تكوين مصادقة FMC و FTD الخارجية باستخدام ISE كخادم RADIUS

خيارات التنزيل

  • PDF     (3.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٧ يونيو ٢٠٢٥
معرّف المستند:221009

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند مثالا لتكوين المصادقة الخارجية لمركز إدارة جدار الحماية الآمن والدفاع عن التهديد بجدار الحماية.

    المتطلبات الأساسية

    المتطلبات

    يوصى بالمعرفة بالمواضيع التالية:

    • التكوين الأولي ل Cisco Secure Firewall Management Center عبر واجهة المستخدم الرسومية (GUI) و/أو طبقة الأمان (Shell).
    • تكوين سياسات المصادقة والتفويض على ISE.
    • معرفة RADIUS الأساسية.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • vFMC 7.4.2
    • vFTD 7.4.2
    • ISE 3.3

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    عند تمكين المصادقة الخارجية للإدارة والمستخدمين الإداريين لنظام "جدار الحماية الآمن" لديك، يتحقق الجهاز من بيانات اعتماد المستخدم باستخدام بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) أو خادم RADIUS كما هو محدد في كائن مصادقة خارجي.

    يمكن إستخدام كائنات المصادقة الخارجية بواسطة أجهزة FMC وFTD. يمكنك مشاركة نفس الكائن بين أنواع الأجهزة/الأجهزة المختلفة، أو إنشاء كائنات منفصلة.

    المصادقة الخارجية ل FMC

    يمكنك تكوين كائنات مصادقة خارجية متعددة للوصول إلى واجهة الويب. يمكن إستخدام كائن مصادقة خارجي واحد فقط للوصول إلى CLI أو shell.

    المصادقة الخارجية ل FTD

    بالنسبة إلى FTD، يمكنك تنشيط كائن مصادقة خارجي واحد فقط.

    طوبولوجيا الشبكة

    SSH RADIUS Flow

    التكوين

    تكوين ISE

    note-icon

    ملاحظة: هناك طرق متعددة لإعداد سياسات مصادقة وتفويض ISE لأجهزة الوصول إلى الشبكة (NAD) مثل FMC. المثال الموضح في هذا المستند هو نقطة مرجعية نقوم فيها بإنشاء توصيفين (أحدهما له حقوق الإدارة والآخر للقراءة فقط) ويمكن تكييفهما للوفاء بالخطوط الأساسية للوصول إلى شبكتك. يمكن تحديد نهج تخويل واحد أو أكثر على ISE مع إرجاع قيم سمات RADIUS إلى وحدة التحكم في إدارة الهيكل (FMC) التي يتم تعيينها بعد ذلك إلى مجموعة مستخدم محلية معرفة في تكوين نهج نظام FMC.

    إضافة أجهزة الشبكة

    الخطوة 1. انتقل إلى أيقونة برجر burger موجود في الزاوية العلوية اليسرى>إدارة > موارد الشبكة > أجهزة الشبكة > +إضافة.

    Click Add Network Device

    الخطوة 2. قم بتعيين اسم لكائن جهاز الشبكة وأدخل عنوان IP ل FMC.

    حدد خانة إختيار RADIUS وحدد سر مشترك.

    يجب إستخدام المفتاح نفسه لاحقا لتكوين FMC.

    بمجرد الانتهاء، انقر فوق حفظ.

    ND Config

    الخطوة 2.1. كرر نفس الإجراء لإضافة FTD.

    قم بتعيين اسم لكائن جهاز الشبكة وأدخل عنوان IP الخاص ب FTD.

    حدد خانة إختيار RADIUS وحدد سرا مشتركا.

    بمجرد الانتهاء، انقر فوق حفظ.

    ND2 Config

    الخطوة 2.3. التحقق من صحة كلا الجهازين ضمن أجهزة الشبكة.

    Validate ND

    إنشاء مجموعات هوية المستخدم المحلي والمستخدمين

    الخطوة 3. قم بإنشاء مجموعات هوية المستخدم المطلوبة. انتقل إلى أيقونة البرغر burger موجود في الزاوية العلوية اليسرى >إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > + إضافة

    AD UIGroup

    الخطوة 4. قم بتسمية كل مجموعة وحفظها بشكل فردي. في هذا المثال، نقوم بإنشاء مجموعة لمستخدمي Administrator ومجموعة أخرى لمستخدمي Read-Only. أولا، قم بإنشاء مجموعة للمستخدم ذات حقوق المسؤول.

    admins group

    الخطوة 4.1. قم بإنشاء المجموعة الثانية للمستخدم ReadOnly.

    ro group

    الخطوة 4.2. التحقق من صحة كلتا المجموعتين مبينة ضمن قائمة مجموعات هوية المستخدم. أستخدم المرشح للعثور عليهم بسهولة.

    users groups

    الخطوة 5. قم بإنشاء المستخدمين المحليين وإضافتهم إلى مجموعة المراسلين الخاصة بهم. انتقل إلى burger> الإدارة > إدارة الهوية > الهويات > + إضافة. 

    user add

    الخطوة 5.1. قم أولا بإنشاء المستخدم باستخدام حقوق المسؤول. قم بتعيين اسم له وكلمة مرور ومسؤولي FirePOWER للمجموعة.

    user admin

    الخطوة 5.2. أضف المستخدم بحقوق ReadOnly. قم بتعيين اسم وكلمة مرور والمجموعة Firepower ReadOnly.

    read user

    إنشاء توصيفات التخويل

    الخطوة 6. قم بإنشاء ملف تعريف التخويل لمستخدم مسؤول واجهة ويب FMC.

    انتقل إلى burger > السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل > +إضافة.

    قم بتحديد اسم لملف تعريف التخويل، وترك نوع الوصول على هيئة ACCESS_ACCEPT.

    تحت إعدادات الخصائص المتقدمة قم بإضافة RADIUS > الفئة—[25] مع القيمة للمسؤول وانقر على إرسال.

    auth prof fmc gui

    الخطوة 6.1. كرر الخطوة السابقة لإنشاء ملف تعريف التخويل لمستخدم FMC Web Interface ReadOnly. قم بإنشاء فئة RADIUS باستخدام قيمة ReadUser بدلا من مسؤول هذه المرة.

    auth prof fmc gui read

    note-icon

    ملاحظة: بالنسبة إلى FMC (جميع الإصدارات) و FTD (6.2.3 و 6.3)، يجب عليك تعريف المستخدمين للوصول إلى واجهة سطر الأوامر (CLI) في كائن المصادقة الخارجية ل FMC، والذي أعرضه في الخطوة 4 بموجب إجراء تكوين FMC. بالنسبة لبروتوكول FTD 6.4 والإصدارات الأحدث، نوصي بتعريف المستخدمين على خادم RADIUS كما أعرضها لك في الخطوة التالية.

    الخطوة 7. قم بإنشاء ملف تعريف التخويل لمستخدم واجهة سطر الأوامر (CLI) الخاص ب FTD مع حقوق المسؤول.

    انتقل إلى burger > السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل > +إضافة.

    قم بتحديد اسم لملف تعريف التخويل، وترك نوع الوصول على هيئة ACCESS_ACCEPT.

    تحت إعدادات الخصائص المتقدمة قم بإضافة RADIUS > نوع الخدمة—[6] مع القيمة إداري وانقر إرسال.

    auth prof ftd cli admin

    الخطوة 7.1. كرر الخطوة السابقة لإنشاء ملف تعريف التخويل للمستخدم FTD CLI ReadOnly. هذه المرة، قم بإنشاء RADIUS > نوع الخدمة—[6] باستخدام موجه NAS الخاص بالقيمة بدلا من ذلك.

    auth prof ftd cli ro

    إضافة مجموعة نهج جديدة

    الخطوة 8. قم بإنشاء مجموعة سياسات تطابق عنوان IP ل FMC. وذلك لمنع الأجهزة الأخرى من منح حق الوصول للمستخدمين. 

    انتقل إلى burger > السياسة > مجموعات السياسات > Plus sign icon الأيقونة موضوعة في الركن العلوي الأيسر.

    add pol set

    الخطوة 8.1. يتم وضع سطر جديد في أعلى مجموعات النهج.

    قم بتسمية النهج الجديد وإضافة شرط أعلى لسمة NAS-IP-RADIUS المطابقة لعنوان FMC IP.

    أضف شرطا ثانيا أو مقترنا لتضمين عنوان IP الخاص ب FTD.

    انقر فوق إستخدام للاحتفاظ بالتغييرات والخروج من المحرر.

    pol set

    الخطوة 8.2. بمجرد اكتمال الحفظ.

    pol set save

    tip-icon

    تلميح: لقد سمحنا لهذا التدريب بقائمة بروتوكولات الوصول إلى الشبكة الافتراضية. يمكنك إنشاء قائمة جديدة وتضييق نطاقها حسب الحاجة.

    الخطوة 9. اعرض السياسة الجديدة التي تم تعيينها عن طريق ضرب set الأيقونة الموضوعة في نهاية الصف.

    قم بتوسيع قائمة "نهج التخويل" واضغط على Plus sign Icon لإضافة قاعدة جديدة للسماح بالوصول إلى المستخدم ذي حقوق المسؤول.

    أعطه اسما.

    قم بتعيين الشروط لتطابق مجموعة هوية القاموس مع اسم السمة يساوي واختر مجموعات هوية المستخدم: مسؤولو Firepower (اسم المجموعة الذي تم إنشاؤه في الخطوة 4) وانقر إستخدام.

    admins rule

    الخطوة 10. انقر فوق Plus sign Icon لإضافة قاعدة ثانية للسماح بالوصول إلى المستخدم باستخدام حقوق القراءة فقط.

    أعطه اسما.

    قم بتعيين الشروط لمطابقة مجموعة هوية القاموس مع اسم السمة يساوي مجموعات هوية المستخدم: Firepower ReadOnly (اسم المجموعة الذي تم إنشاؤه في الخطوة 4.1) وانقر فوق إستخدام.

    read rule

    الخطوة 11. اضبط توصيفات التخويل لكل قاعدة على التوالي واضغط على حفظ.

    auth profiles

    تكوين FMC

    إضافة خادم ISE RADIUS لمصادقة FMC

    الخطوة 1. أنشئ كائن المصادقة الخارجي ضمن النظام > المستخدمون > المصادقة الخارجية > + إضافة كائن مصادقة خارجي.

    FMC1

    الخطوة 2. حدد RADIUS كطريقة مصادقة.

    تحت كائن المصادقة الخارجية قم بإعطاء اسم للكائن الجديد.

    بعد ذلك، في إعداد الخادم الأساسي، أدخل عنوان IP الخاص ب ISE ومفتاح RADIUS السري نفسه الذي أستخدمته في الخطوة 2 من تكوين ISE الخاص بك.

    fmc radius object

    الخطوة 3. أدخل قيم سمات فئة RADIUS التي تم تكوينها على الخطوات 6 و 7 من تكوين ISE: Administrator و ReadUser ل firewall_admin و firewall_readuser على التوالي.

    FMC3

    الخطوة 4. قم بملء قائمة مستخدم Administrator CLI Access ضمن "عامل تصفية وصول CLI" باسم المستخدم الذي يجب أن يكون لديه وصول CLI إلى FMC.

    انقر فوق حفظ بمجرد الانتهاء.

    FMC4

    note-icon

    ملاحظة: في هذا الإجراء، نحدد المستخدمين على خادم RADIUS باستخدام سمة نوع الخدمة لمنع مستخدمي ReadOnly من الحصول على وصول CLI إلى FTD باستخدام حقوق الخبراء.

    بالنسبة لوصول CLI الخاص ب FMC، يجب إستخدام قائمة المستخدمين هذه.

    caution-icon

    تحذير: يمكن لأي مستخدم لديه وصول واجهة سطر الأوامر إلى FMC الوصول إلى Linux shell باستخدام الأمر expert. يمكن لمستخدمي مجموعة لينوكس الحصول على امتيازات جذر، والتي يمكن أن تمثل مخاطر أمنية. تأكد من تقييد قائمة المستخدمين الذين لديهم وصول إلى CLI أو Linux shell.

    الخطوة 5. قم بتمكين الكائن الجديد. ضبطها كطريقة مصادقة Shell ل FMC وانقر حفظ وتطبيق.

    enable fmc object

    تكوين FTD

    إضافة خادم ISE RADIUS لمصادقة FTD

    note-icon

    ملاحظة: يمكنك مشاركة نفس الكائن بين مركز الإدارة والأجهزة أو إنشاء كائنات منفصلة حسب المكان الذي تريد تعريف المستخدمين فيه ومستوى التخويل الذي يجب أن يمتلكوه. في هذا السيناريو، نحن نحدد هوية مستخدمينا على خادم RADIUS، لذلك نحتاج إلى إنشاء كائنات منفصلة للدفاع عن التهديد ومركز الإدارة.

    الخطوة 1. بنفس الطريقة التي قمت بها مع FMC، قم بإنشاء كائن المصادقة الخارجي ضمن النظام > المستخدمون > المصادقة الخارجية > + إضافة كائن مصادقة خارجي.

    add ftd object

    الخطوة 2. حدد RADIUS كطريقة مصادقة.

    تحت كائن المصادقة الخارجية قم بإعطاء اسم للكائن الجديد.

    بعد ذلك، في إعداد الخادم الأساسي، أدخل عنوان IP الخاص ب ISE ومفتاح RADIUS السري نفسه الذي أستخدمته في الخطوة 2.1 من تكوين ISE الخاص بك. انقر فوق حفظ

    ftd radius object 2

    warning-icon

    تحذير: يختلف نطاق المهلة بالنسبة ل FTD و FMC، لذلك إذا قمت بمشاركة كائن وتغيير القيمة الافتراضية ل 30 ثانية، فتأكد من عدم تجاوز نطاق المهلة الأصغر (1-300 ثانية) لأجهزة FTD. إذا قمت بضبط المهلة على قيمة أعلى، فإن تكوين RADIUS للدفاع عن التهديد لا يعمل.

    تمكين خادم RADIUS

    الخطوة 1. في واجهة المستخدم الرسومية FMC، انتقل إلى الأجهزة > إعدادات النظام الأساسي. قم بتحرير النهج الحالي أو إنشاء نهج جديد إذا لم يكن لديك أي تعيين ل FTD تحتاج إلى الوصول إليه. قم بتمكين خادم RADIUS تحت المصادقة الخارجية وانقر فوق حفظ.

    enable ftd object

    الخطوة 2. تأكد من أن FTD الذي تحتاج إلى الوصول إليه مدرج ضمن تعيينات النهج كجهاز محدد.

    plat

    الخطوة 3. نشر التغييرات.

    deploy

    note-icon

    ملاحظة: إذا كنت قد انتهيت من تكوين اسم مستخدم خارجي موجود مسبقا كمستخدم داخلي باستخدام الأمر configure user add، فإن دفاع التهديد يتحقق أولا من كلمة المرور مقابل المستخدم الداخلي، وإذا فشل ذلك، فإنه يتحقق من خادم RADIUS. لاحظ أنه لا يمكنك لاحقا إضافة مستخدم داخلي بنفس اسم مستخدم خارجي حيث سيفشل النشر؛ يتم دعم المستخدمين الداخليين الموجودين مسبقا فقط.

    التحقق من الصحة

    • قم باختبار أن عملية النشر الجديدة تعمل بشكل صحيح.
    • في واجهة المستخدم الرسومية FMC، انتقل إلى إعدادات خادم RADIUS وانتقل إلى قسم معلمات الاختبار الإضافية.
    • دخلت username وكلمة ل ال ISE مستعمل وطقطقة إختبار.

    ISEex1

    • يظهر إختبار ناجح رسالة إكمال إختبار النجاح الأخضر في أعلى نافذة المستعرض.

    ISEex1

    • يمكنك توسيع التفاصيل تحت مخرج الاختبار للحصول على مزيد من المعلومات.

    FMC6

    • تحقق من طلب المصادقة والاستجابة في ISE RADIUS الخاص بك ضمن العمليات > RADIUS > السجلات المباشرة.

    ise

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    02-Oct-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Laura Villafranca
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات