Безопасность : Cisco Firepower Management Center

Интеграция системы FireSIGHT с ISE для аутентификации ПОЛЬЗОВАТЕЛЯ RADIUS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает действия настройки, требуемые интегрировать Центр управления FireSIGHT (FMC) Cisco или Управляемое устройство Огневой мощи с платформой Cisco Identity Services Engine (ISE) для проверки подлинности пользователя Cервиса RADIUS.

Внесенный Тоддом Пулой и Нэзмулом Рэджибом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • FireSIGHT начальная конфигурация Системного и Управляемого устройства через GUI и/или оболочку
  • Политика проверки подлинности и авторизация Настройки по ISE
  • Знание БАЗОВОЙ КОНФИГУРАЦИИ RADIUS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco ASA v9.2.1
  • Модуль ASA FirePOWER v5.3.1
  • ISE 1.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Конфигурация ISE

Совет: Существуют несколька способов для настройки политики проверки подлинности и авторизация ISE для поддержки интеграции с Устройствами доступа к сети (NAD), такими как Sourcefire. Примером ниже является один способ настроить intregration. Пример конфигурации является точкой отсчета и может быть адаптирован для удовлетворения потребностям определенных развертываний. Обратите внимание на то, что Конфигурация авторизации является двумя процессами шага. Одна или более политики авторизации будет определена на ISE с ISE, возвращая пар значения атрибута RADIUS (av-пары) к FMC или Управляемому устройству. Эти av-пары тогда сопоставлены с группой локального пользователя, определенной в конфигурации системной политики FMC.

Настройка сетевых устройств и групп сетевых устройств

  • От GUI ISE перейдите к администрированию> Сетевые ресурсы> Сетевые устройства. Нажмите +Add для добавления нового Устройства доступа к сети (NAD). Предоставьте IP-адрес устройства и описательное имя. FMC определен в примере ниже.

  • Под Группой сетевых устройств щелкните по оранжевой стрелке рядом со Всеми Типами устройства. Щелкните по значку и выберите Create New Network Device Group. В снимке экрана в качестве примера, который придерживается, Тип устройства, Sourcefire был настроен. На этот Тип устройства сошлются в определении правила политики авторизации в более позднем шаге . Нажмите Save.

  • Нажмите оранжевую стрелку снова и выберите Network Device Group, настроенный в шаге выше

  • Установите флажок, следующий за параметрами аутентификации. Введите общий секретный ключ RADIUS, который будет использоваться для этого NAD. Примечание тот же общий секретный ключ будет использоваться снова позже при настройке сервера RADIUS на FireSIGHT MC. Для рассмотрения значения параметра открытого текста нажмите кнопку Show . Нажмите Save.

  •  Повторите вышеупомянутые шаги для всего FireSIGHT MCs и Управляемых устройств, которые потребуют аутентификации/авторизации ПОЛЬЗОВАТЕЛЯ RADIUS для GUI и/или окружат доступ.

Политика аутентификации ISE Настройки:

  • От GUI ISE перейдите к Политике> Аутентификация. При использовании Наборов Политики перейдите к Политике> Наборы Политики. Пример ниже взят от развертываний ISE, которые используют интерфейсы политики авторизации и проверка подлинности по умолчанию. Логика правила проверки подлинности и авторизация является тем же независимо от подхода конфигурации.
  • Стандартное правило (Если никакое соответствие) будет использоваться для аутентификации запросов RADIUS от NADs, где метод в использовании не является Обходом проверки подлинности MAC (MAB) или 802.1X. Согласно конфигурации по умолчанию это правило будет искать учетные записи пользователя в локальном идентификационном источнике Внутренних пользователей ISE. Эта конфигурация может модифицироваться, чтобы обратиться к внешнему идентификационному источнику, такому как Active Directory, LDAP, и т.д., как определено при администрировании> Управление идентификацией> Внешние Идентификационные Источники. Ради simplciity данный пример определит учетные записи пользователя локально на ISE, таким образом, не будут требоваться никакие дальнейшие модификации к политике аутентификации.  

Добавление локального пользователя к ISE

  • Перейдите к администрированию> Управление идентификацией> Идентификационный> Users . Нажмите кнопку Add . Введите значимое имя пользователя и пароль. При выборе Групп пользователей выберите название существующей группы или нажмите, зеленый + подают знак добавлять новую группу. В данном примере пользователя "sfadmin" назначают на пользовательскую группу "Администратор Sourcefire". Эта группа пользователей будет связана с профилем авторизации, определенным в шаге Политики авторизации ISE Настройки ниже . Нажмите Save. 

Политика авторизации ISE Настройки

  • Перейдите к Политике> Элементы Политики> Результаты> Авторизация> Профили Авторизации. Нажмите зеленый + подают знак добавлять новый профиль авторизации.
  • Предоставьте описательное имя, такое как Администратор Sourcefire. Выберите ACCESS_ACCEPT для Типа доступа. Под Общими задачами перейдите к нижней части и установите флажок, следующий за VPN ASA. Нажмите оранжевую стрелку и выберите InternalUser:IdentityGroup . Нажмите Save.

Совет: Поскольку данный пример использует идентификационное хранилище локального пользователя ISE, опция группы InternalUser:IdentityGroup используется для упрощения конфигурации. При использовании внешнего хранилища идентификаторов атрибут полномочий VPN ASA все еще используется, однако, значение, которое будет возвращено к устройству Sourcefire, вручную настроено. Например, вручную вводящий Администратор в VPN ASA выпадающая коробка приведет к Классу 25 av-pair значение Класса = Администратор, передаваемый устройству Sourcefire. Это значение может тогда быть сопоставлено с sourcefire группой пользователей как часть конфигурации системной политики. Для внутренних пользователей любой метод задания конфигурации приемлем.

Пример внутреннего пользователя

Пример внешнего пользователя

  • Перейдите к Политике> Авторизация и настройте новую политику авторизации для сеансов администрирования Sourcefire. Пример ниже использует условие Типа DEVICE:Device совпасть с типом устройства, настроенным в

    Настройка Сетевых устройств и Групп сетевых устройств разделяет выше. Эта политика тогда привязана к профилю авторизации Администратора Sourcefire, настроенному выше . Нажмите Save.

Конфигурация системной политики Sourcefire

  • Вход в систему к FireSIGHT MC и перешел к Системе> Локальный> Управление пользователями. Щелкните по вкладке Login Authentication. Нажмите +, Создают Опознавательную Кнопку объекта для добавления нового сервера RADIUS для проверки подлинности пользователя / авторизация.
  • Выберите RADIUS для Метода аутентификации. Введите описательное имя для сервера RADIUS. Введите Адрес/IP Имени хоста и Секретный ключ RADIUS. Секретный ключ должен совпасть с ключом, ранее настроенным на ISE. Дополнительно введите резервный адрес Name/IP сервера ISE, если вы существуете.

  • Под специфичным для RADIUS разделом Параметров введите Класс 25 av-pair строка в текстовом поле рядом с названием локальной группы Sourcefire, с которым совпадут для доступа к ГИП. В данном примере Идентичность Class=User значение Администратора Groups:Sourcefire сопоставлено с Группой администраторов Sourcefire. Это - значение, которое ISE возвращает как часть ACCESS-ACCEPT. Дополнительно, выберите Default User Role для проверенных пользователей, которым не назначали группы Класса 25. Нажмите Save, чтобы сохранить конфигурацию или продолжиться к Сверять разделу ниже к тестовой аутентификации с ISE. 

  • Под Фильтром Доступа оболочки введите список разделенных запятой значений пользователей для ограничения ОБОЛОЧКИ/се¦нсор SSH.

Включите внешнюю проверку подлинности

Наконец, выполните эти шаги для включения внешней проверки подлинности на FMC:

  1. Перейдите к Системе> Локальный> Системная политика.
  2. Выберите External Authentication на левой панели.
  3. Измените Статус на Включенный (отключенный по умолчанию).
  4. Включите добавленный сервер RADIUS ISE.
  5. Сохраните политику и повторно примените политику по устройству.

Проверка.

  • К аутентификации тестового пользователя против ISE прокрутите вниз к Дополнительным Тестовым параметрам, разделяют и вводят имя пользователя и пароль для пользователя ISE. Нажмите Test. Успешный тест приведет к зеленому Успеху: Тестовое Сообщение о выполнении наверху окна браузера.

  • Для просмотра результатов тестовой аутентификации перейдите к Тестовому Разделу выходных данных и нажмите черную стрелку рядом с Подробными данными Показа. В снимке экрана в качестве примера ниже, обратите внимание "radiusauth - ответ: Идентичность |Class=User Администратор Groups:Sourcefire |" значение получена от ISE. Это должно совпасть со значением Класса, привязанным к локальной группе Sourcefire, настроенной на FireSIGHT MC выше . Нажмите Save.

  • От GUI Admin ISE перейдите к Операциям> Аутентификации для подтверждения успешности или неуспешности теста проверки подлинности пользователя.

Устранение неполадок

  • При тестировании проверки подлинности пользователя против ISE ошибка слежения показательна из несоответствия Секретного ключа RADIUS или неверного имени пользователя / пароль. 

  • От GUI admin ISE перейдите к Операциям> Аутентификации. В то время как зеленое событие показательно из успешной аутентификации/authorization/Change Авторизации, красное событие показательно из сбоя. Щелкните по значку для рассмотрения подробных данных опознавательного события.

Дополнительные сведения

Техническая поддержка и документация – CiscoSystems


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.