdiagram Configuraties Verifiëren
Toewijzing van ADSSO-gebruikersgroep controleren Problemen oplossen
Gerelateerde informatie
Inleiding
De Active Directory Single Sign-On (AD SSO) optie gebruikt Kerberos tussen de webbrowser van de client en de Cisco NAC Guest Server om automatisch een gast tegen een Active Directory Domain Controller te authenticeren.
Opmerking: Voor de doeleinden van dit document zijn de NTP- en DNS-servers ook actief in de DC, maar dit is mogelijk niet het geval in uw omgeving.
Voorwaarden
Vereisten
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
DNS moet worden geconfigureerd en op de Cisco NAC Guest Server werken.
●
DNS moet worden geconfigureerd en op de Domain Controller worden gewerkt.
●
De DNS-items voor de Cisco NAC Guest Server moeten worden gedefinieerd:Een recordPTR-record
●
De DNS-items voor de Domain Controller moeten worden gedefinieerd:Een recordPTR-record
●
De tijdinstellingen van Cisco NAC Guest Server moeten gesynchroniseerd worden met het Active Directory Domain.
●
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
NAC-Guest Server 2.0
●
Microsoft Windows XP met Internet Explorer 6.0
●
Windows Server 2003
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Configureren
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Netwerkdiagram
Het netwerk in dit document is als volgt opgebouwd:
Configuraties
Dit document gebruikt deze IP-adressen:
Domain Controller-172.23.117.46 (w2k3-server.cca.cisco.com)
●
NAC-server-172.23.17.42 (ngs.cca.cisco.com)
●
sponsormachine - 172.23.117.45
●
Voer de volgende stappen uit:
Toegang tot de NGS Admin Interface. Ga vanuit de browser naar http://172.23.117.42/admin
1.
NGS-netwerkconfiguratieKies Server > Netwerkinstellingen.Naam en adresDomain—ca.cisco.comPrimaire DNS-172.23.17.46
2.
NTP-instellingIn Server > Datum/Tijd, moet u de NTP-server configureren naar DC IP 172.23.117.46.
3.
AD SSO instellenVoordat u de SSO-sectie vormt, moet u ervoor zorgen dat de A- en PTR- records bestaan voor de domeincontroller en de NAC-gastserver.In de sectie AutoServer >
AutoSSO moet u dit configureren:
Als de configuratie geslaagd is, zou u een succesbericht moeten zien.
4.
bevestig de SSO-functieVanuit de gebruikersmachine logt u in het domein. In dit voorbeeld maakt deze machine deel uit van het cca domein. Alleen Internet Explorer wordt ondersteund voor de SSO-functie. U moet ervoor zorgen dat de NAC Guest Server deel uitmaakt van het lokale intranet en dat de auto-inlognaam is ingeschakeld.Opmerking: Gebruik de FQDN voor de gastenserver om de SSO van de browser te testen. Het IP-adres werkt bijvoorbeeld niet.Controleer de instellingen van de
webbrowser:
5.
Ga vanuit de webbrowser naar http://ngs.cca.cisco.com. U dient automatisch met de
domeinreferenties in te loggen op de ngs.Opmerking: de link http://ngs.cca.cisco.com werkt alleen als u NAC in de adminmodus hebt ingesteld met de
gebruikersreferenties.
Onder de Logs van de Auditing van de Server van de NAC, kunt u de gebruiker zien die Niall in de standaardgroep
inlogde:
Toewijzing van gebruikersgroepen met AD-SSO (optioneel)In deze sectie leert u de SSO- gebruiker in kaart te brengen naar een andere specifieke groep dan de standaardgroep.Om de gebruikersgroep met ADSO in kaart te brengen, moet u de Active Directory Server als Auth Server configureren en de AD-groep vervolgens in kaart brengen met de USSR- gebruikersgroep.Kies NGS (http://172.23.117.42/admin) authenticaties > sponsors > Active Directory servers. Voeg een nieuwe domeincontroller
toe.
6.
De optie van de testverbinding is in NGS 2.0 geïntroduceerd voor een eenvoudige probleemoplossing. Het vertelt u of u de DC correct hebt ingesteld.De gebruikersgroep configurerenVoeg een nieuwe naam van de gebruikersgroep toe—tijd. In dit voorbeeld, kies NEE om account aanmaak in bulk te zetten. Op deze manier weet u direct of de gebruiker in de tijdgroep of de standaardgroep is
geplaatst.
In Active Directory mapping is de teuser niall al een onderdeel van Domain Admins.
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten.
Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Toewijzing van ADSSO-gebruikersgroep controleren
Open een nieuwe browser om toegang te krijgen tot de Sponsor-machine en ga naar http://ngs.cca.cisco.com.
Niall moet in tijdgroep worden geplaatst zonder toegang tot bulkaccountcreatie.
Als je naar de auditlogbestanden kijkt, kun je controleren of de sponsor in de juiste rol is geplaatst.
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Dit zijn foutmeldingen in de logs. Kerberos-fouten resulteren in een van deze fouten:
Domain Format onjuist/Domain Controller moet een FQDN-adres zijn, geen IP-adres Het domein is niet in een juist formaat ingevoerd (dient van het formulier CCA.CISCO.COM te zijn).
●
Hostname moet een FQDN zijn, geen IP-adres. De hostnaam van de NAC Guest server kan geen IP-adres zijn; het moet een Full-Qualified Domain Name zijn, bijvoorbeeld nac.cca.cisco.com.
●
Kan IP-adres niet bepalen voor Domain Controller Er is een DNS-configuratieprobleem.
●
Kan geen DNS-A-record voor Domain Controller krijgen Er is een DNS-configuratieprobleem.
●
Kan DNS A-record niet voor hostname krijgen Er is een DNS-configuratieprobleem.
●
Kan geen DNS PTR-record voor IP-adres van controller voor het domein krijgen Er is een DNS- configuratieprobleem.
●
Kan DNS PTR-record niet voor hostname IP-adres krijgen Er is een DNS-configuratieprobleem.
●
aanmaken van computeraccount voor deze server op de Domain Controller is mislukt. Zie Toepassingslogbestand voor meer informatie . Bekijk het toepassingslogbestand om de volledige details van de fout te zien.
●
Ongeldige gebruikersnaam/wachtwoord De gebruikersnaam/het wachtwoord voor de beheerder is onjuist.
●
Ongeldig domein of kan geen netwerkadres voor DC oplossen Er is een DNS-probleem op de AD- server.
●
Domain Controller-tijd komt niet overeen met de tijd van deze server Zorg ervoor dat de servertijden overeenkomen, wordt aanbevolen om NTP te gebruiken om servertijden te synchroniseren.
●
De DC kan de hostname voor de Guest server niet bepalen door omgekeerde raadpleging. Er kan een probleem zijn met uw DNS-configuratie. Er is een DNS configuratie probleem op uw AD server.
●
Gerelateerde informatie
Technische ondersteuning en documentatie – Cisco Systems
●