É possível adicionar diversos alternadores compatíveis com 802.1x para usar com um appliance LAN Enforcer como parte de uma política de alternador. Insira as informações necessárias para configurar a interação do appliance LAN Enforcer com o alternador.
Para adicionar uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente
1
No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores.2
Na página Admin, em Exibir servidores, selecione o grupo do Enforcer.3
Na página Admin, em Exibir servidores, em Tarefas, clique em Editarpropriedades do grupo.
4
Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em Adicionar.179 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
5
No painel Bem-vindo ao Assistente de Configuração de política do alternador do Assistente de Configuração de política do alternador, clique em Avançar.6
No painel Informações básicas do Assistente de Configuração de política do alternador, complete as seguintes tarefas:Digite um nome de sua escolha que identifique a política do alternador.
Por exemplo, é possível usar o nome do fabricante e o modelo como o nome da política do alternador.
Nome da política de alternador
O LAN Enforcer usa o modelo de alternador para determinar o atributo do servidor RADIUS específico do fornecedor. Selecione o seguinte modelo compatível com 802.1x na lista de alternadores compatíveis:
■ Outro
Se o modelo não estiver relacionado, selecione Outro para usar como um atributo genérico do servidor RADIUS.
■ 3Com
■ Alternador Alcatel ■ Cisco Catalyst Series ■ Enterasys Matix Series ■ Extreme Summit Series ■ Foundry Networks ■ HP Procurve Series ■ Nortel BayStack Series ■ Cisco Aironet Series ■ Alternadores Aruba
■ Controlador sem fio Airespace ■ Nortel Wireless
■ Controlador sem fio Enterasys ■ Alternador HuaWei
Nota:Se o administrador escolher o modo transparente no alternador, deverá configurar a política para usar o modo transparente no cliente, em vez de deixar o usuário selecionar.
Modelo de alternador
O segredo compartilhado usado para comunicação entre o alternador compatível com 802.1x e o appliance LAN Enforcer. A senha criptografada ou o segredo compartilhado diferencia maiúsculas de minúsculas.
Encrypted password or Shared secret (Senha criptografada ou segredo compartilhado)
Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador
Você deve digitar a senha criptografada ou o segredo compartilhado novamente. Confirm encrypted password or shared secret (Confirme a senha criptografada ou o segredo compartilhado)
Se você usar o appliance LAN Enforcer com um servidor RADIUS, selecione o grupo de servidor RADIUS na lista de grupo de servidor RADIUS disponível.
Grupo de servidor RADIUS
Digite o período de tempo em segundos durante o qual o cliente deve ser autenticado novamente. Caso contrário, o cliente é removido da lista de clientes conectados no LAN Enforcer.
Deve ser definido o período de nova autenticação pelo menos para o dobro do período de tempo do intervalo da nova autenticação no alternador.
Por exemplo, se o intervalo de nova autenticação no alternador for de 30 segundos, o período de nova autenticação no appliance LAN Enforcer deve ser de, pelo menos, 60 segundos. Do contrário, o appliance LAN Enforcer supõe que o cliente alcançou o tempo limite. Portanto, o cliente não libera nem renova seu endereço IP. A configuração padrão é 30 segundos. Período de nova
autenticação (segundos)
É possível permitir que o appliance LAN Enforcer encaminhe os pacotes RADIUS que contenham outros protocolos de autenticação além de EAP. Outros protocolos incluem Challenge Handshake Authentication Protocol (CHAP) e PAP.
A configuração padrão é ativada. Encaminhar protocolos
além de EAP
7
No painel Informações básicas do Assistente de Configuração de política do alternador, clique em Avançar.8
No painel Lista do alternador do Assistente de Configuração de política do alternador, clique em Adicionar.181 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
9
No painel Lista do alternador do Assistente de Configuração de política do alternador, complete as seguintes tarefas:Na caixa de diálogo Adicionar endereço IP interno individual, digite um nome amigável para a política do alternador para identificar o alternador compatível com 802.1x no campo Nome.
Nome
Na caixa de diálogo Adicionar endereço IP interno individual, clique em Endereço IP individual. Em seguida, digite o endereço IP do alternador compatível com 802.1x no campo Endereço IP.
Endereço IP individual
Na caixa de diálogo Adicionar o intervalo de endereço IP interno, clique em Intervalo de endereço IP. Digite o endereço IP inicial do alternador compatível com 802.1x no campo Endereço IP inicial. Digite o endereço IP final do intervalo IP do alternador compatível com 802.1x no campo IP final.
Intervalo de endereço IP
Na caixa de diálogo Adicionar a sub-rede do endereço IP interno, clique em Sub-rede. Digite o endereço IP da sub-rede no campo Endereço IP e a sub-rede no campo Máscara de sub-rede.
Sub-rede
Ao especificar uma política de alternador para um appliance LAN Enforcer, é possível associar a política de alternador a um ou mais alternadores compatíveis com 802.1x.
10
Na caixa de diálogo Adicionar endereço IP interno, clique em OK..11
No painel Lista do alternador do Assistente de Configuração de política do alternador, clique em Avançar.12
No painel Configuração VLAN do alternador do Assistente de Configuração de política do alternador, clique em Adicionar.Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador
13
Na caixa de diálogo Adicionar VLAN, complete as seguintes tarefas:Digite um número inteiro que pode ir de 1 a 4094 no campo ID da VLAN.
O ID da VLAN deve ser igual ao configurado no alternador compatível com 802.1x, exceto para o alternador Aruba. Se planeja adicionar informações VLAN sobre um alternador Aruba, talvez queira configurar a VLAN e as informações de função de maneira diferente da configurada para os outros alternadores 802.1x.
Consulte“Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x”na página 196. ID da VLAN
Digite um nome para a VLAN.
Esse nome pode ter até 64 caracteres e diferencia maiúsculas de minúsculas.
O nome VLAN deve ser igual ao configurado no alternador compatível com 802.1x, exceto para o alternador Aruba. Se planeja adicionar informações VLAN sobre o alternador Aruba, talvez queira configurar a VLAN e as informações de função de maneira diferente da configurada para os outros alternadores 802.1x.
Consulte“Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x”na página 196. Nome VLAN
Marque Enviar atributos RADIUS personalizados para o
alternador se deseja que o LAN Enforcer envie um atributo
RADIUS personalizado para o alternador compatível com 802.1x. Uma lista de controle de acesso (ACL, Access Control List) pode ser um atributo.
Consulte“Sobre o suporte a atributos dos modelos de alternador”na página 176.
Enviar atributos RADIUS personalizados para o alternador
Digite o atributo RADIUS em formato hexadecimal. O tamanho deve ser par.
Atributos personalizados em formato hexadecimal
Ao especificar uma política de alternador para um LAN Enforcer, use a guia VLAN para adicionar as informações para cada VLAN configurada no alternador. Você deseja que a política do alternador esteja disponível para ser usada pelo LAN Enforcer como uma ação. Recomenda-se especificar pelo menos uma VLAN de correção.
14
Na caixa de diálogo Adicionar VLAN, clique em OK.183 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
15
No painel Configuração VLAN do alternador do Assistente de Configuração de política do alternador, clique em Avançar.16
No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, clique em Adicionar.17
Na caixa de diálogo Adicionar ação do alternador, complete as seguintes tarefas:Clique em qualquer uma destas condições: ■ Passou
■ Falhou ■ Não disponível ■ Ignorar resultado
A situação mais comum em que uma verificação de integridade do host se torna indisponível é quando o cliente não está em execução. Se definir Autenticação do host como Não disponível, defina também Verificação de política como Não disponível.
Autenticação do host
Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador
Clique em qualquer uma destas condições: ■ Passou
O cliente foi aprovado na autenticação do usuário. ■ Falhou
O cliente não foi aprovado na autenticação do usuário. ■ Não disponível
O resultado da autenticação do usuário será sempre "não disponível" se a autenticação do usuário não for realizada no modo transparente. Se o LAN Enforcer for usado no modo transparente, crie uma ação para a condição Não disponível.
Se a configuração básica for usada, também pode desejar configurar-se uma ação para a autenticação do usuário como uma condição de erro. Por exemplo, caso um suplicante 802.1x usar um método incorreto de autenticação do usuário ou se o servidor RADIUS falhar no meio da transação de autenticação.
A condição "Não disponível" para a autenticação do usuário também pode ocorrer em alguns servidores RADIUS se o nome do usuário não existir no banco de dados RADIUS. Por exemplo, esse problema pode ocorrer com o Microsoft IAS. Portanto, pode ser que você queira testar a condição de um nome de usuário ausente com o servidor RADIUS. Convém verificar se isso coincide com as condições Falhou ou Não disponível da autenticação do usuário.
■ Ignorar resultado
A situação mais comum em que uma verificação de integridade do host se torna indisponível é quando o cliente não está em execução. Se você definir Verificação de política como Não disponível, defina também Autenticação do host como Não disponível.
Autenticação do usuário
185 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
Clique em qualquer uma destas condições: ■ Passou
O cliente foi aprovado na verificação de política. ■ Falhou
O cliente não foi aprovado na verificação de política. ■ Não disponível
O resultado "Não disponível" da política pode ocorrer nas seguintes condições:
■ Se o cliente tiver um identificador inválido, o LAN Enforcer não poderá obter informações de política do servidor de gerenciamento. Esse problema pode ocorrer se o servidor de gerenciamento que implementou a política do cliente não estiver mais disponível.
■ Se o cliente é exportado e instalado pela primeira vez antes de se conectar ao servidor de gerenciamento e receber sua política.
■ Ignorar resultado Verificação de política
É possível selecionar abaixo as ações que o alternador compatível com 802.1x executa quando as condições são satisfeitas:
■ Abrir porta
O alternador compatível com 802.1x permite acesso à rede na VLAN padrão ao qual a porta normalmente é atribuída. Também permite acesso à rede na VLAN que é especificada em um atributo enviado do servidor RADIUS. Portanto, o suporte a usuários que têm acesso à VLAN se baseia no ID do usuário e na função do usuário. A ação padrão é Abrir porta.
■ Alternar para teste de VLAN.
Permite acesso à VLAN especificada. As VLANs disponíveis para seleção são aquelas configuradas anteriormente.
■ Fechar porta
Nega acesso à rede na VLAN padrão ou na VLAN específica do RADIUS. Em alguns modelos de alternador, conforme a configuração, a porta é atribuída a uma VLAN convidada.
Para o alternador Aruba, é possível restringir o acesso de acordo com uma função especificada, assim como uma VLAN especificada. As restrições dependem de como as
informações VLAN foram configuradas para a política do alternador.
Ação
Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador
18
Na caixa de diálogo Adicionar ação do alternador, clique em OK.19
No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, na tabela Switch Action (Ação do alternador), clique na política do alternador cuja prioridade deseja modificar.O LAN Enforcer verifica os resultados da autenticação com as entradas na tabela de ação do alternador na ordem de cima para baixo da tabela. Após encontrar um conjunto de condições correspondentes, o LAN Enforcer orienta o alternador compatível com 802.1x a aplicar a ação. É possível modificar a seqüência na qual as ações são aplicadas ao modificar a ordem em que estão listadas na tabela.