ISEを使用したRADIUSサーバとしてのFMCおよびFTD外部認証の設定

Updated: 2023 年 10 月 2 日

Document ID:221009

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

背景説明

FMCの外部認証

FTDの外部認証

Network Topology

設定

ISE 設定

FMCの設定

FTD の設定

確認

概要

このドキュメントでは、Secure Firewall Management Center(FMC)とファイアウォール脅威対策の外部認証設定の例について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

Cisco Secure Firewall Management Centerの初期設定（GUIまたはシェルを使用）
ISE 上での認証ポリシーおよび認可ポリシーの設定.
RADIUS の基礎知識.

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

vFMC 7.2.5
vFTD 7.2.5
ISE 3.2.

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Secure Firewallシステムの管理ユーザおよび管理ユーザに対して外部認証を有効にすると、デバイスは、外部認証オブジェクトで指定されているとおりに、Lightweight Directory Access Protocol(LDAP)またはRADIUSサーバを使用してユーザクレデンシャルを確認します。

外部認証オブジェクトは、FMCおよびFTDデバイスで使用できます。異なるアプライアンス/デバイスタイプ間で同じオブジェクトを共有したり、別々のオブジェクトを作成したりできます。

FMCの外部認証

Webインターフェイスアクセス用に複数の外部認証オブジェクトを設定できます。CLIまたはシェルアクセスに使用できる外部認証オブジェクトは1つだけです。

FTDの外部認証

FTDでは、1つの外部認証オブジェクトだけをアクティブにできます。

Network Topology

SSH RADIUS Flow

設定

ISE 設定

注:FMCなどのネットワークアクセスデバイス(NAD)のISE認証および許可ポリシーを設定するには、複数の方法があります。このドキュメントで説明する例は、2つのプロファイル（1つは管理者権限を持ち、もう1つは読み取り専用）を作成する参照点であり、ネットワークにアクセスするためのベースラインを満たすように適合させることができます。RADIUS属性値をFMCに返して、FMCシステムポリシー設定で定義されたローカルユーザグループにマッピングすることで、1つ以上の認可ポリシーをISEで定義できます。

ステップ 1：新しいネットワークデバイスを追加します。バーガーアイコンに移動します burger は、左上の>Administration > Network Resources > Network Devices > +Addにあります。

ISE1

ステップ 2：ネットワークデバイスオブジェクトにNameを割り当て、FMCのIPアドレスを挿入します。

RADIUSのチェックボックスをオンにして、共有秘密を定義します。

後でFMCを設定するときに同じキーを使用する必要があります。

完了したら、Saveをクリックします。

ISEex2

ステップ 2.1：同じことを繰り返してFTDを追加します。

ネットワークデバイスオブジェクトにNameを割り当て、FTDのIPアドレスを挿入します。

RADIUSのチェックボックスをオンにして、共有秘密を定義します。

完了したら、Saveをクリックします。

ISEex2ftd

ステップ 2.3：両方のデバイスが[Network Devices] （ネットワークデバイス）に表示されていることを確認します。

ISe_FTD1

ステップ 3： 必要なユーザIDグループを作成します。バーガーアイコンに移動します burger 左上隅にある> Administration > Identity Management > Groups > User Identity Groups > + Add

ISE4

ステップ 4：各グループに名前を付け、個別に保存します。この例では、管理者ユーザ用のグループと読み取り専用ユーザ用のグループを作成します。最初に、管理者権限を持つユーザのグループを作成します。

ISEex2adming

ステップ 4.1：ReadOnlyユーザの2番目のグループを作成します。

ISEex2readg

ステップ 4.2：両方のグループがUser Identity Groups Listの下に表示されることを確認します。フィルタを使用すると、簡単に見つけることができます。

ISEex2valg

ステップ 5： ローカルユーザを作成し、対応するグループに追加します。移動先 burger > Administration > Identity Management > Identities > + Addの順に選択します。

ステップ 5.1：まず、管理者権限を持つユーザを作成します。名前、パスワード、およびFMCとFTDの管理者グループを割り当てます。

ISEadmin_2

ステップ 5.2：読み取り専用権限を持つユーザを追加します。名前、パスワード、およびグループFMCとFTD ReadOnlyを割り当てます。

手順 6：Adminユーザの許可プロファイルを作成します。

移動先 burger > Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Addの順に選択します。

許可プロファイルの名前を定義し、アクセスタイプをACCESS_ACCEPTのままにして、Advanced Attributes Settingsで値Administratorを指定してRadius > Class—[25]を追加し、Submitをクリックします。

ISE9

ISEex1

手順 7：前の手順を繰り返して、ReadOnlyユーザの許可プロファイルを作成します。今回はAdministratorではなくReadUserの値でRadiusクラスを作成します。

ISE11

ISEex1

ステップ 8：FMCのIPアドレスに一致するポリシーセットを作成します。これは、他のデバイスがユーザにアクセス権を付与するのを防ぐためです。

移動先 burger > Policy > Policy Sets > Plus sign icon アイコンが左上隅に配置されます。

ISE13

ステップ 8.1：新しい品目がポリシーセットの一番上に配置されます。

新しいポリシーに名前を付け、FMC IPアドレスに一致するRADIUS NAS-IP-Address属性の上位条件を追加します。

FTDのIPアドレスを含めるために、ORを組み合わせた2番目の条件を追加します。

Useをクリックして変更を保持し、エディタを終了します。

ISEex1

ステップ 8.2：完了したら、Saveを押します。

ISEex1

ヒント：この演習では、Default Network Access Protocolsリストを許可しました。新しいリストを作成し、必要に応じて絞り込むことができます。

ステップ 9：新しいポリシーセットを表示するには、 set アイコンを行の最後に配置します。

Authorization Policyメニューを展開し、 Plus sign Icon アイコンをクリックして、管理者権限を持つユーザへのアクセスを許可する新しいルールを追加します。

名前を指定します。

条件を設定して、Dictionary Identity Groupの属性Name Equals User Identity Groups: FMC and FTD admins（ステップ4で作成したグループ名）に一致させ、Useをクリックします。

ISEex1

ステップ 10：ポリシーの横の [レポート（Report）] Plus sign Icon アイコンをクリックして、読み取り専用権限を持つユーザへのアクセスを許可する2番目のルールを追加します。

名前を指定します。

条件を設定して、Dictionary Identity GroupにAttribute Name Equals User Identity Groups: FMCおよびFTD ReadOnly（ステップ4で作成したグループ名）を設定し、Useをクリックします。

ステップ 11各ルールにそれぞれ許可プロファイルを設定し、Saveをクリックします。

ISE18

FMCの設定

ステップ 1：System > Users > External Authentication > + Add External Authentication Objectで外部認証オブジェクトを作成します。

FMC1

ステップ 2：認証方式としてRADIUSを選択します。

External Authentication Objectで、新しいオブジェクトにNameを指定します。

次に、プライマリサーバ設定で、ISE IPアドレスと、ISE設定のステップ2で使用したものと同じRADIUS秘密キーを挿入します。

FMC2

ステップ 3：ISE設定のステップ6と7で設定したRADIUS Class属性値（それぞれfirewall_adminとfirewall_readuserのAdministratorとReadUser）を挿入します。

FMC3

注：タイムアウトの範囲はFTDとFMCで異なります。そのため、オブジェクトを共有し、デフォルト値の30秒を変更する場合は、FTDデバイスのタイムアウトの範囲を小さく（1 ～ 300秒）超えないようにしてください。タイムアウトを大きい値に設定すると、脅威対策のRADIUS設定が機能しません。

ステップ 4：CLIアクセスフィルタの下にあるAdministrator CLI Access User Listに、CLIアクセスを許可されるユーザ名を入力します。

完了したら、Saveをクリックします。

FMC4

ステップ 5：新しいオブジェクトを有効にします。これをFMCのシェル認証方式として設定し、Save and Applyをクリックします。

FMC5

FTD の設定

ステップ 1：FMC GUIで、Devices > Platform Settingsの順に移動します。アクセスが必要なFTDに割り当てられていない場合は、現在のポリシーを編集するか、新しいポリシーを作成します。External AuthenticationでRADIUSサーバを有効にし、Saveをクリックします。

ISEex1